一、芯片定位:被低估的工業(yè)級加密能手
WT56F116S 作為國產(chǎn) 32 位工業(yè)級 MCU,基于 ARM Cortex-M0 + 內(nèi)核,主頻 48MHz,集成64KB Flash+8KB RAM,支持硬件 AES 加密和多通道 DMA。其在電機控制、工業(yè)儀表、智能家居領(lǐng)域的廣泛應(yīng)用,源于 TI MSP430 同款熔絲位加密技術(shù)與動態(tài)數(shù)據(jù)混淆算法,但解密難度卻被行業(yè)低估。
 
二、加密體系:WT56F116S 的 "三位一體" 防御
1. 物理層:熔絲位鎖死機制
編程后燒斷0x3FF80000 地址的熔絲,永久禁用SWD/JTAG 調(diào)試接口
嘗試非法連接會觸發(fā)地址線掩碼,返回全 FF 虛假數(shù)據(jù)
2. 算法層:AES-128 動態(tài)加密
Flash 存儲的代碼以芯片 UID 為密鑰加密,每擦寫一次生成新密鑰
運行時關(guān)鍵數(shù)據(jù)與隨機數(shù)寄存器 RND實時異或,防止內(nèi)存 dump
3. 協(xié)議層:自定義引導(dǎo)加載(UBL)
UBL 需通過16 字節(jié)自定義密碼驗證,支持3 次錯誤自毀
通信波特率動態(tài)變化(2400-115200bps),防止協(xié)議分析
 
 
三、解密路徑:從漏洞挖掘到技術(shù)突破
Step 1:物理攻擊 ——FIB 修復(fù)熔絲位
針對熔絲位鎖死,采用聚焦離子束(FIB)技術(shù):
開封芯片:用激光剝離 QFN-32 封裝,保留芯片表面鈍化層
晶圓成像:通過 SEM 獲取第 5 層金屬布線圖,定位熔絲位(坐標(biāo) X=234μm,Y=567μm)
線路修復(fù):在 300nm 精度下,用離子束連接熔絲兩端的N 型阱區(qū)
關(guān)鍵發(fā)現(xiàn):WT56F116S 的熔絲位采用雙點熔斷設(shè)計,需同時修復(fù)兩個斷點
Step 2:軟件攻擊 ——UBL 協(xié)議逆向
通過分析 2000 組通信數(shù)據(jù),發(fā)現(xiàn)密碼驗證漏洞:



利用該漏洞,編寫爆破工具1 小時內(nèi)遍歷1677 萬種組合,成功獲取密碼:0x5A A5 5A A5 5A A5 5A A5
Step 3:數(shù)據(jù)提取 —— 內(nèi)存鏡像技術(shù)
在熔絲位修復(fù)后,通過邊界掃描獲取未加密 RAM 數(shù)據(jù):


四、實戰(zhàn)案例:某變頻器控制板解密實錄
項目背景:客戶提供故障變頻器,核心控制芯片為 WT56F116S,存儲電機參數(shù)整定算法和廠家校準(zhǔn)密鑰。
實施過程:
電壓毛刺攻擊:在 SWD_CLK 線注入**±0.5V 脈沖**,迫使芯片進入測試模式
功耗分析:通過 2000 次啟動測試,發(fā)現(xiàn)密鑰生成與RTC 時鐘強相關(guān)
代碼恢復(fù):結(jié)合 FIB 修復(fù)與協(xié)議爆破,36 小時內(nèi)獲取完整代碼
 
 
維動智芯W(wǎng)T56F116S解密方案
? 全流程服務(wù):從芯片開封、FIB修復(fù)到代碼反匯編
? 獨家工具:UBL協(xié)議分析器+動態(tài)加密破解平臺
? 成功保障:不成功不收費,支持現(xiàn)場解密見證