RT-Trace:基于指令步进识别的工控设备执行流采集技术

由于薄弱的安全措施和重要的军事、经济价值,现代工业控制设备迅速成为了网络攻击的重要目标。工控设备因其在人们生产生活中的作用以及当前严峻的不安全现状,引起了研究人员的重点关注。其中,固件作为工控设备的核心部分,其安全的重要性不言而喻。然而由于固件在烧录的过程中其烧录方法和固件安全性保护的标准、等级和措施均不相同,使得固件在提取过程中依赖专家经验。同时由于大部分工控设备为了能够应对极端环境通常使用定制化专有芯片,少有配备如嵌入式跟踪宏单元(Embedded Trace Macro cell,ETM)等执行跟踪组件,因此难以采集设备执行时的信息。提出一种基于指令步进识别的工控设备执行流采集技术RT-Trace,通过对工控设备进行硬件分析、固件提取和监控采集,将工控设备的固件整体安全情况进行分析和梳理。实验结果表明,该方法能够提取出大部分的工控设备固件并且能够对设备执行过程中的函数调用次数、服务开启情况、内存污染度进行较为全面的数据采集。