[讨论]抛砖引玉，大疆PHANTOM 3 STANDARD遥控信号嗅探-智能设备-看雪-安全社区|安全招聘|kanxue.com

[讨论]抛砖引玉，大疆PHANTOM 3 STANDARD遥控信号嗅探

发表于: 2016-11-26 14:04 48341

[讨论]抛砖引玉，大疆PHANTOM 3 STANDARD遥控信号嗅探

大大薇薇

2016-11-26 14:04

48341

查看主题内容

收藏・32

免费・3

支持

打赏 + 2.00雪花

yjmwxwx

打赏次数 1

雪花 + 2.00

yjmwxwx

+2.00

2019/03/05

最新回复 (100) ◀ 1 2 3 4 5 ▶
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 26 楼用这种方式不太好进行通用的劫持。只能针对特定型号，特定固件。毕竟只要固件一升级，就得跟着升级。如果协议设计完善点，比如加入时间戳，应答机制什么的，就不好处理了。 2016-12-2 12:56 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 27 楼信号的调制和解调通常是用滤波器结合其它方法来完成，由于是用DSP实现，通常是采用滤波器结合傅里叶变换的方法。大疆并没有考虑重放攻击，一种可能的重放攻击的实现方案：预生成256个滤波器，然后进行傅立叶变换穷举匹配，得到滤波器序列和解调信号，如果需要得到二进制数据还要对解调信号进行解调，最后实现解调信号的调制重放。可能涉及的知识有：泰勒级数、傅立叶变换、拉普拉斯变换、滤波器、PLL（相位锁）、采样和重采样、微积分方程。 2016-12-3 05:06 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 28 楼生成256个滤波器？用傅立叶变换穷举匹配？能详细说一下这是什么原理吗，实在是难以明白。 2016-12-5 09:15 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 29 楼原理就是试除法、碰撞检测。 2016-12-8 01:25 0
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 30 楼泰勒级数、傅立叶变换这些东西确实是有的，，以前我在HW看过高通芯片解码用到这些算法，，只是那时候我是菜鸟，没怎么关注，，，好像还听某大学教授讲过 2016-12-8 08:59 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 31 楼这无人机的跳频是很简单的，不是受伪随机码控制，是随时间重复的，你要看规律可以下个cooledit看时频图，当然采样率要高，瞬时处理带宽要覆盖整个100m跳频带宽。时频分析功能自己弄个也不麻烦，把数据按帧做FFT，然后把结果画到两维平面，一维表示频率，一维是时间（根据帧长和采样率可算出一帧的时间），用色度表示信号强度（即FFT结果的幅度值）。 2016-12-21 09:06 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 32 楼大疆这款无人机的射频芯片有128个信道，覆盖128M的带宽。如果不能覆盖全部的频段，就不能采用这种方式确定跳频序列吧？ 2016-12-21 12:56 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 33 楼实际用的就十六个频率，且频率间隔是均匀的，80mhz带宽采集可覆盖，我猜想应该是不同遥控器用的16个频率不一样（按频率间隔均匀推断应该是等间隔分成8组，选其中一组，但即使是同组频率的遥控器，16个频率的跳变规律应该是不一样的，否则会发生碰撞），目前最大的漏洞是跳频码周期很短，十六跳就出现重复，这样观察十六跳的顺序就知道规律了。没条件全频段采集能覆盖两个频点的宽度也能分析，麻烦点而已，先采集相邻两信道的，根据每跳间隔7毫秒，可以看出两个频点隔了几跳，再换掉其中一点加上一个新点继续看，看齐16点你就能看出相对时间关系了。 2016-12-21 22:07 0
duanyiemo 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	duanyiemo 34 楼楼主播报下最新战况被我也在研究这个 2016-12-22 11:25 0
KEVIN狗汪汪雪币： 1 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 2 关注私信	KEVIN狗汪汪 35 楼 https://www.coursera.org/learn/hardware-security 2016-12-22 16:50 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 36 楼只要知道了跳频集合包含元素的个数(16个信道)，以及跳频周期(单周期7ms)。我感觉你说的和我用的方法应该大同小异。我是这样考虑的：已知 a=16(频段扫描得到),t=7(信号点数/采样率估算),采样率s自己设定为4M/s,然后开始按信道遍历采样，发现信号时记录当前采样点个数N，N/s得到运行时间T，T/t=n,n为周期数，n mod 16 = ord，即当前信道在16个信道中的位置。 2016-12-22 21:58 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 37 楼我好几个月没有搞了。。最近这些都是回忆的。你那边有什么想法吗？可以交流交流！很期待啊。 2016-12-22 21:59 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 38 楼好像是大疆把非线性调制解调器GFSK当成线性调制解调器使用了，这当然是有问题的。 2016-12-23 00:48 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 39 楼这是什么梗？表示完全看不明白。。。不明觉厉。求求求解答。 2016-12-23 01:24 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 40 楼用全景接收机扫频看瀑布图可以的 2016-12-23 08:33 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 41 楼那个5字节地址有何规律，为什么每跳的地址是变化的呢？是不是应该是指示下一跳频率的频率码，一样频率的突发这个码是一样的，也就是隔16跳地址码就一样了。 2016-12-25 09:15 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 42 楼全景接收机感觉不是一般人能玩的哦。 2016-12-26 13:18 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 43 楼 5字节的address就是mac地址。这款芯片通过mac地址通讯。收发双方需要设置同一个mac地址才能通讯。这款芯片唯一的preamble就是0xaa或0x55。 2016-12-26 13:22 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 44 楼如果是Mac地址的话一架无人机应该就一个地址，但我解调出来看，不同频率的突发这个地址是不一样的，但同一频率不同时间的突发地址确实是一样的。可能你采集带宽较小，只看一个频率的地址码，没注意不同频率该字段是不一样的。 2016-12-27 06:09 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 45 楼全景接收机你用的那个开源的软件无线电平台应该也可以做到的，原理就是变频器每次切换一个瞬时带宽的频率，采样做FFT，将不同频段的fft结果拼成整个关注频段的全景后显示，同时更新瀑布图的一帧。不同档次的平台差别在于切换后频率稳定所需的时间和瞬时处理带宽的大小。 2016-12-27 06:17 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 46 楼可能现在新版本的的固件修改了，我做测试的时候每个信道上的是一样的。不过我照你这么说的，我感觉大疆这个升级也是没有什么用。毕竟这个mac地址是对上层业务透明的，他这样硬加进去感觉没什么用。 2016-12-27 08:59 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 47 楼我用的hackrf one，最大的瞬时采样带宽应该只有20Mhz。这样算的话，一次采样要切换5次左右，不知道切换耗时和稳定性上怎么样。你用的什么采样工具？ 2016-12-27 09:03 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 48 楼是没用，只是对分析麻烦点，要看全16个频点地址，难道这就是所谓修改过的漏洞，太小儿科了。 2016-12-27 09:28 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 49 楼我瞬时采80mhz带宽，IQ采样率102.4mhz，RS公司ESMD宽带接收机，然后做数字信道化同时形成20个滤波器，每个5mhz带宽，各信道输出数据做脉冲检测和解调，可同时输出按时间顺排的跳频频率和每个突发的解调数据，CRC都能通过，能看出pid是0到3依次重复，但地址码是16跳一重复，也就是跟跳点绑定的。 2016-12-27 09:39 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 50 楼一般接收机频合步进不是很小的话，切换频率是微秒量级的，采集8k或16k点做FFT主要就是传输和FFT计算时间，高档的接收机这部分是FPGA做的，基本是实时的，拿软件做会慢点，应该几毫秒做一帧可以的，网上有FFTW函数包下，计算FFT效率很高。 2016-12-27 09:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大大薇薇

发帖

122

回帖

100

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (100) ◀ 1 2 3 4 5 ▶
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 26 楼用这种方式不太好进行通用的劫持。只能针对特定型号，特定固件。毕竟只要固件一升级，就得跟着升级。如果协议设计完善点，比如加入时间戳，应答机制什么的，就不好处理了。 2016-12-2 12:56 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 27 楼信号的调制和解调通常是用滤波器结合其它方法来完成，由于是用DSP实现，通常是采用滤波器结合傅里叶变换的方法。大疆并没有考虑重放攻击，一种可能的重放攻击的实现方案：预生成256个滤波器，然后进行傅立叶变换穷举匹配，得到滤波器序列和解调信号，如果需要得到二进制数据还要对解调信号进行解调，最后实现解调信号的调制重放。可能涉及的知识有：泰勒级数、傅立叶变换、拉普拉斯变换、滤波器、PLL（相位锁）、采样和重采样、微积分方程。 2016-12-3 05:06 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 28 楼生成256个滤波器？用傅立叶变换穷举匹配？能详细说一下这是什么原理吗，实在是难以明白。 2016-12-5 09:15 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 29 楼原理就是试除法、碰撞检测。 2016-12-8 01:25 0
gtict 雪币： 268 活跃值： (3233) 能力值： ( LV3，RANK：30 ) 在线值：发帖 24 回帖 510 粉丝 6 关注私信	gtict 30 楼泰勒级数、傅立叶变换这些东西确实是有的，，以前我在HW看过高通芯片解码用到这些算法，，只是那时候我是菜鸟，没怎么关注，，，好像还听某大学教授讲过 2016-12-8 08:59 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 31 楼这无人机的跳频是很简单的，不是受伪随机码控制，是随时间重复的，你要看规律可以下个cooledit看时频图，当然采样率要高，瞬时处理带宽要覆盖整个100m跳频带宽。时频分析功能自己弄个也不麻烦，把数据按帧做FFT，然后把结果画到两维平面，一维表示频率，一维是时间（根据帧长和采样率可算出一帧的时间），用色度表示信号强度（即FFT结果的幅度值）。 2016-12-21 09:06 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 32 楼大疆这款无人机的射频芯片有128个信道，覆盖128M的带宽。如果不能覆盖全部的频段，就不能采用这种方式确定跳频序列吧？ 2016-12-21 12:56 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 33 楼实际用的就十六个频率，且频率间隔是均匀的，80mhz带宽采集可覆盖，我猜想应该是不同遥控器用的16个频率不一样（按频率间隔均匀推断应该是等间隔分成8组，选其中一组，但即使是同组频率的遥控器，16个频率的跳变规律应该是不一样的，否则会发生碰撞），目前最大的漏洞是跳频码周期很短，十六跳就出现重复，这样观察十六跳的顺序就知道规律了。没条件全频段采集能覆盖两个频点的宽度也能分析，麻烦点而已，先采集相邻两信道的，根据每跳间隔7毫秒，可以看出两个频点隔了几跳，再换掉其中一点加上一个新点继续看，看齐16点你就能看出相对时间关系了。 2016-12-21 22:07 0
duanyiemo 雪币： 96 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 23 粉丝 0 关注私信	duanyiemo 34 楼楼主播报下最新战况被我也在研究这个 2016-12-22 11:25 0
KEVIN狗汪汪雪币： 1 活跃值： (54) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 2 关注私信	KEVIN狗汪汪 35 楼 https://www.coursera.org/learn/hardware-security 2016-12-22 16:50 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 36 楼只要知道了跳频集合包含元素的个数(16个信道)，以及跳频周期(单周期7ms)。我感觉你说的和我用的方法应该大同小异。我是这样考虑的：已知 a=16(频段扫描得到),t=7(信号点数/采样率估算),采样率s自己设定为4M/s,然后开始按信道遍历采样，发现信号时记录当前采样点个数N，N/s得到运行时间T，T/t=n,n为周期数，n mod 16 = ord，即当前信道在16个信道中的位置。 2016-12-22 21:58 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 37 楼我好几个月没有搞了。。最近这些都是回忆的。你那边有什么想法吗？可以交流交流！很期待啊。 2016-12-22 21:59 0
vasthao 雪币： 3425 活跃值： (1479) 能力值： ( LV9，RANK：320 ) 在线值：发帖 27 回帖 84 粉丝 96 关注私信	vasthao 6 38 楼好像是大疆把非线性调制解调器GFSK当成线性调制解调器使用了，这当然是有问题的。 2016-12-23 00:48 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 39 楼这是什么梗？表示完全看不明白。。。不明觉厉。求求求解答。 2016-12-23 01:24 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 40 楼用全景接收机扫频看瀑布图可以的 2016-12-23 08:33 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 41 楼那个5字节地址有何规律，为什么每跳的地址是变化的呢？是不是应该是指示下一跳频率的频率码，一样频率的突发这个码是一样的，也就是隔16跳地址码就一样了。 2016-12-25 09:15 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 42 楼全景接收机感觉不是一般人能玩的哦。 2016-12-26 13:18 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 43 楼 5字节的address就是mac地址。这款芯片通过mac地址通讯。收发双方需要设置同一个mac地址才能通讯。这款芯片唯一的preamble就是0xaa或0x55。 2016-12-26 13:22 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 44 楼如果是Mac地址的话一架无人机应该就一个地址，但我解调出来看，不同频率的突发这个地址是不一样的，但同一频率不同时间的突发地址确实是一样的。可能你采集带宽较小，只看一个频率的地址码，没注意不同频率该字段是不一样的。 2016-12-27 06:09 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 45 楼全景接收机你用的那个开源的软件无线电平台应该也可以做到的，原理就是变频器每次切换一个瞬时带宽的频率，采样做FFT，将不同频段的fft结果拼成整个关注频段的全景后显示，同时更新瀑布图的一帧。不同档次的平台差别在于切换后频率稳定所需的时间和瞬时处理带宽的大小。 2016-12-27 06:17 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 46 楼可能现在新版本的的固件修改了，我做测试的时候每个信道上的是一样的。不过我照你这么说的，我感觉大疆这个升级也是没有什么用。毕竟这个mac地址是对上层业务透明的，他这样硬加进去感觉没什么用。 2016-12-27 08:59 0
大大薇薇雪币： 1887 活跃值： (2766) 能力值： ( LV7，RANK：100 ) 在线值：发帖 13 回帖 122 粉丝 16 关注私信	大大薇薇 1 47 楼我用的hackrf one，最大的瞬时采样带宽应该只有20Mhz。这样算的话，一次采样要切换5次左右，不知道切换耗时和稳定性上怎么样。你用的什么采样工具？ 2016-12-27 09:03 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 48 楼是没用，只是对分析麻烦点，要看全16个频点地址，难道这就是所谓修改过的漏洞，太小儿科了。 2016-12-27 09:28 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 49 楼我瞬时采80mhz带宽，IQ采样率102.4mhz，RS公司ESMD宽带接收机，然后做数字信道化同时形成20个滤波器，每个5mhz带宽，各信道输出数据做脉冲检测和解调，可同时输出按时间顺排的跳频频率和每个突发的解调数据，CRC都能通过，能看出pid是0到3依次重复，但地址码是16跳一重复，也就是跟跳点绑定的。 2016-12-27 09:39 0
relaxlv 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	relaxlv 50 楼一般接收机频合步进不是很小的话，切换频率是微秒量级的，采集8k或16k点做FFT主要就是传输和FFT计算时间，高档的接收机这部分是FPGA做的，基本是实时的，拿软件做会慢点，应该几毫秒做一帧可以的，网上有FFTW函数包下，计算FFT效率很高。 2016-12-27 09:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复