[发明专利]一种对固件样本大规模采样及漏洞分析方法

说明书

技术领域

本发明涉及计算机网络信息安全领域，尤其涉及一种对固件样本大规模采样及漏洞分析方法。

背景技术

嵌入式系统在我们的日常生活中无处不在从日常使用的手机，打印机，路由器到复杂的航天飞机、导弹系统，都离不开嵌入式系统。在一辆轿车中，就可能集合了十几个嵌入式系统。不同于计算机的是，嵌入式系统将微处理器嵌入到特定的控制对象中，以操作电子元件执行相应的任务，方便人们的生活。

所有这些系统上运行的特殊软件，通常被称为固件。它们是用来告诉电子设备如何操作的控制程序。

就像传统的软件，嵌入式固件通常会有很多的漏洞或者后门，并且根据目前为止的很多研究或者公开的漏洞信息显示，嵌入式固件的漏洞和后门非常的普遍。

另一方面，对固件的手动研究能够产生非常精确的结果，但是这个过程往往非常的缓慢，并且能够覆盖的范围也非常的有限。同时由于设备厂商经常会重用一些代码，比如说SDK,如果缺乏大规模的固件分析，很难通过一个漏洞发现举一反三，发现大量的相关固件的漏洞。

发明内容

为解决现有技术中存在的问题，本发明提出了一种对固件样本大规模采样及漏洞分析方法。本发明的技术方案包括以下步骤：

步骤一：使用网络爬虫对固件进行采样；

步骤二：识别采样的固件并对所述固件已公开的安全信息进行过滤；

步骤三：对所采样的固件进行解压；

步骤四：对解压后的固件进行漏洞分析。

进一步地，所述步骤一包括：初始化所述固件的URL下载界面并由所述爬虫直接爬取下载；使用搜索引擎搜索所述固件关键字，将得到的URL传送给所述爬虫进行爬取下载；人工将固件或URL提交给所述爬虫进行爬取下载；将下载成功的固件存储到数据库。

进一步地，所述步骤二包括：对固件进行进一步分析之前对所述固件已公开的安全信息进行过滤，总结所述固件的已公开的安全问题。

进一步地，所述步骤三包括：使用可定制的固件解压框架提取固件内容。

进一步地，所述步骤四包括，对于可解压的固件：尝试提取文件中包含的明码字段；对二进制可执行文件进行反汇编分析；分析固件的关联性。

进一步地，所述步骤四还包括，对于不可解压的固件：使用文件分析工具获得固件文件的基本数据类型；使用字符串打印工具提取固件文件中的明码字段，分析是否有引导装载程序以及操作系统内核信息；使用固件解压框架寻找标头信息；使用十六进制转储工具分析为对齐固件文件空间分段而放入的连续填充字节。

本发明的技术方案所取得的有益效果在于：对固件较广范围的智能化的覆盖与分析，实现了对大量固件的漏洞进行快速挖掘分析的目的。

附图说明

图1为使用本发明的对固件样本大规模采样及漏洞分析方法对固件进行分析的流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本实施方案分为两个步骤:步骤一为利用网络爬虫技术大规模搜集嵌入式设备固件，步骤二对所搜集的固件进行漏洞挖掘与分析。

利用网络爬虫技术大规模搜集嵌入式设备固件：

1.访问知名的固件厂家的URL下载点，这些专业固件厂家的URL或为文件URL，爬虫可以直接下载，或为目录型的URL，爬虫进行遍历即可下载到所有的固件。

2.利用FTP搜索引擎，搜索指定的关键字，将搜索的结果中的URL交给爬虫进行固件的爬取。

3.利用Google通用搜索，搜索到能够提供Firmware固件的各厂家URL，然后使用谷歌客户搜索引擎(GCSE)，对搜索到的URL进行定制化搜索。

4.人工进行固件的收集和上传。

5.利用NoSQL数据库，将下载成功的固件存储到数据库中供后续分析使用。

对所搜集的固件进行漏洞挖掘与分析：

1.对已公开的安全信息进行过滤

为了提高漏洞挖掘效率及降低规模化自动框架不必要的负荷，在对固件进行进一步分析之前应首先对已公开的安全信息进行过滤，总结此固件已经发现的安全问题。

2.对固件解压