[发明专利]函数识别方法及装置

说明书

本发明提供一种函数识别方法及装置，方法包括：获取RTOS固件中每个函数的函数特征；针对RTOS固件中任一个待识别函数，判断预置函数对象集合中是否存在目标预置函数对象；目标预置函数具有函数符号；当预置函数对象集合中存在目标预置函数对象时，使用目标预置函数对象包括的N组测试用例对待识别函数进行函数模拟执行；当各组测试用例对应的模拟执行结果均与对应的预期结果匹配成功时，根据目标预置函数的函数符号，确定待识别函数的函数符号,并基于待识别函数的函数符号对待识别函数进行识别。本发明实现对RTOS固件中的无符号函数有效识别，提高函数识别效率以准确性。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种函数识别方法及装置。

背景技术

实时操作系统(Real Time Operating System，RTOS)在工业控制、航空航天和电力系统中有大量应用。为了抵抗恶意攻击，安全研究人员通过进行RTOS固件逆向及漏洞分析以提高大量基于RTOS的软件产品的安全性。目前，主要通过识别RTOS固件中函数，进而对RTOS固件进行逆向及漏洞分析。

在相关技术中，利用RTOS固件中存在的符号表信息进行对固件中的函数恢复，以实现对RTOS固件中无符号函数的识别。

然而，由于上述相关技术需要借助于符号表信息实现函数识别，考虑到绝大多数的RTOS固件均去除了符号表信息，因此，相关技术中的函数识别方法不适用于绝大多数无符号表信息的RTOS固件。

发明内容

本发明提供一种函数识别方法及装置，用以解决现有技术中不适用于无符号表信息的RTOS固件的缺陷，实现对无符号表信息的RTOS固件中函数进行识别。

本发明提供一种函数识别方法，包括：

获取RTOS固件中每个待识别函数的函数特征；

针对所述RTOS固件中任一个待识别函数，判断预置函数对象集合中是否存在目标预置函数对象；其中，所述目标预置函数对象满足目标预置函数的函数特征，且与所述待识别函数的函数特征匹配；所述目标预置函数具有函数符号；

当所述预置函数对象集合中存在所述目标预置函数对象时，使用所述目标预置函数对象包括的N组测试用例，对所述待识别函数进行函数模拟执行；其中，所述N为大于或等于1的正整数；

当各组测试用例对应的模拟执行结果均与对应的预期结果匹配成功时，根据所述目标预置函数的函数符号，确定所述待识别函数的函数符号,并基于所述待识别函数的函数符号对所述待识别函数进行识别。

根据本发明提供的一种函数识别方法，所述预置函数对象集合中包括至少一个预置函数对象；

每个预置函数对象对应一个预置函数，预置函数对象中包括：预置函数的函数特征，至少一组测试用例及对应的预期结果。

根据本发明提供的一种函数识别方法，所述当所述预置函数对象集合中存在所述目标预置函数对象时，使用所述目标预置函数对象包括的N组测试用例，对所述待识别函数进行函数模拟执行，包括：

当所述预置函数对象集合中存在所述目标预置函数对象时，针对所述目标预置函数对象包括的N组测试用例中的任一组测试用例，执行以下函数模拟执行过程：将所述测试用例的参数设置到函数模拟执行环境的上下文中，及函数模拟执行所述待识别函数，并得到所述测试用例对应的模拟执行结果；若所述模拟执行结果与所述测试用例对应的预期结果不匹配，则确定所述测试用例匹配失败；若所述模拟执行结果与所述测试用例对应的预期结果匹配，则确定所述测试用例匹配成功，及针对所述N组测试用例中的下一组测试用例执行上述函数模拟执行，直至完成所述N组测试用例的函数模拟执行。

根据本发明提供的一种函数识别方法，所述将所述测试用例的参数设置到函数模拟执行环境的上下文中，及函数模拟执行所述待识别函数，并得到所述测试用例对应的模拟执行结果，包括：