课程导论与安全背景
思科设备核心地位 · 后门威胁模型 · 隐藏账号/调试接口/硬编码密钥案例 · 学习路线图与实验环境总览
固件逆向工程基础
ELF/TRX/UBI解析 · binwalk/firmware-mod-kit · MIPS/ARM交叉编译环境搭建
固件获取与预处理
官网/第三方源获取 · 签名验证绕过 · 哈希校验 · binwalk自动化提取文件系统
文件系统分析与挂载
SquashFS/JFFS2/UBIFS · unsquashfs/mount挂载 · /etc/bin/lib结构 · 关键配置文件定位
静态字符串分析
strings提取可打印字符 · 筛选password/key/secret/debug · 硬编码凭据与后门账号发现技巧
二进制代码逆向入门
Ghidra/IDA Pro加载固件 · 函数识别与符号恢复 · Xrefs · 定位main与初始化流程
后门账号与隐藏用户分析
/etc/passwd & shadow · 硬编码用户凭证 · Web认证逻辑 · 隐藏调试账号
硬编码密钥与证书分析
SSL/TLS证书私钥提取 · SSH主机密钥 · API预共享密钥 · 密钥复用风险
隐藏调试接口分析
telnet/SSH调试端口 · UART串口启用逻辑 · Web后门页面(/debug/ /shell/) · ICMP/TCP隐蔽通道
Web界面后门分析
HTTPD/HTTPSD二进制 · 隐藏URL路由与处理函数 · Cookie/Session认证绕过 · 命令注入点
命令行后门与Shell注入
CLI解析器(IOS CLI) · 隐藏debug命令 · 环境变量注入 · system()/popen()调用
网络服务后门分析
Telnet/SSH服务端 · 认证绕过 · SNMP社区字符串后门 · NTP/DHCP隐蔽通道
动态分析环境搭建
QEMU模拟MIPS/ARM · 网络桥接与端口转发 · GDB远程调试 · Firmadyne/EMUX模拟器
动态调试与运行时分析
strace系统调用 · ltrace库函数 · GDB断点单步 · 运行时内存布局
网络流量分析与后门通信
tcpdump/Wireshark捕获 · DNS/HTTP/ICMP隧道 · C2心跳包特征 · 后门通信协议提取
固件补丁与修改技术
hexedit/binary patching · Ghidra Patch · 修改文件系统后重新打包 · 绕过完整性校验
自动化后门扫描工具开发
Python固件扫描器 · YARA规则引擎 · 字符串匹配与模式识别 · 后门分析报告生成
YARA规则编写与匹配
YARA语法基础 · 检测硬编码密钥 · 检测隐藏账号 · 检测调试接口
模糊测试与漏洞挖掘
AFL/libFuzzer对网络服务模糊测试 · crash分析 · 缓冲区溢出定位 · 漏洞验证后门
思科IOS-XE固件专项分析
IOS-XE文件系统(packages.conf) · SD-WAN/vManage · REST API后门 · CDP协议
思科ASA防火墙固件专项
ASA二进制架构 · VPN模块后门 · ASDM管理隐藏功能 · ACL绕过逻辑
思科交换机固件专项分析
IOS for Switch结构 · VLAN管理后门 · STP/CDP协议后门 · PoE控制模块
思科无线控制器固件专项
WLC架构 · 无线认证绕过 · 隐藏SSID/管理接口 · Roaming协议后门
思科IP电话固件专项分析
SIP协议栈 · 电话簿注入 · 隐藏拨号规则 · 音频流加密后门
供应链安全与固件签名验证
思科签名机制(RSA/ECDSA) · 签名绕过历史(CVE-2019-1862) · 固件完整性最佳实践
后门取证与归因分析
编译时间戳提取 · 开发者注释与调试符号 · 代码复用模式 · APT组织关联
防御与检测策略
网络流量异常检测(Zeek/Suricata) · 固件完整性监控(IMA) · 安全启动 · 固件安全审查流程
综合实战案例一:CVE-2020-3331
思科RV320后门 · 漏洞复现 · 后门Payload提取 · 检测规则编写
综合实战案例二:CVE-2023-20073
IOS-XE后门 · Web Shell植入 · 隐蔽账号提取 · YARA检测规则
课程总结与未来展望
后门攻击发展趋势 · AI辅助固件安全 · 零信任架构 · 学习资源与认证路径