推荐星级:
- 1
- 2
- 3
- 4
- 5
一种基于匹配字符串地址判定ARM固件装载基址的方法
资料介绍
固件是嵌入式系统的灵魂,当对固件进行安全检测或者深入理解固件中的运行机制时,对固件进行反汇编是一个必经的步骤.对固件反汇编时,首先要确定固件的装载基址及其运行环境的处理器类型.通常我们可以通过拆解硬件设备或者查阅产品手册获得处理器类型,但目前尚没有自动化工具可获知固件的装载基址.鉴于目前大部分嵌入式系统中的处理器为ARM类型,本文以ARM固件为研究目标,提出了一种自动化方法来判定固件的装载基址.首先通过研究固件中字符串的存储规律及其加载方式,提出了两个算法可分别求出固件中字符串偏移量和LDR指令加载的字符串地址.然后利用这些字符串信息,提出了DBMAS(Determining image Base by Matching Addresses of Strings)算法来判定固件的装载基址.实验证明本文提出的方法可以成功判定使用LDR指令加载字符串地址的固件装载基址.
部分文件列表
| 文件名 | 大小 |
| 一种基于匹配字符串地址判定ARM固件装载基址的方法.pdf | 2M |
部分页面预览
(完整内容请下载后查看)6
Vol. 45 No. 6
Jun. 2017
第
期
电
子
学
报
2017
6
ACTA ELECTRONICA SINICA
年
月
一种基于匹配字符串地址判定
ARM
固件装载基址的方法
1
1
1
1
2,3
2,3
, , , , ,
朱瑞瑾 张宝峰 毛军捷 骆 扬 谭毓安 张全新
( 1.
,
中国信息安全测评中心 北京
100085; 2.
,
北京理工大学计算机学院 北京
100081;
3.
,
北京市海量语言信息处理与云计算应用工程技术研究中心 北京
100081)
:
, ,
固件是嵌入式系统的灵魂 当对固件进行安全检测或者深入理解固件中的运行机制时 对固件进行反
摘
要
. , .
汇编是一个必经的步骤 对固件反汇编时 首先要确定固件的装载基址及其运行环境的处理器类型 通常我们可以通
, .
过拆解硬件设备或者查阅产品手册获得处理器类型 但目前尚没有自动化工具可获知固件的装载基址 鉴于目前大部
ARM ARM
,
,
分嵌入式系统中的处理器为
类型 本文以
址 首先通过研究固件中字符串的存储规律及其加载方式 提出了两个算法可分别求出固件中字符串偏移量和
DBMAS( Determining image Base by Matching Addresses of
固件为研究目标 提出了一种自动化方法来判定固件的装载基
.
,
LDR
.
,
指令加载的字符串地址 然后利用这些字符串信息 提出了
Strings)
.
算法来判定固件的装载基址 实验证明本文提出的方法可以成功判定使用
LDR
指令加载字符串地址的固件
.
装载基址
关键词
中图分类号
URL: http: / /www. ejournal. org. cn
:
;
; ARM;
反汇编
装载基址 固件
:
TP311. 5
:
A
: 0372-2112 ( 2017) 06-1475-08
DOI: 10. 3969 /j. issn. 0372-2112. 2017. 06. 028
文献标识码
文章编号
电子学报
Determining Image Base of ARM Firmware
Based on Matching String Addresses
1
1
1
1
2,3
2,3
ZHU Rui-jin ,ZHANG Bao-feng ,MAO Jun-jie ,LUO Yang ,TAN Yu-an ,ZHANG Quan-xin
( 1. China Information Technology Security Evaluation Center,Beijing 100085,China;
2. School of Computer Science and Technology,Beijing Institute of Technology,Beijing 100081,China;
3. Beijing Engineering Research Center of Massive Language Information Processing and Cloud Computing Application,Beijing 100081,China)
Abstract: Firmware is the soul of an embedded system,and disassembly is a necessary step to understand the opera-
tional mechanism or detect the vulnerabilities of the firmware. When disassembling a firmware,it should first determine the
processor type of running environment and the image base of firmware. In general,the processor type can be got by tearing
down the device or consulting the product manual. However,at present there is still no automated tool that can be used to ob-
tain the image base of firmware. Since the processors of majority embedded systems are ARM architecture,in this paper we
focus on the firmwares in ARM and propose an automated method to determine the base address. Firstly,by studying the
storage rule and loading mode of the string we present two algorithms to calculate the string offset and the string address
loaded by LDR instruction. Then with these information,we proposed a DBMAS ( Determining image Base by Matching Ad-
dresses of Strings) algorithm to determine the image base. Experimental results indicate the proposed method can successful-
ly determine the image base of firmware that uses the LDR instruction to load string address.
Key words: image base; firmware; ARM; disassemble
.
面 最近暴露出多起与嵌入式系统固件的安全漏洞相
1
引言
,
关的 事 件 如
NSA
开 发 出 入 侵 硬 盘 固 件 的 恶 意 软
[1,2]
[3,4]
、 、
从随身携带的手机 智能手环 智能手表到路由器
、
,Stuxnet
PLC
,Cisco、D-
件
病毒入侵伊朗核电站
、 ,
交换机 固态盘等 嵌入式系统已经遍及社会的方方面
LINK、Tenda、Linksys、Netgear
等品牌多款路由器固件中
: 2015-11-05;
: 2016-11-28;
:
责任编辑 梅志强
收稿日期
修回日期
:
基金项目 国家自然科学基金
( No. 61370063) ;
国家重点研发计划网络空间安全重点专项
1476
2017
年
电
子
学
报
[5 ~ 8]
.
等等 嵌入式系统固件的安全问题越来
LDR
; ,
指令加载的字符串地址 第三步 利用
被爆有后门
有可能使用
, ,
越受到重视 为了提高嵌入式系统的安全性 更好地保
LDR
,
加载的字符串地址 判定
找到的字符串偏移量和
, ,
护用户的信息安全 需要对固件进行安全检测 反汇编
.
出装载基址 本文的贡献有以下两点
:
.
是固件安全检测中一种常用和重要的方法 而当反汇
( 1)
LDR
首次提出一种识别二进制文件中
指令的
[9]
(
编器 如
IDA Pro
)
,
算法 该算法利用
LDR
,
指令的编码特点 可以有效识别
处理固件时需要已知固件的装载
( )
基址 即固件映射到嵌入式系统内存中的起始位置 及
LDR
.
出二进制文件中
( 2)
指令并计算出其加载的地址
ARM
.
其运行环境的处理器类型 正确装载基址可以使反汇
首次提出一种判定
固件中二进制文件装
载基址的算法 该算法利用二进制文件中的字符串偏
LDR
[10]
, ,
包括字符串引用 函数引
,
编器建立准确的交叉引用
,
用等 这些信息对于固件分析人员理解固件有重要意
移量以及二进制文件中的
指令加载的字符串地
. ,
义 同时 正确装载基址有助于在整体上理解固件的内
, . ,
址 判定出装载基址 实验证明 本文提出的判定装载基
,
存布局 而错误的装载基址导致引用立即地址的指令
LDR
址方法针对使用
指令加载字符串地址的二进制文
[11]
.
,
进行反汇编时 处理器类型通常可以通过
.
寻址错误
件是有效的
,
拆解硬件设备或者查阅产品手册得到 而对于未知格
2
固件中的字符串及其地址
,
式的固件文件 很难直接获得其装载基址
.
[12]
2. 1
固件中的字符串及其识别方法
Igor Skochinsky
国外学者
给出了针对嵌入式系
( strings) ,
主要
二进制文件一般都包含一些字符串
统固件中未知格式文件人工推理装载基址的常用线
、 ,
为程序中的用户提示信息 程序出错信息 编译器版本
,
索 其中包括自重定位代码
( Self-relocating Code) 、
初始
[11,13]
.
等 这些字符串的组成部分为可打印字符或者转义字
、
. Zachry Basnight
等人
化代码 跳转表等
种人工推理出装载基址的方法 第一种方法利用
指令中的立即数和固件更新的配置文件人工推理出合
PLC
给出了两
. 、 、 ,
符 可打印字符包括字母 数字 标点符号等 其
ASCII
.
ARM
( 0x20,0x7E) .
、 ,
转义字符为换行符 制表符等 其
范围为
ASCII
( 0x09,0x0D) . ASCII
所以字符串的
范围为
范围
.
理装载基址 第二种方法使用硬件调试器连接
设
( 0x09,0x0D) ( 0x20,0x7E) . ARM
∪
为
体系结构下嵌入
, PLC
备 当
PLC
挂起时使用调试器可从
设备中获得其
ARM
C , C
式系统中一般使用 语言编程 在本文中只讨论 风
,
内存转储 通过人工分析内存转储中常见的
指令
[14]
. C , ,
格的字符串 语言中 字符串一般存储在字符数组中
. Italo Dacosta
模式可发现固件的装载基址
switch case
语句中
等人 指出
的值是连续且稠密
语句块的内存地址通常存储在一个跳转
‘\0’,
字符数组最后一个元素存放字符串结束符 对应
C
在
语言中当
ASCII
0x00.
的
码为
,
时 这些
case
,
编译器在存储字符串时 一般把相邻代码中用到
. ,
表中 利用该跳转表可推导出附近代码的内存地址 从
, 1 .
的字符串集中存储 如图 所示 某些编译器出于性能
而利用代码的偏移量和内存地址得到文件的装载基
[15]
, ,
考虑 在存储字符串时进行了对齐操作 即如果某个字
. Santamarta
,
址
给出了另外一种利用跳转表的方法
case
4 ,
符串的开始地址不是 的整数倍 则在字符串前补充一
即利用跳转表中的内存地址之差得到
语句块的大
( padding)
4
的
些填充字节
以使得字符串的开始地址为
,
小 人工分析出某个
case
,
语句块对应的内存地址 然后
,
整数倍 如图
1( b)
.
所示
case
.
联合该
语句块在文件中的偏移量求出装载基址
[16]
1 ,
从图 中可以看出 无论是非字对齐存储的字符串
Stefan
MIPS
给出一个人工判定
固件装载基址的方
, ,
还是字对齐存储的字符串 均有相同的规律 即除了第一
, ,
法 该方法假定有一定量的立即地址指向固件本身 通
,
00.
,
个字符串以外 其他的字符串前后都是
FIND-String
我们提出了
根据该特点
算法来找出固件文件中所有的
字符串偏移量 因二进制文件中有部分指令的编码等同
ASCII
过重新设置固件的装载基址人工判定字符串或者函数
.
序言是否正确匹配来测试当前设置的基址是否正确
.
,
以上判定固件装载基址的方法均需要人工参与
,
,
且高度依赖固件分析人员的经验和直觉 目前尚没有
于可打印字符的
码 为了提高字符串识别的准确
算法中需设置字符串的最小长度参数
wnd
, FIND-String
率 在
.
方法可以自动化判定出固件的装载基址 据统计当前
[17]
wnd,
只有长度大于
.
的字符串才认为是有效字符串
63%
ARM
,
因此本
大约有
的嵌入式设备为
体系结构
FIND-String
,
ARM
算法主要思想为扫描固件文件 找出
且之间均为可打印字符或者转义字符的
,
文以
究对象 研究了二进制文件中字符串的存储规律及其
LDR
体系结构下的嵌入式系统的固件文件为研
wnd
距离大于
,
,
相邻字符串结束符位置 这些位置之间存储内容即为
地址加载方式 针对使用
指令加载字符串地址的
, .
字符串 并可得到字符串偏移量 对于固件中集中存储
, .
二进制文件 提出了一种判定装载基址的方法 该方法
,
的字符串 由于不容易判断第一个字符串的开始位置
,
, ,
共分为三个步骤 第一步 识别出二进制文件中所有字
. 1
故舍弃 如算法 所示
。
; ,
符串并输出其偏移量 第二步 识别出二进制文件中所
更多>>
最新上传
- 打赏
- 30日榜单
-
21ic小能手 打赏10.00元 16小时前
-
21ic小能手 打赏10.00元 1天前
-
21ic小能手 打赏5.00元 1天前
-
21ic小能手 打赏10.00元 1天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏15.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏15.00元 3天前
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
wubaojun1982 打赏1.00元 3天前
资料:ADS1241驱动代码
-
21ic小能手 打赏10.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic小能手 打赏5.00元 3天前
-
21ic下载 打赏320.00元 3天前
用户:liqiang9090
-
21ic下载 打赏260.00元 3天前
用户:gsy幸运
-
21ic下载 打赏110.00元 3天前
用户:zhengdai
-
21ic下载 打赏130.00元 3天前
用户:WK520077778
-
21ic下载 打赏100.00元 3天前
用户:sun2152
全部评论(0)