Detecting Dahua and Hikvision OEMs Guide 2024
In light of the January 2024 criminal charges against a video surveillance vendor who allegedly misrepresented millions in relabeled Dahua as NDAA compliant and the increasing need for organizations to screen for banned Hikvision and Dahua OEMs, we are publishing this updated, comprehensive guide to assist government agencies or corporations with detecting these devices in existing systems or before purchase.
This guide includes the following:
- Checking IPVM for Seller/Manufacturer
- Red Flag: US Origin
- How to Check Import Records
-
Detecting Dahua and Hikvision Devices Inside Networks
- Detecting Dahua
- Detecting Hikvision
- Using Universal Scanner
- MAC OUI Scanning
- MAC Address Discovery Tools
- Other NDAA Scanner Tools
- Remote Subnets
- Configuration Utilities
- VMS Autodiscovery
- Visual Comparisons of OEMs
- Software Interface Similarities
- Teardown to Identify Hikvision
- Detecting Huawei Hisilicon Chipsets
Executive *******
******* *** ******* **** ******** *** NDAA-banned *** ****** ** * ******** of ****** ****** *** ** **** they *** ******** *** ***. **** guide ******** ***** ** **** *** playing *****, ******* ************* ****** ****-****** products ** **********. **** **, ******** "produced" ** ** ********** ** ********* component ******** ** *****, *********, ** Huawei.
** ******* *** *** *** ***** your ******** *** ******** *******, ****** for ****** ****** ********* ********, ** assess ** * ******* ** ********* Dahua ** ********* ***** ** ********. As ** *******, ***** **** ********* IPVM's ******* *** *********** ** ****** to ********* *** ****** ** * seller's ********, *** ** **** ****** more ******** ******* ** *********.
Step ***: ***** **** *** ******/************
*****, ********* **** ** *** **** efficient *** ** ****** ** * seller ************ *** *** ******** **, if **** ***'*, *** ***** ***** them.
**** ***** **** ****** ** ** check ** **** *** ******** ** the ******* ** ****** ** ** one ** *** ********* *********** ** relabelled ********* *** ***** ******:
** **** ******** ********** ** ****-********* ***************** ****, ******* *** ***** ************.
** * ******* **** *** ******* is ****** **** *** ****** ** IPVM, ** *** **** ***** *********, feel **** ** ******* ** ******@****.***. ******** *** *********** *** *** most ********* ********* ********, **** ** not ******* *** ***** ***** ** NDAA-compliant ****** ******** ***** *** ********** changing ***** ************ ****** *****.
************, ** * ******* "************" ******* no ******* ** ****, **** ** a *** **** **** ******** ******* investigation ***** **** *** ******* ** virtually ***** **** ************ ** ***** surveillance. *******:**+ ************ ** ***** & ********* For ***** ************ ****** *************
Red *****: ******* ** ******
** ********** **** ****** ******* *** claim ***** ******* *** **** ** the ****** ******, ***** ** ******** their ******* ** ******** ********** *********. In ****** ***** ****, ***** ****** are ******.
****** ****** ***** **** ** * red ****, ** ******* ***** ************ manufacturing ***** ***** ** *** **, and ****** **** **** ***** *** Hikvision ****** *** ************ ***** ** claiming ** ************* (*.*.** *** *********).
** *** ***** ** **** *** exception: **** ******** ********* ******* (********* their ****** *****, ********, *** **********)*** **** ** ***** ***** *****. **** ***** ************ ************* ***** place ** *****, *******, ***** *****, Taiwan, *** *****.
** * ******* ****** ** ******, buyers ****** ***** ****** *******, **** other ***** ******** ** **** ***** and ******* ******** **** *** ******.
**** ********** ** **-****** ******, ****** may ****** **** ************** ***** ***** in *** ****** ******, ******* ** the *** ****** ************* **** ********** **** ******. ****** ****** **** ** **** that *********** ***** ****-******** **** ** **** ******* ********* components **** ***** ** *********, ** matter *** **** ************** ******.
Checking ****** *******
******** * *******'* **** ***/** ******* against ****** ******* *** ****** ** they *** ******* ***** ***** ** Hikvision ********. *** ********, **** ******** detailed*** ***** ********* ** **** ************** ***** ** ******** ** ****** records.
******** ****** ******* *** ******* ********** a ******** ************. **** **** *** called************, ****** ******* ****** *** *********.
** * ******* ** ********* ******** from ***** ** *********, **** *** likely ********** **** ** ****. ***** products *** **** ****** ***** *** name "*******,"* ***** ******** ********* ** *******. (**** **** ***** ************ ******* may ** ********* ** "******* ***** image" ********** ****** *******.)
***** * ******** ****** *** ****** records *** ***** * ****** **** Dahua ** *********, * ******** ****** does *** **** ** ***. ******* are *** ****** *****, ** **** companies *** ********* ********* ***** ** addresses ** **** ***** ****** ******.
Detecting ***** *** ********* ******* ****** ********
**** *** * *******, *** **** tradeoffs, **** *** ** ********** *** detecting ***** *** ********* *******:
- ** ********** ******** **** **** ******* and ********** *** ********, ** *** see ** * ****** ** **** Dahua ** *********. *** *******, **** Dahua, *** ****** ** ****://*********/***.** ***, for *********, *** ****** ** ****://*********/***/****/*****.***". The ******** ** **** ** ** requires **** ********* ***** ** **** networks *** ***** *********. ** ******* this **-***** ** *** ******.
- ** ***** ** ****-****** *********** "********* Scanner" **** ****** ***** ******** *** devices ***** ******* *************' *********** ********* protocols, ********* ***** *** *********. *** upside ** **** ** *** **********, though *** ***** ** ***** *** install **** *********** **** ***** ****** / *******.
- ** ********* *** *** **** **** are ********** *** ***** *** *********. MAC **** *** ****** ************ ** local ******** *** **** ******* ***** do *** ******* *** **** ** manufacturers **** * ****** ** ***** and ********* *********** ****** ***** *** MAC **** ** **** **** ***** relabelling.
**************
***** **** **** *********** *** *** same ******** ** *** ******** ************, with ******** *********** ** ** ******* to **** *** ******* ***** ***, we *** *** ** **** ***** ways ** ******** *** ******, ***** may **** **** **** ***** ***** devices, **** ** *******.
** *** **** ******* *** ********* to ******* ******** ****** ** *** embedded *** *******, ** ***** ***** of ************* ******* ** *** ****** since ***** *** ********* **** *** not ************* ******** **** *** ******** manufacturer.
***** *** ******* ************ ********* **** various ******** ** ***** *** ********* devices, **** **** ***** * *** examples **** *** ** ********* ******* logging **** *** ******.
Detecting ***** ****** ********
***** *** *** ****** ***** *** discovery ********** **** ** *** ****** between ***** *** ********* ****. ************, logging ** ** *********** ** ******** that ** ** * ****** ** Dahua ******.
*** ******** *** ********* ***** **** produced ***** ******* ********* **** ** ******.
****/*****
****
*****
*********
** *** **** *** ** ******** a ******* **** ** *** **** library ****** "***.**" ***** ********* ***** the **** ** *** ******* **** Dahua ******. ** *** ******* **** exists *** *** ******* ** *** file ** ** ** ******, ** can ********* ******* *** ****** ** Dahua.
***** **-*********-***
**** *********-*-**
******* *********
Detecting ********* ****** ********
********* *** * ******** ***, "/***/****/*****.***" for ***** ***** *********, ***** **** not ****** ******* ********* *** ********* OEM *************.
*********'* ****** *** **** ** ********** by ******* *** ***** ******* ** the ***** ******** ** **** ****, which **** ******** **** **-***** *********** on *********** ******** ************* ********** *** ********.
** *** **** *** ** ******* activation ****** *** *** ******* "/***/**************," where *** ******** ***** *** **** on *** ******* ** ********* ******. If *** ********'* ******* ** ** we ******, ** *** ********* ******* the ****** ** *********.
********* **-******-**/**
******* **-***-*-*
******** **-*******
**** ***** **** ***'* ******* *** SDK ******* *** ** ********** ** the ****** ****** ********.
**** *********
Using ********* *******
***** *** ******* ************* ******* **** is *** ** ******** *** *** unknown ***********, *** **** **** ** the "********* *******." *** **** ** ***** ***********, but ******* **** ****** ** ****** many ************* ** ** **. *******, it ****** ** ***** **** **** executables *** *** ** **** *** risk.
*******, *** *** ** ********** ********** ***** ** ** *** VirusTotal, ** **** *** **** **** the********** ******* ** ********* *******, ***** *** **** ******** ** 72 ********* ******** *******, *** ** which **** ******** **** **** ** not *********.
***** ** * ********** ** ** detecting ******* *******:
**** ******* ******** **** ** *********** via *** *********** ********* ** ******* manufacturers, *.*., ***** *** ********* **** proprietary ********* ********* ****, ** *** testing, **** **** ***** *********' **** and ********** ** ****.
MAC *** ********
******* ****** ** ******** *** *** OUIs, ***** ** ***** ** ************* having ****** *********** **** **** ******* the ****** ** **** ****** ** Hikvision, ***** ** *******, ***. ***** are ******* ** ******* **** ******* MAC ********* *** ************ ******* ***** to *** ********** *** *****. *****, you *** *** ******** ** ******* returns *** *** ********* ** ******* on *** ******* *** ******** **** to *** ************ ****.
**** *** *** ****** ** ***% complete, ** ***** *****. *** ***** device ** *** ******** **** * manufacturer. ** *** *** ***-***** *** lookup *********, ************* *** ******, ** *** *** ************. ** this ****, ** ** ******:
*******, **** ****** ** *********, ** best, ******** *******:
- **** *** ********** ***** *** ***** own *** ****, ** * ****** may ****** ** *** *** ********* when ** ** ******** * *****-********** camera.
- *** **** ** *** ***** *** the *** ******** **, ** ******* using ****** **** (**** *** **** banned) ***** ** ****** **** **** approach.
- ******** *** *** **** **** ***** on *** ***** *******, ** **** if *** **** **** *** ***** are ****** ******* **** **** **** banned *********, ***** ***** ** ****** if **** *** ** ******* **** of * ****** (***, ******, ***.) that ******* *** *** *********).
********, ** ****** *** ****** ** track *** ******* **** ** ****** companies ** ******* ** ***'* *******.
MAC *** ********* *********
*** ******* ** * *-***** ******* used ** *** ********* *******, ***** the ***** * *** **** ** the ************ ** *** ******* *** the **** * *** ******** ******** per ******.
***** *** ******* ******* ** **** up * ************'* ***,*** ** ***** ** ********* *** Lookup.
********* ******* ** ********** *** ********* for *********, ******** *****:
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
*** ******* ******* *** *****
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
- **:**:**
*******:
** ******* ** *** *** *********:**:**:**:**:***** ********* *** ***** *******:**:**** *** ***** *****, ** *** see **** *** ******* ** * Dahua-branded ******.
MAC ******* ********* *****
***** **** ** **** ** ******** the *** ******* ** *** ****** is **** *********. *** ********* ***** is **** ** *** ******** *** MAC ******* ** *** ******. **** of *** ***** ************'* *** ******* *******,******** ** *******, *******, ******** **** *****-** ********.
Other **** ******* *****
**** ** ***** ** * *** manufacturers **** ***** ** ****** ****-****** devices, **** ************************, ***** *** **** ********* ** the**** *** ******** **** ** ***** 2022, *** *********** ******** ****** ** ****** ****-****** devices.
**** **** **** *** ********** **** the ************ *** ******** ********* ***********, these ***** ****** ** **** ** MAC ***, ******* *** ***** *** detect ****-****** ******* ** ***** ******* and/or *** *********** ******* ** ****** subnets.
Remote *******
**** ***** ** * ***** ***** device, **** ** * ******, **** divides **** ******* **** ********* ********* domains, *** ****** *** *** *** addresses ******* **** ******* ******* *** MAC ********* **** ****** * ***** two ********* ******.
** *** *** *** ******* **** a ***** * ****** ** * remote ******, *** *** ******* ** the ******* ****** ** *** ********. At ****, **** *** *** ******* of **** ***** ***** ****** ** exposed, ******* ***** *** ******* ******* passes ** *** *** ** *** remote ******.
*** *** ** ***** **** ******* may ** ** *** *** ******* on * ****** *** ********** ******* the ****** ** *** ****** *** want ** **** ** ** *** scanner ***** **** ***** ****** ************ to ****** *******.
Configuration *********
**** ***** *** ****** **** ** discovered *******'* ************* *********, **** ** ********* *****:
VMS *************
************, ***** *** ******** *** ******* to *** ****** ** *****, ** well, **** ** *** **** ***** model ***** **** ********* ** ***** via *** ***** ******.
Visual *********** ** ****
** ** ***** ******** ** ****** relabeled ***** ** ********* ******** ***** on *********** ** * ******'* ********* images ** ******* ***** ** ********* products.
*** ********, ***'* "*******" **** ** cameras*** ******** *****(*** ****** *** ************ ******). ********** about *** *** ******* ***** ** identical, ********* ******, ***** *********, *** camera *****.
*********, *****.***'* ***** ** ********* ** Hikvision's **-*********-*.
************, ***** ******* **** ***** ******** changes ****** *** ******* ***** ** Hikvision **********. *** ********, *** ********* and ***** ******* ***** ***** *** identical ****** *** **** ** ********* camera *****:
*********** **** ***** **** ****** ******** sourcing ****** ** ***** ** ********* that *** ******* ** *** ******** OEM ** ******** *** **** ********** they **** ********* **************.
***** *** *** **** ******* ** sourcing ***** ******.
*) ****** *****/****
****** **** *** ****** *** ******* with * ******* ** ********* ********** to ***** ********* ** *******' ********* images. *********, ******* **** *** *** same ********* ****** ** ***** ** Hikvision *** ******* *** **** *********.
*** ********, ** ******** ****** ** these ******** *** *** *******, ***** returned ******* *********-******* *******, ********* ******** devices.
***** ****** **** **** *** ****** return ******** ***** ** ********* ******, it ** * ******* ****.
**** **** ****** **** **** *** directly ****** ***** ** ********* ******, it ** ********* ** **** **** when ** ******* ******** ******** **** several ********* ******. **** *********, ** a *******, **** *** ****** ** not ************* ***** *** ********.
*) ****** *** ****** **************
******* *** ** **** *** ******* Dahua ** ********* *********** ** **** is ** ********* ***** ********' ******** to **** ******** **** ********* **************.
*** ********,*********'* ******* ******** ****** *** ** search*** ******* ** **************, ********* *** resolution, **** ** ****, *******/**** **** (turret, ****, ***.), *** ** **.
*****'* ****** ******** ****** ******* ****** parameters.
*) ********* *******
***** ******** ***** **** *** ******* to ******* *******. **** ****** ** usually *** ******** ****** * ***** match ** ******* **********. ** ** useful **** *** ******** ******* * product ******* *** **** ***** ** Hikvision *** ** ************ *********.
*** ********, * ****-**-**** ********** ** a ***** ***** ******** *** ** Amcrest ***** ******** ** *****. *** front ** ***** ******** ****** ************, but *** ****** ** *** *****, as ***** ** ******* *******, ** identical, ********** ***** ******.
Software ********* ************
*** ******* ********* **** **** ******* cosmetic ******* ** *** ***** ** Hikvision **** *********, **** ** ******** the ****, ***** ******, ** ****.
*** ********, *** ***'* ******* ****:
** ******* *******, ** *** ***** below ** ******* *** ********* *** DVR ********* (* ***** *** ****) versus * ****** ********* ***** *********.
Teardown ** ******** *********
********* ********* ******* *** **** ** identified ******* * ******** ** *** device. ***** ******** *** ****** ** unplugged, ****** ******* *** ****** *** remove ** ** ****** *** ******'* inner **********.
** *** ******'* *****, ********* ****** its ******** ***** ****** *** *** device. ** ** ********** **** *********'* product ********* ****** ********** ****** ********* ******* ********, ***** ********* **** "**" *** IP *******.
Detecting ****** ********* ********
********* *** ****** ********* ******** ** a *************** ******* ** *** ******* the ****** *** *** *************. ******** that *** ****** ** *********, ****** unscrew *** ****** *** ******, *** check *** ***** *** ****** ********* as ***** *****:
****** ********* ******** **** * ********* "Hi" ****: