[发明专利]一种基于匹配的物联网固件库函数识别方法

摘要

本发明涉及软件逆向技术领域，具体是一种基于匹配的物联网固件库函数识别方法，包括以下步骤：1）物联网固件加载地址识别；2）构造库函数特征库；3）固件函数特征提取；4）函数特征匹配；5）已识别函数的子函数匹配。本发明能从函数签名、汇编指令、字符串信息等多个维度抽取二进制函数代码特征，分别为固件和函数库构造特征数据库；再利用基于特征匹配的方法识别固件中的库函数；通过自动匹配已识别函数的子函数，进一步提高库函数识别效率和准确率。本发明的技术方案可以实现物联网固件分析中库函数的快速准确识别，改善固件自动化分析以及漏洞挖掘结果的正确性和可读性。

主权项

1.一种基于匹配的物联网固件库函数识别方法，其特征在于，包括以下步骤：1)物联网固件加载地址识别：通过检索固件中字符串的芯片型号信息以及匹配各芯片型号对应的特征码，确定物联网固件的正确加载地址以及分块信息；2)构造库函数特征库：(2a)选择反汇编引擎：根据步骤1)中获得的芯片型号，搜集对应的函数库，根据芯片结构选择合适的反汇编引擎加载函数库备用；(2b)提取函数代码特征：使用反汇编引擎提取函数的特征，所需要的特征包括：函数名、函数地址、函数汇编代码、函数指令集合、函数代码哈希、函数数字常量、函数间接引用的字符串；(2c)提取函数调用流特征：通过检索跳转指令，提取函数调用过程中子函数信息，将每个函数视为一个节点，该函数调用的函数视为子节点，将整个函数库构造成一个完整的调用流图，并记录此图的每个节点的函数名、子节点、出度和入度信息；(2d)构造特征数据库：将函数代码特征以及函数调用流特征以数据库的形式保存，并构造不同的表单；3)固件函数特征提取：根据步骤1)中所得到的固件加载地址以及固件分块信息，加载固件，根据步骤2)中所述方法提取固件中每个函数的特征和整个固件调用流图信息；4)函数特征匹配：对步骤2)、3)中提取的特征进行匹配，对比特征数据库中的每一项特征，并根据每项特征不同的权重制定匹配规则；5)已识别函数的子函数匹配：将已识别的函数的子函数进行匹配，根据特征数据库中的调用流信息，对每个子节点根据调用顺序进行排序级匹配，完成库函数识别工作。