随着嵌入式系统技术的高速发展,嵌入式系统以系统精简、专用性强、实时性高等特点,逐步成为日常生活、办公设备、工业生产、医疗设施、交通控制等各个领域的核心组成部分。同时,近年来国家大力发展物联网,越来越多的嵌入式设备与Internet网络连接,给生产生活带来了极大方便,加速了数字信息时代的到来。但是,新的机遇也带来了新的挑战,与传统计算机相比,嵌入式设备功耗低、尺寸小,处理资源有限,这些特性也意味着其操作系统设计不能过于复杂,容易被恶意篡改,成为了网络上不法分子攻击的首选目标。嵌入式设备的处理器架构多样、功能各异,导致对于嵌入式设备的安全分析步骤复杂、专业知识要求严格,再加上人们的安全意识仍然薄弱,因此,目前对于嵌入式设备的安全研究发展较为缓慢。传统的嵌入式设备安全分析通常是基于特定的硬件设备,兼容性较差,无法成为一种通用的分析方法。本文基于QEMU全系统仿真模拟器对嵌入式设备进行模拟和监控,设计了一个通用的嵌入式设备自动化分析平台,该平台能够对Linux平台下ARM和MIPS处理器架构的嵌入式设备固件进行自动化的漏洞分析。本文的主要工作内容如下:1.编写爬虫下载主流嵌入式设备厂商官网上的固件,对于没有提供下载网页的设备,通过硬件接入的方式,用编程器读取设备存储芯片中的固件数据。2.对获取的固件集的二进制数据进行分析和分类,建立一个嵌入式固件的特征值数据表。3.对嵌入式设备常见的安全漏洞进行研究和分类,分析漏洞的生成原理和攻击形式。然后对静态和动态两类漏洞检测方法进行深入研究,编写漏洞检测脚本。4.对嵌入式系统固件进行全系统仿真,并使用多种自动化漏洞检测脚本对其进行攻击,检测是否含有漏洞。5.对本文的实验数据进行分析,并将本文设计的漏洞分析平台与两种现有的漏洞分析平台进行对比。经实验证明,本文设计的自动化漏洞分析平台可以有效的挖掘嵌入式系统中存在的漏洞。