无文件系统嵌入式固件后门检测

在无文件系统嵌入式固件中,系统代码和应用代码集成在单个文件中,无法看到熟悉的系统调用名字,故针对此类固件的分析将更为困难。以此类固件为研究对象,分析了其中的库函数识别问题,并提出了一种针对网络套接字和字符串/内存操作函数的基于启发式规则的识别方法。在此基础上,讨论了多种典型的后门类型检测问题,包括未授权侦听者、非预期功能、隐藏功能和向外的连接请求等,并在一款实际系统上成功检测出多个后门(其中有一个严重级别的)。实验结果表明,提出的针对无文件系统嵌入式固件的库函数识别方法对于此类固件的安全分析具有重要的参考价值。