华硕asd[自动修复系统]初步分析

因为早期华硕一直没有下发配置,所以就没有去仔细分析过,日前华硕开始下发配置处理,从而导致出现了一些问题

首先,asd会收集的信息包含但不限于以下,并且不会和正常的信息收集系统有交叉处理,也就是说这是完全独立的一个系统
mac,Ver(目前指定为1),firmver,buildno,extendno,productid,odmpid,territory_code
分别代表mac地址,固件主版本,固件编译信息,固件版本,设备型号,odm型号,地区码,基于以上信息华硕可以做到识别指定地区指定设备型号指定固件版本的指定机器进行特殊处理,也就是具体到某一些或某一台机器

那么华硕会拿来做什么呢,按照字面意思,它应该是华硕为了维护售出机器出现故障时自动诊断修复用的,所以即使之前华硕一直没有下发配置,asd也没有正式运行的时候我也没有太在意,但是近日却出现了很诡异的事,内测版的固件部分配置在大范围内一直被自动修改,追查之下发现如下日志

1525496703[register_feature] blockfile registed
1525496704[register_feature] chknvram registed
1525496704[register_feature] misc registed
1525496704[init] Load exist signature files.
1525496704[update_signature_in_feature] Update sig in feature(blockfile)
1525496704[update_signature_in_feature] Update sig in feature(chknvram)
1525496704[chknvram_action]Unset invalid nvram,<jffs2_scripts, 1>

很明显asd修改了部分配置,很明显华硕开始下发配置,而且还是一种黑名单性质的配置,而配置文件更有意思ascii转hex然后base64转码在rsa加密,完全黑箱
目前没有解密出来配置文件内容,只知道有几个黑名单,分别是ip、dns、nvram、file,看起来华硕会拦截某些ip和dns的通信,删除nvram里的某些配置,删除某些文件的下载
这就让人不理解了jffs2_scripts是梅林会用到的,而且是无害的,华硕为什么会加入黑名单,或许是针对部分固件加入黑名单?

看起来用来针对非华硕设备非常简单方便也比之前代码集成在固件里误伤更小,也许叫反第三方设备系统更合适吧

你可能感兴趣的:(华硕asd[自动修复系统]初步分析)