摘 要

Abstract 5

1 绪论 6

1.1 研究背景 6

1.2 国内外研究现状 7

1.3 主要研究内容 8

1.4 研究意义与目的 8

2 同源性分析 9

2.1 文件同源 9

2.2 同源性检测算法 9

2.2.1 熵值分析 10

2.2.2 二进制差量分析 11

2.2.3 模糊哈希 12

2.2.4 字符串常量 14

3 基于文件同源性的固件漏洞检测 15

3.1 检测方法 15

3.2 D-Link路由器溢出漏洞 16

3.3 Linksys命令执行漏洞 17

3.4 OpenSSL溢出漏洞 18

4 总结和展望 20

4.1 本文总结 20

4.2 展望 20

参考文献 22

致 谢 23

摘 要

21世纪是物联网技术高速发展的时代，但在越来越多嵌入式设备接入网络的同时，我们也必须对嵌入式系统的安全性做出保证。而相对于传统的网络安全，物联网安全辐射面更广更深且难以清除，而系统中的设备往往是安全问题的直接入口，因此设备固件的安全分析是一项极为重要也是势在必行的工作。

本论文主要研究了基于文件同源性的嵌入式设备固件漏洞检测方案。在已知某个特定型号的设备或某个版本固件存在漏洞时，可利用文件熵值分析，二进制差量分析，模糊哈希，字符串比对四种同源性比对算法，对该系列其他固件所用文件进行同源性分析，进而判断该系列其他固件的安全状态。为了验证该检测方法的有效性，本次实验中收集了三组真实的嵌入式设备固件数据集来进行了相关的安全性测试。

研究结果表明，对固件文件进行同源性分析，可有效的检测出D-Link系列路由器固件cgibin文件中缓冲区溢出漏洞，以及Linksys系列路由器apply.cgi脚本中命令执行漏洞。

本文的创新点在于,以文件是否同源为标准进行检测，能很好的适应大规模固件漏洞检测分析情景，并为固件修复提供完备的参考。引入字符串常量相似度比对方法，解决了不同cpu架构下二进制文件无法比对分析的问题。

关键词：固件安全；漏洞检测；文件同源性；第三方库

Abstract

The 21st century is an era of rapid development of Internet of Things technology. However, as more and more embedded devices access the network, we must also guarantee the security of embedded systems. Compared with traditional network security, the security surface of the Internet of Things is wider and deeper and difficult to remove. The devices in the system are often the direct entrance to the security problem. Therefore, the security analysis of the device firmware is extremely important and imperative. Jobs.

This thesis mainly studies the embedded device firmware vulnerability detection scheme based on file homology. when a specific type of device or a version of firmware is known to be vulnerable, we can use four homology comparison algorithms: File entropy analysis, binary delta analysis, fuzzy hashing, string matching to do Associate matching, finally determine the security status of other firmware in other series. In order to verify the effectiveness of the detection method, several sets of real embedded device firmware data sets were collected in this experiment to carry out security tests.

The research results show that the homology analysis of the firmware file can effectively detect the buffer overflow vulnerability in the firmware cgibin file of the D-Link series router, and the command execution vulnerability and buffer overflow vulnerability in apply.cgi script of Linksys series routers .

The characteristic of this paper is that detect firmware vulnerability by the third-party library homology, which can be well adapted to the large-scale firmware vulnerability detection and analysis scenario, and provides a complete reference for firmware repair. The string alignment method is introduced in the homology analysis scheme, which effectively solves the problem that the binary files cannot be compared and analyzed under different cpu Architecture.

Key Words：Firmware Security；Vulnerability Detection；Homology；Third Party Library

1 绪论

研究背景

21世纪，随着科技的发展以及人们生活质量的提高，大量嵌入式设备涌入市场，如路由器，门禁，手机，相机，网络摄像头等，这些设备早已经成为人们生活与工作中必不可少的部分，物联网产业迎来了发展的顶峰。据中国前瞻产业研究院调查显示，2018年全球物联网设备基数为231.4亿台，预计在2025年将达到754.4亿台，2018年中国物联网产业市值为13500亿元，在2020年将超过1.8万亿元^[1]。

与传统的互联网相比，物联网的存在形态已经发生了变化，其覆盖范围更广，设备分散且数量大，因此在物联网技术高速发展的同时，其面临的安全问题也更加严峻。每当物联网系统受到攻击时，系统中的嵌入式设备往往是导致危害的最直接原因，确保设备的安全是应当整个物联网安全工作中的重中之重。但令人遗憾的是，当前物联网设备生产行业对于设备安全的重视远远不够，缺乏安全意识，缺少安全投入。惠普安全实验室一项调查发现10个流行的智能设备中都存在漏洞^[2]，思科安全研究团队发现全球54个国家的超过50万台路由器与NAS设备受到VPNFilter漏洞影响^[3]。而这些安全漏洞直接导致了许多严重的事故，2016年十月，一场超大规模的DDos（分布式拒绝服务攻击）击垮了大半个美国互联网，大量企业服务器受影响崩溃，发起攻击的是由150万台被黑客控制的设备组成的僵尸网络，而这些设备则是中国大华公司生产的网络摄像头。2018年1月，全球最大cpu生产厂商英特尔同样被发现其产品存在严重安全漏洞，影响全球所有桌面系统、电脑、智能手机及云计算服务器^[3]。不仅仅是信息安全，随着物联网对人类社会的渗透，它甚至可以对人身安全造成危害，例如控制自动行驶中的汽车，攻击核电站工控系统，控制智能烤箱让其干烧爆炸，甚至是控制心脏病患者体内植入的心脏起搏器，这些骇人听闻的说法不是虚构，而是可能发生的事实，因此保障物联网，特别是保障嵌入式设备的安全成势在必行。