上-如何在物联网设备中寻找复杂的恶意软件

智能手表、智能家居设备甚至智能汽车等互联设备纷纷加入物联网生态系统，因此确保其安全性的重要性已显而易见。

众所周知，如今智能设备已成为我们生活中不可分割的一部分，且已经成为网络攻击的对象。针对物联网设备的恶意软件已经存在了十多年。Hydra是第一个自动运行的路由器恶意软件，它于2008年以一种开源工具的形式出现。Hydra是路由器恶意软件的开源原型，Hydra之后不久，针对网络设备的恶意软件也被发现。从那时起，各种僵尸网络家族已经出现并得到广泛传播，其中包括Mirai，Hajime和Gafgyt等家族。

今年5月安全研究团队就发现了一种名为“Kaiji”的恶意软件，该恶意软件专门用于感染基于Linux的服务器和智能物联网(IoT)设备，然后黑客会滥用这些系统发起DDoS攻击。

根据Allot的数据，到2022年，将有120亿台联网设备，这些设备可能会使5G网络的安全过载，并扩大勒索软件和僵尸网络等威胁的范围。

一些已知的主要分布式拒绝服务(DDoS)攻击或拒绝分布式服务都是基于物联网设备的。最著名的例子之一是2016年10月由Mirai恶意软件中的物联网僵尸网络引起的1GbpsDDoS网络攻击。黑客摧毁了DNS提供商的服务器，瘫痪了美国东海岸的大部分互联网，包括Twitter、Netflix和CNN等服务。现在，Mirai的一个新变种BotnetMukashi出现了，主要针对连接到网络的存储设备上的关键漏洞。

随着带宽和5G在运营商网络中产生新的威胁和攻击手段的不断提高，实时的威胁检测显得尤为重要。不幸的是，目前可用的保护笔记本电脑和手机等设备的安全解决方案在保护物联网设备(如监控摄像头和数字信号)方面毫无准备。除了上述恶意软件外，物联网设备(例如Zigbee)中使用的通信协议中还存在一些漏洞，攻击者可以利用这些漏洞来将设备定为目标并将恶意软件传播到网络中的其他设备，类似于计算机蠕虫。

在这项研究中，我们专注于寻找针对物联网设备的低级复杂攻击，特别是，更深入地研究物联网设备的固件，以发现后门植入、启动过程的修改以及对固件不同部分的其他恶意修改。

现在，让我们讨论一下物联网设备的固件结构，以便更好地了解不同的组件。

物联网固件结构

无论物联网设备的CPU架构如何，启动过程都包括以下几个阶段：启动加载程序，内核和文件系统(如下图所示)。当物联网设备打开时，板载SoC (System on Chip) ROM中的代码将控制权传递给启动加载程序，该启动加载程序加载内核，然后内核安装根文件系统。

启动加载程序、内核和文件系统也包含典型的物联网固件的三个主要组件。

物联网启动过程

在物联网设备中有各种各样的CPU架构，因此要想分析和理解固件的不同组件，需要对这些架构以及它们的指令集有良好的了解。物联网设备中最常见的CPU架构是：

可能的攻击场景

通过了解固件结构，我们可以考虑攻击者在部署难以检测的隐身攻击时如何利用各种组件。

启动加载程序是控制系统的第一个组件，因此，针对启动加载程序为攻击者提供了执行恶意任务的绝好机会，这也意味着重新启动后攻击可以保持持久性。

攻击者还可以操纵内核模块，大多数物联网设备使用Linux内核。对于开发人员来说，自定义Linux内核并从中选择所需的内容非常容易，设法访问和操纵设备固件的攻击者也可以添加或编辑内核模块。

继续讨论文件系统，物联网设备中还使用了许多常用文件系统。这些文件系统通常易于使用。攻击者可以从固件中提取、解压缩并安装原始文件系统，添加恶意模块然后使用常用工具再次对其进行压缩。例如，SquashFS是Linux的压缩文件系统，在物联网制造商中非常普遍。使用Linux实用程序“squashfs”和“unsquashfs”挂载或解压缩SquashFS文件系统非常简单。

获取固件

有多种获取固件的方法，有时你希望所获取的固件属于具有相同规格的完全相同的设备。并且你还希望通过某些特定方式将其部署在设备上。例如，你怀疑更新固件所通过的网络已经被破坏，并且考虑固件在供应商服务器和设备之间的转换过程中被操纵的可能性，因此你希望调查更新的固件以验证其完整性。在另一个示例场景中，你可能从第三方供应商购买了设备，并对固件的真实性产生怀疑。

在众多的物联网设备中，制造商没有通过任何方式来访问固件，甚至不进行更新，该设备将在其使用寿命内从制造商处发布并附带固件。

在这种情况下，获取确切固件的最可靠方法是从设备本身提取固件。这里的主要挑战是，此过程需要具有特定领域的知识，以及使用嵌入式系统的专业硬件/软件经验。如果你希望找到针对物联网设备的复杂攻击，那么这种方法也缺乏可扩展性。

在获取物联网固件的各种方法中，最简单的方法是从设备制造商的网站下载固件。但是，并非所有制造商都在其网站上发布其固件。通常，只能通过设备物理界面或用于管理设备的特定软件应用程序(例如移动应用程序)来更新大量物联网设备。

从供应商的网站下载固件时，常见的问题是你可能无法找到特定设备型号的固件的较早版本。我们也不要忘记，在许多情况下，发布的固件二进制文件都是加密的，只能通过设备上安装的较旧的固件模块进行解密。

了解固件

根据维基百科的说法，“固件是一类特定的计算机软件，可为设备的特定硬件提供底层控制。固件既可以为更复杂的设备软件提供标准化的操作环境(允许更多的硬件独立性)，也可以为不那么复杂的设备充当设备的完整操作系统，执行所有控制、监控和数据处理功能。”

尽管固件的主要组件几乎总是相同的，但没有针对固件的标准体系结构。

固件的主要组件通常是启动加载程序、内核模块和文件系统。但是在固件二进制文件中可以找到许多其他组件，例如设备树、数字证书以及其他设备特定的资源和组件。

从供应商的网站上检索到固件二进制文件后，我们就可以开始对其进行分析并拆解。考虑到固件的特殊性，其分析非常具有挑战性，并且相当复杂。要获取有关这些挑战以及如何应对这些挑战的更多详细信息，请参阅“物联网固件分析”部分。

在固件中查找可疑元素

提取固件的组件后，你可以开始寻找可疑的模块、代码片段或任何对组件的恶意修改。

首先，很简单的步骤是根据一组YARA规则扫描文件系统内容，这些规则可以基于已知的物联网恶意软件或启发式规则，你也可以使用防病毒扫描程序扫描提取的文件系统内容。

你可以做的其他事情就是在文件系统中查找启动脚本，这些脚本包含每次系统启动时都会加载的模块列表，恶意模块的地址可能是出于恶意目的而被插入到了这样的脚本中。

这样，Firmwalker工具可以帮助扫描提取的文件系统中可能存在漏洞的文件。

另一个需要研究的地方是启动加载程序组件，不过这更具有挑战性。

物联网设备中使用了许多常见的启动加载程序，其中最常见的是U Boot。 U Boot具有高度可定制性，这使得很难确定编译后的代码是否已被操纵。使用不常见或自定义的启动加载程序，查找恶意修改会变得更加复杂。

职业网吧管理的要求有哪些？

在信息社会中，人们一时一刻也离不开计算机网络的支持。网络管理员的职责，就是保证所维护管理的网络每日24小时、每周7天、一年365天正常运转。网络正常运转的时候人们往往并不注意你的劳动成果和你的重要作用，网络一旦出现故障，你常常成为关注焦点，众矢之的。因此，作为一个合格的网络管理员，你需要有宽阔的技术背景知识，需要熟练掌握各种系统和设备的配置和操作，需要阅读和熟记网络系统中各种系统和设备的使用说明书，以便在系统或网络一旦发生故障时，能够迅速判断出问题所在，给出解决方案，使网络迅速恢复正常服务。网络管理员的日常工作虽然很繁杂，我认为其工作的主要任务有七项，这就是网络基础设施管理、网络操作系统管理、网络应用系统管理、网络用户管理、网络安全保密管理、信息存储备份管理和网络机房管理。这些管理涉及到多个领域，每个领域的管理又有各自特定的任务。在网络正常运行状况下，网络管理员对网络基础设施的管理主要包括：确保网络通信传输畅通；掌握局域网主干设备的配置情况及配置参数变更情况，备份各个设备的配置文件；对运行关键业务网络的主干设备配备相应的备份设备，并配置为热后备设备；负责网络布线配线架的管理，确保配线的合理有序；掌握用户端设备接入网络的情况，以便发现问题可迅速定位；采取技术措施，对网络内经常出现用户需要变更位置和部门的情况进行管理；掌握与外部网络的连接配置，监督网络通信状况，发现问题后与有关机构及时联系；实时监控整个局域网的运转和网络通信流量情况；制订、发布网络基础设施使用管理办法并监督执行情况。网络管理员在维护网络运行环境时的核心任务之一是网络操作系统管理。在网络操作系统配置完成并投入正常运行后，为了确保网络操作系统工作正常，网络管理员首先应该能够熟练的利用系统提供的各种管理工具软件，实时监督系统的运转情况，及时发现故障征兆并进行处理。在网络运行过程中，网络管理员应随时掌握网络系统配置情况及配置参数变更情况，对配置参数进行备份。网络管理员还应该做到随着系统环境变化、业务发展需要和用户需求，动态调整系统配置参数，优化系统性能。最后，网络管理员还应该为关键的网络操作系统服务器建立热备份系统，做好防灾准备。因为网络操作系统是网络应用软件和网络用户的工作平台，一旦发生致命故障，这个网络服务将陷入瘫痪状态。对于普通用户，计算机网络的价值主要是通过各种网络应用系统的服务体现的。网络管理员日常系统维护的另一个重要职责，就是确保这些服务运行的不间断性和工作性能的良好性。任何系统都不可能永远不出现故障，关键是一旦出现故障时如何将故障造成的损失和影响控制在最小范围内。对于要求不可中断的关键型网络应用系统，网络管理员除了在软件手段上要掌握、备份系统配置参数和定期备份系统业务数据外，必要时在硬件手段上还需要建立和配置系统的热备份。对于用户访问频率高、系统负荷大的网络应用系统服务，必要时网络管理员还应该采取负载分担的技术措施。除了通过软件维护进行系统管理外，网络管理员还需要直接为网络用户服务。用户服务与管理在网络管理员的日常工作量中占有很大一部分份额，其内容包括：用户的开户与撤消管理，用户组的设置与管理，用户使用系统服务和资源的权限管理和配额管理，用户计费管理，以及包括用户桌面联网计算机的技术支持服务和用户技术培训服务的用户端支持服务。建设计算机网络的目的是为用户提供服务，网络管理员必须坚持以人为本、服务至上的原则。不设防的网络好比在开门揖盗，网络管理员在提供网络服务的同时必须特别注重网络的安全与保密管理。安全与保密是一个问题的两个方面，安全主要指防止外部对网络的攻击和入侵，保密主要指防止网络内部信息的泄露。根据所维护管理的计算机网络的安全保密要求级别的不同，网络管理员的任务也不同。对于普通级别的网络，网络管理员的任务主要是配置管理好系统防火墙。为了能够及时发现和阻止网络黑客的攻击，可以再配置入侵检测软件系统对关键服务提供安全保护。对于安全保密级别要求高的网络，网络管理员除了应该采取上述措施外，还应该配备网络安全漏洞扫描系统，对关键的网络服务器采取容灾的技术手段。更严格的涉密计算机网络，还要求在物理上与外部公共计算机网络绝对隔离；对安置涉密网络计算机和网络主干设备房间的要采取安全措施，控制管理人员的进出；对涉密网络用户的工作情况要进行全面的监控管理。在计算机网络中最贵重的是什么？不是设备，不是计算机软件，而是数据和信息。任何设备都有损坏的可能，任何软件都有过时的时候，设备损坏可以重新购置，软件可以更新，信息和数据一旦丢失，损失将无法弥补。因此网络管理员还有一个重要职责，就是采取一切可能的技术手段和管理措施，保护网络中的信息安全。对于实时工作级别要求不高的系统和数据，最低限度网络管理员也应该进行定期手工操作备份；对于关键业务服务系统和实时级别高的数据和信息，网络管理员应该建立存储备份系统，进行集中式的备份管理；最后，将将备份数据随时保存在安全地点更是非常重要。网络机房是安置网络系统关键设备的要地，是网络管理员日常工作的场地。根据网络规模的不同，网络机房的功能复杂程度也不同。一个正规的网络机房通常分为网络主干设备区、网络服务器设备区、系统调试维护维修区、软件开发区和空调电源设备区。对于网络机房的日常管理，网络管理员的任务是：掌管机房数据通信电缆布线情况，在增减设备时确保布线合理，管理维护方便；掌管机房设备供电线路安排，在增减设备时注意负载的合理配置；管理网络机房的温度、湿度和通风状况，提供适合的工作环境；确保网络机房内各种设备的正常运转；确保网络机房符合防火安全要求，火警监测系统工作正常，灭火措施有效；采取措施，在外部供电意外中断和恢复时，实现在无人值守情况下保证网络设备安全运行。另外，保持机房整洁有序，按时记录网络机房运行日志，制订网络机房管理制度并监督执行，也是网络管理员的日常基本职责。网络配置面面观在计算机网络建设的过程中，完成了网络基础设施的硬件安装，网络仅仅是在硬件上连通。没有软件环境的支持它仍然不能对普通用户提供任何服务。因此，网络管理员需要首先对网络进行一系列配置操作。网络配置实际可以分为两大类型：网络系统配置和网络应用配置。前者是搭建网络的系统环境，后者是为用户提供应用环境。网络系统配置是指网络设备硬件连网参数配置和网络软件配置。网络管理员在进行网络系统配置时，所涉及的配置内容主要包括网络主干设备通信参数配置、广域网通信路由配置、局域网操作系统配置、客户系统配置、网络安全配置和网络管理配置。网络主干设备通信参数配置是将网络中所有设备在软件上连通的第一步。网络主干设备在硬件安装完成后，网络管理员需要利用硬件设备上的控制台端口，接入一台计算机，通过计算机终端软件使用其内置的管理软件系统，对其通信参数进行配置。网络主干设备配置的复杂程度与网络的规模以及设备类型有关。简单的单用途设备可能已经内置配备好连网通信参数，可以直接连接使用。而一个由多台交换机组成的分层管理的计算机网络，如果支持多种网络通信协议和管理控制协议，配置就可能十分复杂。网络管理员不但需要分别熟悉这些设备的内置管理系统，掌握配置操作，还应该掌握如何对配置好的系统参数进行备份保存，以便当因为人为原因或设备原因破坏了原来的配置参数时，能够迅速进行系统恢复。当所建立的计算机网络需要与外部计算机网络连接时，不论所连接的网络是专用数据通信网络或者公共数据通信网络，网络管理员都需要进行广域网通信配置。根据与外部网络连接的方式和所使用的设备，配置操作各种各样。如果是通过专用硬件路由器对外连接，通常需要使用路由器内置的管理系统进行参数配置，操作方式类似对网络交换机的配置。如果是通过普通计算机或服务器上的软件路由建立的对外连接，则需要对该计算机软件系统进行参数配置。一个机构内部建立的计算机网络通常采用的是局域网技术。因此，在网络主干通信设备配置完成后，网络管理员还需要安装选定的局域网操作系统并进行配置操作。局域网操作系统通常安装在一台服务器上。局域网操作系统配置的内容主要包括服务器本身连网参数配置、网络使用环境配置、网络管理环境配置、网络系统管理员和操作员配置、普通网络用户和用户组的建立及其网络资源使用权限配置、高层网络通信协议配置、网络系统资源与系统服务配置等。在完成了局域网系统平台的配置之后，网络管理员的下一个任务是为用户配置客户端系统和网络连接。客户端操作系统的选择原则，一是要根据用户工作需要和用户计算机硬件配置水平，二是要根据网络操作系统平台对客户端系统的支持能力。网络连接配置的主要内容为客户端网络适配器驱动程序的配置、网络通信协议的配置和网络连接参数的配置。当整个网络配置完成，经过测试可以正常工作后，就可以根据网络规划与设计要求进行网络安全配置了。网络安全配置以管理控制局域网与外部网络的通信连接为主，同时兼顾监察管理局域网内部的用户行为。网络安全配置首先是系统防火墙的配置，它可能是一台专门的设备，可能由配置了防火墙功能的路由器兼任，也可能是由安装在一台计算机上的防火墙软件构成。无论何种形式，都需要进行参数配置操作。另外，防火墙是一种跨接两个网络的设备。在进行软件参数配置以前，首先要确保它的硬件系统工作正常。网络系统配置中还有一个非常重要的内容，就是网络管理配置。如果局域网与互联网连接，为了使得我们的网络能够成为互联网的一个组成部分，就需要通过互联网接入机构为它申请互联网域名和IP 地址，并且建立、配置用于互联网的DNS 域名服务器。另外，为了便于网络管理员能够实时监督整个网络系统的运行情况和排查网络故障，甚至远程管理、控制和操作网络中的通信设备，许多具有一定规模的网络还配备了专门的网络管理软件。它又需要安装在指定的计算机上，经过配置后才能够使用。在完成了网络系统配置后，网络管理员建立的用户就可以使用自己的用户名称和所得到的用户入网登录密码进入网络。当用户入网以后能够得到哪些服务，可以使用那些网络共享资源，还需要网络管理员进一步提供。这就是网络资源共享及应用配置。通过网络共享资源是建设网络的主要目的之一，资源共享可分为硬件资源和信息资源共享两类，其中信息资源共享主要是通过网络应用系统实现的。而硬件设备的网络共享可以提高其利用率，极大的节约公用设备的投资费用。在考虑设备共享方案时，网络管理员需要考虑共享设备的种类与布局，并根据不同设备的用途以及单位管理规定来配置相关用户及用户组的使用权限与范围。网络应用系统可以分为两类。一类是通用网络应用系统，另一类是专用网络应用系统配置。通用网络应用系统是指通常所有网络用户都要用到的网络服务，如电子邮件服务、网络信息浏览服务、网站信息发布服务、网络文件传输服务、远程计算机系统登录服务等。如果网络管理员要向用户提供自己管理的电子邮件服务，就必须选购相应的邮件服务器软件，将特定的计算机或服务器配置成为邮件服务器。管理员必须掌握邮件服务器的配置、运行和管理技术，管理好邮件服务器的用户和服务。如果网络管理员要向用户提供基于互联网的网络信息浏览服务（Web 信息浏览服务），则必须为用户配置访问互联网的方式。如果网络的使用管理机构出于安全或管理上的原因，不允许网内用户直接访问互联网，就需要建立访问网关。访问网关可以对用户访问互联网进行控制、管理和计费，可以在用户与互联网不直接连接情况下，对用户提供透明的互联网信息代理访问服务。因此，提供这类互联网信息访问服务需要网络管理员选购专门的软件安装在网络内专门的计算机上，并且经过参数配置后才能实现。如果需要建立自己管理的网站信息发布服务，网络管理员就需要在网络中建立网站服务器，在服务器上安装、配置运行基于 Web的互联网信息发布系统软件。至于网络文件传输服务和远程计算机系统登录服务等常见的网络信息服务，如果不需要建立自己提供服务的服务器，网络操作系统的缺省配置常常就可以满足用户的需要。以上列举的仅仅是常见通用网络应用系统。通用的网络应用系统通常都有商品化软件，或作为网络操作系统的组成部分，一般都要经过配置才能够提供服务。专用的网络应用系统是指使用机构为某一特殊应用目的，专门开发的用于特定业务的软件系统。这类系统通常安装在网络中的专门服务器上。网络管理员的责任是协助应用系统的管理员完成各种网络参数配置，使得这些系统能够顺利的通过网络提供服务。作为一个合格的网络管理员，你需要有宽阔的技术背景知识，需要熟练掌握各种系统和设备的配置和操作，需要阅读和熟记网络系统中各种系统和设备的使用说明书。网络管理员的日常工作虽然很繁杂，但是我认为其工作的主要任务有七项，这就是网络基础设施管理、网络操作系统管理、网络应用系统管理、网络用户管理、网络安全保密管理、信息存储备份管理和网络机房管理。这些管理涉及到多个领域，每个领域的管理又有各自特定的任务。

联想G455A M320好吗？

从平台应用来看，G455A搭载了AMD新一代的主流消费级笔记本平台“Tigris”，通过AMD的VISION技术（等级为Premium），显卡能自动帮助CPU工作提升整机性能，从而实现二者的协同优化。首发的联想G455A采用ATI HD4550独立显卡，支持DX10.1 和UVD2 (第二代UVD)高清硬解码技术。

内部操控区的设计出于成本控制，联想G455A同样设计得比较简洁，我们可以看到机身操控区顶部没有设计任何多媒体快捷键，仅有一个一键还原系统的快捷按键。而操控区的唯一亮点设计就要算整个C面的烤漆工艺和拉丝效果了。

屏轴设计方面，联想G455A采用了常见的下沉式屏轴设计，这种屏轴的好处之一就是可以将发声单元设计在屏幕的下方。

机身背面联想G455A也采用了常见的区块化设计，用户升级、维修核心配件如升级内存容量和更换硬盘时都可以通过打开指定的护板来完成，操作并不复杂。

联想G455A M320简要配置信息处理器型号 AMD 速龙 II M320 处理器主频 2.1GHz（1MB L2 Cache）内存信息 1GB DDR2-800（单条）硬盘信息 250GB 光学驱动器 DVD刻录机显示设备屏幕大小 14.1英寸LED背光（16∶9）屏幕分辨率 1366×768 显示芯片 ATI Mobility Radeon HD 4550 其他参数预装系统 Windows 7 家庭基础版 32位机身尺寸 345×235×26.2-35.9mm 重量 2.33kg（含6芯电池，不含适配器）参考价格 3999元

AMDd“ VISION”技术和AMD的“Tigris”平台相信相关的介绍文章已经满天飞了，相对来看在成功移植了桌面级的K10架构到移动平台后，新一代的“Tigris”平台较比上一代的“PUMA”平台要强上不少，当然如果是对比英特尔最新的32nm的新处理器平台确实还有一定的差距，特别是在处理器的性能和功耗控制上还有待提高。

但“Tigris”平台也不是没有优势，其搭载的显示核心还是比较强悍的，再加上自成一套的新一代UVD引擎，在这个价位下笔记本中高清和游戏性能是相当突出的。此外，内存仅有1GB的容量确实不高，影响了整体的得分表现，建议用户自己升级内存到3GB，这样在性能表现方面将会更突出。

在内置软件方面，比较有特点的就要算是联想G455A新加入了idealife，这个软件中集成的多是一些常用的娱乐功能，如在线电影、电视、音乐、电子书、软件下载、游戏等等应有尽有，都是和各个领域的相关媒体和服务商进行合作，只要联网就能全部享用。

主要参数型号 Turion II M520主要用途笔记本核心数量双核接口类型 S1生产工艺 0.045um主频 2.3GHz二级缓存 1024K L2总线频率 3600MHz功能参数TDP功耗 35W64位计算支持64位计算支持Virtualization(虚拟化)技术

主要参数型号 Athlon II M320主要用途笔记本核心数量双核接口类型 S1生产工艺 0.045um主频 2.1GHz二级缓存 1024K L2总线频率 1600MHz功能参数TDP功耗 35W64位计算支持64位计算支持Virtualization(虚拟化)技术