[发明专利]固件木马检测定位方法、装置、电子设备及存储介质

说明书

本公开的实施例提供了固件木马检测定位方法、装置、电子设备及存储介质，应用于通信技术领域。所述方法包括基于第一检测点将长度未改变的待检测固件文件分为两个待检测片段；分别计算第一层级的两个待检测片段的hash值，并与初始固件文件的校验值信息表中的hash值进行对比；基于第二检测点将第一层级的待检测文件片段中判断结果为不一致的文件片段再进行分割、计算hash值并对比验证，重复上述过程，直至判断不一致的结果出现的次数为两次时，将对应的文件片段进行标识，作为木马检测定位结果。以此方式，可以逐层检测，快速定位到固件木马在整个固件文件中的位置。

技术领域

本公开涉及通信技术领域，尤其涉及固件木马检测定位方法、装置、电子设备及存储介质技术领域。

背景技术

随着互联网的发展，计算机黑客为了远程控制计算机的程序，制作出了一种典型的固件木马，它具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能，其专门隐藏在正常的程序中，对很多设备中的固件进行安全攻击，其攻击的方式是在固件的内部植入恶意的代码，以实现一些特定的恶意功能。对固件木马的检测，传统的方法是将可疑的固件文件提取出来，与标准的固件文件进行二进制的比对，但是这种方法的缺点是比对检测的速度慢，且效率低。

发明内容

本公开提供了一种固件木马检测定位方法、装置、设备以及存储介质。

根据本公开的第一方面，提供了一种固件木马检测定位方法。该方法包括：

获取待检测固件文件的长度数据；

判断所述待检测固件文件的长度与对应的初始固件文件的长度是否一致；

若是，获取所述待检测固件文件的第一层级的待检测文件片段；

基于第一检测点将所述第一层级的待检测文件片段分为两个待检测片段；所述第一检测点基于所述第一层级的待检测文件片段的长度确定；

分别计算所述第一层级的两个待检测片段的hash值，根据初始固件文件的校验值信息表判断所述第一层级的两个待检测片段的hash值与所述初始固件文件的校验值信息表中的hash值是否一致；

若判断不一致的结果出现的次数为一次，获取第二层级的待检测文件片段；所述第二层级的待检测文件片段包括所述第一层级的待检测文件片段中判断结果为不一致的文件片段；

基于第二检测点将所述第二层级的待检测文件片段分为两个待检测片段；所述第二检测点基于所述第二层级的待检测文件片段的长度确定；

分别计算所述第二层级的两个待检测片段的hash值，根据初始固件文件的校验值信息表判断所述第二层级的两个待检测片段的hash值与所述初始固件文件的校验值信息表中的hash值是否一致；

重复上述过程，直至判断不一致的结果出现的次数为两次时，将对应的文件片段进行标识，作为木马检测定位结果。

进一步地，所述初始固件文件的校验值信息表的生成，包括：

获取所述初始固件文件的长度信息；其中，所述初始固件文件为二进制固件文件；

根据所述长度信息生成校验点个数和校验层级数；

根据所述校验点个数对所述初始固件文件进行各层级校验定位，得到各个校验点；

基于所述各个校验点，得到所述初始固件文件的各个文件片段；

分别计算所述初始固件文件的各个文件片段的hash值；

将所有hash值保存至所述初始固件文件的校验值信息表中，并按照层级排序和罗列。

进一步地，所述基于所述各个校验点，得到所述初始固件文件的各个文件片段，包括：