一、芯片定位:被低估的工業(yè)級(jí)加密能手
WT56F116S 作為國(guó)產(chǎn) 32 位工業(yè)級(jí) MCU,基于 ARM Cortex-M0 + 內(nèi)核,主頻 48MHz,集成64KB Flash+8KB RAM,支持硬件 AES 加密和多通道 DMA。其在電機(jī)控制、工業(yè)儀表、智能家居領(lǐng)域的廣泛應(yīng)用,源于 TI MSP430 同款熔絲位加密技術(shù)與動(dòng)態(tài)數(shù)據(jù)混淆算法,但解密難度卻被行業(yè)低估。
 
二、加密體系:WT56F116S 的 "三位一體" 防御
1. 物理層:熔絲位鎖死機(jī)制
編程后燒斷0x3FF80000 地址的熔絲,永久禁用SWD/JTAG 調(diào)試接口
嘗試非法連接會(huì)觸發(fā)地址線掩碼,返回全 FF 虛假數(shù)據(jù)
2. 算法層:AES-128 動(dòng)態(tài)加密
Flash 存儲(chǔ)的代碼以芯片 UID 為密鑰加密,每擦寫(xiě)一次生成新密鑰
運(yùn)行時(shí)關(guān)鍵數(shù)據(jù)與隨機(jī)數(shù)寄存器 RND實(shí)時(shí)異或,防止內(nèi)存 dump
3. 協(xié)議層:自定義引導(dǎo)加載(UBL)
UBL 需通過(guò)16 字節(jié)自定義密碼驗(yàn)證,支持3 次錯(cuò)誤自毀
通信波特率動(dòng)態(tài)變化(2400-115200bps),防止協(xié)議分析
 
 
三、解密路徑:從漏洞挖掘到技術(shù)突破
Step 1:物理攻擊 ——FIB 修復(fù)熔絲位
針對(duì)熔絲位鎖死,采用聚焦離子束(FIB)技術(shù):
開(kāi)封芯片:用激光剝離 QFN-32 封裝,保留芯片表面鈍化層
晶圓成像:通過(guò) SEM 獲取第 5 層金屬布線圖,定位熔絲位(坐標(biāo) X=234μm,Y=567μm)
線路修復(fù):在 300nm 精度下,用離子束連接熔絲兩端的N 型阱區(qū)
關(guān)鍵發(fā)現(xiàn):WT56F116S 的熔絲位采用雙點(diǎn)熔斷設(shè)計(jì),需同時(shí)修復(fù)兩個(gè)斷點(diǎn)
Step 2:軟件攻擊 ——UBL 協(xié)議逆向
通過(guò)分析 2000 組通信數(shù)據(jù),發(fā)現(xiàn)密碼驗(yàn)證漏洞:



利用該漏洞,編寫(xiě)爆破工具1 小時(shí)內(nèi)遍歷1677 萬(wàn)種組合,成功獲取密碼:0x5A A5 5A A5 5A A5 5A A5
Step 3:數(shù)據(jù)提取 —— 內(nèi)存鏡像技術(shù)
在熔絲位修復(fù)后,通過(guò)邊界掃描獲取未加密 RAM 數(shù)據(jù):


四、實(shí)戰(zhàn)案例:某變頻器控制板解密實(shí)錄
項(xiàng)目背景:客戶(hù)提供故障變頻器,核心控制芯片為 WT56F116S,存儲(chǔ)電機(jī)參數(shù)整定算法和廠家校準(zhǔn)密鑰。
實(shí)施過(guò)程:
電壓毛刺攻擊:在 SWD_CLK 線注入**±0.5V 脈沖**,迫使芯片進(jìn)入測(cè)試模式
功耗分析:通過(guò) 2000 次啟動(dòng)測(cè)試,發(fā)現(xiàn)密鑰生成與RTC 時(shí)鐘強(qiáng)相關(guān)
代碼恢復(fù):結(jié)合 FIB 修復(fù)與協(xié)議爆破,36 小時(shí)內(nèi)獲取完整代碼
 
 
維動(dòng)智芯W(wǎng)T56F116S解密方案
? 全流程服務(wù):從芯片開(kāi)封、FIB修復(fù)到代碼反匯編
? 獨(dú)家工具:UBL協(xié)議分析器+動(dòng)態(tài)加密破解平臺(tái)
? 成功保障:不成功不收費(fèi),支持現(xiàn)場(chǎng)解密見(jiàn)證