CN110096888B - 一种加快验证及分析smm安全隐患的方法及系统 - Google Patents

Abstract

本发明提供一种加快验证及分析SMM安全隐患的方法及系统，该方法包括:部署基本环境，获取并记录宿主机环境信息，获取可视化的bios源代码调用关系图、bios镜像的模块构成图；获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID；获取虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息；验证及分析SMM安全隐患。该系统包括：部署单元、可视化单元、调试单元、验证及分析单元；部署单元分别与可视化单元、调试单元连接；验证及分析单元连接部署单元、可视化单元与调试单元。该方法及系统为技术人员快速定位SMM安全隐患提供条件，从而针对性地提出安全改进措施。

Description

一种加快验证及分析SMM安全隐患的方法及系统

技术领域

本发明涉及计算机安全领域，具体涉及一种加快验证及分析SMM安全隐患的方法及系统。

背景技术

在计算机领域，bios作为固件层必不可少的固件程序，是计算机启动后首先执行的程序，为计算机提供最底层、最直接的硬件控制。uefi是新一代的bios标准，定义了操作系统与硬件平台固件之间的接口规范，给用户提供了便利的底层开发环境。每个系统中都有许多种固件，当系统启动时，处理器就会执行主系统固件，即uefi bios。固件大多只在启动时运行，但在特殊的x86模式下会与操作系统并行，即SMM。

SMM(System Management Mode)，即系统管理模式，是在当前x86/x86 64架构中最为普及的底层特性，有访问包括与操作系统隔离的物理内存的权限，同时由于其权限很高，在操作系统和其他安全应用之外也能运行，所以这成了攻击者的目标。外部通过相关攻击渠道运行被SMM所信任的任意代码，由此就可以使用许多SMM下的超级特权，针对这一安全问题，技术人员有时基于攻击面作理论分析后，得出了几种可能的攻击渠道，需要对攻击渠道下的详细攻击过程或步骤作规划、对用户输入等攻击环境及每一步骤上的具体操作细节作分析和推敲，甚至对实施攻击计划中出现的偏差作溯源分析，过程繁琐且有序性较差，缺乏一种将工程实践与理论分析相结合，有序并加快验证及分析SMM安全隐患的方法。

发明内容

本发明所要解决的技术问题在于针对上述现有技术的不足，提供一种加快验证及分析SMM安全隐患的方法及系统，

本发明解决其技术问题所采取的技术方案是：

本发明提供了一种加快验证及分析SMM安全隐患的方法，步骤包括:

1).部署基本环境，获取并记录宿主机环境信息；

2).获取可视化的bios源代码调用关系图、bios镜像的模块构成图；

3).获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID；

4).获取并记录虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息；

5).验证及分析SMM安全隐患。

进一步地，步骤1)部署基本环境，获取并记录宿主机环境信息具体包括：

11).将目标机系统虚拟到宿主机，启动虚拟机，下载bios源代码，并在虚拟机中安装；

12).利用命令获取宿主机的环境信息，并记录环境信息。

进一步地，步骤2)获取可视化的bios源代码调用关系图、bios镜像的模块构成图具体包括：

21).使用工具1生成bios源代码的调用关系图，所述工具1包括doxygen和graphviz；

22).使用工具2生成bios镜像的模块构成图，所述工具2包括UEFITool。

进一步地，步骤3)获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID具体包括：

31).编译bios源代码生成bin镜像；

32).在bios镜像的模块构成图上获取与SMM相关的符合UEFI标准的GUID标识信息；

33).结合bios源代码的调用关系图，利用源代码编辑工具查看并定位bios源代码中SMM初始化、SMI分发及SMI handler部分与SMM相关的GUID标识，快速匹配bios源代码定位的GUID标识与通过上一步32)获得bin镜像GUID标识，记录匹配出错的GUID标识与出现安全隐患的源代码接口模块。

进一步地，步骤4)获取虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息具体包括：

41).新建一个虚拟机硬件清单，在其中加入用bios源代码编译出的bin镜像，并使用qemu模拟器启动这个虚拟机；

42).在启动后的虚拟机上按照步骤1)中的12)通过相关命令获取虚拟机的环境信息并记录环境信息；

43).以调试模式重启虚拟机以让虚拟机进入等待gdb连接状态；

44).在虚拟机上启动gdb工具，在gdb工具中连接虚机V；

45).由匹配出错的GUID标识，定位源代码出错的接口模块，通过gdb调试工具在对应的接口模块设置断点；

46).让虚拟机运行，gdb单步调试，抓取设置断点接口模块所设断点触发时的调用堆栈信息，利用打印命令打印并记录；

47).继续gdb单步调试，运行到下一断点，抓取设置断点接口模块所设断点触发时的调用堆栈信息，利用打印命令打印并记录；

48).重复上一步47)，直到执行完所有断点。

进一步地，步骤5)验证及分析SMM安全隐患具体包括：

51).由调用堆栈信息，定位设置断点处的接口模块内的关联变量，查找接口模块在bios源代码调用关系图中的位置，确定关联变量和接口模块调用的路径；

52).结合步骤1)记录的环境信息与步骤4)记录的环境信息，对比环境信息中改变的数据；

53).整合环境信息改变的数据、关联变量及其所在的接口模块调用的路径，结合外部攻击渠道，验证分析出现的SMM安全隐患。

本发明提供一种加快验证及分析SMM安全隐患的系统，其特征在于，包括：部署单元、可视化单元、调试单元、验证及分析单元；所述部署单元分别与可视化单元、调试单元连接；所述验证及分析单元连接部署单元、可视化单元与调试单元；其中，

部署单元：用于装载并运行操作系统，装载、运行、编译系统固件，并查看与记录系统的硬件环境信息；

可视化单元：用于获取可视化的bios源代码调用关系图、bios镜像的模块构成图、与SMM相关的GUID标识，利用bios镜像中与SMM相关的GUID标识快速定位和匹配bios源代码中对应GUID的代码接口模块，记录匹配出错的GUID标识与出现安全隐患的源代码接口模块；

调试单元：用于在出现安全隐患的源代码接口模块设置断点，并通过触发断点抓取系统运行时断点附近的调用堆栈信息，记录获取的所有触发断点的调用堆栈信息；

验证及分析单元：用于整合部署单元、可视化单元、调试单元记录的信息以及bios源代码调用关系图，为加快验证及分析SMM安全隐患造成的软硬件问题提供条件。

本发明的有益效果是：

1.使解决方案更加有序，方便及时定位实际运行中出现问题的软件接口模块与调用路径；

2.利用获取的硬件设备环境信息的数据变化，结合出现问题的软件接口模块与调用路径,有助于技术人员快速发现并分析bios的代码与硬件设备环境的交互点；

3.结合外部攻击渠道，有助于技术人员快速验证分析SMM安全隐患造成的软硬件问题；

以方便技术人员针对性地提出安全改进措施。

附图说明

图1为本发明加快验证及分析SMM安全隐患的方法流程图

图2为本发明加快验证及分析SMM安全隐患的系统示意图

具体实施方式

为能清楚说明本方案的技术特点，下面通过具体实施方式，并结合其附图，对本发明进行详细阐述。下文的公开提供了许多不同的实施例或例子用来实现本发明的不同结构。为了简化本发明的公开，下文中对特定例子的部件和设置进行描述。此外，本发明可以在不同例子中重复参考数字和/或字母。这种重复是为了简化和清楚的目的，其本身不指示所讨论各种实施例和/或设置之间的关系。应当注意，在附图中所图示的部件不一定按比例绘制。本发明省略了对公知组件和处理技术及工艺的描述以避免不必要地限制本发明。

如图1所示，本发明一实施例提供的一种加快验证及分析SMM安全隐患的方法，该方法步骤包括:

1.部署基本环境，获取并记录宿主机环境信息；

2.获取可视化的bios源代码调用关系图、bios镜像的模块构成图；

3.获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID；

4.获取并记录虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息；

5.验证及分析SMM安全隐患。

根据本发明的一实施例，步骤1)部署基本环境，获取并记录宿主机环境信息具体包括：

11).将目标机系统虚拟到宿主机，启动虚拟机，下载bios源代码，并在虚拟机中安装；

其中，可以用虚拟机工具如vmware workstation安装目标机系统iso镜像文件，iso镜像文件可以选择centos7(linux系统发行的版本之一)或win7(windows系统发行的版本之一)等系统的镜像文件，

本实施例选择安装centos7的iso镜像文件，安装完毕后在虚拟机工具中使用qemu模拟器启动虚拟机，下载bios源代码，并在虚拟机中安装，

其中，bios源代码可以选择Seabios源代码、EDK2源代码或者本公司出厂的bios的源代码等，Seabios源代码可以由源代码网址进行下载，edk2可以从github网站上下载，本公司的bios源代码在存放的ftp服务器上下载；

12).利用命令获取宿主机的环境信息，并记录在.txt格式的文本文件1中；

其中，利用命令获取宿主机的网络socket、管道、pci等环境信息并记录下来，

其中，在虚拟机上使用ss命令或者cat/proc/net/sockstat命令获得网络socket信息，

其中，使用pipelist命令获得管道统计信息，

其中，使用lspci命令获得pci板卡信息。

根据本发明的一实施例，步骤2)获取可视化的bios源代码调用关系图、bios镜像的模块构成图具体包括：

21).使用工具1生成bios源代码的调用关系图，所述工具1包括doxygen和graphviz；

其中，bios源代码的调用关系图反映了各个接口模块的调用路径信息，利于对代码与外界的交互作溯源分析，利于避免忽略对某些调用关系的分析；

22).使用工具2生成bios镜像的模块构成图，所述工具2包括UEFITool；

其中，模块构成图的结构主要是卷(FV)构成、文件系统(FFS)构成和文件构成，

其中，卷、文件系统、文件等的名字都是用GUID来表示的，GUID为全局唯一标识符(GUID，Globally Unique Identifier)，是一种由算法生成的二进制长度为128位的数字标识符，具体到接口模块、函数甚至枚举常量的值等都有一个GUID标识；

根据本发明的一实施例，步骤3)获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID具体包括：

31).编译bios源代码生成bin镜像；

其中，编译一般是通过一个shell脚本来完成的，主要因为不同的bios组件需要作不同的处理。编译命令的示例为：build-a X64-p AppPkg\AppPkg.dsc-m AppPkg\Applications\chipsec\chipsec.inf；

32).在bios镜像的模块构成图上获取与SMM相关的符合UEFI标准的GUID标识信息；

其中，UEFI是新一代的bios标准，是统一的可扩展固件接口，为了提供一组在OS加载之前(启动前)在所有平台上一致的、正确指定的启动服务，通过UEFITool工具可以搜索bin镜像中与SMM相关的GUID标识；

33).结合bios源代码的调用关系图，利用源代码编辑工具查看并定位bios源代码中SMM初始化、SMI分发及SMI handler部分与SMM相关的GUID标识，快速匹配bios源代码定位的GUID标识与通过上一步32)获得bin镜像GUID标识，记录匹配出错的GUID标识与出现安全隐患的源代码接口模块；

其中，由于进入SMM的唯一途径是触发了SMI信号，当处理器收到一个SMI信号，它会等待所有指令就绪，同时等待所有保存完成。处理器会保存它的上下文到寄存器SMRAM，然后进入SMM，并开始执行SMI handler(处理程序)，

因此需要参照bios镜像的模块构成图与bios源代码的调用关系图，利用源代码编辑工具如source insight或EditPlus等查看SMM初始化、SMI分发及SMI handler部分的代码结构和与SMM相关的GUID，同时，通过上一步32)获得的GUID标识，查看bios源代码中与SMM相关的GUID是否都能在bin镜像中找到，对于无法找到的GUID，则匹配失败，记录匹配失败的GUID标识和源代码中对应该GUID的接口模块，记录的信息可以存储在.txt或.doc等格式的文件中。

根据本发明的一实施例，步骤4)获取虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息具体包括：

41).新建一个虚拟机硬件清单，在其中加入用bios源代码编译出的bin镜像，并使用qemu模拟器启动这个虚拟机；

42).在启动后的虚拟机上按照步骤1)中的12)通过相关命令获取虚拟机的环境信息并记录在.txt格式的文本文件2中，

其中，虚拟机模拟与宿主机相同的硬件环境，虚拟机系统启动同时系统固件开始执行，当虚拟机系统启动启动完毕，按照步骤1)中的12)当中的相关命令获取并记录虚拟机上硬件环境信息，硬件环境信息的变化为技术人员发现并分析bios的代码与硬件设备环境的交互点提供参考条件；

43).以调试模式重启虚拟机以让虚拟机进入等待gdb连接状态；

44).在虚拟机上启动gdb工具，在gdb工具中连接虚机V；

45).由匹配出错的GUID标识，定位源代码出错的接口模块，通过gdb调试工具在对应的接口模块设置断点；

46).让虚拟机运行，gdb单步调试，在设置断点的接口模块抓取断点触发时断点附近调用的堆栈数据信息，将堆栈数据信息利用打印命令打印并记录；

具体的，gdb单步调试，在未触发断点时系统可正常使用包括运行操作系统、测试用例、安全poc等；而一旦断点被触发，系统程序停在断点处，则断点附近的局部变量的值、全局变量的值、寄存器值都能查看到，这对于分析SMM安全隐患提供了基础条件，gdb调试工具本身就具有打印变量值或寄存器值的命令，如print var；info registers等，通过打印命令将变量值以及寄存器值信息存储在.txt或.doc格式的文件中；

47).继续gdb单步调试，运行到下一断点，重复执行上一步46)；

48).重复执行上一步47)，直到执行完所有断点。

根据本发明的一实施例，步骤5)验证及分析SMM安全隐患具体包括：

51).由各个断点记录的堆栈信息，定位设置断点处的接口模块内的关联变量，通过查找接口模块在bios源代码调用关系图中的位置，确定关联变量和及其所在的接口模块调用的路径，

其中，bios漏洞触发,也是有一个函数调用路径的，而许多变量的值决定了其所在的函数是这个调用路径而不是其它的路径。触发路径本身说明与uefi标准不相符，bios的功能出现了问题；

52).结合步骤1)记录的文本文件1与步骤4)记录的文本文件2，对比环境信息中改变的数据；

53).以硬件设备环境信息改变的数据、关联变量及其所在的接口模块调用的路径为验证及分析SMM安全隐患的基础条件，有助于技术人员快速发现并分析bios的代码与硬件设备环境的交互点，结合外部攻击渠道，以方便技术人员快速定位与bios攻击渠道相关的软硬件模块，验证及分析SMM安全隐患，从而针对性地提出安全改进措施。

如图2所示，本发明一实施例还提供的一种加快验证及分析SMM安全隐患的系统，包括：部署单元、可视化单元、调试单元、验证及分析单元；部署单元分别与可视化单元、调试单元连接；验证及分析单元连接部署单元、可视化单元与调试单元；其中，

部署单元：用于装载并运行操作系统，装载、运行、编译系统固件，并查看与记录系统运行的硬件环境信息；

可视化单元：用于获取可视化的bios源代码调用关系图、bios镜像的模块构成图、bios镜像以及bios源代码中与SMM相关的GUID标识，匹配bios镜像以及bios源代码中与SMM相关的GUID标识，记录匹配出错的GUID标识与对应该GUID标识的源代码接口模块；

调试单元：用于在出现安全隐患的源代码接口模块设置断点，并通过触发断点抓取系统运行时断点附近的调用堆栈信息，记录获取的所有触发断点的调用堆栈信息；

验证及分析单元：用于整合部署单元、可视化单元、调试单元记录的信息以及bios源代码调用关系图，为加快验证及分析SMM安全隐患造成的软硬件问题提供条件。

最后应说明的是：以上所述只是本发明的优选实施方式，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也被视为本发明的保护范围。

Claims (6)

1.一种加快验证及分析SMM安全隐患的方法，其特征在于，所述方法步骤包括:

1).部署基本环境，获取并记录宿主机环境信息；

2).获取可视化的bios源代码调用关系图、bios镜像的模块构成图；

3).获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID；

4).获取并记录虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息；

5).验证及分析SMM安全隐患；

步骤5)验证及分析SMM安全隐患具体包括：

51).由调用堆栈信息，定位设置断点处的接口模块内的关联变量，查找接口模块在bios源代码调用关系图中的位置，确定关联变量和接口模块调用的路径；

52).结合步骤1)记录的环境信息与步骤4)记录的环境信息，对比环境信息中改变的数据；

53).整合环境信息改变的数据、关联变量及其所在的接口模块调用的路径，结合外部攻击渠道，验证分析出现的SMM安全隐患。

2.根据权利要求1所述的一种加快验证及分析SMM安全隐患的方法，步骤1)部署基本环境，获取并记录宿主机环境信息具体包括：

11).将目标机系统虚拟到宿主机，启动虚拟机，下载bios源代码，并在虚拟机中安装；

12).利用命令获取宿主机的环境信息，并记录环境信息。

3.根据权利要求1所述的一种加快验证及分析SMM安全隐患的方法，步骤2)获取可视化的bios源代码调用关系图、bios镜像的模块构成图具体包括：

21).使用工具1生成bios源代码的调用关系图，所述工具1包括doxygen和graphviz；

22).使用工具2生成bios镜像的模块构成图，所述工具2包括UEFITool。

4.根据权利要求1所述的一种加快验证及分析SMM安全隐患的方法，步骤3)获取与SMM相关的GUID标识，匹配bios源代码中与SMM相关的GUID和源代码编译生成的bin镜像中对应的GUID具体包括：

31).编译bios源代码生成bin镜像；

32).在bios镜像的模块构成图上获取与SMM相关的符合UEFI标准的GUID标识信息；

33).结合bios源代码的调用关系图，利用源代码编辑工具查看并定位bios源代码中SMM初始化、SMI分发及SMI handler部分与SMM相关的GUID标识，快速匹配bios源代码定位的GUID标识与通过上一步32)获得bin镜像GUID标识，记录匹配出错的GUID标识与出现安全隐患的源代码接口模块。

5.根据权利要求1所述的一种加快验证及分析SMM安全隐患的方法，步骤4)获取虚拟机的环境信息，设置断点抓取运行时的调用堆栈信息具体包括：

41).新建一个虚拟机硬件清单，在其中加入用bios源代码编译出的bin镜像，并使用qemu模拟器启动这个虚拟机；

42).在启动后的虚拟机上按照步骤1)中的12)通过相关命令获取虚拟机的环境信息，并记录环境信息；

43).以调试模式重启虚拟机以让虚拟机进入等待gdb连接状态；

44).在虚拟机上启动gdb工具，在gdb工具中连接虚机V；

45).由匹配出错的GUID标识，定位源代码出错的接口模块，通过gdb调试工具在对应的接口模块设置断点；

46).让虚拟机运行，gdb单步调试，抓取设置断点接口模块所设断点触发时的调用堆栈信息，利用打印命令打印并记录；

47).继续gdb单步调试，运行到下一断点，抓取设置断点接口模块所设断点触发时的调用堆栈信息，利用打印命令打印并记录；

48).重复上一步47)，直到执行完所有断点。

6.一种基于权利要求1至5任一项所述方法的加快验证及分析SMM安全隐患的系统，其特征在于，所述系统包括：部署单元、可视化单元、调试单元、验证及分析单元；所述部署单元分别与可视化单元、调试单元连接；所述验证及分析单元连接部署单元、可视化单元与调试单元；其中，

部署单元：用于装载并运行操作系统，装载、运行、编译系统固件，并查看与记录系统的硬件环境信息；

可视化单元：用于获取可视化的bios源代码调用关系图、bios镜像的模块构成图、与SMM相关的GUID标识，利用bios镜像中与SMM相关的GUID标识快速定位和匹配bios源代码中对应GUID的代码接口模块，记录匹配出错的GUID标识与出现安全隐患的源代码接口模块；

调试单元：用于在出现安全隐患的源代码接口模块设置断点，并通过触发断点抓取系统运行时断点附近的调用堆栈信息，记录获取的所有触发断点的调用堆栈信息；

验证及分析单元：用于整合部署单元、可视化单元、调试单元记录的信息以及bios源代码调用关系图，为加快验证及分析SMM安全隐患造成的软硬件问题提供条件。

Images