一、010Edit
010Edit是一款非常强大的文本/十六进制编辑器,除了文本/十六进制编辑外,还包括文件解析器,计算器,文件比较等功能。但它的真正的强大的地方在于文件的解析功能。我们可以使用010Edit官方网站提供的解析脚本对avi、bmp、png、exe等简单格式的文件进行解析。当然我们也可以根据需要来自己编写文件解析脚本。
下面以BMP文件的格式解析为例进行讲解。首先从其官方网站的文件解析脚本下载页面中下载BMPTemplate.bt,然后使用010Edit打开BMP文件,通过Templates->Open Template菜单打开下载的BMPTemplate.bt,接着按F5运行脚本,然后就可以在Template Results窗口中看到该BMP文件的解析结果。
010Edit具有其他二进制编辑软件中没有的功能,例如我们需要对如下的数据进行修改。
我们只需要删除其中的0x。那么需要按住Ctrl键,然后使用鼠标选中0x所在的列然后删除即可。
010Edit可以计算文件的校验值,通过Tools->Check Sum或者使用快捷键ctrl+k可以打开如下窗口。
从打开的窗口中选出我们希望计算的校验值。
二、Binwalk
Binwalk是一个固件的分析工具,用来协助研究人员对固件进行分析,提取及逆向。简单易用,完全自动化脚本,并通过自定义签名提取规则和插件模块,并且可以轻松地进行扩展。
使用时直接提供固件的路径和名称即可。
使用Binwalk的不同功能是通过输入不同的参数来进行的,下面介绍几个比较重要的参数命令:
- -y:包含过滤器。此选项仅包含指定的搜索文本匹配的结果。搜索字符串应该使用小写,包括正则表达式,并且可以指定多个-y选项。下面的命令搜索结果只包含文本“filesystem”中搜索出来的结果。binwalk –y filesystem sample.bin
- -x:排除过滤器。排除搜索结果中的指定符合规则的文本或字符串。下面的命令表示搜索时排除“jffs2”字符串:binwalk –x jffs2 sample.bin
- -e:自动提取已知文件类型
- -Me:递归提取。很多时候,提取出来的数据需要进一步使用binwalk分析,为了方便,binwalk使用-M和-e选项一起使用来达到递归提取的目的:binwalk –Me sample.bin.
- -A:扫描文件中常用的可执行操作码。binwalk –A sample.bin
- -C:用来完成多个不同文件类型转换。通常使用-l选项来限制扫描的长度:binwalk –l 32 –C sample.bin。
- -W:用来比较文件之间的差别。在文件中相同字节用绿色显示,不同字节用红色显示,蓝色表示只是有些文件当中的不同部分。
- -S:对目标文件进行一个智能的字符串分析,可以通过这个功能,应用一些非常简单的验证规则筛选出最“垃圾”的字符串和忽略一些无顺序的数据块。binwalk –S sample.bin。
- 启用插件功能:一些插件默认情况下是禁用的。这些插件可以启用时用该选项 –enable-plugin选项,binwalk –enable-plugin=foo sample.bin。其中foo表示插件的名称。
- 禁用插件功能:使用命令—disable-plugin可以禁用一些插件。binwalk –desable-plugin=foo sample.bin.如果禁用所有的插件,使用如下命令:binwalk –disable-plugins sample.bin。
- -f:指定日志的输出地址。Binwalk日志输出通常是很大的,所以它往往以文件的方式保存记录。-f选项用来指定一个日志文件。如果没有指定-Q选项的话,结果会打印到stdout和日志文件中。binwalk –f binwalk.log sample.bin。如果需要以CSV格式保存,可以使用下面的命令:binwalk –f binwalk.log –scv sample.bin。
