数事载本与度用
基于硬件模块访问的固件异常分析
余凯梁光明杨世德
(国防科学技术大学电子科学与工程学院湖南长沙410073)
应用研究
摘要：国件作为一种固化在芯片内部,不可随意更改的特殊软件，与底层硬件紧密相连。同一软件一样,固件同样存在漏洞、木马、后门等各种总意行为。但是针对固件中可能存在的总意行为,传统的程序恶意行为描速方法并不速用。以ARM为研究对象,结合ARM指令体系的结构和特点本文提出基于底甚硬件模块访问检测的异常为判定方法,并以U-Boot为实例，对该方法进行了实验验证。
关键词:图件安全ARMU-Boot异常行为判定方法
中图分类号：TN702-34
文献标识码:A
文章编号：1007-9416(2015)10-0053-03
Abstract:Fimware, as a kind of curing inside the chip, not randomly changed special software, closely connected with the underlying hardware. Like general software, fimmware may include all kinds of malicious behavior, such as Trojans, backdoors and ete. In view of the fimmware for the malicious behavior, the traditional application of malicious behavior description method does not apply. Based on ARM as the research object, this paper combined with the structure and characteristics of ARM instruction system, is put forward based on the undedlying hardware module method to detect abnormal behavior of access, and U Boot as an example, experimental verification of the method
Key Words:Firmware security: AR.M; UBoot; abnormal behavior determination methods
固件是与硬件紧密联系的软件，通常工作在特权模式目，在以微处理器为核心的电子设备中，为上层软件有效地使用硬件设备提供调用接口，是电子系统中的重要组成部分。计算机系统中，BIOS和扩展ROM中的程序、以ARM为核心的嵌人式应用系统的启动代码 BootLoader、单片应用系统中的内嵌控制程序以及PCI控制器扩展 ROM中的代码等都是典型的固件2]
本文选取目前使用最广泛的启动固件，即U-Boot，作为分析对象，利用状态机抽取U一Boot工作行为，进行形式化描述.设计出一种异常行为判定方法，并且将此方法应用于S3C2440，针对二进制文
件，分析出正常范围之外的操作，证明了分析方法的有效性。 1固件恶意行为判定性质
性质1不确定性质。通过分析代码的外部特征或执行功能的方法不能够确定一个程序是否具有恶意行为，
利用恶意程序的代码特征和所采用的特殊技术来定义恶意行为是不严谨的，并不能反映恶意行为的本质特征，为了克服这种定义的不足，文献[3给出了基于程序规范的恶意代码定义，即判断一个
BootLoader
期智的化理 68的% 书能化净呼接参款第系元中口提制台
自动
定制内核参数
文件系统
图1嵌入式系统构成
ther Fiath
6能用重的
谈入环境参数验化风综设备调用main_oop
微震子 oe
京旺达联电门收安行型良会会
赶的化器
main_loep 路
市口综入2 Kirtootomde
图2U-Boot第二阶段
收移日期：2015-09-02
程序是否有恶意行为的依据是程序的行为是否在程序规范允许的范围内。但是这样的定义有两个严重的不足：
(1)扩大了恶意行为的范围，程序中有可能存在超出程序规范但对系统或用户没有恶意影响的功能，这样的功能既不能造成任何性能上的影也不会带来任何安全上的问题，不能称为恶意行为。
图3状态流程图
（未知U-Boot
全
二进制分析反汇编
+ 执行流图静态分析恶查结果集
时序状态比对
di 2 d3
+D1 +D2 D3
Dm
输出不正常的时序状态
比对结果集
图4安全分析模型
标准U-Boot 结构分析设计意愿集
o
作者简介：余凯(1990一),男，安徽安庆人,硕士研究生,主要研究方向为通信与信息安全；梁光明(1970一),男湖南连源人,博士,硕士生导师，制
教投，主要研究方向为通信网信息安全；杨世德(1991一),男，内蒙古鄂托克前旗人，硕士研究生，主要研究方向为通信网信息安全。
53