注1：本文為湖南底網(wǎng)安全信息技術(shù)有限公司安全團隊原創(chuàng)文章，轉(zhuǎn)發(fā)請注明出處

注2：該文已同步在今日頭條"湖南底網(wǎng)安全"主頁發(fā)布（原"電子技術(shù)論"主頁），鏈接如下：https://www.toutiao.com/article/7197968863081284133/?

前言

固件分析和固件檢測的技術(shù)“深”不可測，其范疇包括但不限于CPU架構(gòu)類型、指令集、應(yīng)用程序、文件系統(tǒng)、操作系統(tǒng)、驅(qū)動、內(nèi)核、boot、die晶圓、集成晶體管電路等等，越往底層越深不可測，其“段位”也越高，“固件分析”和“固件檢測”如何差異化理解對于客戶需求理解、甲方固件安全類產(chǎn)品設(shè)計、乙方固件安全類產(chǎn)品應(yīng)用理念同樣非常重要。

固件檢測

重點指檢測平臺采用“模板”式方式對固件“特定”內(nèi)容進行自動化、高效率匹配檢測，如元信息提取、指定文件分析、開源或已知組件漏洞關(guān)聯(lián)檢測等功能，其特點是“呆板式”、高自動化、高效率檢測，換而言之，平臺“模板”以外、固件“特定”內(nèi)容以外的固件無法檢測，當(dāng)然沒有絕對的固件“檢測”，很多廠商提供的固件檢測產(chǎn)品定會附帶部分固件分析功能，側(cè)重點不同而已。

固件分析：

行業(yè)內(nèi)人士最先想到的是IDAPro，這只是固件分析的有力工具之一，最重要的是有“目的”的會用活用這類工具。重點指平臺具備對固件所有內(nèi)容或部分內(nèi)容進行反匯編逆向解析的能力，平臺逆向解析的能力包括且不限于：函數(shù)調(diào)用關(guān)系圖（非函數(shù)對應(yīng)關(guān)系圖）、反匯編指令及對應(yīng)地址的解析呈現(xiàn)、內(nèi)存數(shù)據(jù)及對應(yīng)地址的解析呈現(xiàn)、指令的拓展解析（偽代碼、寄存器映射、指令功能注釋等）、指令/RAM的內(nèi)存分布解析、動靜態(tài)模擬逆向仿真等能力，特點是強調(diào)平臺反匯編逆向解析能力、人工分析的結(jié)果。不少國際頂尖安全團隊時不時爆出某某設(shè)備或系統(tǒng)的固件高危漏洞或隱患，不僅僅單獨依托固件自動化檢測平臺檢測出來，而主要是靠人工分析、摸索、測試、挖掘、驗證出來。

關(guān)鍵點

固件檢測、固件分析的結(jié)果能否真正打動客戶、撬動客戶內(nèi)心尤其是引起客戶高層重視甚至震撼業(yè)界，是爭取客戶、打動客戶并贏得口碑的關(guān)鍵。這需要團隊各方面的努力，固件分析服務(wù)前期、中期、末期各階段都不容忽視，也就說所謂的“全生命周期、閉環(huán)理念”。

固件分析工作如何開展？

1.首先要能夠通過各種途徑獲取到分析對象--固件，固件提取/固件截獲監(jiān)聽/uboot內(nèi)存導(dǎo)出、root權(quán)限下載、廠商索要等都是可以嘗試的方式。

2.明確或嘗試明確固件對應(yīng)設(shè)備/應(yīng)用功能特點、通信接口、業(yè)務(wù)功能、技術(shù)參數(shù)等信息，初步總結(jié)出固件分析的最終達到目的。避開設(shè)備/應(yīng)用信息不談的固件分析是“不負責(zé)任”或“情不得已”的固件分析。

3.確定固件對應(yīng)處理器的內(nèi)核種類、指令集，明確該固件是應(yīng)用處理器的固件還是微控制器的固件，因為這是兩個固件分析/檢測的方向，這一步相對容易。

4.熟悉固件對應(yīng)芯片型號，深入分析芯片datasheet，想辦法確定其內(nèi)存分布空間、代碼運行機制、代碼加載/運行地址等細節(jié)，這一步較難、很抽象，需要有較深的相關(guān)技術(shù)背景和基礎(chǔ)學(xué)科沉淀。

5.固件逆向分析，這一步是最難、最核心一步，對技術(shù)基礎(chǔ)學(xué)科、技術(shù)功底、技術(shù)面、心理素質(zhì)、邏輯思維等方面要求極高，尤其對硬件底層綜合技術(shù)和固件編程正反向技術(shù)開發(fā)能力兼?zhèn)涞囊髽O高（這里涉及的技術(shù)點太多太廣，不展開論述），這也是最容易失敗、遭遇挫折的一步，分析的方法沒有固定也不會固定，主要靠個人或團隊經(jīng)驗，不同的設(shè)備，采取的固件分析方法、思路都不同。千變?nèi)f化、變幻莫測。

6.“固件分析”相關(guān)的工作開展，除了講究技術(shù)策略、技術(shù)功底外，還有什么很重要？

答曰：發(fā)散思維，最忌諱墨守成規(guī)，鼓勵“自主創(chuàng)新”、“天馬行空”、“頭腦風(fēng)暴”式的探索、挖掘、驗證，其實這和IOT設(shè)備滲透測試、模糊測試的思維類似，這句話表面看似好理解，真正能融會貫通、深入理解運用到實際工作中卻很難，包括我們安全團隊自己也需要不斷學(xué)習(xí)摸索。另外需持續(xù)不斷學(xué)習(xí)“新”的技術(shù)知識，還要不斷鞏固夯實“舊”的技術(shù)基礎(chǔ)。

7.“固件分析”與“固件攻擊”兩者您能聯(lián)想到什么？

兩者應(yīng)緊密結(jié)合起來考慮，“固件攻擊”是“固件分析”的升華版，以攻促防是“固件攻擊”的核心出發(fā)點，也是我們安全團隊的職業(yè)道德準則，只做固件分析，不考慮固件攻擊，會有點“虧”，因為具備了固件分析的能力，固件攻擊也近在咫尺，固件分析是服務(wù)，固件攻擊是固件分析的“反”面教材，直接演示效果，很有“觀賞性”、“警示性”，是最能直接撥動客戶高層內(nèi)心“琴弦”的”說客“，也是樹立口碑、品牌推廣最有效、花費成本最低的捷徑之一。

關(guān)聯(lián)技術(shù)不可忽略

國內(nèi)或國際頂級固件分析、硬件底層、網(wǎng)絡(luò)底層安全研究團隊，我們堅信他們用到的技術(shù)絕非單一、孤成一體，而是靈活多變、有的放矢、借助其它外部關(guān)聯(lián)技術(shù)、工具相輔相成、環(huán)環(huán)相扣、循序漸進的開展，包括且不限于KPI密鑰管理體系、嵌入式正向開發(fā)編程、ARM硬件體系架構(gòu)、匯編指令、證書文件編碼格式、加解密算法特征掌握、動態(tài)協(xié)議分析驗證、標準和非標準安全/非安全協(xié)議（TLS、telnet、ssh、UDS、私有CA認證協(xié)議等）熟悉、TCP/IP、CAN、UART、I2C、SPI、USB等各常用總線協(xié)議的理論知識和實踐應(yīng)用甚至具備開發(fā)級能力……太多太多（這是個漫長的過程，需要個人及團隊不斷沉淀積累，非一朝一夕之功）。

我們在分析固件時，其對應(yīng)的設(shè)備種類、功能千變?nèi)f化，沒有上述關(guān)聯(lián)技術(shù)支撐，很難有重大突破，當(dāng)然即便有關(guān)聯(lián)技術(shù)支撐，固件分析整個過程也很艱辛，尤其是越來越多的芯片廠商逐漸重視固件的防護，矛和盾之間的彼此競爭賽跑，誰落后就得“挨打”。

這里著重強調(diào)下TCP/IP底層網(wǎng)絡(luò)攻擊，所謂底層網(wǎng)絡(luò)攻擊，主要是相對于上層應(yīng)用來區(qū)分的，典型的上層TCP/IP網(wǎng)絡(luò)攻擊包括且不限于：HTTPS截獲篡改攻擊、SQL注入、跨站腳本攻擊(XSS)、DNS欺騙、釣魚網(wǎng)站誘導(dǎo)等等都是TCP/IP應(yīng)用層攻擊，那么TCP/IP底層協(xié)議攻擊包括哪些？又如何理解這些攻擊背后的防護理念和技術(shù)競爭力？

答曰：包括且不限于DHCP攻擊、ARP欺騙、DOS攻擊、TCP半連接攻擊、SYN洪流攻擊、IP欺騙、IP報文攻擊(如TTL值篡改)、路由表攻擊、MAC欺騙、ICMP協(xié)議攻擊（重定向、IPtrace嗅探）等等，運用上述攻擊方法理論知識并同時具備TCP/IP驅(qū)動層編程能力（類似LINUX或WIN系統(tǒng)內(nèi)核級TCP/IP編程），就可實現(xiàn)針對任意普通局域網(wǎng)內(nèi)（相比軍事網(wǎng)絡(luò)、特定安全防御網(wǎng)絡(luò)而言）任何上網(wǎng)設(shè)備，如臺式機PC、筆記本電腦、手機、工控機、其它IOT智能聯(lián)網(wǎng)設(shè)備，均可遠程無接觸、無需授權(quán)即可篡改這些設(shè)備的IP配置信息，如IP地址、DNS、網(wǎng)關(guān)等關(guān)鍵配置，并可獲取該網(wǎng)絡(luò)里所有或指定設(shè)備里各應(yīng)用程序與外網(wǎng)通訊的所有TCP/IP數(shù)據(jù)流（具體可詳見湖南底網(wǎng)安全官網(wǎng)另一篇文章：模擬黑客攻擊視頻），當(dāng)然，也可進一步配合架設(shè)外部DNS欺騙服務(wù)器，實現(xiàn)典型的DNS欺騙攻擊、網(wǎng)頁欺騙攻擊等。

結(jié)束語

上述內(nèi)容均聚焦于固件分析、硬件底層、網(wǎng)絡(luò)底層安全分析、攻防及檢測三大塊，這三大塊是系統(tǒng)最脆弱、最易被攻擊的地方，雖然現(xiàn)在很多安全公司宣稱有很多安全防護技術(shù)，如沙箱隔離防護技術(shù)、零信任認證體系等，但這些都是基于上層的防御，對于硬件底層攻擊毫無抵抗之力。固件分析、硬件底層、網(wǎng)絡(luò)底層這三大塊每一塊都是個重要領(lǐng)域、一門專業(yè)，很多公司甚至是設(shè)專人專崗，獨成一體甚至獨成一團隊，但三者又是相輔相成，你離不開我，我離不開你，我們堅信，頂級的硬件底層安全研究團隊，分工明確，看問題、看需求、做事情能大膽創(chuàng)新、融會貫通、靈活有效運用不同技術(shù)方法、技術(shù)策略、技術(shù)驗證等手段達成目標。