[发明专利]一种基于匹配的物联网固件库函数识别方法

说明书

本发明涉及软件逆向技术领域，具体是一种基于匹配的物联网固件库函数识别方法，包括以下步骤：1）物联网固件加载地址识别；2）构造库函数特征库；3）固件函数特征提取；4）函数特征匹配；5）已识别函数的子函数匹配。本发明能从函数签名、汇编指令、字符串信息等多个维度抽取二进制函数代码特征，分别为固件和函数库构造特征数据库；再利用基于特征匹配的方法识别固件中的库函数；通过自动匹配已识别函数的子函数，进一步提高库函数识别效率和准确率。本发明的技术方案可以实现物联网固件分析中库函数的快速准确识别，改善固件自动化分析以及漏洞挖掘结果的正确性和可读性。

技术领域

本发明涉及软件逆向技术领域，具体是一种基于匹配的物联网固件库函数识别方法。

背景技术

近年来物联网产业发展迅速，越来越多的设备进入到公众的生活中。物联网设备已涵盖个人穿戴、家庭安防、交通物流、智能家居等各个行业，为人们的生活提供了巨大的遍历。但与此同时，这些设备也容易遭受攻击者的恶意攻击。攻击者通过利用设备固件中的漏洞控制设备，监控用户行为、窃取用户隐私，严重危害用户的隐私和财产安全。因此为了抵抗恶意攻击，许多安全研究人员对固件进行二进制分析。但由于物联网设备存储和计算资源限制，编译固件时往往去掉了符号表信息。在二进制漏洞挖掘过程中，无法发现特殊的库函数，导致无法准确分析程序的运行状态和漏洞情况。

目前对库函数的分析主要基于函数签名识别。使用哈希算法对函数特征进行签名，在进行函数识别时，只需加载对应的签名文件即可完成识别工作。签名机制避免了不必要的匹配，大大提高了函数是别的效率。

然而基于签名的库函数识别方法与编译器和编译优化联系紧密，编译选项的微小差异将导致两个函数签名的巨大改变，增加了库函数识别的漏报率，也增加了自动化识别的难度。为了减小库函数识别中的阻碍，势必需要高准确率和低漏报率的库函数识别方法。

因此，针对以上现状，迫切需要开发一种基于匹配的物联网固件库函数识别方法，以克服当前实际应用中的不足。

发明内容

本发明的目的在于提供一种基于匹配的物联网固件库函数识别方法，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于匹配的物联网固件库函数识别方法，包括以下步骤：

1)物联网固件加载地址识别：通过检索固件中字符串的芯片型号信息以及匹配各芯片型号对应的特征码，确定物联网固件的正确加载地址以及分块信息，该步骤是保证函数特征正确的前提；

2)构造库函数特征库：

(2a)选择反汇编引擎：根据步骤1)中获得的芯片型号，搜集对应的函数库，根据芯片结构选择合适的反汇编引擎加载函数库备用；

(2b)提取函数代码特征：使用反汇编引擎提取函数的特征，所需要的特征包括：函数名、函数地址、函数汇编代码、函数指令集合、函数代码哈希、函数数字常量、函数间接引用的字符串；

(2c)提取函数调用流特征：通过检索跳转指令，提取函数调用过程中子函数信息，将每个函数视为一个节点，该函数调用的函数视为子节点，将整个函数库构造成一个完整的调用流图，并记录此图的每个节点的函数名、子节点、出度和入度信息；

(2d)构造特征数据库：将函数代码特征以及函数调用流特征以数据库的形式保存，并构造不同的表单；

3)固件函数特征提取：根据步骤1)中所得到的固件加载地址以及固件分块信息，加载固件，根据步骤2)中所述方法提取固件中每个函数的特征和整个固件调用流图信息；

4)函数特征匹配：对步骤2)、3)中提取的特征进行匹配，对比特征数据库中的每一项特征，并根据每项特征不同的权重制定匹配规则；