基于多属性决策的嵌入式操作系统识别技术摘要:针对嵌入式固件逆向解析过程中操作系统类型识别困难的问题，提出了一种基于多属性决策的嵌入式操作系统识别技术。对固件映像中反映出的嵌入式操作系统的多种特征进行综合分析并构建了相关的识别模型，利用向量夹角余弦计算与标准系统之间的相似度,最后阐述了识别的基本思想和具体实现流程。实验结果表明，该方法在某些特征缺失的情况下仍能得到较准确的识别结果。关键词:嵌入式；固件；逆向解析；操作系统；多属性决策；向量夹角余弦；相似度embeddedsystemsrecognitionbasedonmulti.attributedecisionmakingzhangping*,jianglie.hui,liutie.ming,xieyao.bininstituteofinformationengineering,informationengineeringuniversity,zhengzhouhenan450002,chinaabstract:aimingattheproblemthatoperatingsystemtypeisdifficulttorecognizeinembeddedfirmwarereversinganalysis,anrecognitiontechnologywhichisbasedonmulti-attributedecisionmaking（madm)wasproposed.comprehensivelyanalyzedthemultiplyfeaturesinthefirmware,builtarecognitionmodel,calculatedthesimilarityusingthevectorincludedanglecosinemethod.thebasicideaofrecognitionandtheconcreterealizationoftheprocessweredescribed.experimentalresultsshowthatthismethodcangetmoreaccuraterecognitionresultsinsomecasesthatsomefeaturesaremissed.concerningtheproblemthatitisdifficulttorecognizeoperatingsystemtypeinembeddedfirmwarereversinganalysis,arecognitiontechnologybasedonmulti.attributedecisionmaking（madm)wasproposed.thepapercomprehensivelyanalyzedthemultiplefeaturesinthefirmware,builtarecognitionmodel,andcalculatedthesimilarityusingthevectorincludedanglecosinemethod.thebasicideaofrecognitionandtheconcreterealizationoftheprocessweredescribed.theexperimentalresultsshowthatthismethodcangetmoreaccuraterecognitionresultsinthecaseswithsomefeaturesmissing.keywords:embedded;firmware;reverseanalysis;operatingsystem;multi.attributedecisionmaking(madm);vectorincludedanglecosine;similarity0引言嵌入式操作系统逆向解析是嵌入式固件逆向解析的重要内容和难点之一，通过操作系统的逆向解析，可以实现对固件功能的理解，有利于嵌入式设备的维护和升级［1］。操作系统的逆向解析必须建立在操作系统类型已知的基础上。然而，在实际工作中，分析人员面向的往往是未知的二进制固件映像，无法确定操作系统类型、版本等相关信息，这样对该操作系统的逆向解析也就无从下手。所以操作系统类型的判别是操作系统逆向解析的前提和基础。目前针对该项研究较成熟的理论不多，大部分逆向分析人员通常采用关键字匹配的方法，即使用winhex、010editor等二进制分析工具对固件中出现的标识操作系统类型和版本的字符串进行匹配查找，再结合自身经验做出判定。这种方法存在很大局限性，由于特征过于单一，在某些特征信息缺失的情况下无法进行判别，该方法识别效果很不理想，