క్రూజ్, ఆటోమేటెడ్ డ్రైవింగ్ టెక్నాలజీలలో ప్రత్యేకత కలిగిన కంపెనీ, ప్రాజెక్ట్ సోర్స్ కోడ్లు , ఇది Linux-ఆధారిత ఫర్మ్వేర్ చిత్రాలను విశ్లేషించడానికి మరియు వాటిలో సంభావ్య దుర్బలత్వాలను మరియు డేటా లీక్లను గుర్తించడానికి సాధనాలను అందిస్తుంది. కోడ్ గో భాషలో వ్రాయబడింది మరియు Apache 2.0 క్రింద లైసెన్స్ పొందింది.
ext2/3/4, FAT/VFat, SquashFS మరియు UBIFS ఫైల్ సిస్టమ్లను ఉపయోగించి చిత్రాల విశ్లేషణకు మద్దతు ఇస్తుంది. చిత్రాన్ని తెరవడానికి, e2tools, mtools, squashfs-tools మరియు ubi_reader వంటి ప్రామాణిక యుటిలిటీలు ఉపయోగించబడతాయి. FwAnalyzer చిత్రం నుండి డైరెక్టరీ ట్రీని సంగ్రహిస్తుంది మరియు నిబంధనల సమితి ఆధారంగా కంటెంట్ను మూల్యాంకనం చేస్తుంది. ఫైల్ సిస్టమ్ మెటాడేటా, ఫైల్ రకం మరియు కంటెంట్తో నియమాలు ముడిపడి ఉంటాయి. అవుట్పుట్ అనేది JSON ఫార్మాట్లో ఒక నివేదిక, ఫర్మ్వేర్ నుండి సంగ్రహించబడిన సమాచారాన్ని సంగ్రహించడం మరియు హెచ్చరికలు మరియు ప్రాసెస్ చేయబడిన నియమాలకు అనుగుణంగా లేని ఫైల్ల జాబితాను ప్రదర్శిస్తుంది.
ఇది ఫైల్లు మరియు డైరెక్టరీలకు యాక్సెస్ హక్కులను తనిఖీ చేయడానికి మద్దతు ఇస్తుంది (ఉదాహరణకు, ఇది ప్రతిఒక్కరికీ వ్రాత యాక్సెస్ను గుర్తిస్తుంది మరియు సరికాని UID/GIDని సెట్ చేస్తుంది), suid ఫ్లాగ్తో ఎక్జిక్యూటబుల్ ఫైల్ల ఉనికిని మరియు SELinux ట్యాగ్ల వినియోగాన్ని నిర్ధారిస్తుంది, మర్చిపోయిన ఎన్క్రిప్షన్ కీలను గుర్తిస్తుంది మరియు సంభావ్యంగా ఉంటుంది. ప్రమాదకరమైన ఫైళ్లు. కంటెంట్ వదిలివేయబడిన ఇంజనీరింగ్ పాస్వర్డ్లు మరియు డీబగ్గింగ్ డేటాను హైలైట్ చేస్తుంది, సంస్కరణ సమాచారాన్ని హైలైట్ చేస్తుంది, SHA-256 హ్యాష్లను ఉపయోగించి హార్డ్వేర్ను గుర్తిస్తుంది/ధృవపరుస్తుంది మరియు స్టాటిక్ మాస్క్లు మరియు సాధారణ వ్యక్తీకరణలను ఉపయోగించి శోధిస్తుంది. బాహ్య ఎనలైజర్ స్క్రిప్ట్లను నిర్దిష్ట ఫైల్ రకాలకు లింక్ చేయడం సాధ్యపడుతుంది. Android-ఆధారిత ఫర్మ్వేర్ కోసం, బిల్డ్ పారామితులు నిర్వచించబడ్డాయి (ఉదాహరణకు, ro.secure=1 మోడ్, ro.build.type స్థితి మరియు SELinux క్రియాశీలతను ఉపయోగించడం).
థర్డ్-పార్టీ ఫర్మ్వేర్లో భద్రతా సమస్యల విశ్లేషణను సులభతరం చేయడానికి FwAnalyzerని ఉపయోగించవచ్చు, అయితే దీని ముఖ్య ఉద్దేశ్యం థర్డ్-పార్టీ కాంట్రాక్ట్ విక్రేతల యాజమాన్యం లేదా సరఫరా చేసే ఫర్మ్వేర్ నాణ్యతను పర్యవేక్షించడం. FwAnalyzer నియమాలు ఫర్మ్వేర్ స్థితి యొక్క ఖచ్చితమైన వివరణను రూపొందించడానికి మరియు తప్పు యాక్సెస్ హక్కులను కేటాయించడం లేదా ప్రైవేట్ కీలు మరియు డీబగ్గింగ్ కోడ్ను వదిలివేయడం వంటి ఆమోదయోగ్యం కాని విచలనాలను గుర్తించడానికి మిమ్మల్ని అనుమతిస్తాయి (ఉదాహరణకు, తనిఖీ చేయడం వంటి పరిస్థితులను నివారించడానికి మిమ్మల్ని అనుమతిస్తుంది ssh సర్వర్ పరీక్ష సమయంలో ఉపయోగించబడుతుంది, ఇంజనీరింగ్ పాస్వర్డ్, చదవడానికి /etc/config/shadow లేదా డిజిటల్ సంతకం ఏర్పడటం).
మూలం: opennet.ru