物联网设备固件分析指南-SecureNexusLab.pdfVIP

物联网设备固件分析指南SecureNexusLab

物联⽹设备固件分析指南

WritebySecureNexusLab

前⾔

前⾔本测试指南旨在帮助安全从事⾏业中者快速了解物联⽹固件安全，掌握分析物联⽹设备

技能，并具备深⼊研究和分析物联⽹设备漏洞的能⼒。

Github仓库地址：/SecureNexusLab/IoTFirmwareAnalysisGuide

感谢以下各位师傅的⾟勤付出，⼤家在阅读⽂章和学习的过程中遇到不妥当分析和描述，亦

或者需要帮助的地⽅可直接通过邮箱联系各位师傅，同样也欢各位师傅的加⼊。

Arrebol[中科院软件所南京软件技术研究院]caojun@

gxh191[⼆进制安全爱好者]guoxuehhh@

TheBinKingthebinking66@

郭⼩⽩0_0guoxb0_0@163.com

m2karzhiqing.rui@

如果本教程的内容对你有所帮助，我们深感荣幸，如果你有新的想法或者内容想要补

充也可以和我们⼀起构建~

此外欢各位师傅加⼊SecureNexusLab⼀起构建⼀个⾼质量的安全社群，⼀起讨论

前沿的技术、⼀起制作有趣的项⽬~

第1／137页

物联网设备固件分析指南SecureNexusLab

0.环境配置

为了确保能够快速⽽顺利地进⾏固件安全测试，通常需要⼀个良好的分析环境，可以省去多

数环境配置和软件安装依赖等问题。推荐以下两款常⽤于物联⽹领域的虚拟机attify和IOT-

Research，虚拟机资源都是从互联⽹中收集，可根据⾃⾝需要选择是否使⽤。

attifyOS虚拟机

attify(虚拟机账⼾⼝令iot:attify)

下载地址：⾕歌云盘-/drive/folders/1C5BKrpoCtxqZODbF0A

-tt0UNjx-UmKt3

AttifyOS虚拟机安装步骤：

1.下载连接中提供的虚拟机⽂件，使⽤VMwareworkstation打开虚拟机(⽂件--打开

[Ctrl+O])，选中AttifyOSv3.0.ova⽂件。

第2／137页

物联网设备固件分析指南SecureNexusLab

2.按照提⽰的步骤导⼊虚拟机，选择合适的路径存储新的虚拟机，等待虚拟机导⼊完成。

第3／137页

物联网设备固件分析指南SecureNexusLab

3.导⼊成功就可以直接开启虚拟机，同时在虚拟机描述信息中也标明了账⼾和⼝令信息。

4.开启虚拟机进⼊系统，默认⽤⼾iot，不需要登录⼝令。

第4／137页

物联网设备固件分析指南SecureNexusLab

attifyOS4虚拟机

最新版本-AttifyOS4.0基于Ubuntu22.04，包含预配置⼯具来帮助您进⾏下⼀次IoT渗

透测试。供安全专业⼈员评估物联⽹(IoT)设备的安全性。作为新⼀版本的attifyOS系统，

修改了很多系统原有的内容，AttifyOS4还附带了⼀个包管理器⼯具。

AttifyOS4(虚拟机账⼾⼝令attify:attify)

官⽅介绍：/AttifyOS/AttifyOS/releases

官⽅下载地址：/AttifyOS/AttifyOS

注意事项：

因为github的限制，需要把所有压缩包都下载然后合并（可以使⽤7zip⼯具合并）

系统默认是没带浏览器的，需要主动的安装。

细看官⽅常⻅问题和解决办法，例如⽹络配置和⻚⾯窗⼝⾃动伸缩

第5／137页