WooYun.org

首先介绍下车钥匙无线钥匙吧...大多数根据传统汽车的破解基本上都是根据车钥匙的重放攻击
简单说下重放攻击.攻击者必须要在远离汽车的地方通过设备捕获到车钥匙发射出来未被使用的信号.然后在到汽车附近将捕获到的信号发射出来完成攻击..
但是捕获的信号只能被使用一次...因为汽车厂商早就考虑到了这个问题.所以在钥匙中加入的滚动码
滚动码就是钥匙每次操作都会产生的随机码.每次操作钥匙都会将滚动码和功能码一起发给汽车..汽车也有存着当前的滚动码..当滚动码一致才执行对应的功能..
回归正题.
首先分析钥匙的频率.通常为315Mhz 和 433Mhz

然后确定当前频段为315Mhz

捕获到的一次信号.每一段的数据都是一样的.除了首段结尾有点区别.

按的时间长了就会出现上图那样或者更多...

现在来分析下信号内容前面一段为同步引导码.作用是告诉汽车有信号要来注意接收..

可以发现中间一段是不相同的这就是我上面说过的滚动码是为了防止重放攻击的.其次功能码

我采样了20多个信号中的滚动码进行分析.分析了大半天..
后来测试重放第二次的时候码都失效了但是后来我脑洞大开拼接了多个已经被使用的信号后发现门开了.经过大量的次数（车门都快坏了）发现是快速的发射两个指令.汽车的滚动码回滚到了第一个指令处！！！！

原本F是当前的滚动码.F以上的都是被使用过的滚动码.当重放F之前的码后汽车不会有任何反应！

可拼接两个已经被使用的指令码之后呢?

当A码拼接BorCorDorE 码发射后.滚动码回滚到A码处.因此B,C,D,E码能够被再次使用了..
多次的测试后.发现只要捕获三次钥匙发出的信号（即使是被使用过也是可以的！）在进行拼接（有先后顺序）就能够无限制的打开or关闭他人的车门
可能有人会问了.这样车钥匙与车滚动码不同步会不会出现打不开车门的问题.其实并不会.汽车能够接收当前码之后的几百个码！
只测试了F0型号