異質無線多網安全檢測平台建置計畫

行政院國家科學委員會專題研究計畫 成果報告

異質無線多網安全檢測平台建置計畫

研究成果報告(完整版)

計 畫 類 別 ： 個別型 計 畫 編 號 ： NSC 98-2219-E-009-003- 執 行 期 間 ： 98 年 01 月 01 日至 98 年 12 月 31 日 執 行 單 位 ： 國立交通大學資訊工程學系（所） 計 畫 主 持 人 ： 謝續平 共 同 主 持 人 ： 曾文貴、黃能富、楊武、黃育綸、趙禧綠 黃世昆 計畫參與人員： 碩士級-專任助理人員：陳柏愷 碩士級-專任助理人員：卓政逸 學士級-專任助理人員：郭明華 學士級-專任助理人員：謝政翰 碩士班研究生-兼任助理人員：黃琨翰 碩士班研究生-兼任助理人員：邱世欣 碩士班研究生-兼任助理人員：黃佑鈞 碩士班研究生-兼任助理人員：許國祥 碩士班研究生-兼任助理人員：張詠承 碩士班研究生-兼任助理人員：彭博群 碩士班研究生-兼任助理人員：黃啟彥 碩士班研究生-兼任助理人員：王雅萱 碩士班研究生-兼任助理人員：許鴻生 碩士班研究生-兼任助理人員：鄭偉強 碩士班研究生-兼任助理人員：黃晉澤 碩士班研究生-兼任助理人員：黃錦銘 碩士班研究生-兼任助理人員：顏豪緯 碩士班研究生-兼任助理人員：官振傑 碩士班研究生-兼任助理人員：宋穎昌 碩士班研究生-兼任助理人員：施汎勳 碩士班研究生-兼任助理人員：劉雨芊 碩士班研究生-兼任助理人員：徐蘇偉

碩士班研究生-兼任助理人員：朱信儒 碩士班研究生-兼任助理人員：張書綸 碩士班研究生-兼任助理人員：游釗俊 碩士班研究生-兼任助理人員：朱慶峰 碩士班研究生-兼任助理人員：江孟寰 碩士班研究生-兼任助理人員：蘇修醇 碩士班研究生-兼任助理人員：王嘉偉 碩士班研究生-兼任助理人員：劉芳瑜 碩士班研究生-兼任助理人員：許銘佩 碩士班研究生-兼任助理人員：林晏蔚 博士班研究生-兼任助理人員：張宏義 博士班研究生-兼任助理人員：高迦南 博士班研究生-兼任助理人員：蔡欣宜 博士班研究生-兼任助理人員：甄元彬 博士班研究生-兼任助理人員：林煥宗 博士班研究生-兼任助理人員：沈宣佐 博士班研究生-兼任助理人員：林孝盈 博士班研究生-兼任助理人員：林佳純 博士班研究生-兼任助理人員：王繼偉 博士班研究生-兼任助理人員：李秉翰 博士班研究生-兼任助理人員：許家維 博士班研究生-兼任助理人員：姜淑華 博士班研究生-兼任助理人員：郭子綺 報 告 附 件 ： 出席國際會議研究心得報告及發表論文 處 理 方 式 ： 本計畫可公開查詢

中 華 民 國 99 年 03 月 24 日

行政院國家科學委員會補助專題研究計畫

■成 果 報 告

□期中進度報告

資通安全人才培育-國立交通大學資通安全研究與教學中心

計畫類別：

□個別型計畫

■整合型計畫

計畫編號：

NSC 98-2219-E-009-003

執行期間：

2009

年

1

月

01

日至

2009

年

12

月

31

日

計畫主持人：謝續平

共同主持人：曾文貴

協同主持人：黃能富、黃世昆、黃育綸、楊武、趙禧綠、吳育松

成果報告類型(依經費核定清單規定繳交)：□精簡報告 ■完整報告

本成果報告包括以下應繳交之附件：

□赴國外出差或研習心得報告一份

□赴大陸地區出差或研習心得報告一份

□出席國際學術會議心得報告及發表之論文各一份

□國際合作研究計畫國外研究報告書一份

處理方式：除產學合作研究計畫、提升產業技術及人才培育研究計畫、列

管計畫及下列情形者外，得立即公開查詢

□涉及專利或其他智慧財產權，□一年□二年後可公開查詢

執行單位：國立交通大學資訊工程學系

中

華

民

國

99

年

03

月

31

日

摘要

隨著無線網路的盛行，無線網路攻擊行為層出不窮，這對政府機關、財團法人與高科技廠 商已經造成重要內部資訊的洩露及金錢的嚴重損失。對政府機關 (例如：國安局、中科院等) 而 言，期待有全面性的安全檢測工具可檢測其內部所使用的無線網路設備及無線軟體是否有安全 漏洞及弱點。而財團法人 (例如：資策會、工研院等)所推行的校園無線漫遊整合計劃及 WiMAX 科學園區建置計劃也希望有合適的安全檢測工具能夠檢測與滲透分析無線行動裝置、Base Station (BS)及無線漫遊伺服器 (Roaming Server)的安全性。產業界 (例如：中華電信、微軟、 聯發科技、友訊、威播、明泰、宏碁、阿碼科技等)而言，希望能夠有完整的檢測工具可以檢 測他們開發的無線設備或者無線設備內的系統與應用軟體上是否存在安全漏洞。然而目前市面 上並沒有完整及合適的安全檢測工具可以提供檢測服務給上述單位。為了滿足政府機關、財團 法人與高科技廠商對於無線網路安全檢測服務的迫切需求，本計畫在 98 年執行初期便邀請工 研院、資策會、國安局、中科院、明泰科技等單位共同協助規劃，建置一異質無線多網安全檢 測實驗室，並開發一異質無線多網安全檢測平台 (WiSec@NCTU)，目前此平台可分成異質無 線多網核心網路安全檢測以及行動裝置滲透檢測兩大部份。在 98 年的計畫執行期間我們建置 與開發總共 13 個子系統與工具用以檢測異質多無線網路 (WiFi、WiMAX 及 3.5G)與有線網路 （wired）互動下無線網路設備、無線行動裝置、軟體程式的安全性。在 98 年，本計畫有豐碩 的成果。我們在 98 年發表於國際期刊之論文共有 8 篇，而發表於國際研討會之論文數共 7 篇。 另外，我們在技術移轉與產學合作方面的成果包括技術移轉（軟體授權）共 5 件，總金額為 290 萬、技術服務共 4 件，總金額為 220 萬、產學合作共 6 件，總金額為 877.5 萬。另外我們也提 供了 5 件檢測服務。藉由此平台的建置與檢測工具的開發，我們可提供政府機關、財團法人及 高科技廠商無線網路安全檢測的服務，幫助上述單位發現漏洞及弱點。此外，我們所建置的工 具可為產業界創造上億元以上的經濟效益、提升無線產品附加價值、節省因網路攻擊或系統弱 點所消耗的產值、節省專業檢測人力並且有效減少無線網路環境的攻擊。 關鍵字: 異質無線多網安全檢測、行動裝置滲透檢測、惡意軟體檢測、軟體程式安全檢測

Abstract

With the increasing prevalence of wireless networks, numerous attacks have occurred frequently these years. These wireless network attacks have great impact not only on government agencies, but also on private sectors. The illicit behaviors may cause sensitive information leaked and serious monetary lost. Unfortunately, the current tools are not designed for the security testing of wireless systems and software. To ensure our efforts will fit into the need of government agencies, research institutes, and wireless equipments manufactures, the engineers and technical leaders of ITRI, III, CSIST, NSB, and Alpha Networks have been invited to participate the planning of this project at the beginning stage. The aim is to construct a heterogeneous wireless multiple network penetration testing lab, and develop a heterogeneous wireless penetration testing platform (WiSec@NCTU). We have developed and established thirteen penetration testing systems and tools. These systems and tools can be divided into two categories: wireless network penetration test and mobile devices penetration test. These developed subsystems and tools can examine and test security issues on heterogeneous wireless network (WiFi, WIMAX, and 3.5G), wired wireless devices, mobile wireless devices and software. TWISC@NCTU has close relationship with Taiwan high-tech companies, government, and research institutes. In respect to technology transfer, we have transferred five novel technologies to National Security Bureau (NSB), Industrial Technology Research Institute (ITRI), and Chunghwa Telecom. In regard to industrial collaboration, Chung-Shan Institute of Science & Technology, MediaTek, ITRI, and D-Link are currently involved in our center. TWISC@NCTU also provides technical services to NSB, ITRI, Taipei Computer Association (TCA), and Institute of Information Industry (III). We hope government agencies and Taiwan industries can benefit by using these tools to examine and evaluate their wireless networks or mobile devices.

Keywords: heterogeneous wireless network penetration test, mobile devices penetration test,

一、 背景

以下將針對本計畫之背景，分成國內需求現況、異質無線多網安全議題與行動裝置安全議 題三大部份來分別介紹。

 國內需求現況

現代人追求無線的便利性，促成無線網路的盛行。然而無線網路攻擊行為層出不窮， 這對政府機關、財團法人與高科技廠商已經造成重要內部資訊的洩露及金錢的嚴重損失。 對政府機關(例如：國安局、中科院等) 而言，會希望有全面性的安全檢測工具可檢測其內 部所使用的無線軟體及無線網路設備是否有安全漏洞及弱點。而財團法人(例如：資策會、 工研院等)所推行的校園無線漫遊整合計劃及 WiMAX 科學園區建置計劃也希望有合適的 安全檢測工具能夠檢測無線漫遊伺服器(Roaming Server)、Base Stataion (BS)及核心網路的 安全性。高科技廠商(例如：友訊集團、明泰科技、中華電信與宏碁等)而言，希望能夠有 完整的檢測工具可以檢測他們開發的無線設備或者無線設備內的應用軟體上是否存在安 全漏洞。然而目前市面上並沒有完整及合適的安全檢測工具可以提供檢測服務給上述單 位。為了滿足政府機關、財團法人與高科技廠商對於無線網路安全檢測服務的迫切需求， 本計畫建置一個異質無線網路安全檢測平台，開發相關的安全檢測工具與系統，提供(1) 異質無線多網安全檢測與(2)行動裝置之系統與軟體安全檢測，前者包含無線區域網路 WiFi 滲透檢測、3.5G 和 WiMAX 核心網路滲透檢測，後者包含行動裝置軟體弱點檢測、 惡意軟體 malware 偵測、惡意網頁滲透惡意程式檢測以及無線系統滲透檢測，以滿足國內 目前對於無線網路安全檢測上的需求。

 異質無線多網安全議題

無線網路提供使用者無拘無束的網路使用環境，但無線網路封包在開放的空間中以電 波傳送，一般人可以輕易地就抓取封包，因此帶來更多安全的威脅。為了讓使用者即使在 移動的環境下仍享有高速且穩定的網路服務，於是各種不同的無線網路標準因應而生， 如：Wi-Fi、3G、3.5G 和 WiMAX。但由於無線網路通訊協定的設計不良、加密方式等缺 陷，導致許多無線網路安全上的問題亟待解決。以下我們列舉一些在 Wi-Fi、3.5G 和 WiMAX 上常見的安全議題。  無線區域網路(Wi-Fi)的安全議題

IEEE 於 1999 年提出了 802.11 的 WLAN 通訊標準，以此標準為基礎的 Wi-Fi 為 現今普及的無線網路應用。目前以 2.4GHz 頻段之 11b 及 11g 為主流，最高傳速達到 54Mbps(11g)。而 802.11n 的傳輸速率為 300Mbps。在資料傳輸過程，可使用 WEP 或 WPA 加密認證機制來加密傳遞的資料。以下列舉常見發生於無線區域網路安全上的 問題： － 通訊協定的設計不良：通訊協定的設計不良造成阻斷服務攻擊 (DoS Attack)。阻 斷服務攻擊最為常見也最難防範的攻擊之一。現今的駭客不需要有高超的技術或

者知識才可進行攻擊，因為許多 DoS 攻擊程式都可相當容易取得，使得網路攻擊 事件更為泛濫。

－ 加密方式存在漏洞：雖然 WEP 或 WPA 這兩種加密認證機制號稱可提供資料機密 性 (Data Confidentiality)，但已有研究指出 WEP 金鑰可以在很短的時間之內被破 解，而 WPA 金鑰亦有可能被攻擊者使用字典攻擊的方式破解，這使得資料的安全 性受到嚴重的威脅。 － 隱私及秘密洩漏的風險：由於資料在無線環境中是經由無線傳輸，在傳送範圍內 的所有人皆可收到網路封包，因此更容易遭到他人的竊聽，所以如何保持資料的 安全不被惡意人士所竊聽及盜取是無線網路使的一大問題。 － 無線網 路硬 體上 的缺 陷： 利 用 802.11 直 接序列 展頻 (direct-sequence spread spectrum, DSSS)協定的漏洞，雖然不能截擊或修改封包資料，但是卻可以對資料 封包傳送的可靠度(reliability)造成威脅，使得在範圍內的使用者無法正常使用線上 資源或是溝通訊息。  無線都會區域網路(WiMAX)的安全議題

WiMAX 系統架構如圖 1-1 所示，包括 SS/MS、ASN、CSN 及 ASP，其定義與功 能如下所述：

－ SS/MS：固定式用戶端 (Subscriber Station, SS)與行動式用戶端 (Mobile Station, MS)。

－ BS：WiMAX 基地台 (Base station, BS)，它使用方向性天性來增加其覆蓋範圍與 無線頻寬，強化傳輸效果，使得 BS 覆蓋範圍下的 SS 可透過 BS 存取網路服務。 － 存取服務網路 (Access Service Network, ASN)：提供 WiMAX 用戶無線存取服務，

並傳送認證、授權及交易計價訊息 (Authentication, Authorization, and Session Accounting)訊息給 WiMAX 用戶端所屬的家庭網路服務供應商(Home Network Service Provider, H-NSP)，以維持連線狀態。

－ 連線服務網路 (Connectivity Service Network, CSN)：提供 WiMAX 用戶 IP 連線服 務，包括 MS 的 IP 位址及連線參數設定，亦可作為 AAA 代理伺服器來管理及控 制用戶端存取能力，支援用戶端漫遊於不同 CSN 所需的服務。

－ 應用服務供應商 (Application Service Provider, ASP)：提供各種應用或服務的商業 組織，通常為 V-NSP 或是 H-NSP。

圖 1-1、WiMAX 網路架構圖 在 WiMAX 的環境下，攻擊者可藉由監聽得到使用者傳送的私人資訊，並發送惡 意的錯誤訊息。因此，如何判斷並提醒使用者所處的 WiMAX 環境私密性以及使用者 進行的網路使用行為是否被監聽亦是一個很重要的議題。被監聽的資訊在經過攻擊者 有系統或長時間的蒐集後，會對使用者造成一定程度的威脅。除了沒加密過的資訊可 以直接被攻擊者得知外，攻擊者還可針對各種協定封包的分析來進行更進一步的破壞 動作。而即使是加密後的資料，攻擊者也能蒐集一定的數量後，破解出使用者所使用 的加密成鑰或是解得一些資訊等。所以監聽對於 WiMAX 使用者而言是非常危險的攻 擊手法。另外，由於核心網路的重要性使其經常成為被攻擊的對象。若核心網路沒有 受到任何保護，很容易被攻擊者攻擊進而無法服務合法使用者。

針對 WiMAX 核心網路，我們分別探討 AAA 伺服器 (Authentication-Authorization-Accounting server) 及 DHCP 伺服器所遭受到的安全風險：

－ AAA 伺服器: AAA 伺服器主要提供認證 SS 的服務，因為 WiMAX 中只有 BS 透 過 AAA 伺服器對 SS 進行身份認證程序，卻缺乏 SS 對 BS 的身份認證。因此， 在沒有對 BS 進行驗證的同時，惡意的攻擊者可以假造 BS 進行 Man-in-the-Middle 攻擊，即 SS 以為自己在跟預期中的 BS 進行溝通，但其實中間是透過一個惡意 的攻擊者在轉送雙方的資訊。除了認證上的安全性之外，由於 AAA 伺服器還需 負責計算 SS 的費率，配置上需注意 AAA 伺服器所能承載 SS 的數量，避免因攻 擊者偽造流量或偽造大量 SS 來降低 AAA 伺服器效能，甚至癱瘓 AAA 伺服器， 使其無法再進行認證與計費的服務。 － DHCP 伺服器: 在 WiMAX 的設計中，每一個 SS 需要有一個網路卡位址。SS 在 與 BS 取得連繫之後，可要求 DHCP 伺服器將網路卡位址轉成一個 WiMAX IP。 DHCP 伺服器必須提供穩定的服務品質，否則可能大量 SSs 同時註冊或偽造許多 網路卡位址來換取大量的 WiMAX IP 時，會造成後端 DHCP 伺服器當機，無法

再繼續服務其他合法使用者。  3.5G 無線網路的安全議題

3.5G 提供無所不在上網通訊便利性，然而 3.5G 無線網路的安全議題也逐漸受到 電信業者與研究學者的重視。3.5G 無線網路的安全議題包括可能發生於服務核心網 路 (core network) 的攻擊行為或用戶端手持式行動裝置 (mobile device)的滲透行為。 核心網路的攻擊行為可能造成某些網路節點無法提供路由服務，使得某些網路區 段中斷網路連線服務；也可能使某些核心服務伺服器因惡意的服務要求，造成系統過 載，而無法對正常的要求提供適當的服務。 舉例來說，如果核心網路裝置或行動網路裝置中在上線運轉前，未檢測出其潛在 的系統漏洞或應用軟體弱點，則可能使這些裝置容易遭受到駭客攻擊，而成為殭屍網 路的一員。經分析當成為殭屍網路的網路裝置或行動裝置數量達到約萬台時，擁有控 制此殭屍網路的主事者，便可協調在特定時間大量傳送不當的服務要求 (如: call forwarding 要求)，使此網路系統因遭受 DDoS 攻擊，而造成整個核心網路的癱瘓。 這 些攻擊，都很可能導致業者的重大損失。在行動網路裝置方面，常見的攻擊包括： － 網頁內嵌木馬攻擊：此為目前最流行的攻擊方式之一。攻擊者將惡意程式碼植入 使用者經常瀏覽的網頁中。當使用者開啟該網頁時，惡意程式碼將可以竊取隱 私資料、植入後門程式，甚至獲得該系統的管理者權限。此攻擊可導致使用者 資料外流，也可能讓使用者的系統崩潰或者成為攻擊者可控制的殭屍機器。 － 網際網路釣魚攻擊：此攻擊目的是誘使使用者進入偽造的網站，騙取使用者的帳 號、密碼、甚至個人重要機密資料。常見的誘使手法須搭配網域名稱伺服器 (Domain Name Server, DNS)攻擊、竄改 ARP 封包、偽造重要信件使受害者相信 信件指示、或是使用相似的網址使受害者一時不察而誤以為偽造網址是可信任 的。 － 駕駛攻擊 (War Driving)：駕駛攻擊是被動式攻擊的一種，藉由簡單的設備(如接 收力強的天線)搭配軟體，沿街搜集行動網路拓樸資訊，在網頁上以地圖方式公 佈特定區域的網路路由資訊。有心人或許會利用安全防護不足的網路節點發動 其他攻擊。 － 冒充 (Masquerade)：攻擊者冒充他人的身份欺騙認證系統，得到進入某個網路的 資格。以下簡單介紹可應用於行動網路之 IP 假造與欺騙方法。攻擊者先利用阻 絕服務攻擊(DoS attack) 讓使用者的裝置無法對外連線，避免自己假冒使用者裝 置的行為被發現。隨後修改自己送出的封包之標頭 (header)，把 IP 位址改成原 使用者的 IP 位址，欺騙路由器 (router)或防火牆這個連線是來自可信任的網路， 因而得到連線的資格。 － 竊聽 (Eavesdropping)：無線通訊經空氣傳播的特性，可以讓攻擊者輕易取得與儲 存整個網路中流通的資料；即使訊息經過加密，仍需提防攻擊者從得到的部分 訊息中分析取得重要資訊。攻擊者可以為了自己攻擊的需要而在網路中傳播某 些訊息；攻擊者也可以透過被記錄下來的封包或明文裡的資訊，找到加密的金 鑰並用來解密其他封包。

設備竊聽無線網路上的封包，並針對網路通訊的流量、內容，以及行為等進行 分析；透過通訊內容或流量分析，可得到目標網路的資料，如伺服器位址、通 訊模式等。由於攻擊者只在電腦前觀看網路上傳送的封包，所以不會留下任何 線索。利用監聽模式配合軟體如 Kismet，可竊聽並儲存通訊內容；某些竊聽軟 體可以將通訊的內容以模擬終端機的形式展現，竊聽者可以看到與使用者一模 一樣的終端機畫面。 － 中間人攻擊 (Man-in-the-Middle Attack)：攻擊者冒充合法的使用者與基地台建立 連線，同時冒充合法的基地台提供行動裝置進行連線服務，如此，合法的基地 台與使用者之間傳送的資料必須通過攻擊者的裝置。攻擊者讓自己的裝置能在 使用者與基地台之間讀取或修改傳遞的訊息，卻不被通訊雙方所察覺。此攻擊 必須在攻擊者具有基地台通訊裝置之前提下方可能達到。 以現行機制來說，目前對於用戶端行為之防範只能採取較消極的控管方法。例如 使用干擾器阻斷 3.5G 封包傳輸，或是在用戶端電腦安裝監控軟體以進行監控。但是 前法會造成行動裝置無法通話、無法發送簡訊等問題；後者則因涉及使用者隱私，使 得使用者接受度低。

 行動裝置之安全議題

以下分別討論攜帶型電腦與 Android 應用軟體的安全議題。  攜帶型電腦(NoteBook、NetBook)之安全議題 攜帶型電腦如同桌上型電腦，只要裝有作業系統就無可避免的存在著系統安全的 問題，攻擊者可能會利用作業系統的漏洞或是弱點來進行攻擊。為了讓系統減少受到 攻擊，使用者應當正確的使用電腦，但是一般的使用者最常發生的就是缺乏安全意識 的使用行為導致系統有弱點與漏洞存在，舉例如下： － 使用者沒有定期更新軟體：根據 AOL/NCSA 的研究指出只有百分之二的人有定期 更新最新版本的軟體，而有將近百分之八十的電腦中含有間諜程式或是廣告程 式，平均每位使用者的電腦中有九十三個廣告和間碟軟體。如此多的惡意軟體以 及只有少數的人能做到更新的動作，使得絕大多數的電腦有漏洞存在，但使用者 卻不自知。 － 使用者沒有將未使用的服務關閉：絕大多數的使用者都未必知道自己系統的哪些 服務端口(Port)是開啟的，因此駭客可能會利用一些未曾使用的服務端口來滲透系 統進行攻擊或竊取資料，甚至系統有可能被植入惡意軟體讓電腦變成跳板進而幫 助駭客去竊取別人的資料，但使用者本身卻不知道。 除了以上的安全性問題，攜帶型電腦 (NoteBook、NetBook)還會因為使用者在使 用 Wi-Fi 無線上網時可能會遭遇到駭客的攻擊，而一般攜帶型電腦在使用 Wi-Fi 無線 網路時會遭遇到的安全問題舉例如下： － 加密方式存在漏洞：使用者使用 Wi-Fi 無線上網時選擇了較不安全的加密機制，

例如：WEP 加密認證機制。目前已經有研究指出美國 FBI 的一個團隊可以在三分 鐘之內成功破解 WEP 加密 [1]。因此，如果使用者選擇使用 WEP 加密並且在傳 輸個人資料時，例如：銀行帳號。那麼很有可能加密的資訊將會被駭客攔截並且 遭到破解，使得資料的安全性受到嚴重的威脅。

－ 中間人攻擊 (Man In The Middle Attack)：在無線網路的環境中，由於資料是經由 無線傳輸，而駭客可能會利用假冒的無線 AP 存取點 (Access Point)扮演著中間人 的角色，進行中間人攻擊，駭客將會監聽使用者或是竊取使用者的個人私密資訊。

近年來於攜帶型電腦的發展上，比起 Notebook，廠商更致力於 Netbook 的發展。 由於 Netbook 的產品定位為更專注於網際網路的漫遊，所以當 Netbook 沒有安裝防毒 軟體或是防惡意程式的軟體，那麼系統中電腦病毒的機率就會大大的增高。根據 2009 年 Symantec MessageLabs 網路安全報告指出，web 網頁目前仍然是惡意程式的主要來 源，並且約有 34.2%為全新出現的類型 [2]。所以，Netbook 的使用者在使用 Netbook 瀏覽網際網路時更需提防惡意程式。但是，在 2008 至 2009 年期間，隨著 Netbook 快 速的發展與大量的銷售 [3]，也因為市場導向機制，企業必須要降低生產的成本，因 此有可能導致 Netbook 的安全性也跟著降低，舉例如下：

－ 在硬體部分 Netbook 比起 Notebook 缺少了可信任平台模組 (Trusted Platform Module, TPM)，或是生物辨識技術的安全保護機制，因此若 Netbook 不小心遺失 或是被竊取時，根本無法達到資料保密的防護性 [4]。 － 企業為降低成本，價格較低的 Netbook 並沒有預先安裝試用版的防火牆或是防止 惡意程式的軟體，所以使用者很有可能第一次使用 Netbook 上網瀏覽網頁或是收 取電子郵件時，系統就中了電腦病毒或是被植入惡意程式 [5]。 目前主要購買 Netbook 的用戶，較多為一般用戶而非企業用戶，對於一般用戶在 使用 Netbook 可能不會察覺到的安全事項舉例如下： － 定期更新軟體，例如：更新瀏覽器。一般使用者多半使用 Netbook 上網瀏覽網頁 或是收發電子郵件，使用者必須定期的更新軟體，這樣系統才不會存在漏洞以致 於遭到攻擊。 － 安裝防毒軟體：Netbook 出廠時所搭載的防毒軟體均為試用版本，目的為避免可 能第一次在網際網路瀏覽網頁時就中了電腦病毒或被植入惡意程式。但試用期過 後，使用者往往沒有察覺試用版的防毒軟體已經過期，導致電腦沒有更新病毒碼 以致於增加系統中電腦病毒的風險。 對於企業用戶，目前 Netbook 出廠時所搭載的作業系統版本多為 Windows XP Home Edition，安全性較 Windows XP Professional 不足。因此，如果企業用戶使用 Netbook 透過 Wi-Fi 無線網路瀏覽網頁時，有可能系統會中電腦病毒或是被植入惡意 程式導致企業的資料被竊取。

定期更新防毒軟體的病毒碼和一般軟體的補丁程式(patch)，避免在瀏覽網頁或收發電 子郵件時系統中了電腦病毒或者惡意程式，並且在使用 Wi-Fi 無線上網時，要選擇具 安全性的無線存取點(Access Point)，避免遭受到中間人攻擊，個人資料被監聽和竊取。  Android 應用軟體之安全議題 隨著智慧型手機的發展以及市場的需求，Google 在 2007 年推出 Android 手機作 業系統，並且結合各家手機廠商，讓手機作業系統趨向開放且可自由修改。然而在智 慧型手機上，因為使用者可以修改作業系統底層的元件，而使得安全問題的重要性逐 漸被重視。

Android 發展的動機，除了提供一個 Open Source 的環境讓廠商可以節省平台授 權費，不必被層層剝削，而開發者也能在開發應用程式上獲取更多的自由外，還有一 個重要的因素：讓應用程式可以在不同平台上通用，不必花費時間及精力對應用程式 作跨平台的改寫。Android 系統底層以 Open Source 界最著名 Linux Kernel 為基礎，它 只提供最基本的運作功能。而最有附加價值的應用軟體部份則可自行開發，以 Java 作為編寫程式的一部分。Android 採用了軟體堆層 (Software stack)的架構，主要分為 三部分：

－ 語言部分

Android 使用的語言與 Java 並沒有不同。 － 虛擬機器

Android 使用的虛擬機器稱為 Dalvik，它認識的指令集並不是 Java bytecode，而 叫 Dalvik executable，簡稱 dex。Android 軟體開發套件 (Software development kit, SDK)裡提供了一個工具程式叫 dx，可以把 Java bytecode 再轉換成 Dalvik 所支援 的 dex，這樣 Dalvik 就知道怎麼執行它。為了適合在電話這種比較小型的平台 上使用，Dalvik 做了許多最佳化的處理，例如減低記憶體的使用、偵測某些裝置 是否閒置而暫時關閉以節省電力以及可以有效率的同時執行多個程式。

－ 函式庫

Android 提 供 了 大 部 分 的 Standard Java Library ( 來 自 於 Apache Harmony Project)，並把他們轉換成 dex 的格式，如此 Dalvik 才認得。除此之外，還提供 了很多獨有的函式庫，讓使用者可以直接呼叫來使用電話、GPS 等元件，或者是 一些視覺的元件來取得跟其他 Android 程式相同的外觀。Android 虛擬機器與函 式庫合稱 Android Runtime。

在 Android 平台上，目前出現的攻擊可以簡單分為兩大類：

－ 第一類是 JNI (Java Native Interface)所呼叫函式庫的漏洞，因為 Android 本身的函 式庫是用 Java 撰寫而成，Java 程式本身會經過 JVM (Java Virtual Machine)的檢 查，因此可以減少大量的漏洞及問題。但是外部呼叫的函式庫 (例如：瀏覽器引 擎、藍芽函式庫等等)絕大部分是用 C/C++編寫的，執行時可能含有 buffer overflow 的問題而導致整支手機被入侵。

通訊標準制定上的漏洞而形成的攻擊，例如在藍芽資料傳輸中，可能遭受 DoS、 Password crack 的攻擊。

二、 相關研究

以下將針對各研究範疇，介紹目前國內外相關研究。

 異質無線多網檢測方面

以下我們將無線網路分成兩大塊討論，一為3G 核心網路之滲透系統，另一為 WiMAX 核心網路之滲透系統。  3G 核心網路之滲透系統 滲透測試 (Penetration Test)為一種檢測網路資訊安全的手段 [24]，不同於傳統的 資訊安全測試方法，滲透測試的概念是用真實駭客的思維角度與手法，來對目標網 路、主機或是系統進行攻擊測試。此外，滲透測試之成效取決於滲透路徑之選取，這 也是與傳統弱點檢測極為不同之處 [25]。滲透測試的過程就如同真實的攻擊事件，可 以呈現受測者實際脆弱的環節，以及得知受測者的安全強度與攻擊者可能的攻擊路徑 與方法。受測者再藉由測試的結果報告，進一步的補強安全性或是更新系統以達到最 佳的防護效果。 滲透測試由一連串的測試步驟、搭配使用不同的軟體和分析方法組合而成。其可 粗分成三大步驟，分別為探測、弱點掃描與攻擊和結果分析 [26]。探測是滲透測試的 第一步，合適的受測目標能幫助系統管理者更佳且有效率地掌握網路系統的弱點；反 之，若是受測目標選取不當，即便測試結果也能成為系統管理者的參考依據，但將無 法反映出網路的核心問題。3.5G 行動網路滲透測試與有線網路滲透測試或是無線網路 滲透測試相同，測試的第一步皆是先探索與推測網路拓樸，進而分析探測結果找出關 鍵的受測目標。而不同網路層級的滲透測試皆有其意義，多層級的測試可以幫助系統 管理者或是網路服務提供者 (Internet Service Provider，簡稱 ISP) 瞭解更全面同時也 更精確的系統弱點。

3.5G 行動網路滲透測試可以分為許多不同層級的測試，如路由 (router) 層級測 試、ISP 層級測試或是自治系統 (autonomous system)層級測試等等，因此全面且完整 的 3.5G 行動網路滲透測試應涵括多個層級的測試目標。

不論是針對哪一個網路層級進行探測，網路探測的相關研究多半是建立在 traceroute 這個探測工具得到的單一路徑之上，進而從有限的路徑擴展至全面性的網際 網路或是網路服務提供者的拓樸。traceroute 的工作原理如下：首先，traceroute 送出 ICMP (Internet Control Message Protocol 網際網路訊息控制協定, ICMP)封包至受測的 目標主機，每個 ICMP 封包指定不同的存活時間 (Time To Live, TTL)，TTL 長短會決 定封包是否可以到達受測目標。若是 TTL 太短以致封包無法到達，亦即，TTL 的長 度只允許該封包到達發送主機和受測目標主機之間的某一路由器，則該路由器會丟棄

封包並且回傳 ICMP 逾時封包給發送主機。發送主機接收到逾時封包後，便會累加 TTL 數值並且重新傳送 ICMP 封包，傳送封包的動作會持續到發送主機接收到由目標 主機回傳的 ICMP 回應封包為止。藉由這樣發送 ICMP 封包的探測方式，發送主機便 能收集得到其與目標主機之間的路徑。

Mercator [20] 是一個探測網際網路路由層級拓樸的程式，Mercator 採用一種名為 informed random address probing 的啟發示 (heuristic) 技術進行探測，它可以從任一位 置上的單一主機進行發送探測封包，且從有限的跳躍點 (hop) 的探索來推演得到全面 的網路拓樸。 此外，基於此啟發示技術，Mercator 能以之前的探測紀錄篩選出可行 的受測 IP，它不需要如邊界閘道協定 ( Boarder Gateway Protocol，簡稱 BGP)路由表 格等外部資訊亦能大幅減少不必要的探測次數。Mercator 亦支援路由器接口別名解析 (alias resolution)，它可以判別哪些 IP 位址是屬於同一個路由器，以增加網路拓樸探測 的準確度與保真度。Magoni 等人 [21] 在 2005 年提出了名為 nec 的網路拓樸繪製軟 體，該軟體是以 traceroute 工具為基礎以取得基本的路由路徑。與 Mercator 不同，nec 是由大量的位於不同位置的主機對事先決定的目標主機進行路徑探索，而非隨機選取 目標主機。另一個與 Mercator 的差異是，nec 除了可以探索路由層級的網路拓樸外， nec 也支援自治系統 (autonomous system)層級的拓樸探測。

除了路由層級與自治系統層級，許多專家學者亦提出了針對網路骨幹 (backbone) 拓樸的探測方法。Barford 等人 [22] 認為進行網路骨幹拓樸探索時，與被動的受測 目標主機的數量相比，主動探索的來源主機的數量相對地小，因此骨幹拓樸的探索方 法必須是基於此特性的設計。Barford 等人亦討論了增加來源主機和目標主機的數量 對於探測準確度的影響。從他們的實驗結果可以得知，對探索網路拓樸而言，增加目 標主機的數量的影響性和重要性遠勝於增加來源主機的數目。

Rocketfuel [23] 是由 Spring 等人設計開發的 ISP 網路拓樸探測引擎。與先前介紹 的其他方法或工具不同的是，Rocketfuel 專注於單一的 ISP 骨幹拓樸的探索，只對進 出該 ISP 的路徑感興趣。Rocketfuel 利用邊界閘道協定 ( Boarder Gateway Protocol， 簡稱 BGP)路由表格過濾與 ISP 骨幹無關或是沒有進出該 ISP 的路徑。此外，若是有 兩條不同的路徑但都經由同一個路由位址進入或是離開 ISP 骨幹，則 Rocketfuel 只會 保留其中一條；這是因為 Rocketfuel 的重點在於探測單一 ISP 的骨幹網路，Spring 等 人認為當數條路徑皆由同一個路由器進入/離開骨幹時，可以推測這些路徑在骨幹內 部的片段路徑是相同的，因此只需保留一條以降低分析的運算量、提昇分析效能。 Spring 等人以 Rocketfuel 探測得到 10 家 ISP 的骨幹網路拓樸，並且徵詢 ISP 的協助以 確認探測結果的保真度。其中有三家 ISP 回應了 Spring 等人的問卷，他們同意 Rocketfuel 得到的探測結果具有很高的保真度。  WiMAX 核心網路之滲透系統 WiMAX 之保護資訊和網路安全的途徑有很多種，滲透測試是其中最有效的一種 途徑，可以在攻擊者分析、滲透、攻擊某個系統之前，先行瞭解該系統的安全問題與 弱點。也因此，網路滲透分析工具近幾年來開始逐漸受到各界重視。這些滲透測試與

分析主要是透過信任的第三方(Trusted Third Party, TTP)所進行的一種評估網路系統安 全等級的活動。利用駭客攻擊工具，TTP 可以對企業網路進行各種攻擊，並試著找出 網路系統中所存在的安全漏洞，從而評估該網路存在的安全風險。常見幾種 Penetration Testing Tools 可以分為兩大類：偵測工具與探勘工具。前者包括 Nmap、Nessus 及修 改封包與破解密碼的工具。Nmap 是一種常見的連接埠掃描工具，常用於系統滲透的 偵查階段。由於不同作業系統對不同的網路封包會有不同的反應，所以 Nmap 通常會 利用資料庫內所記錄的資料及封包的回應狀況猜測作業系統的種類，其結果通常可以 提供攻擊者有用的資訊片段，使攻擊者有機可趁。Nessus 是一種常見的弱點掃描工 具，是許多網路安全專家常用的系統。常見於掃描、測試及辨識系統弱點。大部分情 況下，Nessus 會依據系統的反應作判斷，而不需要真的勘測系統內部。許多時候，使 用者會讓 Nessus 搭配 nmap 掃描待測系統。Hping 是一種竄改封包的工具，可用來產 生或傳送各種精心設計的 TCP/IP 封包，用以測試或偵測網路安全保護機制 (防火牆 或 IDS/IPS 等)。John the Ripper、Cain&Able 都是破解密碼的工具，可用於偵測、破 解強度較差的密碼。

在探勘工具方面則有 SAINTexploit 、Metasploit、SecurityForest、CORE IMPACT 等。SAINTexploit 是 SAINT 公司所開發的一套用於找出網路系統中潛在安全漏洞的 工具。可以用於找出攻擊者可能入侵網路的漏洞、計算網路風險值，並能讓 IT 管理 人員更有效率管理網路資源、保護其資訊資產。Metasploit 是一套已經發展多年的滲 透工具，提供攻擊函式庫及攻擊封包，可以滲透系統，取得系統權力，如進入 command prompt 畫面。專家學者發現 Metasploit 是解決擾人的資訊安全問題不可或缺的工具之 一。SecurityForest 是一個開放原始碼工具，這個工具收集許多 exploit 程式碼，並建 置出 ExploitTree，因此測試人員可以透過網頁瀏覽器啟動 exploit 程式碼，並進行滲 透。CORE IMPACT 是一套商用滲透測試工具，主要可用以找出各程式中的可能弱點。 CORE IMPACT 可以在被破解的電腦中植入一個代理程式，並由該電腦啟動其他的網 路攻擊。在實際的滲透測試分析中，這是一個很有用的功能，可以讓測試人員破解一 台電腦，並由被破解的電腦啟動自動掃描，尋找系統中的下一個可能受害主機。

 行動裝置檢測方面

以下我們將行動裝置相關研究分成兩大塊討論，一為行動裝置系統安全滲透檢測，另 一為行動裝置惡意軟體檢測。  行動裝置系統安全滲透檢測

Android 行動裝置系統以 linux 為底層，在其上面用 dalvik 虛擬機器運行特有的 dex 檔，但是實際上和原本的 java 並無差別，檢測 android 應用程式有以下幾種方法：

－ 將 dex 檔轉回 java bytecode 並支援 android 特有函式庫。

－ 在 JVM 上模擬 dalvik 虛擬機器並支援 android 特有函式庫。

(以上兩種方法可直接套用現有檢測工具)

目前在軟體安全檢測的方法大致上分為兩大類 :

1. 靜態分析

靜態測試是對軟體程式碼作靜態程式碼分析(static code analysis)來檢驗程式碼中 是否有錯誤或可能被攻擊的弱點。然而靜態測試有誤判率 (false positive, or false alarm) 過高的問題。因為靜態分析程式碼沒有實際執行，因此無法保證找到的程式錯誤是真 正的錯誤。靜態分析後的結果需要靠測試人員進一步檢查才能確定是誤判或是真實的 錯誤，因此需要花額外的人力來判斷，相關研究工具包括 Findbugs、PMD 等。 2. 動態測試 動態測試利用實際執行受測程式來找出錯誤或弱點。動態測試並不會再有誤判的 問題，但是如何提供這程式所需要的輸入 (例如函式的參數或標準輸入等)是另一個關 鍵的問題。最簡單的方式是亂數產生輸入給程式的測試資料，這樣的工具稱作 fuzzer。 因為是亂數產生程式的輸入，fuzzer 很容易產生一堆輸入資料給受測程式，有一定的 機率讓程式行為異常。Fuzzer 把受測程式視為黑盒子，只了解程式的輸入輸出，對其 內部結構完全沒有分析，所以無法測試的範圍無法涵蓋所有程式的路徑，沒辦法測到 需要特殊條件的路徑或結構，相關研究有 jCute、java path finder 等等。

近幾年來，一種結合靜態測試與動態測試的方法被提出，叫做 concolic testing， 一方面利用 symbolic execution 對所有被程式輸入影響到的變數作符號分析(symbolic analysis)，以解決產生輸入的問題；另一方面用 concrete execution 確定目前輸入所引 導的程式執行路徑，來避免誤判率高的缺點。Conclic testing 將靜態與動態分析結合 以達到優缺點互補的效果，近幾年有許多相關的研究顯示這個方法比起傳統的測試方 法有很大的改善，而且這個方法可被應用在系統核心的測試以及多線程(multi-thread) 的軟體測試上。  行動裝置惡意軟體檢測 Google 於 2007 年推出 Android 手機作業系統，並讓手機作業系統趨向開放且可 自由修改，因而使用者可以任意修改作業系統的底層元件，促使得安全問題的重要性 逐漸被重視。隨著智慧型手機的發展以及市場的需求，Google 在 2010 年 1 月 15 日正 式推出搭載 Android 系統的 Nexus One 智慧型手機。然而防毒軟體公司卡巴斯基美國 研究室 (Kaspersky Lab Americas) 的資深惡意軟體研究員 Roel Schouwenberg 預言， 在 2010 年 Android 手機將會遭受大量的網路攻擊，而從實際面來看，Android 手機也 已在 2008 年即陸續發生安全問題，目前出現的攻擊可以簡單分為兩大類：

第一類是 JNI (Java Native Interface)所呼叫函式庫的漏洞 [27][28]，因 Android 函 式庫是用 Java 撰寫而成，經由 JVM (Java Virtual Machine)的檢查，可減少大量的漏洞 及問題。但是外部呼叫的函式庫 (例如：瀏覽器引擎、藍芽函式庫等等)絕大部分是採 C/C++編寫而成，執行時可能含有 buffer overflow 的問題而導致整支手機被入侵。

第二類為應用程式標準上的問題 [28]，例如藍芽、瀏覽器等等。這些攻擊往往是 利用通訊標準制定上的漏洞而形成的攻擊，例如在藍芽資料傳輸中，可能遭受 DoS、

Password crack 的攻擊。 然而一般電腦上的防毒軟體對於智慧型手機來說是沉重的負荷，因為處理器的速 度、記憶體的大小，以及硬碟所存放空間的限制，讓智慧型手機不能使用一般的防毒 軟體。而且過去的防毒軟體乃透過尋找病毒特徵碼的方式進行偵測，但現今使用多型 技術的惡意程式越來越常見，舊式的比對方法已失去效用 [29][30]。而目前若要在 Android 上建置惡意程式動態檢測工具，除了須考慮處理器的問題之外，因為在智慧 型手機上大部分是使用 ARM 的處理器，而且 ARM 的處理器在每個版本的指令集不 盡相同，例如 Android 支援 ARMv4 跟 ARMv5te，但是這兩個版本的指令集不完全相 同，所以檢測工具也必須要有兩個版本方能正確運作。更加嚴重的問題在於 ARM CPU 本身執行的速度遠遠低於 X86 CPU，所以建置惡意程式動態檢測工具的效率將會非常 差。而 Android 本身是實作 Software Stack，其實架構上跟 x86 極為相似，因此若我們 能把 Android porting 到 X86 的虛擬機器上，就能啟動動態偵測的功能。事實上，隨著 Android 的發展，Google 也在 Android 的原始碼內部增加了 X86 instruction sets 的部 份，但因為 ARM 的部份是 Android 開發的重心，所以在 X86 部分的缺失則沒有受到 重視，例如：硬體的驅動程式、周邊配件的支援，以及指令集的完整度。若可以把以 上所述的部分補齊，就可以順利的在 QEMU 上動態偵測 Android 的資訊流向。

目前在 DIFT 方面，最大的特點在於 Instruction Level 的污染源偵測，因為在最底 層往上看，所以可以跨處理程序，單純針對相關的指令進行行為分析。若是以一個 Process 為出發點，則有可能遺漏了其他程序，因此 DIFT 方能找出最完整的資訊流動。

三、

貢獻

本計畫建置一套異質無線網路安全檢測平台，對於異質多無線網路與各類行動裝置，開發 相關的安全檢測工具與系統，以提供使用者安全的無線網路使用環境。異質無線網路安全檢測 平台分為兩部分：(1) 異質無線多網安全檢測與 (2) 行動裝置之系統與軟體安全檢測。異質無 線多網安全檢測包含無線區域網路 WiFi 滲透檢測、3.5G 和 WiMAX 核心網路滲透檢測；行動 裝置之系統與軟體安全檢測包含行動裝置軟體弱點檢測、惡意軟體 malware 偵測、惡意網頁滲 透惡意程式檢測、及無線系統滲透檢測。本計畫提出完善的無線網路安全檢測方案，以滿足國 內目前對於無線網路安全檢測上的需求。本計畫在 2009 年已建置並開發 13 種安全檢測工具， 對使用者系統及其行動裝置以及所在之無線網路環境，進行完整的安全滲透檢測及惡意攻擊偵 測，提供安全性上的評估標準，以及主動式的系統防護，以滿足國內目前對於無線網路安全檢 測上的需求，並提供使用者安全可靠的行動環境。

四、

異質無線多網安全平台介紹

異質無線多網安全檢測平台 (WiSec@TWISC)可支援多種異質網路 (例如 WiMAX、 3.5G、WiFi、有線網路)、支援多種行動設備 (例如：筆記型電腦、迷你筆電、智慧型手機)以 及支援多種作業系統 (例如：Windows XP、Linux、Android)，如圖 4-1 所示。

圖 4-1、WiSec@TWISC 的支援性 依據檢測目標和特性，異質無線多網安全檢測平台(WiSec@TWISC)可分為兩大部份 (如圖 4-2 所示)。第一部份為異質無線多網核心網路滲透檢測，其檢測對象包括 3G、WiMAX、Wi-Fi 的核心網路；第二部份為行動設備滲透檢測，其檢測對象包括筆記型電腦、Netbook、智慧型 手機等，而這些行動設備可為 Windows、Linux 或者 Android 平台。 圖 4-2、異質無線多網安全檢測平台之架構圖 針對異質多核心網路之滲透檢測以及行動設備之滲透檢測，我們已開發與建置以下 13 種 子系統與工具，並已在實際運轉與測試中。以下針對異質無線多網核心網路滲透檢測與行動設 備滲透檢測兩大部份分別介紹我們所建置與開發的工具。

 異質無線多網與核心網路檢測

在異質無線多網核心網路檢測方面，我們建置與開發以下五種子系統與工具來滲透與 檢測 WiFi、WiMAX 以及 3.5G 核心網路的安全性，藉此找出不當的核心網路設定管理方 式，並且檢測不良的通訊協定與加密設計。這 5 五工具分別為：3.5G 滲透檢測系統 (MoPT)、WiMAX BS Denial of service Testing System (WBDT)、Wireless Penetration Testing System (WiPT)、Wireless Security Monitor (WiMon)以及入侵偵測系統強度評估系統(Simple IDS Informer，簡稱 SIDSI) 。以下我們將分別介紹各個子系統與工具。

 MoPT: 3.5G 滲透檢測系統

在滲透檢測工具方面，在 98 年度我們已經完成檢測系統 MoPT 之系統架構設 計，如圖 4-3 所示。

圖 4-3、MoPT 系統架構圖

本系統除提供圖形化使用者介面外，還設計了三個主要的模組：路徑追蹤工具 (jtracert)、路徑分析器 (pen-path analyzer) 與滲透測試模組 (pen-test module)。其中， jtracert 為本系統中的一個工具，以 jcap、wincap 等函式庫為基礎，此工具可用於探 索指定區域的網路拓樸。Pen-path analyzer 可進一步地分析 jtracert 所提供之資訊， 並找出系統中的弱點節點，以 pen-test 模組進行滲透測試分析。 我們目前已經完成 jtracert 之雛型實作，並針對台灣數家 ISP 業者的 3.5G 網路進 行拓樸探索。 此拓樸探索為進行滲透測試之第一步，透過拓樸探索實驗可瞭解各家 ISP 在某些定點的網路拓樸結構。依據這些測得的網路拓樸資訊，搭配拓樸分析演算 法，則可推測出可能遭遇到攻擊的網路節點。這些資訊將有助於對 3.5G 網路設備進 行進階檢測，進而找出潛在的錯誤設定與安全漏洞，增強 3.5G 網路抵擋攻擊之強健 度。滲透檢測行動網路可以分為下列幾個步驟，如圖 4-4 所示：

－ 追蹤路由路徑 (trace routes)：指定不同的目的節點 (destination)，利用 icmp

echo/reply 或 TCP 等協定，找出來源節點 (source)與目的節點之間的路由路 徑，以下稱為 traces。

－ 收集路由路徑 (collect traces)：先將所收集到的路由路徑檔案，匯入本系統中，

以來源節點為起始點，將各路徑串接成一個網路區域拓樸圖 (graph)。

支度 (in-degree)與外分支度 (out-degree)，並決定各點的類型。本系統中，定義 數種節點類型，包括來源節點 (s-node)、目的節點 (d-node)、中間節點 (i-node)、 共享節點 (x-node)、受害節點 (v-node)等。一個節點可以同時具有多種類型，如 某個節點可能同時是目的節點 (d-node)與共享節點 (x-node)。 － 選擇受害節點 (choose v-nodes)：依據節點資訊與其類型分類結果，可以找出網 路區域拓樸圖中可能的數個受害節點。這些節點都可能成為攻擊者攻擊的目標。 － 攻擊受害節點 (attack v-nodes)：找出受害節點之後，可以透過現有的滲透分析工 具 (nmap、nessus、metasploit 等)對這些受害節點進行滲透分析。由滲透分析結 果，可進一步地評估出此區域網路的安全等級。這些評估結果將可提供相關 ISP 業者或系統管理員參考，以茲作為加強其網路安全等級之依據。 圖 4-4、行動裝置滲透檢測之步驟 我們已經將圖 4-4 所示之追蹤路由路徑、收集路由路徑、分析節點類型、選擇受 害節點等模組，整合為一網路拓樸探索工具(即 jtracert)，未來並將整合於 MoPT 滲 透檢測系統中。jtracert，一套以 Java 程式語言開發的網路拓樸探索工具，可單機運 作，亦可整併於 MoPT 中，成為其滲透檢測的第一步。此工具主要以路由角度來探 索網路中的各節點。透過不同路徑的整併，可歸納得到部分的行動網路拓樸。圖 4-5 為 jtracert 的操作介紹。啟動 jtracert 之後，使用者可以利用右鍵選單新增或移除目 的節點，亦可勾選所想要的目的節點(d-nodes)，並收集其與來源選單之間的路由路徑。

圖 4-5、jtracert 之操作界面

這些路由路徑將以檔案形式存在，使用者可以於需要時，將其載入系統中，或獨 立顯示，或與其他路徑整併，以得到較完整的網路區域拓樸圖，如圖 4-6 所示。

圖 4-6、jtracert 之拓樸探測與分析結果

的路由路徑愈多，則更能勘得該網路中可能的弱點節點。透過本工具所評估的資訊， 系統管理人員可以針對這些弱點節點進行安全功能補強，或改變整個網路的路由機 制，這些都將有助於提昇整體網路的安全度。

 WBDT：WiMAX BS Denial of service (Dos) Testing System

在WiMAX網路中，若是Base Station (BS) 接受Subscriber Station (SS) 傳輸大量流 量，使得SS佔用大量頻寬而造成BS無法再供給頻寬給新進入WiMAX網路的SS時，表 示此WiMAX網路面臨潛在的DoS attack的威脅。有鑑於此，我們開發了WBDT檢測系 統，以實地傳輸大量網路流量的方式來檢測BS對頻寬分配的能力與頻寬控管是否有 效，進而可分析此控管能力是否足以抵擋DoS attack的攻擊。 WBDT以實驗的方式，透過分析不同數量與不同權限的SS所獲得的頻寬來分析與 瞭解BS頻寬分配的能力。WBDT以流量產生軟體Iperf與Tfgen產生異常的大量封包 (abnormal traffic)，再透過以winpcap函式庫為基礎之流量監測模組 (traffic monitor) 觀 察各個SS的上傳流量，藉此瞭解與分析BS頻寬分配的能力。圖4-7為WBDT之功能示 意圖。 圖 4-7、WBDT 功能示意圖 我們以圖4-8這個測試環境為例，詳細介紹WBDT的檢測方法與分析結果。此測 試環境中有四個不同權限的SS，它們的上傳 (uplink) 與下載 (downlink)頻寬可依權 限之不同而有所差異 (見表4-1)。若帳號權限相同時，例如皆為10M 帳號，則SS1產 生abnormal traffic後陸續增加相同權限的SS數量，透過WBDT流量監測模組發現，在 此WiMAX環境下無論SS的數量多少，同時產生的abnormal traffic的總量皆為5Mbps， 每個SS僅能均分得到各自能使用的頻寬。若是以不同權限的帳號 (10M、4M、1M各 一)同時產生abnormal traffic並觀察流量，則在此WiMAX環境下，所有SS的流量總數 亦為5Mbps，但分配的比例則依帳號權限而有不同。根據實驗，我們推論5Mbps則為 此WiMAX BS所能提供的總上傳流量。此外，實驗結果亦指出，SS能使用的流量與帳 號權限成正比，即較高權限之使用者，其獲得頻寬比例亦較低權限的使用者多。同樣

權限的使用者，其頻寬分配的比例是為均分，如四個10M的SS，可均分5Mbps的上傳 頻寬，每個SS取得的頻寬為1.25Mbps。而當10M、4M、1M的SS同時上線並產生流量 時，所能取得的頻寬權重以各個SS的平均流量分析，其值約為7:2:1，如表4-2所示。

圖4-8、WiMAX測試環境 表4-1、 SS頻寬分配權限

SS account Uplink bandwidth Downlink bandwidth

SS1(10M) 10M 10M SS2(4M) 4M 4M SS3(1M) 1M 1M SS4(1M) 1M 1M 表4-2、 帳號權限與頻寬分配比例 帳號 總頻寬分配 權限相同的帳號 所有帳號均分頻寬 10M：4M：1M 7:2:1 圖 4-9 是 WBDT 流量顯示模組呈現的 SS 流量圖。SS1為 10M 帳號，由於分配到 較高的權重，故只由原本的總上傳流量 5Mbps 下降至 4Mbps；而 SS2為 4M 帳號，在 進入 WiMAX 環境後只能取得約 500Kbps 的流量，上傳頻寬權重最低的 SS41M 使用 者，其取得的頻寬只有 100Kbps 左右。分析 WBDT 紀錄的封包流量可發現，較晚加 入 WiMAX 網路的 SS 或是權限較低的 SS 無法取得依頻寬比例所該取得的頻寬，這是 BS 頻寬控管較為不足之處。

圖4-9、WBDT傳送大量流量後之流量紀錄  Wireless Penetration Testing System (WiPT)

隨著無線網路設備趨於普及，使用者自行架設無線基地台再也不是難事，尤其越 來越多的商家以提供免費的無線上網吸引更多顧客上門消費，然而在使用者連接無線 基地台或者是瀏覽網路的同時，就可能已經暴露在危險的無線網路環境並且遭受攻 擊。 WiPT 系統著眼於攻擊者的角度進行無線網路測試。測試人員建置偽造的無線網 路基地台，誘騙該區域的使用者使用該基地台。偽造的基地台提供正常的上網功能， 一切使用動作幾乎和一般上網沒有什麼差別，受騙的使用者很難察覺自己連上的其實 是惡意的基地台 (攻擊模擬如圖 4-10 所示)。目前出現幾種較為普遍的防衛機制如： 網路提供者在架設無線基地台的同時也設定一組密碼，合法的使用者才能利用該合法 無線網路基地台；網站管理者對於其網頁資訊傳輸進行加密保護，使用者在與網站連 線期間都會利用 HTTPs 保護，讓一般使用者在連線期間所輸入的資訊都會以密文 (cypher text)而不是明文 (plain text)進行交換。但是，上述防護機制在我們的 WiPT 系 統中進行測試，都顯示該防禦方法仍有相當大的缺陷。

圖 4-10、無線釣魚測試示意圖 WiPT 滲透測試的第一步：建立惡意無線網路基地台。建置方式有二，一種是建 立容易引誘使用者連線的無線基地台名稱，例如在交通大學圖書館架設惡意站台，名 稱取名為 NCTU_Lib，則該名稱會有相當大的機會讓一般使用者產生興趣使用。另外 一種則是建立與該區域原有無線網路基地台名稱一樣的惡意基地台，這種方式主要利 用無線網路基地台掃描程式的盲點。大部分無線網路掃描程式所呈現的基地台清單， 假若遇到名稱重複出現的基地台，則掃描程式會自動將訊號最強的基地台呈現在使用 者的連線清單上；一旦惡意基地台的訊號強度超過正常基地台並且名稱一樣，就會出 現蓋台現象，也因此，不知情的使用者很容易依循以往的習慣連上我們所建立的惡意 站台 (如圖 4-11、圖 4-12 所示)。 圖 4-11、真實的基地台

圖 4-12、惡意的基地台

許多無線網路提供者架設無線網路基地台會額外增加“加密機制”提供安全防

護，使用必須輸入密碼才能透過該無線網路基地台連上網路。為了完成幾可亂真的惡 意基地台，並且檢測合法基地台之加密機制的安全程度，WiPT 系統亦破解了無線網 路提供者所建立的防禦機制。WiPT 系統會先偽裝成外來筆記型電腦 (即沒有合法密 碼的使用者)，不斷地向具有加密的合法站台發送 ARP Request 封包，根據 IEEE 的網 路協定，基地台也會回覆 ARP Reply 封包，當到達一定數量時，ARP Reply 封包裡面 有的特定數值產生衝突，我們依此逆推出加密規則而得知其密碼。取得合法加密基地 台的密碼後，WiPT 便可對合法基地台完成進一步的測試；另一方面 WiPT 也可以利 用這組密碼建置惡意無線基地台，讓使用者依照原本程序連線卻沒發現目前的連線基 地台和以往有什麼不一樣。 完成第一步動作後，WiPT 系統所建立的惡意站台已經完成誘使使用者連線的工 作，之後在使用者連線過程中，我們便利用中間者攻擊，竊取所有流經此基地台的網 路封包。因為使用者是經由 WiPT 的惡意基地台間接上網，所以我們可以攔截所有從 使用者傳出的封包以及所有輸輸給使用者的封包。完成中間者攻擊之後，WiPT 系統 已經可以確實取得使用者所輸入的個人資料，儘管該這些資料是在加密協定下的傳 輸，WiPT 系統也確實完成滲透工作。透過此滲透檢測的方式，可以分析以及檢驗無 線網路的安全性，讓使用者瞭解其所面臨之安全威脅。

 Wireless Security Monitor (WiMon)

WiMon 適用於 Wi-Fi 無線區域網路，可被動掃描範圍內無線裝置上的弱點，即時 監控、偵測各類型無線網路攻擊行為，包含 Authentication/Deauthentication flood attack、Beacon flood attack；並藉由監控網路封包及破解 WEP 加密達到滲透測試的目 的。監控範圍內更可透過 WiMon AP 準確的定出攻擊者的位置，並產生新的防範規則 保護監控中的裝置免於遭受相同方式的攻擊，是一包含主動監控、被動掃描、即時防

禦的大規模無線網路即時監控系統。 WiMon 協助網路管理者即時監控無線網路環境，包含兩大系統，其一為無線網 路拓樸探索，其二為入侵預防。無線網路拓樸探索藉由 GPS 定位監控無線網路範圍 內的各類型無線網路裝置，圖 4-13 即以交通大學工程三館六樓平面圖為例，此平面 圖完整列出該樓層所有的無線網路裝置，且清楚的以紅色框線標示出正遭受攻擊的無 線網路裝置及 WiMon AP，可協助網路管理者得知整個無線網路範圍內的無線裝置現 況。 圖 4-13、交通大學工程三館六樓平面圖攻擊現況 在入侵預防方面，遭受攻擊的無線裝置將以紅色框線標示，而不同框線的形狀代 表著不同種類的攻擊，包含 Authentication/Deauthentication flood attack、Beacon flood attack ， 如 圖 4-14 所 示 ， WiMon AP 成 功 的 偵 測 到 無 線 網 路 範 圍 內 的 有 Authentication/Deauthentication flood attack 的發生。接著 WiMon AP 會通知安全中心 產生新的防範規則，將相對應的策略發送給裝有 WiMon 的無線裝置，若攻擊者再以 相同方式攻擊將被有效被阻擋。

圖 4-14、成功分析攻擊類型

 入侵偵測系統強度評估系統 (Simple IDS Informer，簡稱 SIDSI)

檢測一個入侵偵測系統的強度最好的方式就是直接採取「測試攻擊」，藉由模擬 各式攻擊，觀察該入侵偵測系統是否能正確偵測並發揮其該有的功能。SIDSI 是基於 一個以 C 語言開發的封包產生器 (packet generator)，輔以基本的 socket programming (UNIX Socket)來開發的入侵偵測系統強度評估系統。SIDSI 主要可檢測與了解入侵偵 測系統 (Intrution Detection System，簡稱 IDS)的能力，以及探索是否有可能規避受測 IDS 的方法

一般網路封包的建置是從應用層開始，逐層往下傳遞、建置，直到最底層的實體 層將封包送出。但 SIDSI 建置封包的程序與一般常規程序相反，是由 Layer 2 開始進 行封包建置，由下往上一層一層封裝而成，SIDSI 可建置出封包內容 (payload)、IP 層表頭 (Header) 參數以及各種相關協定封包，並變造出各式封包，藉由變造異常封 包或是封包異常發送來完成各式攻擊，以評估受測機器 (Device under Test，簡稱 DUT) 抵擋和防禦該攻擊之能力。

以下簡介 SIDSI 支援之功能：

－ SIDSI 以 SNOT 封包產生器為基礎，並支援最新的 SNORT 入侵偵測的規則。因

此 SIDSI 可發送符合最新偵測規則的攻擊封包，若是 DUT 無法阻攔該封包，則 表示該 DUT 並未更新至最新版本的入侵偵測規則，而可能使得攻擊者有機可 乘。此外，SNORT 本身為了能進行跨封包之規則比對，找出不同封包間的關係， 它提供了 Flowbit 之選項。而 SIDSI 為了完整支援 SNORT 的規則，必須要能夠 判讀 flowbit，因此 SIDSI 亦支援 flowbit，可產生相對應的測試封包。

－ SIDSI 支援多種泛濫 (flooding) 攻擊測試方法，例如 TCP、UDP、ICMP 與 IGMP

等協定的泛濫攻擊。SIDSI 以如此的測試方式，來進一步得知待測系統 (Devise under test，簡稱 DUT) 的應對策略，評估該 DTU 入侵偵測系統的能力。以下為 SIDSI 內的相關攻擊函數：DoS_TcpSynFlood()、DoS_UdpFlood()、

DoS_IcmpFlood()、DoS_IgmpFlood()。

－ SIDSI 支援掃描埠 (Port Scan) 攻擊， MakePacket_TCP_Scan_Unknows()為 SIDSI

提供之 port scan 的主要函式，主要利用 TCP 的 SYN-ACK 機制來達成掃描未知 通訊埠之目標。 － SIDSI 可藉由編造不正常的封包來達成攻擊目的，以下為 SIDSI 中的相關函數： • MakePacket_TCP_LAND() • MakePacket_TCP_BROADCAST() • MakePacket_TCP_BAD_FLAG_NULL() • MakePacket_UDP_SMURF() • MakePacket_ICMP_OVER_PING_LENGTH() • MakePacket_IGMP_BAD_L4_SIZE()

－ SIDSI 支援封包切割發送，此功能可進階測試使用 pattern matching 技巧的 IDS，

瞭解其防禦的能力。許多使用 pattern matching 技巧的 IDS 雖然可以偵測出含有 敏感字串之惡意封包，然而一旦將封包切割後發送，這類型的 IDS 便會失效。因 此，SIDSI 將含有敏感字串的封包加工、分割後發送，測試 DUT 是否能夠成功 地偵測被分割的敏感字串，評估該入侵偵測系統的進階能力。 MakePacket_Diveded()為便是負責執行分割封包之函式。 － SIDSI 支援封包加密。考慮到真實世界中的特殊攻擊方式，例如駭客以加密封包 的手法規避偵測，SIDSI 也支援封包加密的功能，用以進一步測試 DUT 抵擋此 特殊攻擊手法的能力。SIDSI 提供函式以支援不同的加密方法： • MakePacket_TCP_Solarisx86_telnetd_TTYPROMPT_Encoded() • MakePacket_TCP_NetscapeAdminPasswd_Encoded()

 行動裝置滲透檢測

在行動裝置滲透檢檢測方面，我們已開發與建置以下 8 種子系統與工具：Android 行 動裝置惡意網頁檢測工具、Android 應用軟體安全漏洞檢測工具 (G-exploit)、Android 動態 惡意軟體程式檢測工具、文件檔案惡意程式檢測系統 (Forenser)、動態惡意軟體分析檢測 工具 (Malware Behavior Analyzer, MBA@TWISC)、大規模遠端系統滲透測試網 (Remote System Penetration Testing Network，簡稱 RSPTN)、使用者敲鍵行為辨識系統以及 Secure Wireless Overlay Observation Network (SWOON) 實驗平台。以下將分別介紹各個子系統與 工具。  Android 行動裝置惡意網頁檢測工具 Android 行動裝置惡意網頁檢測工具可即時保護 Android 使用者在瀏覽網頁的同 時，免於網頁端惡意物件的攻擊。我們針對 Android 手機瀏覽平台異於一般瀏覽器的 特殊架構，利用 JavaScript 研發可掛載在伺服器端的 Android 行動裝置惡意網頁檢測 工具，有效過濾來自伺服器端以外的動態資料對伺服器或其他瀏覽者的攻擊，並針對

JavaScript 本身語法上的弱點做修補，對特定不安全的或可被用來做攻擊的函式封裝 成更安全的函式。

由於 JavaScript 承襲了部分 Java 語法上的物件導向特性，包含指標及類別的全面 物件化，傳統在 Java 上特有的攻擊概念易被延抄到 JavaScript 上，故此類型的研究在 Java 上即有不少理論，做法上大致可分三類，其一，修改瀏覽器，使瀏覽器直譯 JavaScript 語法時最佳化，並修改 JavaScript 上的弱點；其二，建立一 Proxy 或類似於 Virtual Machine 的機器先行直譯並執行 JavaScript，若無安全上的考量，在將原始碼在 客戶端的瀏覽器上直譯並執行；鑒於上述方法的負載過高，故採第三種具有低負載， 且能達成上述目的的 Inlined Reference Monitor 技巧，亦即對於涉及相關安全問題的 JavaScript 函式做一 Overlay，使客戶端瀏覽器無法直接執行此類函式- Android 行動裝 置惡意網頁檢測工具所開發的函式，在不改變函式名稱及參數傳遞的類型為前提下， 不僅使呼叫函式的方法不需改變，該工具卻覆載了原始的函式，從新封裝成新的、安 全的函式可供呼叫；亦即客戶端間接的透過該工具來傳遞參數並呼叫可信賴的函式。 圖 4-15 為 Android 行動裝置惡意網頁檢測工具所提出的模型，藉由了解 Android 系統架構與安全機制，建置惡意語法檢測工具於網頁原始碼中，當使用者利用 Android 瀏覽網頁時，針對該頁面上的所有語法都將是我們欲處理的對象。圖 4-16，Android 行動裝置惡意網頁檢測工具中的 Browser Detector 將對使用者所使用的瀏覽器類型先 行做確認。圖 4-17，若經使用者確認並非使用 Android 相關的瀏覽器瀏覽網頁，則 User Confirm 將送出 No 的訊號給 Html engine & JavaScript engine，並且不提供任何保 護。圖 4-18，若經使用者確認為使用 Android 瀏覽網頁，則 User Confirm 將送出 Yes 的訊號給 Html engine & JavaScript engine，以啟動專為 Android 所設計的語法規則過 濾引擎，此語法過濾規則即採上述所提及的 Inlined Reference Monitor 技術做處理，可 將不安全的函式經由重新封包的過程轉為安全可信賴的函式供瀏覽器使用，以達到保 護使用者免於針對 Android 相關漏洞或其特殊結構而造成的攻擊行為。

圖 4-17、非 Android 瀏覽流程 圖 4-18、Android 瀏覽流程 Android 行動裝置惡意網頁檢測工具針對 Android 手機瀏覽平台，強調即時檢測 與低運算負載，具有下述優點：1. 專為 Android 特殊架構所設計，對於易造成 Android 危害的函式從新封裝。2. 不需修改瀏覽器，使客戶端不需安裝或更新瀏覽器即可受到 保護。3. 呼叫函式的方法不需再被重新定義，可在不影響程式設計者的前提下提供完 善的安全保護。4. 不禁止使用特定不安全的函式，使網頁的功能可以完善的被呈現。 5. 易於修改及增強規則，以應變新的、未知的 Android 漏洞，達到保護使用者於使用 Android 行動裝置瀏覽網頁時的安全。  Android 應用軟體安全漏洞檢測工具 (G-exploit) 隨著科技的進步，手機裝置平台本身就已經是一個作業系統，強大的功能讓手機 不再只是一個連絡工具。Google 推出了新一代的手機平台 Android，其系統核心為 Linux，並在其上面執行 java 應用程式。Android java 程式和原生的 java 程式並無不同， 因此原生的 java 程式所遭遇的安全議題也可能出現在 Android 應用程式上。然而 Android 上的 java 執行環境有別於一般 java，編譯器會將 Android java 程式碼編譯成 名為 DALVIK bytecode 的中介碼，此 DALVIK bytecode 會在 DALVIK 虛擬機器上執 行，藉此讓程式受到保護並統一發佈格式。因此，檢測 Andriod 應用軟體之第一步便 是將 DALVIK bytecode 轉回 java bytecode；轉回 java bytecode 後，便可利用 Java 平 台上的軟體檢測工具進行軟體檢測。我們開發的 Android 應用軟體安全漏洞檢測工具 (G-exploit) 便是以此概念為開發基礎。

G-exploit 支援 Android 平台上的 DALVIK bytecode 與 Java bytecode 之間的轉換； 轉回 java bytecode 後，G-exploit 可對 java bytecode 進行軟體安全檢測。G-exploit 並且 簡化了複雜且繁瑣的檢測步驟，支援多種檔案格式，例如 Java 原始碼、jar 檔和 dex 檔等等。由於 Java 本身就是一個以安全為優先考量的程式開發語言，因此 Android 應 用程式之檢測問題絕大多數皆是導因於寫作的壞習慣或是寫作規則的錯誤，極少發現 可能造成重大傷害的安全性漏洞，但是由於 Android 之普遍性和高度應用性，我們絕

不能輕忽檢測 Android 應用軟體之重要性。目前 G-exploit 可以檢測到的 Android 問題 包含以下三大類。 1) 正確性的問題：程式設計人員沒注意到之寫作上的錯誤，可能成為真實的程式 錯誤。 2) 寫作壞習慣：程式設計人員寫作時的壞習慣，例如解構子之濫用，可能導致不 必要的錯誤。 3) 異常的程式碼：不確定的程式行為，如未被確認的轉型等等，皆被視為異常的 程式碼，極有可能造成安全問題。 此外，為了彌補單一檢測工具之不足，並兼具不同檢測策略之優點，G-exploit 包含了靜態分析的 Findbugs 工具與動態分析的 jcute 工具。G-exploit 首先使用靜態偵 測掃描程式碼，試圖分析程式中的每一條路徑，找出程式中潛藏的安全性漏洞。接著， 再用動態偵測驗證以靜態分析所找到的安全性漏洞。G-exploit 兼具靜態與動態偵測的 檢測方式，大幅地降低誤判的可能性，且能精確的指出錯誤所在。圖 4-19 為 G-exploit 之架構圖。 圖 4-19、G-exploit 架構圖 為協助使用者上手、提供更簡易的操作步驟，本計畫建置一個開放式的網頁平台 (見圖 4-20) 提供 G-exploit 線上檢測服務，使用者只需直接上傳 Andriod 應用程式， 不必重新安裝 G-exploit 軟體，亦能得到 G-exploit 之即時檢測報告。

圖 4-20、G-exploit 之網頁平台  Android 動態惡意軟體程式檢測工具 手機發展日新月異，所能做的事情已超越過去所賦予的功能。以往手機給人的印 象僅在於打電話，但是現在手機不僅能夠上網瀏覽網頁、編輯文件，甚至還可以讓使 用者在手機平台上自行開發並撰寫程式。而 Google 推出的 Android 是原始碼開放的 作業系統，所以在開發上有相當大的發展空間。 目前 Android 平台也開始受駭客覬覦。原本只存在電腦上的病毒，網路蠕蟲、 rootkit…等惡意程式碼正快速地研究、開發至新的手機版本進而染指到手機平台上， 將造成新一代手機用戶的資料受損，個人資料外洩…等嚴重問題。為了防止這些問題 出現造成重大損失，所以發展手機動態惡意軟體程式檢測工具勢在必行。 在開發 Android 動態惡意軟體程式檢測工具之前，我們也做過相關的惡意程式檢 測研究，研究方式最主要是利用虛擬機器 (Virtual Machine) 模擬 x86 CPU 環境。我 們利用 emulator QEMU 來建置環境，以掌握所有資料流動。追蹤物件的細緻度決定 了分析的準確度，分析越低層次的物件如 CPU 暫存器或記憶體位元組會得到更詳細 的資料所以更能得到完整的分析。因此，我們將 Android 的 VM Dalvik 架設在 QEMU 之上，x86 的暫存器如圖 4-21 表示。其中 EAX/AX 為累積暫存器、EBX/BX 為基底 暫存器等，各個暫存器都有其特定的工作。在 98 年我們主要工作是了解各暫存器的 工作進而做出完整的整理。