本發(fā)明屬于嵌入式設備逆向分析技術領域，特別涉及一種MIPS固件基地址自動化檢測方法，首先，從二進制固件文件出發(fā)，對文件進行遍歷搜索，通過搜索三種特征指令對，統(tǒng)計固件中出現(xiàn)的32bits絕對地址；然后，根據(jù)絕對地址的分布，作出絕對地址累積分布曲線，通過讀取聚集部分坐標，確定候選基地址范圍；對每一個候選基地址，計算統(tǒng)計到的字符串引用地址在此基地址下的固件內偏移，檢查在固件中與實際字符串的匹配情況，得到匹配率；最后，利用字符串匹配率得到正確的基地址。本發(fā)明在不依賴于人工分析的情況下，自動化地獲取MIPS架構固件的基地址，節(jié)省人力物力，提高檢測MIPS固件基地址的效率。

技術領域

本發(fā)明屬于嵌入式設備逆向分析技術領域，特別涉及一種MIPS固件基地址自動化檢測方法。

背景技術

當今，無處不在的嵌入式設備(如移動電話、無線路由器、以太網交換機、網絡打印機等)給我們的生活帶來了極大的便利，而且設備之間的互聯(lián)形成了現(xiàn)在的物聯(lián)網(Intentof Things,IoT)，儲存和傳播著很多的敏感信息。但是，嵌入式設備的安全性卻不容樂觀，從嵌入式設備固件中發(fā)掘出的漏洞和安全威脅層出不窮。

逆向分析是指通過分析程序的二進制數(shù)據(jù)，反向推出對應的源程序，繼而得到程序的系統(tǒng)結構以及相關設計原理。通過對設備固件進行逆向分析可以發(fā)現(xiàn)嵌入式設備固件中的后門、漏洞，從而為我們提高設備的安全性提供幫助。

通常，固件代碼的反匯編是逆向分析的基礎。在進行反匯編時，反匯編器需要知道固件的處理器類型和固件的基地址。處理器的類型關系到采用的何種指令集，可以初步地得到一些反匯編代碼。但如果不在正確的基地址下進行反匯編，得到的通常是一些難以讀懂的、結構混亂的錯誤代碼，只有設置了正確的基地址，才能建立正確的交叉引用，產生正確的代碼調用關系和和數(shù)據(jù)引用關系，幫助我們理解整個固件的結構和代碼執(zhí)行過程。對于處理器類型獲取，利用一些固件分析工具(如binwalk、BAT等)可以很容易地獲取固件的處理器類型，但檢測固件的基地址卻是一項困難的工作。現(xiàn)有的方法要么高度依賴于人工分析，不能自動地檢測固件的基地址，要么針對于ARM指令集，不能分析MIPS架構下的固件。

發(fā)明內容

針對現(xiàn)有技術中存在的問題，本發(fā)明提供一種MIPS固件基地址自動化檢測方法，在不依賴于人工分析的情況下，自動化地獲取MIPS架構固件的基地址，節(jié)省人力物力，提高檢測MIPS固件基地址的效率。

為了實現(xiàn)上述目的，本發(fā)明采用以下的技術方案：

本發(fā)明提供的一種MIPS固件基地址自動化檢測方法，包含以下步驟：

步驟A，搜索MIPS指令集的特征指令對，統(tǒng)計固件中的絕對地址；

步驟B，根據(jù)統(tǒng)計到的絕對地址的分布，確定候選固件基地址的范圍；

步驟C，利用特征指令對統(tǒng)計固件中的字符串引用地址；

步驟D，計算基地址范圍內每個候選基地址下的字符串引用地址的匹配率，以確定正確的固件基地址。

進一步地，所述步驟A中，由于MIPS加載絕對地址是通過兩條指令實現(xiàn)，因此提出了基于特征指令對匹配的絕對地址統(tǒng)計算法，即通過識別lui-ori、lui-lw和lui-addiu三種特征指令對來標識絕對地址加載，從而通過搜索以上三種特征指令對實現(xiàn)絕對地址的統(tǒng)計。

進一步地，在特征指令對搜索過程中，為了克服特征指令對之間間隔其他指令的情況對結果的影響，提出了基于滑動窗口的特征指令對搜索算法，即定義一定寬度且不斷向前滑動的滑動窗口，將滑動窗口范圍內順序出現(xiàn)的兩條特征指令判定為特征指令對，而不是只判定相鄰的兩條指令；

特征指令對的搜索是利用MIPS指令的定長特性，以四字節(jié)為單位，逐個搜索指令開始位置的6-bit操作碼；