分析利器(binwalk),针对新类型initrd进行解压

新型initrd解压与重压教程
最新推荐文章于 2025-09-25 01:52:30 发布
转载 最新推荐文章于 2025-09-25 01:52:30 发布 · 2.4k 阅读 · 2 ·
CC 4.0 BY-SA版权
原文链接:https://blog.csdn.net/xiaofeng_yan/article/details/83303544
文章标签:

#initrd #INITRD解压 #解压cpio格式的内核

新型的initrd的解压方法
(以下内容转自:https://blog.csdn.net/xiaofeng_yan/article/details/83303544 ,特别感谢该博主,转发此博客,供大家学习进步)
安装:
apt-get install binwalk
若是安装不上,需要更新/etc/apt/source.list
$ file …/initrd.img
…/initrd.img: ASCII cpio archive (SVR4 with no CRC)

#cpio -idvm < …/initrd.img
kernel
kernel/x86
kernel/x86/microcode
kernel/x86/microcode/.enuineIntel.align.0123456789abc
kernel/x86/microcode/GenuineIntel.bin
4712 块

奇怪,没有根文件的目录和文件,只有一个微码的文件。通过Google了解,目前的initrd方式有了变化。通过反复的验证,正确的步骤如下:
步骤一:可以通过lsinitramfs命名来查看initrd含有的文件
#lsinitramfs …/initrd.img
kernel
kernel/x86
kernel/x86/microcode
kernel/x86/microcode/.enuineIntel.align.0123456789abc
kernel/x86/microcode/GenuineIntel.bin
.
lib64
lib64/ld-linux-x86-64.so.2
sbin
sbin/rmmod
sbin/blockdev
sbin/dmsetup
sbin/losetup
sbin/mount.fuse
sbin/cryptsetup
sbin/lvm
sbin/mount.ntfs-3g
sbin/modprobe
sbin/udevadm
sbin/mount.ntfs
sbin/mount.cifs
sbin/vgchange
sbin/mdmon
sbin/blkid
sbin/iscsistart
sbin/mdadm
lib
lib/modules
lib/modules/4.19.0-0.bpo.5-amd64
lib/modules/4.19.0-0.bpo.5-amd64/modules.softdep
lib/modules/4.19.0-0.bpo.5-amd64/modules.builtin
lib/modules/4.19.0-0.bpo.5-amd64/modules.alias
lib/modules/4.19.0-0.bpo.5-amd64/kernel
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto/cryptd.ko
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto/ccm.ko
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto/crc32c_generic.ko
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto/cbc.ko
lib/modules/4.19.0-0.bpo.5-amd64/kernel/crypto/crypto_simd.ko

binwalk …/initrd.img

DECIMAL HEXADECIMAL DESCRIPTION

0 0x0 ASCII cpio archive (SVR4 with no CRC), file name: “kernel”, file name length: “0x00000007”, file size: “0x00000000”
120 0x78 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86”, file name length: “0x0000000B”, file size: “0x00000000”
244 0xF4 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode”, file name length: “0x00000015”, file size: “0x00000000”
376 0x178 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode/.enuineIntel.align.0123456789abc”, file name length: “0x00000036”, file size: “0x00000000”
540 0x21C ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode/GenuineIntel.bin”, file name length: “0x00000026”, file size: “0x0024CC00”
2412208 0x24CEB0 ASCII cpio archive (SVR4 with no CRC), file name: “TRAILER!!!”, file name length: “0x0000000B”, file size: “0x00000000”
2412544 0x24D000 gzip compressed data, from Unix, last modified: 2019-08-24 08:48:57
29169100 0x1BD15CC Broadcom header, number of sections: 1789150184,

通过binwalk能够看到“ gzip compressed data,”的字段,说明从2412544 字节段开始是gzip压缩的格式。从这开始是根文件系统。之前的microcode的文件。说明是microcode文件和根文件是压缩到一起的文件

#binwalk -y gzip …/initrd.img

DECIMAL HEXADECIMAL DESCRIPTION

2412544 0x24D000 gzip compressed data, from Unix, last modified: 2019-08-24 08:48:57
这里有个数字“2412544 ”,下面开始解压文件
$dd if=…/initrd.img bs=2412544 skip=1 | zcat | cpio -id --no-absolute-filenames -v
#ls
bin conf etc init lib lib64 run sbin scripts

这里有个注意的地方,如果binwalk显示不都是gzip格式的。比如:
$ binwalk /mnt/casper/initrd
(binwalk工具https://github.com/ReFirmLabs/binwalk)
DECIMAL HEXADECIMAL DESCRIPTION

0 0x0 ASCII cpio archive (SVR4 with no CRC), file name: “.”, file name length: “0x00000002”, file size: “0x00000000”
112 0x70 ASCII cpio archive (SVR4 with no CRC), file name: “kernel”, file name length: “0x00000007”, file size: “0x00000000”
232 0xE8 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86”, file name length: “0x0000000B”, file size: “0x00000000”
356 0x164 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode”, file name length: “0x00000015”, file size: “0x00000000”
488 0x1E8 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode/AuthenticAMD.bin”, file name length: “0x00000026”, file size: “0x00006B2A”
28072 0x6DA8 ASCII cpio archive (SVR4 with no CRC), file name: “TRAILER!!!”, file name length: “0x0000000B”, file size: “0x00000000”
28672 0x7000 ASCII cpio archive (SVR4 with no CRC), file name: “kernel”, file name length: “0x00000007”, file size: “0x00000000”
28792 0x7078 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86”, file name length: “0x0000000B”, file size: “0x00000000”
28916 0x70F4 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode”, file name length: “0x00000015”, file size: “0x00000000”
29048 0x7178 ASCII cpio archive (SVR4 with no CRC), file name: “kernel/x86/microcode/GenuineIntel.bin”, file name length: “0x0000002A”, file size: “0x00170C00”
1539600 0x177E10 ASCII cpio archive (SVR4 with no CRC), file name: “TRAILER!!!”, file name length: “0x0000000B”, file size: “0x00000000”
1540096 0x178000 LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: -1 bytes

这个initrd使用lzma压缩的。那么解压时候就不能用zcat命令了。应该使用如下命令:
dd if=/mnt/casper/initrd bs=1540096 skip=1 | lzcat | cpio -id --no-absolute-filenames -v
lzcat=xz --format=lzma --decompress --stdout(参见https://www.computerhope.com/unix/xz.htm)
至此,解压结束。
如何重新压缩回去呢?参见:https://askubuntu.com/questions/777260/how-to-repack-initrd-img
find kernel/ | cpio -o -H newc > new_initrd.img
cd rootfs
find . | cpio -o | gzip -9 >> …/new_initrd.img

linux系统 initrd.img中init启动脚本分析
技术联盟
02-23 4547
概述:这篇文章主体内容来源于网上转载。前面几篇文章倾向于制作initrd.img,这篇文章更倾向于initrd.img的运行过程:加载framebuff驱动 ide驱动和文件系统驱动,最后进入到真正的根文件系统。以下内容全是转载:转自 ubuntu/debian initrd 过程     自己最近花时间研究了一下 Linux 的 initial ram disk,然后就写了这篇文章。因为是要 给
2021-09-02 网安实验-文件修复-BinWalk实现文件提取
热门推荐
时光隧道
09-02 4万+
磁盘镜像分析 解压题目提供的data.7z文件得到一个名为data.img的文件,从后缀img来看这可能是一个磁盘镜像文件,这里我们可以尝试使用BinWalk来对其进行扫描。打开CMD命令提示符,首先切换到C:\CTF\DiskForensics\1目录,随后执行python C:\Python27\Scripts\binwalk data.img -f res.txt命令。因为BinWalk可能产生大量扫描结果,而CMD默认的缓冲区无法保存这么多的输出数据,因此这里使用-f参数将扫描结果输出到res.tx
binwalk-解包工具
无痕的博客
07-05 1万+
介绍了binwalk的安装、使用、python调用
kali——binwalk的使用
bunengyongzho666的博客
09-16 5072
binwalk是一个用于分析、逆向工程和提取固件映像的工具。binwalk能够分析固件映像文件,识别其中包含的文件。例如,它可以从一个设备固件中提取出压缩文件或图片等嵌入内容。
终极指南:Binwalk Docker容器化实现跨平台零依赖部署
最新发布
gitblog_00419的博客
09-25 420
你是否还在为Binwalk在不同操作系统上的依赖冲突而头疼?手动安装时遇到的Python版本问题、库文件缺失、权限错误是否耗费了你大量时间?本文将通过Docker容器化方案,让你5分钟内完成Binwalk的跨平台部署,彻底解决环境配置难题。读完本文,你将掌握Docker镜像构建、容器运行、数据持久化以及高级应用技巧,即使是Linux手也能轻松上手。 ## 传统部署的三大痛点 Binwalk作...
binwalk使用整理
weixin_44932880的博客
01-11 2万+
入门指南 文章目录常用参数签名扫描文件提取`-e`提取特定的类型分析文件比较 常用参数 binwalk --help 显示binwalk帮助 签名扫描 Binwalk可以扫描固件映像以查找许多不同的嵌入式文件类型和文件系统。 根据特征头对文件进行解析 每行三个字段。十进制,十六进制,描述 ╰──➤ binwalk R6700-V1.0.2.16_10.0.57.zip DECIMAL HEXADECIMAL DESCRIPTION -----------------
新型initrd解压方法
xiaofeng_yan的专栏
10-23 8680
最近在解决一个问题,需要解压ubuntu的initrd来查看启动脚本。 $ file /boot/initrd.img-4.15.0-32-generic /boot/initrd.img-4.15.0-32-generic: ASCII cpio archive (SVR4 with no CRC) $mkdir rootfs $cd rootfs $cpio -idvm &lt; /...
initrd解压与压缩流程
dp__mcu的专栏
12-16 883
1.解开initrd.img文件 mkdir initrd cd initrd dd if=../initrd.img-4.15.0 bs=2048 skip=0 | zcat | cpio -id --no-absolute-filenames -v 把上一级目录中的initrd.img-4.15.0压缩文件解压到当前目录 2.重打包回去 find ./ | cpio -o -H new...
解压ubuntu initrd
我多么希望明天有太阳,来灼烧我腐烂的梦想
08-08 1329
binwalk initrd.img-4.15.0-55-generic DECIMAL HEXADECIMAL DESCRIPTION -------------------------------------------------------------------------------- 0 0x0 ASCII cpi...
initrd.img 解压目录内容详解
mingwei6的博客
06-16 750
1. 目录结构 ------------------------------ |-- bin | |-- insmod | |-- lvm | |-- modprobe -> /sbin/nash | `-- nash |-- dev | |-- console | |-- mapper | |-- null | |-- ptmx | |-- ram -> ram1 | |-- ram0 | |-- ram1 | |-- rtc | ...
initrd.img文件分析
08-04
initrd.img 文件的分析可以帮助我们更好地理解系统的启动过程,并且可以根据需要对 initrd.img 文件进行定制,以便更好地支持不同的硬件环境。 initrd 的英文含义是 boot loader initialized RAM disk,就是由 boot...
Linux——initrd根文件挂载分析
Feng_8071的博客
08-30 2284
一、initrd介绍 对于使用initramfs镜像的ramdisk来说,这个rootfs即为ramfs(ram file system),它是一个在解压initramfs镜像后就存在且挂载的文件系统,但是系统启动之后用户并不能找到它,因为在内核启动完成后它就会被切换到真实的根文件系统。 前文也提到过,在systemd眼中,initramfs构建的也是一个系统,只不过是虚拟系统,最终systemd会从这个虚拟系统中切换到真实的系统中,切换的内容主要包括两项:切换根分区,切换systemd进程自身。 init
嵌入式Linux 的 initrd文件解压
csdnlg112的专栏
09-16 422
嵌入式Linux的 initrd文件解压方法如下: 在Ubuntu系统上执行如下操作 0:file initrd //检查是否是gzip格式的文件 1:mv initrd initrd.img.gz 2:gunzip initrd.img.gz //得到initrd.img文件。(ext2格式的文件) 3:将initrd.img文件拷贝到Windows 电脑。使用7zip软件解压。 ...
initrd的制作和解压
xiaoxiaozhu2010的专栏
06-29 1万+
initrd 的英文含义是 boot loader initialized RAM disk,就是由 boot loader 初始化的内存盘。在 linux内核启动前,boot loader 会将存储介质中的 initrd 文件加载到内存,内核启动时会在访问真正的根文件系统前先访问该内存中的 initrd 文件系统。在 boot loader 配置了 initrd 的情况下,内核启动被分成了两
shell脚本,调用binwalk进行解压
果冻先生的专栏
02-21 968
   1 #!/bin/bash    2    3 FIRM_PATH="$1"    4 EXTRACT_PATH="$2"    5 DECOMPRESS_DEEPTH=10    6    7 cur_dir=`pwd`    8 FIRM_NAME="${FIRM_PATH##*/}"    9 FIRM_DIR="${FIRM_PATH%/*}"   10   11 if [ ! -f...
initrd.img文件的解压 原创
weixin_43010385的博客
09-19 847
2.6内核中的initrd.img采用cpio压缩,不再是2.4内核使用的ext2格式,无法使用mount -o loop 挂载。需要使用gunzip解压缩,然后再使用cpio解包。通过以上命令就将 initrd.img解压了,现在就可以对其进行编辑,完成后使用以下命令重压制。jiulu2010-08-01 07:29:29博主文章分类:linux。文章标签职场休闲initrd.img文件的解压文章分类运维阅读数3662。再将其改名拷贝至/boot目录,重启就可以观察修改后的效果。
initrd.img的压缩(制作)及解压的过程
mingwei6的博客
06-16 1849
一、启动镜像initrd.img 文件 类RedHat 系统从vmlinuz 核心引导后,会读取initrd.img 启动镜像。该文件中包含驱动模块等信息,是非常重要的文件。不同版本使用的格式不同。 1.RHEL 4.0 版本 采用ext2 文件格式镜像,再通过gzip 压缩: 引用 # file initrd.img initrd.img:gzipcompressed data, from Unix, max compression # mv initrd.img initrd.img.gz # ..
ubuntu 下的文件系统initramfs解压
weixin_40191420的博客
07-21 1730
系统: ubuntu 16.04 解压镜像:/boot/initrd.img-4.15.0-107-generic 需要额外安装的工具:sudo apt-get install binwalk -y 使用lsinitramfs工具查看initramfs的具体文件 lsinitramfs /boot/initrd.img-4.15.0-107-generic 使用binwalk查看initramfs内包含的格式 binwalk /boot/initrd.img-4.15.0-107-generic
Linux下各种压缩包的解压方法
u013378687的博客
04-27 3235
Linux下各种压缩包的解压方法 分类: LINUX2013-05-20 15:56:00 <div class="Blog_con2"> ...
initrd解压
03-10
<think>好的,我需要帮助用户解压版的initrd文件。首先,我得回忆一下initrd文件的常见处理方式。用户提到之前的解压方法可能不完全,比如使用cp加.gz后缀再用gunzip和cpio解压,但结果不完整。这可能是因为较initrd文件使用了不同的压缩方式,比如xz或者lz4,而不仅仅是gzip。 根据引用[2]中的信息,旧的initrd.img是用gzip压缩的,但版本可能有所变化。我需要确认最initrd文件使用的压缩格式。通常,可以通过file命令来检测文件类型,例如`file initrd.img`,这会显示具体的压缩方式。比如,如果是xz压缩,输出会显示XZ compressed data。 接下来,解压步骤会根据压缩方式不同而不同。如果是xz压缩,可能需要使用unxz命令,或者结合cat和xz工具。然后使用cpio提取文件。例如,`xz -dc initrd.img | cpio -idmv`。如果用户没有安装xz工具,可能需要安装相应的软件包。 另外,用户可能遇到权限问题,解压后的文件需要适当的权限,可能需要使用sudo。还要注意解压后的目录结构是否正确,是否包含所有必要的文件,比如引用[3]提到的驱动和depmod相关文件的重建步骤,这可能涉及解压后的修改和重打包。 用户的问题还涉及如何重打包initrd文件,这在修改后是必要的步骤。例如,使用mkinitramfs工具(引用[4])或者find和cpio命令重创建initrd映像,并指定正确的压缩格式。 此外,引用[5]提到使用PXE服务器时涉及initrd文件的处理,可能用户的环境是PXE引导,需要确保解压和重打包后的文件与内核兼容。 总结步骤应该是:检测压缩格式,选择合适的解压命令,解压后用cpio提取,修改后重打包。需要确保工具支持最压缩算法,并指导用户如何验证解压是否完整。</think>### 如何解压initrd 文件 #### 1. **确认文件压缩格式** 最initrd 文件可能采用不同压缩算法(如 `gzip`、`xz`、`lz4` 等)。首先通过 `file` 命令检测文件类型: ```bash file initrd.img ``` 示例输出: - `initrd.img: XZ compressed data`(XZ 压缩) - `initrd.img: gzip compressed data`(GZIP 压缩)[^2] #### 2. **解压步骤** 根据检测结果选择解压工具: - **若为 XZ 压缩**: ```bash mv initrd.img initrd.img.xz # 添加后缀 xz -d initrd.img.xz # 解压为未压缩的 initrd 文件 mkdir initrd && cd initrd cpio -idmv < ../initrd.img # 使用 cpio 解包 ``` 或单行命令: ```bash xz -dc initrd.img | cpio -idmv ``` - **若为 GZIP 压缩**(传统方法): ```bash zcat initrd.img | cpio -idmv ``` 若 `zcat` 不支持,可改用: ```bash gunzip -c initrd.img | cpio -idmv ``` - **若为其他格式**(如 `lz4`): ```bash lz4 -d initrd.img initrd.img.uncompressed cpio -idmv < initrd.img.uncompressed ``` #### 3. **验证解压完整性** 解压后检查目录是否包含完整文件结构: - `/lib`(驱动模块) - `/bin`、`/sbin`(基础命令) - `/etc`(配置文件) 若文件缺失,可能是压缩格式判断错误或解压工具版本过低[^1][^3]。 #### 4. **重打包 initrd 文件** 修改文件后重打包(以 XZ 压缩为例): ```bash find . | cpio -H newc -o | xz -9 --check=crc32 > ../new_initrd.img ``` 或使用 `mkinitramfs` 工具(需 root 权限): ```bash mkinitramfs -o new_initrd.img [内核版本号] [^4] ``` #### 常见问题解决 - **权限不足**:解压/打包时添加 `sudo` - **工具缺失**:安装 `xz-utils`、`lz4` 等包 - **文件损坏**:确保下载的 initrd 文件完整(可通过校验和验证)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值