公开(公告)号：CN114925377B

公开(公告)日：2025-01-28

申请号：CN202210375920.6

申请日：2022-04-11

Applicant: 南京邮电大学

Inventor： 随唐 ,  吴礼发

IPC: G06F21/60 ,  G06F21/64

Abstract: 本发明公开了一种基于文件切片的加密固件识别方法，包括如下步骤：将固件均分为大小相等的文件切片，并设定基准值和偏差值；对每个文件切片读取长度固定的二进制数据，再转化为十六进制数据，如果十六进制数据中包含连续多个相同字符，便将该组数据舍弃读取下一组，直至读取全部文件切片；计算获取到的十六进制数据的信息熵，之后计算所有熵值的方差；计算方差与基准值的偏差，如果偏差大于偏差值，可以直接判断是否为加密固件，否则搜索文件切片中的魔术字再进行判断。本发明使用信息熵判断固件数据的混淆程度，通过文件切片读取部分数据，实现加密固件的识别，具有实现简单、准确性高、检测速度快等优点，适用于大批量的固件核查。

公开(公告)号：CN114925377A

公开(公告)日：2022-08-19

申请号：CN202210375920.6

申请日：2022-04-11

Applicant: 南京邮电大学

Inventor： 随唐 ,  吴礼发

IPC: G06F21/60 ,  G06F21/64

Abstract: 本发明公开了一种基于文件切片的加密固件识别方法，包括如下步骤：将固件均分为大小相等的文件切片，并设定基准值和偏差值；对每个文件切片读取长度固定的二进制数据，再转化为十六进制数据，如果十六进制数据中包含连续多个相同字符，便将该组数据舍弃读取下一组，直至读取全部文件切片；计算获取到的十六进制数据的信息熵，之后计算所有熵值的方差；计算方差与基准值的偏差，如果偏差大于偏差值，可以直接判断是否为加密固件，否则搜索文件切片中的魔术字再进行判断。本发明使用信息熵判断固件数据的混淆程度，通过文件切片读取部分数据，实现加密固件的识别，具有实现简单、准确性高、检测速度快等优点，适用于大批量的固件核查。