文献类型：期刊文章

作　　者：忽朝俭[1,2] 薛一波[1] 赵粮[2] 李舟军[3]

机构地区：[1]清华大学信息技术研究院,北京100084 [2]绿盟科技,北京100089 [3]北京航空航天大学计算机学院,北京100191

出　　处：《通信学报》

基　　金：国家自然科学基金资助项目(61170189;60973105;90718017);国家科技重大专项基金资助项目(2012ZX03002002-003)~~

年　　份：2013

卷　　号：34

期　　号：8

起止页码：140-145

语　　种：中文

收录情况：BDHX、BDHX2011、CSA、CSA-PROQEUST、CSCD、CSCD2013_2014、EI(收录号：20133816756922)、IC、INSPEC、JST、RCCSE、SCOPUS、ZGKJHX、核心刊

摘　　要：在无文件系统嵌入式固件中,系统代码和应用代码集成在单个文件中,无法看到熟悉的系统调用名字,故针对此类固件的分析将更为困难。以此类固件为研究对象,分析了其中的库函数识别问题,并提出了一种针对网络套接字和字符串/内存操作函数的基于启发式规则的识别方法。在此基础上,讨论了多种典型的后门类型检测问题,包括未授权侦听者、非预期功能、隐藏功能和向外的连接请求等,并在一款实际系统上成功检测出多个后门(其中有一个严重级别的)。实验结果表明,提出的针对无文件系统嵌入式固件的库函数识别方法对于此类固件的安全分析具有重要的参考价值。

关 键 词：嵌入式系统 固件 文件系统  库函数识别 后门检测  

分 类 号：TP311.1]