[发明专利]一种基于QEMU的嵌入式Linux内核动态分析平台

说明书

本发明公开一种基于QEMU的嵌入式Linux内核动态分析平台，该动态分析平台包括虚拟设备构建组件和Linux内核启动组件。虚拟设备构建组件预先、单独地运行，包括虚拟设备模板生成和虚拟设备参数生成两个模块。Linux内核启动组件实时地运行，包括固件元数据提取、QEMU虚拟设备编排和Linux内核启动三个模块。虚拟设备构建组件将新的虚拟设备更新到动态分析平台的虚拟设备数据库中，使Linux内核启动组件能获取QEMU虚拟设备以完成QEMU虚拟设备编排。本发明增强了对嵌入式Linux内核动态分析的能力，解决了已往在真实设备上对嵌入式Linux内核动态分析难度大、扩展性差，甚至无法分析的难题，增强了基于Linux内核的嵌入式设备的安全性。

技术领域

本发明属于信息安全技术领域，特别涉及一种基于QEMU的嵌入式Linux内核动态分析平台。

背景技术

固件是一种为上层用户提供硬件支持的软件，通常存在于嵌入式设备中，从手机、路由器、摄像头、照相机到电脑中的键盘、硬盘，甚至工控设备、机器人中都可见到它的身影。近几年，固件的漏洞越来越多，2019年共发现近700个CVE，比2018年增长了43％，CVE的总数是三年前的7.5倍。固件中的安全问题，因其特权性和特殊性暴露了广泛的攻击面。起初，一些研究人员提出了静态固件分析的方法，这些方法快速、有效，可以检测有明显模式的安全问题，如特殊的固件后门；但是它们依赖特殊的常量和字符串，易被绕过，误报较高。后来，另外一些研究人员诉诸于动态固件分析，但受限于真机或有限的虚拟执行环境，成本高、难度大。最近，一些研究人员关注了无操作系统的嵌入式设备，并提出了一系列的动态分析平台构建方案。但是针对嵌入式Linux内核的动态分析平台仍然是一个未知数，分析针对嵌入式Linux内核的安全问题依旧充满困难和挑战。

发明内容

针对现有技术的不足，本发明提供一种基于QEMU的嵌入式Linux内核动态分析平台，增强了对嵌入式Linux内核动态分析的能力，解决了已往在真实设备上对嵌入式Linux内核动态分析难度大、扩展性差，甚至无法分析的难题，增强了基于Linux内核的嵌入式设备的安全性。具体技术方案如下：

一种基于QEMU的嵌入式Linux内核动态分析平台，该平台包括虚拟设备构建组件和Linux内核启动组件；

其中，

所述的虚拟设备构建组件预先、单独地运行，生成新的虚拟设备，并将其更新到动态分析平台的数据库中；所述的虚拟设备构建组件包括虚拟设备模板生成模块和虚拟设备参数生成模块，其中，虚拟设备模板生成模块用于根据Linux内核源代码生成一个符合QEMU的编程结构、编码规范和测试要求的虚拟设备模板，并将虚拟设备参数作为空白；虚拟设备参数生成模块根据Linux内核源代码生成一系列的虚拟设备参数，并把虚拟设备参数填充到虚拟设备模板的空白中；

所述Linux内核启动组件实时运行，获取QEMU虚拟设备以完成QEMU虚拟设备编排；其包括固件元数据模块、QEMU虚拟设备编排模块和Linux内核启动模块，其中，固件元数据模块用于提取嵌入式Linux内核和设备树文件；QEMU虚拟设备编排模块根据所述设备树文件中的设备列表，从动态分析平台的数据库中获取虚拟设备，并编排成一个完整的QEMU虚拟机；Linux内核启动模块利用所述的QEMU虚拟机把嵌入式Linux内核运行至用户态，并弹出用户可交互的shell程序。

进一步地，所述虚拟设备模板生成模块根据Linux内核源代码中的中断子系统、时间子系统和平台设备子系统分别生成中断控制器状态机、定时器状态机和平台设备状态机，每个状态机均遵循Linux子系统对相关设备的抽象原则，由状态节点、状态转移和状态转移条件三部分组成；所述虚拟设备模板生成模块分别将三个状态机转化成三个QEMU的虚拟设备模板，每一个虚拟设备模板都将虚拟设备参数即状态转移条件作为空白。