[发明专利]一种VxWorks系统物联网固件解包恢复文件名的方法

说明书

本发明的VxWorks系统物联网固件解包恢复文件名的方法，包括：a).固件分析；b).特征字符串搜索；在未解压的原始固件中搜索是否含有“MINIFS”或者连续16个“ow”特征字符串；c).文件名定位；将特征字符串的位置记为position，偏移量记为offset；d).确定文件偏移，建立未恢复的文件名undefinefilei与文件名字符串filei的一一映射；e).解包并恢复文件名。本发明的固件文件名恢复方法，实现了对VxWorks系统物联网固件文件名的恢复，为对固件文件的进一步分析提供了必要前提。

技术领域

本发明涉及一种固件解包恢复文件名的方法，更具体的说，尤其涉及一种VxWorks系统物联网固件解包恢复文件名的方法。

背景技术

随着物联网产业的快速发展，物联网设备逐渐广泛融入人们的生活中。然而，越来越多设备接入互联网，导致用户信息的安全性和隐私性的管理难度逐渐增加，一个暴露的设备可能会使整个生态系统容易受到攻击。物联网设备为创造价值提供了巨大机会，但也带来了重大风险。

为了预防潜在的攻击，需要对物联网设备固件进行逆向分析，发现潜在的固件漏洞并在后续的补丁中进行修复。对于固件的逆向分析，首先需要对其进行解包，获取具备可执行代码的文件和若干静态文件。其中具备可执行代码的文件指单个的内核文件或者多个具备完整运行功能的小型可执行文件，静态文件指固件运行时所必需的文件，如用于显示web界面的html文件、用于控制的脚本等。

目前对于VxWorks系统物联网固件的分析主要是对具备可执行代码的文件的分析，而对静态文件的分析相对不足，从而错失了很多通过脚本代码审计、敏感文件识别等方法寻找漏洞的机会。主要原因在于VxWorks系统物联网固件的解包过程无法恢复文件名，不能判断文件的功能，从而阻碍了VxWorks系统物联网固件的分析过程。

发明内容

本发明为了克服上述技术问题的缺点，提供了一种VxWorks系统物联网固件解包恢复文件名的方法。

本发明的VxWorks系统物联网固件解包恢复文件名的方法，其特征在于，通过以下步骤来实现：

a).固件分析；使用固件解包工具对VxWorks系统物联网设备的固件进行分析，如果固件采用的压缩方式为lzma压缩，则解压后的文件名为文件在固件静态文件中的十六进制偏移地址，此时的文件名为未恢复的文件名，无法采用常规的方法恢复出文件名，执行步骤b)；

b).特征字符串搜索；在未解压的原始固件中搜索是否含有“MINIFS”或者连续16个“ow”特征字符串，如果不含有，则表明无法采用本发明的方法恢复出文件名；如果含有，则表明采用本发明的方法可以恢复出文件名，执行步骤c)；

c).文件名定位；将特征字符串“MINIFS”或者连续16个“ow”在原始固件中的位置记为position，特征字符串之后为n个文件名字符串；对于连续出现16个“ow”的固件，其文件名和偏移量的获取方法为：从16个“ow”特征字符串的起始位置position加44个字节算起，每48个字节为一个文件名块，每个文件名块中的开头至非英文字母出现为止为文件名字符串file、最后两个字节为偏移量offset；

对于出现“MINIFS”的固件，其文件名和偏移量的获取方法为：从“MINIFS”特征字符串的起始位置position加24个字节算起，每88个字节为一个文件名块，每个文件名块中的开头4个字节为偏移量offset、第5个字节至非英文字母出现为止为文件名字符串file；

d).确定文件偏移，根据未恢复的文件名所表示的十六进制等于特征字符串的起始位置position与偏移量offset之和，利用公式（1）求出每个文件名块所对应的未恢复的文件名undefinefilei所表示的十六进制数：

undefinefilei=position+offseti     （1）