NETGEAR R2000路由器固件封装技术分析与实现.docVIP

NETGEAR R2000路由器固件封装技术分析与实现 　　【摘要】 针对NETGEAR R2000的安全审计问题，首先逆向分析澄清了固件升级包的封装格式、压缩算法和校验机制，其次工程实现了升级固件的完整封装过程，为进一步安全审计提供技术支持。 　　【关键词】 路由器 固件升级 安全审计 漏洞挖掘 　　Analysis and Implementation of Firmware Encapsulation Scheme for NETGEAR R2000 Router CHENG Jun （Novel Horizon Technology Co. Ltd， Jinan Shandong 250100， China） 　　Abstract： Aiming at security audit of NETGEAR R2000 router， reverse-analysis is performed to clarify the firmware update packet encapsulation formats， compression algorithm and verifying mechanism firstly， then implements the complete encapsulation process of upgrade firmware in detail. The work effectively support further security audit. 　　Keywords： router； firmware upgrade； security audit； vulnerability digging 　　一、引言 　　R2000及其他系列型号路由器是美国固件（NETGEAR）公司[1]生产的接入路由器产品，市场占有率较高，深受用户青睐。与此同时，不断曝出的安全漏洞使R2000等系列型号路由器的安全性受到质疑。因此，加强R2000等型号路由器的安全审计工作刻不容缓，对及时发现和修补漏洞从而确保网络安全具有重要意义。而安全审计的前提是澄清固件格式和提取还原文件系统。本文重点分析了R2000路由器的固件升级包封装规范，实现了固件升级包的拆封和重装，完成了文件系统的提取还原，为进一步安全审计提供技术支持。 　　二、R2000升级固件格式分析 　　2.1分析环境介绍 　　整个升级固件的分析及封装实现都是在Linux Ubuntu14.0操作系统下进行。安装了路由器固件分析相关的工具软件，包括Binwalk[2]、Squashfs[3] 文件解压缩工具、Mkimage[4] 镜像文件生成工具、IDA 反汇编工具[5]，具体安装过程可参见相关文档[2-5]。另，分析过程常用到的Linux shell命令包括：file、strings、hexdump、dd，具体用法参见Linux相关文献[6]。 　　2.2 逆向分析过程 　　（1）使用strings命令进行字符串搜索 　　利用strings命令显示固件文件中的可打印字符。据此可了解掌握一些重要信息，包括是否进行加密或编码处理、嵌入式操作系统类型及版本号、固件生成工具名及版本号、所实现功能及函数名称、Web管理页面编程语言、重要函数代码及其他典型特征信息。在对NETGEAR R2000的固件升级文件分析过程中可了解到如下信息：升?文件未进行加密或编码处理、操作系统为Linux，固件生成工具为OpenWRT，设备型号为R2000，版本号为V4，设备ID4+0+32+2x2+0。 　　（2）使用Binwalk进行固件升级文件扫描 　　利用Binwalk对固件升级文件进行识别，可大体掌握固件文件的组成、封装格式、压缩算法、文件系统类型、指令集等。具体过程如下： 　　执行命令 binwalk，获知固件文件由四部分组成：操作系统镜像头、操作系统镜像文件、文件系统镜像头、文件系统，判明固件封装格式为uImage，压缩类型为lzma，文件系统类型为squashfs，字节顺序为小端，CPU架构MIPS，操作系统为Linux。 　　执行命令 binwalk -A ，可识别固件文件的指令集，据此可判断和佐证CPU的架构类型。 　　执行命令binwalk?CMe，可递归提取解压还原固件文件中的压缩数据块。实际测试比较发现binwalk对squashfs文件系统的还原不够完整，因此下面利用squashfs专用工具还原文件系统。 　　（3）Squashfs文件系统还原 　　首先，根据binwalk分析结果界定文件系统的位置及大小，并利用dd命令抽取；然后利用squashfs工具包的unsquashfs命令进行文件系统的