固件安全与供应链分析服务面向IT、工控、物联网、车联网等多个领域的设备固件开展固件安全分析及供应链检查，一方面通过对固件元信息提取、固件自动解压缩、固件文件安全分析、组件漏洞关联分析等功能，发现固件在文件、组件和函数层面的安全漏洞及隐患，另一方面对固件中的组件、服务、系统等开展依赖分析、溯源分析、合规性分析等。可支持包括检测机构、安全厂商、设备厂商的安全测评、合规检查和产品安全测试等业务场景。

业务范围

固件漏洞扫描与风险评估：对固件进行全面的漏洞扫描，识别可能存在的安全漏洞，并对这些漏洞的风险进行评估，从而帮助客户了解固件的安全状况。

固件反汇编与逆向分析：通过反汇编和逆向分析技术，对固件进行深层次的解析，以了解固件的运行机制、代码逻辑以及可能存在的安全威胁。

固件加密与解密分析：对固件中的加密算法和加密数据进行分析，了解加密机制的安全性，同时尝试解密固件中的敏感数据，以评估数据的安全性。

固件更新与升级安全性评估：对固件更新和升级过程进行安全性评估，检查是否存在潜在的漏洞或风险，确保固件更新和升级过程的安全可靠。

固件供应链安全分析：对固件供应链的各个环节进行安全分析，包括供应商评估、原材料和零部件的安全性检查、物流环节的安全保障等，以确保固件在供应链中的安全性。

固件安全加固与修复：根据分析结果，对固件进行安全加固和修复，包括修复已知的漏洞、增强固件的安全机制、优化代码结构等，以提高固件的安全性。

固件合规性检查：根据相关的法律法规和标准要求，对固件进行合规性检查，确保固件符合相关的安全要求和标准。

固件安全咨询服务：为客户提供固件安全相关的咨询服务，包括安全策略制定、安全架构设计、安全培训等，帮助客户提高固件的安全性。

固件安全测试内容

信息提取：对固件元信息及特征信息进行提取，包括固件厂商、产品、设备类型、操作系统、指令集架构、文件系统、固件版本、存储器地址等信息；

敏感信息分析：对口令文件、二进制文件、配置文件、脚本文件、web组件、ssh文件的关键敏感信息等进行全面分析提取；

漏洞关联分析：组件级别漏洞关联，能够根据组件名称、版本等信息关联已知的CVE、CNVD、CNNVD等可信数据源漏洞信息；

动态模拟测试：构建固件运行时环境，模拟固件的操作系统、服务等，结合渗透测试流程，对运行时固件的安全分析。