叢培欣

（黑龍江省牡丹江市第一中學(xué)，157021）

基于VxWorks系統(tǒng)的路由器固件研究

叢培欣

（黑龍江省牡丹江市第一中學(xué)，157021）

本文通過kali linux系統(tǒng)的binwalk軟件工具及自行編寫程序，識別并分析了基于VxWorks的MemFS文件系統(tǒng)的路由器固件的文件特征，同時提取了相應(yīng)路由器的固件文件。為后續(xù)路由器固件重寫提供思路及技術(shù)支持。

路由器固件，VxWorks，MemFS，kali linux 2.0

圖1　binwalk的識別結(jié)果截圖

0　引言

路由器（Router）是互聯(lián)網(wǎng)的主要結(jié)點(diǎn)設(shè)備，起到網(wǎng)絡(luò)互聯(lián)、路由選擇和擁塞控制等的作用。同時，在辦公、家庭等環(huán)境中得到廣泛的應(yīng)用，是連接互聯(lián)網(wǎng)的必不可少的設(shè)備之一。隨著網(wǎng)絡(luò)應(yīng)用的日益豐富，數(shù)據(jù)轉(zhuǎn)發(fā)量越來越大，對路由器的功能和性能要求也越來越高。路由器的功能和性能在硬件參數(shù)一致情況下，主要取決于路由器的固件，即路由器的操作系統(tǒng)。Wind River System公司的VxWorks嵌入式實(shí)時操作系統(tǒng)由于具有微內(nèi)核、可裁剪、支持協(xié)議廣泛等特性，通常被路由器廠商作為路由器的操作系統(tǒng)，而VxWorks的文件系統(tǒng)MemFS以其獨(dú)特的文件壓縮與索引方式在路由器文件系統(tǒng)中占領(lǐng)了一席之地。

1　VxWorks操作系統(tǒng)簡介

VxWorks是美國Wind River System公司開發(fā)的具有工業(yè)領(lǐng)導(dǎo)地位的高性能嵌入式實(shí)時操作系統(tǒng)。VxWorks具有專門為實(shí)時嵌入式系統(tǒng)設(shè)計開發(fā)的操作系統(tǒng)內(nèi)核，其基于操作系統(tǒng)的應(yīng)用程序具有跨平臺的可移植性。系統(tǒng)只占用很小的存儲空間、可高度裁減，保證了系統(tǒng)的高效率運(yùn)行。VxWorks以其微內(nèi)核、強(qiáng)實(shí)時性、可裁剪性和高效等特性，使其在工業(yè)控制、通信、航空、航天等領(lǐng)域得到了廣泛應(yīng)用。VxWorks由進(jìn)程管理、存儲管理、設(shè)備管理、文件系統(tǒng)管理、網(wǎng)絡(luò)協(xié)議及系統(tǒng)應(yīng)用等幾個部分構(gòu)成。

2　VxWorks的文件系統(tǒng)MemFS簡介

在MemFS中，開發(fā)者不需要考慮相關(guān)的目錄結(jié)構(gòu)，在此目錄結(jié)構(gòu)下的固件只需要將文件打包做成一個集合，并將集合投放到c代碼中進(jìn)行編譯，同時又因?yàn)闆]有目錄結(jié)構(gòu)以及文件索引，搭載著該文件系統(tǒng)的硬件相比之下會更大的發(fā)揮自身的硬件優(yōu)勢并最大化的節(jié)約時間成本與空間成本。與SquashFS文件系統(tǒng)相比具有文件體積小，安全性高的特點(diǎn)，因而得到廣泛的應(yīng)用。

3　Kali Linux簡介

Kali Linux是一個基于Debian的高級滲透測試和安全審計Linux發(fā)行版。它集成了精心挑選的滲透測試和安全審計的工具，供滲透測試和安全審計人員使用。其預(yù)裝了許多滲透測試軟件，包括如Nmap（端口掃描器）、Wireshark（數(shù)據(jù)包分析器）、John theRipper （密碼破解器），以及Aircrack-ng（一套用于對無線局域網(wǎng)進(jìn)行滲透測試的軟件）和binwalk等工具。

本文在kali linux 2.0系統(tǒng)環(huán)境下進(jìn)行MemFS文件系統(tǒng)的分析工作，使用該系統(tǒng)下binwalk工具以及l(fā)inux工具集，分析路由器固件的文件結(jié)構(gòu)。通過對binwalk識別結(jié)果分析可以獲取出固件內(nèi)文件的相關(guān)信息，并進(jìn)行文件提取。

圖2　文件頭相關(guān)信息截圖

圖3　各文件相關(guān)信息截圖

4　MemFS文件系統(tǒng)分析及文件提取

4.1整體思路

本文以一個搭載MemFS文件系統(tǒng)的tplink路由器固件為例，利用kali linux系統(tǒng)的binwalk工具進(jìn)行固件文件系統(tǒng)的識別，通過對識別結(jié)果的觀察、分析確定文件系統(tǒng)的結(jié)構(gòu)及特征，識別出各文件的名稱、位置及大小。然后，通過C語言自行編寫程序，按上述相關(guān)特征、規(guī)律進(jìn)行文件提取，解壓縮。為后續(xù)根據(jù)個性需要，為路由器固件重寫提供支持。

4.2binwalk對固件文件識別與分析

首先，使用binwalk識別固件文件系統(tǒng)版本情況并分析文件的存在情況。binwalk的識別結(jié)果如圖1。

眾所周知，被某種算法壓縮的文件都有其特定的文件頭，通過識別文件頭即可識別出對應(yīng)的壓縮算法。由圖1可知，MemFS存儲的文件均被lzma算法所壓縮，同時可知相關(guān)字節(jié)大小等信息。通過對lzma分析與字符串出現(xiàn)頻率分析可得被壓縮文件的文件頭為5A000080，如圖2中紅色標(biāo)注。

繼續(xù)對binwalk識別結(jié)果進(jìn)行分析，可得固件內(nèi)各文件的文件名及文件的相關(guān)信息。結(jié)果如圖3所示。

由圖3 數(shù)據(jù)特征可知，各文件名及相關(guān)文件信息共占48個字節(jié)的數(shù)據(jù)塊，同時推測數(shù)據(jù)塊中前40個字節(jié)為文件名和“00”占位符，后8個字節(jié)為該文件大小與位置信息。通過上述識別出來的文件名、文件位置、文件大小、文件格式等信息，可通過自行編程對固件文件進(jìn)行讀取。

最后，通過程序提取出的文件并沒有被解壓，這里可以通過P7zip軟件對這些文件進(jìn)行批量解壓。文件提取并解壓縮后，發(fā)現(xiàn)8個字節(jié)中前4個字節(jié)是文件大小，后4個字節(jié)是文件位置，都是以十六進(jìn)制的形態(tài)出現(xiàn)的，對前面所述推測加以驗(yàn)證。但是，解壓后并沒有發(fā)現(xiàn)固件的內(nèi)核文件，因此又重新觀察binwalk識別結(jié)果，發(fā)現(xiàn)還有一個文件沒有提取出，于是定位該文件，確定該文件大小并將其提取并解壓，發(fā)現(xiàn)這個文件并不是可執(zhí)行文件，該問題有待進(jìn)一步研究。

4.3固件文件提取

本文使用C語言自行編寫了提取固件文件的程序，包括主函數(shù)int main（int argc， char *argv［］），讀文件函數(shù)char *file_read（char *file， size_t *fsize）， 寫文件函數(shù)int file_write（char *file， char *data， size_t size），固件提取函數(shù)int unowfs（char *data， size_t size）。通過主函數(shù)調(diào)用相關(guān)函數(shù)實(shí)現(xiàn)循環(huán)讀取固件文件。

4.3.1文件提取函數(shù)unowfs（char *data， size_t size）流程圖

4.3.2文件提取函數(shù)unowfs（char *data， size_t size）源碼

int unowfs（char *data， size_t size）

｛

/* 變量定義及初始化*/

int count = 0， i = 0， offset = 0；

struct owfs_header *header = NULL；

struct owfs_entry * entry = NULL；

char file_name［FILE_PATH_SIZE］ = ｛ 0 ｝；

/* 檢驗(yàn)文件是否有效 */

if（size ＜ sizeof（struct owfs_header））

｛

fprintf（stderr， "Invalid image: size too small "）；

goto end；

｝

header = （struct owfs_header *） data；

if（memcmp（header-＞magic， MAGIC， MAGIC_SIZE） ！= 0）

｛

fprintf（stderr， "Invalid image: bad magic signature "）；

goto end；

｝

/* Values are in big endian format */

header-＞version = htonl（header-＞version）；

header-＞num_entries = htonl（header-＞num_ entries）；

fprintf（stderr， "Extracting %d files from OWFS version %d image... "， header-＞num_entries， header-＞version）；

/* 遍歷所有文件*/

for（i=0，offset=sizeof（struct owfs_header）；（i ＜ header-＞num_entries && offset ＜ size）；i++，offset+=sizeof（struct owfs_entry））

｛

entry = （struct owfs_entry *） （data + offset）；

entry-＞size = htonl（entry-＞size）；

entry-＞offset = htonl（entry-＞offset）；

/* Make sure specially crafted file names don't write outside of the destination directory */

if（strstr（entry-＞name， DIRECTORY_ TRAVERSAL））

｛

fprintf（stderr， "Refusing to extract potentially malicious file: %s "， entry-＞name）；

continue；

｝

memset（（char *） &file_name， 0， FILE_PATH_ SIZE）；

strncpy（（char *） &file_name， FILE_PREFIX，F(xiàn)ILE_PREFIX_SIZE）；

strncat（（char *） &file_name， entry-＞name，（FILE_PATH_SIZE - FILE_PREFIX_SIZE））；

fprintf（stderr， "%s ［%d］ "， entry-＞name，entry-＞size）；

/* 將數(shù)據(jù)寫入磁盤 */

if（file_write（（char *） &file_name， （data + entry-＞offset）， entry-＞size））

｛

count++；

｝

else

｛

fprintf（stderr， "Failed to write data to disk for file %s "， entry-＞name）；

｝

｝

end:

return count；

｝

5　總結(jié)

本文主要通過使用kali linux系統(tǒng)binwalk工具，識別了MemFS文件系統(tǒng)的結(jié)構(gòu)，通過編寫程序使得固件文件得以提取。為路由器固件定制、重寫提供的思路?；诠碳膬?nèi)核如何提取并復(fù)現(xiàn)是未來的研究工作。

［1］王金輝.VxWorks嵌入式實(shí)時操作系統(tǒng)的原理和實(shí)現(xiàn)［J］. Radio Engineering，2007，（37）：62-64.

［2］張軍.基于Vxworks實(shí)時操作系統(tǒng)的串口通信程序設(shè)計與實(shí)現(xiàn)［J］.微計算機(jī)信息，2006，（22），2-2：98-99.

［3］翁羽翔.基于VxWorks嵌入式系統(tǒng)的應(yīng)用研究［D］.同濟(jì)大學(xué).2007.

Study of router firmware based on VxWorks system

Cong Peixin
（The first high school of Mudanjiang， Heilongjiang Province，157021）

This paper analyzed the characteristics of MemFS file system based on VxWorks system of router firmware，by using binwalk software tools of Kali Linux system and procedures written by myself，and the corresponding router firmware files are extracted.Provide ideas and technical support for the subsequent router firmware rewriting.

router firmware；VxWorks；MemFS；kali linux 2.0