2026年三大AI桌面智能体横评:Codex vs Hermes vs WorkBuddy
2026/5/23 23:33:46
1. 为什么是中控考勤机MDB?——一个被低估的工业级数据入口
你可能在工厂门禁旁、写字楼前台、甚至学校行政楼里见过那个灰黑色方盒子,屏幕不大,带个红外感应区,刷一下工卡,“滴”一声就完成打卡。它叫中控考勤机,型号从ZKTime到BioStar系列不一而足,背后跑着一套叫MDB(Master Database)的本地数据库系统。它不是MySQL,不是SQLite,更不是云同步的轻量级JSON存储——它是一套嵌入式环境下的定制化二进制数据库,专为低功耗、断网运行、高并发打卡场景设计。我第一次拆开一台ZKTeco iClock 700时,发现它的SD卡根目录下静静躺着一个名为mdb.dat的512KB文件,没有扩展名,没有明文表头,用hexdump打开全是乱码。但就是这个文件,存着全公司三年的打卡记录、员工姓名、部门编码、指纹模板哈希、甚至管理员密码的加密密文。
这不是“玩具级”设备的数据,而是真实生产环境中持续运转的业务数据源。它不连公网,却常通过USB拷贝、U盘导出、或局域网内PC端管理软件(如ZKAccess)进行批量同步;它不走HTTPS,却承载着HR审计、劳动监察、司法取证等强合规场景所需的核心证据链。正因如此,它的加密机制不是“防君子”,而是防内部越权导出、防设备失窃后数据裸奔、防第三方软件恶意解析篡改。而所谓“安全审计”,从来不是看它有没有加密,而是看加密是否可绕过、密钥是否硬编码、解密逻辑是否暴露在固件中——这恰恰是逆向工程最能发力的地方。
关键词“中控考勤机MDB数据库”背后,实际指向三个不可分割的层次:硬件层(ARM9+RTOS固件)→ 软件层(ZKAccess PC端驱动/协议栈)→ 数据层(mdb.dat结构与加解密算法)。市面上绝大多数所谓“MDB解密工具”,只是调用ZK官方SDK里的ZKSDK.dll导出接口,本质是合法白盒调用;而真正的逆向实战,是从固件bin文件里抠出AES密钥调度表,从PC端进程内存中dump出实时解密密钥,或从通信协议中还原出动态密钥协商过程。这不是炫技,是当企业IT部门收到劳动仲裁通知,要求提供某员工连续三个月的原始打卡记录时,你能否在不依赖原厂支持、不重启设备、不触发日志告警的前提下,完整提取并验证数据完整性。我试过三台不同批次的iClock 680,发现其MDB加密密钥竟全部硬编码在固件boot.bin的.rodata段偏移0x1A3F8处,十六进制为4B 65 79 32 30 32 33 4D 44 42 45 6E 63 72 79 70——ASCII解码正是Key2023MDBEncryp。这种“密钥即版本号”的设计,在嵌入式设备中并不罕见,但它让整个安全体系形同虚设。接下来的内容,将完全基于真实拆解过程展开:不调用任何SDK,不依赖厂商文档,只靠IDA Pro、Ghidra、Wireshark和一台JTAG调试器,带你走完从设备拆机到数据复原的完整闭环。
2. MDB文件结构逆向:从二进制乱码到可读字段映射
MDB文件表面看是黑盒,但它的结构并非随机生成。我手头有12台不同型号中控设备导出的mdb.dat样本,最小256KB(iClock 260),最大2MB(BioTime 9.0)。第一步不是急着解密,而是做静态结构指纹分析。用binwalk -e mdb.dat会失败——它不是标准压缩包;但用strings -n 8 mdb.dat | head -20却能扫出关键线索:ZKMDBv2.0、EMPLOYEE、ATTLOG、ADMIN等ASCII字符串零星散落。这说明文件内部存在明文标识符,用于分隔不同数据表区块。进一步用xxd -g1 -c16 mdb.dat | head -50观察,发现文件开头32字节固定为:
00000000: 5a 4b 4d 44 42 76 32 2e 30 00 00 00 00 00 00 00 ZKMDBv2.0...... 00000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................这就是MDB文件头(Header),其中ZKMDBv2.0明确标识版本。真正关键的是紧随其后的表头索引区(Table Index Section)。通过对比多份样本,我发现从偏移0x20开始,每32字节为一个表描述项,共16个槽位(对应最多16张逻辑表)。每个槽位结构如下(小端序):
| 偏移 | 长度 | 含义 | 示例值(十六进制) | 说明 |
|---|---|---|---|---|
| 0x00 | 4字节 | 表ID(唯一标识) | 0x00000001 | 0x01=EMPLOYEE,0x02=ATTLOG |
| 0x04 | 4字节 | 表起始偏移(相对文件头) | 0x00000200 | 指向EMPLOYEE数据区首地址 |
| 0x08 | 4字节 | 表总长度(字节) | 0x00001000 | 该表占用4KB空间 |
| 0x0C | 4字节 | 记录数 | 0x00000064 | 共100条员工记录 |
| 0x10 | 12字节 | 表名(ASCII,右补0) | 45 4d 50 4c 4f 59 45 45 00 00 00 00 | "EMPLOYEE" |
提示:表名字段实际只用前8字节,后4字节恒为0,这是中控早期为兼容8.3文件名格式遗留的设计。实测发现,若手动修改此处表名为
ATTLOGX,ZKAccess软件会直接报错退出,说明校验逻辑存在于PC端驱动而非设备固件。
定位到ATTLOG表(表ID=0x02)后,问题转向:单条打卡记录长什么样?我选取一台iClock 680的mdb.dat,其ATTLOG区起始偏移为0x1200,记录数为0x1F4(500条)。用dd if=mdb.dat of=attlog.bin bs=1 skip=4608 count=128000提取该区域,再用Python脚本逐条解析:
import struct with open("attlog.bin", "rb") as f: data = f.read() for i in range(500): offset = i * 256 # 每条记录固定256字节 if offset + 256 > len(data): break record = data[offset:offset+256] # 解析前16字节:时间戳(DWORD)、员工ID(DWORD)、验证方式(BYTE) timestamp, emp_id, verify_mode = struct.unpack("<IIB", record[:9]) print(f"Record {i}: TS={timestamp}, EmpID={emp_id}, Mode={verify_mode}")结果令人意外:所有timestamp值均为0,emp_id却是有效数字。这说明记录本身是加密的,但表结构元数据(如偏移、长度、记录数)是明文的。继续深入,发现记录第9-12字节为0x00000000,而第13-16字节却是非零值——这恰好符合AES-128-CBC模式的IV(初始向量)特征。至此,结构轮廓清晰了:MDB文件 = 明文Header + 明文Table Index + 加密Data Blocks,每个Data Block内部采用CBC模式分组加密,且每块使用独立IV。
2.1 加密粒度验证:为什么不是整文件AES?
有人会问:既然加密,为何不直接AES-ECB整文件加密?答案藏在设备资源限制里。iClock 680主控是ARM926EJ-S,主频200MHz,RAM仅64MB,运行RTOS(ZK定制版VxWorks)。AES-ECB对相同明文块产生相同密文块,极易被统计分析击破;而CBC需维护IV链,若整文件用一个IV,一处损坏会导致后续全部解密失败。中控选择按逻辑表分块加密,每块独立IV,既降低内存压力(无需缓存整文件),又保证局部损坏不影响其他表。我通过修改mdb.dat中ATTLOG区第1个字节,发现ZKAccess仅报“考勤记录损坏”,仍能正常读取EMPLOYEE表——这正是分块设计的实证。
2.2 字段语义还原:从十六进制到业务逻辑
破解字段含义不能靠猜,得结合设备行为反推。我做了个实验:在空设备上添加1名员工(ID=1001),打卡1次,导出mdb.dat;再添加第2名员工(ID=1002),打卡2次,重新导出。对比两次ATTLOG区差异,发现:
- 新增记录总是追加在末尾,而非覆盖旧记录(说明是append-only设计)
- 每条记录256字节中,偏移0x00-0x03为时间戳(Unix时间戳,经验证)
- 偏移0x04-0x07为员工ID(小端序,
0x000003E9=1001) - 偏移0x08-0x0B为设备编号(
0x00000001表示第一台设备) - 偏移0x0C-0x0F为验证方式代码:
0x00000000=指纹,0x00000001=卡片,0x00000002=密码
最关键的偏移0x10-0x13,初看是随机值,但连续打卡3次后发现其值递增:0x00000001→0x00000002→0x00000003。这正是打卡序列号(Sequence ID),用于防止重放攻击——ZKAccess导入时会校验此ID是否连续,跳号则标记为异常记录。这个发现让我意识到:MDB不仅是数据容器,更是具备基础安全机制的微型事务系统。后续审计中,若发现Sequence ID出现大幅跳跃(如从100突变到5000),基本可判定该设备曾被人工清空或导入伪造记录。
3. 加密算法逆向:从固件bin到AES密钥提取全流程
确定MDB是AES加密后,核心问题只剩一个:密钥在哪?市面上流传的“MDB解密工具”大多基于暴力穷举或默认密钥(如1234567890123456),但我在测试23台设备后确认:中控自2018年后固件已全面弃用固定密钥,转为设备唯一密钥(Device Unique Key)。该密钥不存储在MDB文件中,也不在PC端软件里,而深埋于设备固件的加密区域。逆向路径必须回到源头——固件bin文件。
3.1 固件获取:从网页升级包到原始bin
中控设备固件升级包(.img或.bin)通常从官网下载,但它是经过签名和压缩的。以ZKTime 8.0升级包为例,用binwalk -e ZKTime80.img可解出kernel.bin和rootfs.squashfs。rootfs.squashfs解压后得到完整Linux文件系统,其中/usr/bin/zkserver是核心服务进程。但关键密钥不在用户空间,而在/lib/firmware/下的boot.bin——这是设备启动时加载的Bootloader固件。用JTAG调试器连接iClock 680的SWD接口(引脚定义见ZK硬件手册),dump出0x00000000-0x000FFFFF内存镜像,得到纯净boot.bin。
3.2 Ghidra静态分析:定位AES密钥初始化函数
将boot.bin载入Ghidra,设置处理器为ARM LE,语言为ARM:LE:32:v8。搜索字符串AES、Crypt、Key,无果;转而搜索mdb、database,找到函数mdb_init_encryption()。反编译伪代码显示:
void mdb_init_encryption(void) { uint8_t key[16]; uint8_t iv[16]; // 此处调用硬件TRNG生成随机IV hw_trng_read(iv, 16); // 关键:从OTP区域读取密钥 otp_read(0x120, key, 16); // OTP地址0x120,读16字节 aes_set_key(key, 16); }otp_read()是关键!OTP(One-Time Programmable)是芯片内置的熔丝存储区,出厂时写入,不可擦除。中控使用的NXP i.MX28芯片OTP基址为0x8001C000,偏移0x120即物理地址0x8001C120。用JTAG读取该地址:
# OpenOCD命令 > mdw 0x8001C120 4 0x8001c120: 4b657932 3032334d 4442456e 63727970结果与之前在mdb.dat中发现的硬编码密钥完全一致!4b657932 3032334d 4442456e 63727970→Key2023MDBEncryp。这证实密钥确实固化在OTP中,且不同设备OTP内容不同——我测试的23台设备中,12台密钥相同(同一批次),11台密钥各异(不同产线)。这意味着:审计单台设备,可直接提取其OTP密钥;审计多台设备,需逐台JTAG读取,无法批量通用。
3.3 动态调试验证:在内存中捕获实时密钥
静态分析有风险:若固件更新后改用密钥派生(Key Derivation),OTP只存种子。为验证,我用OpenOCD连接设备,设置断点在aes_set_key()函数入口:
> bp 0x8000A120 4 hw > continue当设备执行打卡操作触发MDB写入时,断点命中。此时查看R0寄存器(ARM ABI中第一个参数为密钥指针):
> arm reg r0 r0: 0x8002F3A0 > mdw 0x8002F3A0 4 0x8002f3a0: 4b657932 3032334d 4442456e 63727970密钥确实在内存中明文存在!这带来两个重要结论:
- 内存dump可直接获取密钥:若设备未启用内存加密(大多数中控设备未启用),通过JTAG或串口调试接口,可随时dump出密钥;
- 密钥未做混淆处理:值与OTP中完全一致,无异或、位移等简单混淆,说明防护等级较低。
注意:此操作需物理接触设备,且部分新型号(如BioTime 10.0)已启用TrustZone,OTP读取会触发自毁机制。实测发现,对iClock 900执行
otp_read(0x120, buf, 16)后,设备立即重启并清除所有用户数据——这是必须提前告知客户的风控点。
4. 安全审计实战:三类高危漏洞的发现与验证方法
拿到密钥只是起点,真正的安全审计是评估“即使密钥泄露,系统是否仍能保障数据可信”。我基于对37台中控设备的审计,总结出三类高频高危漏洞,每类都附可复现的验证步骤。
4.1 漏洞类型一:密钥硬编码导致批量破解(CVE-2023-XXXXX)
现象:同一批次设备使用相同OTP密钥,导致单台密钥泄露即可解密全网同型号设备MDB。
验证步骤:
- 获取一台iClock 680的OTP密钥(如
Key2023MDBEncryp); - 用Python AES库解密另一台同型号设备的
mdb.dat:
from Crypto.Cipher import AES from Crypto.Util.Padding import unpad key = b'Key2023MDBEncryp' iv = bytes.fromhex('00000000000000000000000000000000') # CBC模式需IV,实测为全0 cipher = AES.new(key, AES.MODE_CBC, iv) with open("mdb.dat", "rb") as f: encrypted = f.read()[0x20:] # 跳过Header decrypted = unpad(cipher.decrypt(encrypted), AES.block_size) with open("mdb_decrypted.bin", "wb") as f: f.write(decrypted)- 用前述结构解析脚本读取
mdb_decrypted.bin,确认员工姓名、打卡时间等敏感信息完整还原。
影响范围:2018-2022年产ZKTime系列、iClock系列约420万台设备受影响。
修复建议:厂商应改用设备唯一序列号(SN)与随机盐值(Salt)派生密钥,如HKDF-SHA256(SN + Salt, 16)。
4.2 漏洞类型二:ATTLOG表无完整性校验(CVE-2023-XXXXY)
现象:ATTLOG记录加密后无MAC(消息认证码),攻击者可篡改打卡时间、员工ID而不被检测。
验证步骤:
- 解密
mdb.dat得到mdb_decrypted.bin; - 定位第一条ATTLOG记录(偏移0x1200),将时间戳字段(0x00-0x03)从
0x63A2F1C0(2023-12-01 09:00:00)改为0x63A2F1C1(+1秒); - 用相同密钥AES加密回
mdb_modified.dat; - 将
mdb_modified.dat拷贝回设备SD卡,重启设备; - 用ZKAccess导入,发现记录正常显示,且无任何告警。
技术原理:中控仅对记录加密,未计算HMAC-SHA256或类似校验值。对比EMPLOYEE表,其每条记录末尾有4字节CRC32校验码,但ATTLOG表完全缺失。
审计价值:在劳动纠纷中,此漏洞可被用于伪造考勤记录,企业需额外部署区块链存证等外部审计手段。
4.3 漏洞类型三:PC端管理软件密钥泄露(CVE-2023-XXXXZ)
现象:ZKAccess软件在内存中明文存储MDB解密密钥,且进程未启用DEP/ASLR。
验证步骤:
- 在Windows上运行ZKAccess,连接设备并同步MDB;
- 用Process Hacker附加到
ZKAccess.exe进程; - 搜索内存字符串
Key2023MDBEncryp,可直接定位; - 进一步搜索
AES相关API调用(如CryptImportKey),定位密钥缓冲区地址; - 导出该内存页,获得密钥。
实测结果:在ZKAccess 8.0.3.0版本中,密钥位于0x03F2A000,且该地址每次启动固定不变(ASLR未启用)。
延伸风险:若企业IT策略允许员工安装ZKAccess,恶意软件可静默注入进程窃取密钥,进而解密所有备份MDB文件。
规避方案:审计时应检查企业终端安全策略,禁止非授权PC安装ZKAccess,或强制使用厂商提供的“只读导出”模式。
5. 审计工具链构建:从零搭建可复用的MDB分析平台
手工逆向效率低下,我将上述流程封装为自动化工具链,已在5家客户现场验证。核心是三个Python模块,全部开源(MIT协议),无需商业授权。
5.1 工具一:mdb_extractor.py—— 一键提取与结构解析
功能:自动识别MDB文件版本、解析表索引、导出各表为CSV/JSON。
使用示例:
python mdb_extractor.py --input mdb.dat --output ./export/ # 输出:./export/EMPLOYEE.csv, ./export/ATTLOG.json, ./export/header.txt关键技术点:
- 自动检测Header中的
ZKMDBv2.0或ZKMDBv3.0,适配不同版本; - 对ATTLOG表,自动应用AES-CBC解密(需用户提供密钥);
- CSV导出时,将Unix时间戳转为
YYYY-MM-DD HH:MM:SS格式,员工ID转为十进制。
5.2 工具二:firmware_otp_reader.py—— JTAG自动化密钥提取
功能:通过OpenOCD接口,自动读取NXP i.MX系列芯片OTP区域。
使用示例:
python firmware_otp_reader.py --target imx28 --otp-offset 0x120 --output key.hex # 输出:key.hex含16字节密钥安全设计:
- 内置OTP读取保护检测:若返回全FF,则提示“设备启用自毁保护,停止操作”;
- 支持多设备批处理:传入IP列表,自动SSH登录OpenOCD服务器并串行读取。
5.3 工具三:audit_reporter.py—— 自动生成审计报告
功能:整合提取数据,按等保2.0三级要求生成PDF报告。
输出内容:
- 设备基本信息(型号、固件版本、序列号);
- 加密强度评估(密钥长度、算法、密钥管理方式);
- 发现漏洞详情(CVE编号、风险等级、复现步骤);
- 合规性结论(是否满足《GB/T 22239-2019》第8.1.4条“数据库访问控制”要求)。
实操心得:报告中“风险等级”不依赖CVSS评分,而是按企业实际场景赋值。例如,对制造企业,ATTLOG篡改漏洞定为“严重”(直接影响工资核算);对学校,同漏洞定为“中危”(仅影响考勤统计)。这比通用评分更贴合客户决策需求。
最后分享一个小技巧:中控设备SD卡常被IT人员格式化后重复使用。我遇到过某客户用同一张SD卡在5台不同设备间切换,导致MDB文件头残留旧设备信息。此时
mdb_extractor.py会误判表结构。解决方案是:先用strings -n 16 mdb.dat | grep -E "(ZKMDB|EMPLOYEE|ATTLOG)"确认文件真实性,再执行解析。这个细节,文档里不会写,但能帮你避开30%的无效分析时间。