基于ARM嵌入式系統(tǒng)底層漏洞挖掘技術(shù)研究

楊世德　梁光明　余凱

摘 要： 隨著針對嵌入式系統(tǒng)的攻擊事件不斷發(fā)生，安全指標在嵌入式系統(tǒng)設(shè)計過程中得到了越來越廣泛的關(guān)注。傳統(tǒng)的嵌入式系統(tǒng)安全分析主要針對嵌入式操作系統(tǒng)和應(yīng)用軟件，很少關(guān)注底層硬件安全。通過分析嵌入式系統(tǒng)底層運行機制，建立和提出一種基于ARM嵌入式系統(tǒng)底層硬件漏洞挖掘模型和方法。

關(guān)鍵詞： Linux； 內(nèi)核模塊； 寄存器； 挖掘技術(shù)

中圖分類號： TN710?34 文獻標識碼： A 文章編號： 1004?373X（2015）18?0057?03

Abstract： As the attacks on the embedded systems occurs continually， more attention is paid to the safety index in the process of the embedded system design. The traditional security analysis on the embedded systems focused on embedded operating system and application software， but the security of the underlying hardware was ignored. By analyzing the underlying operating mechanism of embedded systems， the discovery model and method against hardware vulnerability of ARM?based embedded systems are proposed in this paper.

Keywords： Linux ； kernel module； register； discovery technology

嵌入式系統(tǒng)是以應(yīng)用需求為目的，軟硬件資源結(jié)合為手段，通過裁剪軟硬件資源滿足用戶對功能、可靠性、成本、體積、功耗等性能指標要求的專用計算機系統(tǒng)[1]。在嵌入式系統(tǒng)發(fā)展初期，嵌入式系統(tǒng)通常都是作為完成單一任務(wù)的處理器被獨立使用，很少通過網(wǎng)絡(luò)與外界相連。由于嵌入式系統(tǒng)用戶的單一性和網(wǎng)絡(luò)的封閉性，不存在通過網(wǎng)絡(luò)的攻擊，所以在嵌入式系統(tǒng)設(shè)計過程中很少考慮安全的因素。但是，隨著互連網(wǎng)和無線通信等技術(shù)的迅速發(fā)展，嵌入式設(shè)備不斷向數(shù)字化，網(wǎng)絡(luò)化，智能化方向發(fā)展，嵌入式系統(tǒng)安全也成了一個急需解決的問題[2]。對于嵌入式系統(tǒng)軟件的漏洞挖掘理論已經(jīng)日趨成熟，但是針對嵌入式系統(tǒng)硬件漏洞挖掘方法還沒有形成理論。

1 嵌入式系統(tǒng)體系結(jié)構(gòu)

嵌入式系統(tǒng)一般由嵌入式軟件和嵌入式硬件組成，軟件主要由嵌入式操作系統(tǒng)、驅(qū)動程序和上層應(yīng)用程序構(gòu)成[3]。硬件主要由嵌入式微處理器和外圍電路構(gòu)成。嵌入式系統(tǒng)層次結(jié)構(gòu)圖如圖1所示。

2 嵌入式操作系統(tǒng)與Linux內(nèi)核模塊驅(qū)動

2.1 嵌入式操作系統(tǒng)

嵌入式設(shè)備發(fā)展早期并沒有操作系統(tǒng)。主要存在兩個原因，一方面控制嵌入式設(shè)備運行只需要一些簡單的程序，如洗衣機、微波爐、電冰箱等；另一方面，早期的嵌入式設(shè)備硬件資源有限，沒有足夠的資源支撐嵌入式系統(tǒng)運行。隨著硬件的不斷發(fā)展和用戶對于產(chǎn)品功能要求的提高，嵌入式系統(tǒng)不斷變的復(fù)雜，這時候需要操作系統(tǒng)管理軟硬件資源。

嵌入式操作系統(tǒng)是上層應(yīng)用程序與底層物理硬件的接口，嵌入式操作系統(tǒng)使硬件系統(tǒng)和應(yīng)用軟件層產(chǎn)生相對獨立性，可在一定范圍對硬件模塊進行升級和替換而不影響應(yīng)用軟件的使用。對于用戶而言，嵌入式操作系統(tǒng)屏蔽了硬件工作細節(jié)，為用戶提供統(tǒng)一的應(yīng)用程序開發(fā)接口，這大大簡化了應(yīng)用程序的開發(fā)設(shè)計流程，同時保障了軟件質(zhì)量和縮短了開發(fā)周期。

2.2 Linux內(nèi)核模塊驅(qū)動

設(shè)備驅(qū)動程序是嵌入式操作系統(tǒng)的一部分，它是位于應(yīng)用程序和實際設(shè)備之間的軟件。設(shè)備驅(qū)動程序是驅(qū)動硬件工作的特殊程序，其直接與硬件打交道。上層應(yīng)用程序與操作系統(tǒng)使用硬件必需調(diào)用相應(yīng)的驅(qū)動程序[4]。對于普通用戶而言，設(shè)備驅(qū)動程序為用戶提供了硬件操作的接口，不需要知道硬件工作具體細節(jié)就可以驅(qū)動硬件工作。用戶操作通過一組標準化的調(diào)用完成而這些調(diào)用是和特定的驅(qū)動程序無關(guān)的。驅(qū)動程序運行于操作系統(tǒng)，操作系統(tǒng)通過驅(qū)動程序才可以控制硬件設(shè)備工作。只有正確安裝了設(shè)備驅(qū)動程序，才能保證硬件設(shè)備正常工作。

Linux設(shè)備驅(qū)動程序存在兩種安裝使用方法：

（1） 直接將設(shè)備驅(qū)動程序編譯進Linux內(nèi)核。將編寫完成的驅(qū)動程序源碼放在Linux內(nèi)核源碼相應(yīng)目錄下，通過修改Makefile和Kconfig文件將其添加到內(nèi)核目錄樹中，然后通過make menuconfig配置該選項，將驅(qū)動程序直接編譯進Linux內(nèi)核中。

（2） 以可加載內(nèi)核模塊LKM（Loadable Kernel Module）的方式安裝驅(qū)動程序。通過使用已經(jīng)運行于嵌入式系統(tǒng)的Linux內(nèi)核相應(yīng)的源碼，將驅(qū)動程序編譯成內(nèi)核模塊，加載內(nèi)核模塊。

本文研究的是第2種方式。相比于第1種方式，以加載內(nèi)核模塊的方式安裝驅(qū)動程序可在需要時動態(tài)的加載，且不需要重新編譯內(nèi)核，不會使內(nèi)核過于龐大和浪費內(nèi)存資源。以系統(tǒng)調(diào)用read為例，Linux內(nèi)核模塊工作原理如圖2所示。

3 基于測試的硬件漏洞挖掘模型

Linux內(nèi)核模塊提供了在用戶空間操作底層寄存器的途徑，而嵌入式系統(tǒng)存儲器種類繁多、容量較大，如何從中選取出對嵌入式系統(tǒng)運行起關(guān)鍵作用的寄存器也是本文研究的重點[5]。本文提出了一種基于測試的硬件漏洞挖掘模型，如圖3所示。

基于測試的硬件漏洞挖掘目標為：從嵌入式系統(tǒng)存儲體系中搜索對嵌入式系統(tǒng)運行起核心作用的寄存器；挖掘可導(dǎo)致嵌入式系統(tǒng)運行出錯的寄存器配置。在基于測試的硬件漏洞挖掘模型中，關(guān)鍵技術(shù)是測試向量構(gòu)建、確定適度函數(shù)和異常自動監(jiān)測。典型的測試向量生成方法有兩類，基于變異的測試向量生成方法和基于生成的測試向量生成方法。

4 基于內(nèi)核模塊的硬件寄存器訪問機制漏洞

為防止對資源的未經(jīng)授權(quán)的訪問，ARM微處理器劃分為不同的操作模式[6]。不同的工作模式運行不同級別的程序和享有不同的操作權(quán)限，Linux用戶程序工作在ARM微處理器SVC模式，內(nèi)核程序工作在ARM微處理器USR模式。例如，SVC模式可以控制內(nèi)存映射方式、特殊寄存器、中斷和DMA等，而usr模式則不可以。

驅(qū)動程序是在“內(nèi)核空間”中運行，而應(yīng)用程序是在“用戶空間”中運行[7]。通過系統(tǒng)調(diào)用和硬件中斷可以完成由“用戶空間”到“內(nèi)核空間”的轉(zhuǎn)換。兩個空間分別引用不同的地址映射。即程序代碼使用不同的地址空間。由此可見，想直接通過指針把“用戶空間”的數(shù)據(jù)地址傳遞給“內(nèi)核空間”是不可能的，必需通過Linux提供的一些函數(shù)實現(xiàn)地址空間的轉(zhuǎn)換，如get_user，put_user，copy_from_user，copy_to_user等。通過上述分析，可以找出一種在用戶空間對硬件寄存器操作的方法，即通過可加載內(nèi)核模塊的方法操作硬件寄存器。內(nèi)核模塊運行于內(nèi)核空間，此時ARM處理器處于svc模式，有權(quán)限對硬件寄存器進行讀/寫操作。本文設(shè)計一個可對看門狗寄存器進行更改的內(nèi)核模塊，動態(tài)加載到嵌入式Linux系統(tǒng)中，通過應(yīng)用程序調(diào)用此內(nèi)核模塊實現(xiàn)激活看門狗電路、重啟嵌入式系統(tǒng)的操作。內(nèi)核模塊open函數(shù)中定義的對看門狗寄存器的操作代碼如圖4所示。

以上內(nèi)核模塊代碼即為用戶程序中系統(tǒng)調(diào)用函數(shù)open的最終實現(xiàn)代碼。Linux中，無論是內(nèi)核程序還是應(yīng)用程序，都只能對虛擬地址進行操作。圖中代碼完成看門狗寄存器物理地址到虛擬地址的映射和賦值工作。通過分別對看門狗定時器數(shù)據(jù)（WTDAT）寄存器、看門狗定時器計數(shù)（WTCNT）寄存器、看門狗定時器控制（WTCON）寄存器賦值，實現(xiàn)啟動看門狗電路，重啟嵌入式系統(tǒng)的操作。

5 結(jié) 語

本文通過分析嵌入式系統(tǒng)體系結(jié)構(gòu)和基于內(nèi)核模塊的驅(qū)動加載原理，獲知嵌入式Linux系統(tǒng)在內(nèi)核層次對于寄存器沒有防護，特別是核心寄存器。攻擊者可通過動態(tài)加載內(nèi)核模塊方式更改核心寄存器值。并且，針對內(nèi)核中已經(jīng)存在驅(qū)動程序的硬件設(shè)備，仍然可通過可加載內(nèi)核模塊的方式獲得硬件設(shè)備的控制權(quán)，即嵌入式Linux中缺乏不同驅(qū)動操作同一硬件的沖突處理機制。并以看門狗電路為例，對看門狗相關(guān)寄存器值進行更改，實現(xiàn)了嵌入式系統(tǒng)的重啟。文中提出的嵌入式系統(tǒng)硬件漏洞挖掘方法和模型對于嵌入式系統(tǒng)漏洞挖掘具有一定的應(yīng)用價值。

參考文獻

[1] 姜榮萍.ARM嵌入式系統(tǒng)分析[J].計算機光盤軟件與應(yīng)用，2010（6）：71?72.

[2] 蔡紅輝.嵌入式系統(tǒng)的安全與分析[J].科教文匯，2007（9）：217?218.

[3] 袁源，戴冠中.LKM后門綜述[J].計算機科學(xué)，2008（7）：5?8.

[4] 李淑文.嵌入式Linux內(nèi)核模塊加載技術(shù)分析[J].廣東經(jīng)濟管理學(xué)院學(xué)報，2004（8）：78?80.

[5] 劉瑜.Linux安全分析與系統(tǒng)增強的研究[D].成都：電子科技大學(xué)，2004.

[6] YAMAURA T. How to design practical test cases [J]. Software， IEEE， 1998， 15（6）： 30?36.

[7] HUANG J C. Program instrumentation and software testing [J]. Computer， 1978， 11（4）： 3?8.