数据恢复/电子取证 非常有用的python库——Construct

最新推荐文章于 2024-07-27 20:57:33 发布
最新推荐文章于 2024-07-27 20:57:33 发布
阅读量4.5k 收藏 8
点赞数 1
分类专栏: python 文章标签: python struct 正则表达式 c 语言 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ani_di/article/details/7225343
版权

和硬盘打交道,不免会用到字节、大\小端对齐、结构等。C语言定义了很多类型,我们定义一个结构,配合mem***函数、大小端转换宏等几乎可以应付了。Python就没那么好用了,因为它本身也不是为这种低级操作而设计的。处理这种二进制数据,貌似只有struct库能沾上一点边,它用起来像printf,数据一多就会把你搞晕的,它还有几个致命缺点:1. 不支持小于1个字节的;2. 数据格式固定。总的来说,它的扩展性和易用性是很差的。

Construct一改模仿C语言struct的“趋势”,结构体不再是对数据的定义而是描述。这一颠覆性的思想可以说把数据流unpack推向到一个新台阶。我们不再受限于语言本身所定义的类型,而是像正则表达式那样根据数据格式来描述结构。

这种思想也不是Construct首先提出的,一些网络数据包处理程序很早也在使用(Construct最早也是用于处理TCP/IP数据包的)。我们可以看看该库所带的一个处理mbr解析的示例

from construct import *


mbr = Struct("mbr",
    HexDumpAdapter(Bytes("bootloader_code", 446)),
    Array(4,
        Struct("partitions",
            Enum(Byte("state"),
                INACTIVE = 0x00,
                ACTIVE = 0x80,
            ),
            BitStruct("beginning",
                Octet("head"),
                Bits("sect", 6),
                Bits("cyl", 10),
            ),
            Enum(UBInt8("type"),
                Nothing = 0x00,
                FAT12 = 0x01,
                XENIX_ROOT = 0x02,
                XENIX_USR = 0x03,
                FAT16_old = 0x04,
                Extended_DOS = 0x05,
                FAT16 = 0x06,
                FAT32 = 0x0b,
                FAT32_LBA = 0x0c,
                NTFS = 0x07,
                LINUX_SWAP = 0x82,
                LINUX_NATIVE = 0x83,
                _default_ = Pass,
            ),
            BitStruct("ending",
                Octet("head"),
                Bits("sect", 6),
                Bits("cyl", 10),
            ),
            UBInt32("sector_offset"), # offset from MBR in sectors
            UBInt32("size"), # in sectors
        )
    ),
    Const(Bytes("signature", 2), "\x55\xAA"),
)



if __name__ == "__main__":
    cap1 = (
    "33C08ED0BC007CFB5007501FFCBE1B7CBF1B065057B9E501F3A4CBBDBE07B104386E00"
    "7C09751383C510E2F4CD188BF583C610497419382C74F6A0B507B4078BF0AC3C0074FC"
    "BB0700B40ECD10EBF2884E10E84600732AFE4610807E040B740B807E040C7405A0B607"
    "75D2804602068346080683560A00E821007305A0B607EBBC813EFE7D55AA740B807E10"
    "0074C8A0B707EBA98BFC1E578BF5CBBF05008A5600B408CD1372238AC1243F988ADE8A"
    "FC43F7E38BD186D6B106D2EE42F7E239560A77237205394608731CB80102BB007C8B4E"
    "028B5600CD1373514F744E32E48A5600CD13EBE48A560060BBAA55B441CD13723681FB"
    "55AA7530F6C101742B61606A006A00FF760AFF76086A0068007C6A016A10B4428BF4CD"
    "136161730E4F740B32E48A5600CD13EBD661F9C3496E76616C69642070617274697469"
    "6F6E207461626C65004572726F72206C6F6164696E67206F7065726174696E67207379"
    "7374656D004D697373696E67206F7065726174696E672073797374656D000000000000"
    "0000000000000000000000000000000000000000000000000000000000000000000000"
    "00000000000000000000000000000000002C4463B7BDB7BD00008001010007FEFFFF3F"
    "000000371671020000C1FF0FFEFFFF761671028A8FDF06000000000000000000000000"
    "000000000000000000000000000000000000000055AA"        
    ).decode("hex")
    
    print mbr.parse(cap1)

Construct由众多Adapter构成,你可以为某种特定的数据流形式定义一种。上例中的Enum, BitStruct也算一种。相信在你看完这个例子后应该知道什么是“结构描述”了。

Construct可以从pypi上下载到。它有很完善的文档,初学者建议从这里开始http://construct.wikispaces.com/tutorial

ani_di
关注
专栏目录
python实现数据恢复_数据恢复/电子取证 非常有用python库——Construct | 学步园...
weixin_39638801的博客
12-01 528
和硬盘打交道,不免会用到字节、大\小端对齐、结构等。C语言定义了很多类型,我们定义一个结构,配合mem***函数、大小端转换宏等几乎可以应付了。Python就没那么好用了,因为它本身也不是为这种低级操作而设计的。处理这种二进制数据,貌似只有struct库能沾上一点边,它用起来像printf,数据一多就会把你搞晕的,它还有几个致命缺点:1. 不支持小于1个字节的;2. 数据格式固定。总的来说,它的扩...
construct:Java版本的“构造”是一个python库,用于解析和构建数据结构(二进制或文本)
05-10
Python构造 Construct是用于二进制数据的功能强大的声明式解析器。 它基于在声明式中定义数据结构的概念方式,而不是过程代码:可以组合简单的结构分层以形成越来越复杂的数据结构。 这是第一个使解析变得有趣的库,而不是今天的常见麻烦。 构造具有位和字节的粒度,对称操作(解析和构建),面向组件的声明性设计,易于调试和测试,易于扩展的子类系统以及许多原始数据使您的工作更轻松的结构: 领域 结构 工会 中继器 元构造 开关 按需解析 指针 和更多! Java构造 该Java版本使用一些语法糖(即静态方法)使语法尽可能接近Python中原始的Construct库。 Construct struct = BitStruct("foo", BitField("a", 3), Flag
CHIRP:用Python编写的取证工具
03-25
奇普 用Python编写的取证工具。 观看 :memo: 目录 :face_with_monocle: 关于 CISA搜寻和事件响应程序(CHIRP)是一种工具,用于以单个程序包动态查询主机上的危害指标(IoC),以JSON格式输出数据,以便在SIEM或其他工具中进行进一步分析。 CHIRP不会修改任何系统数据。 初始IoC旨在搜索CISA警报中详细介绍的活动,该活动已泄漏到企业环境中。 :chequered_flag: 入门 我们通过构建和发布CHIRP。 但是,如果您希望与Python3.6 +一起运行,请遵循以下说明。 您也可以为CHIRP编写新的或。 先决条件 要使用Python运行CHIRP,需要Python 3.6或更高版本。 如果您需要在您的环境中安装Python的帮助,请按照的说明进行操作 CHIRP必须在带电的计算机上运行,​​但不必通过网络连接。 当前,CHIRP必须在包含winevt日志的
python进行电子取证
weixin_42348105的博客
05-17 1013
python实现mysql数据库恢复
最新发布
AGVX58074的博客
07-27 356
【代码】python实现mysql数据库恢复。
数据不小心被删除了怎么办?11款最棒的Linux数据恢复工具(建议收藏)
Hsuesh的博客
12-11 708
无论你使用的是台式电脑还是笔记本,需要关注的重点之一都是如何保护好你的宝贵数据。因为总会有各种突发情况使你的系统崩溃,然后你要做的就是恢复数据。不管你怎么想,要是我失去了所有的数据却无法恢复的话,我会分分钟肢解了这台破电脑。不过幸好的是,现在市场上有不少的数据恢复工具,能帮助我们从系统的硬盘上恢复数据。 如果你使用的是Linux操作系统,那么你一定想知道一旦硬盘崩溃的话又该如何保存和恢复数据。其实,现在有很多Linux数据恢复工具可以让我们摆脱数据安全的困扰。我已经为各位准备好了一些最好的Linux数据恢
电子数据取证python方法第三章
qq_27017791的博客
10-20 1558
import os import csv import hashlib import time import logging def getinfo1(dirfile): m = hashlib.sha256() f=open(dirfile,'rb') m.update(f.read()) ha=m.hexdigest() return ha ...
使用Python进行数字取证调查
热门推荐
CSDN
05-28 1万+
连上注册表,使用OpenKey()函数打开相关的键,在循环中依次分析该键下存储的所有网络network profile,其中FirstNetwork网络名和DefaultGateway默认网关的Mac地址的键值打印出来。子目录中的字符串表示的是用户的SID,对应机器里一个唯一的用户账户。以管理员权限开启cmd,输入如下命令来列出每个网络显示出profile Guid对网络的描述、网络名和网关的MAC地址。pyPdf是管理PDF文档的第三方Python库,在Kali中是已经默认安装了的就不需要再去下载安装。
Python库 | construct-2.8.3.tar.gz
04-07
资源分类:Python库 所属语言Python 资源全名:construct-2.8.3.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
Python库 | construct-hub-0.1.82.tar.gz
03-02
Python库Construct详解——以construct-hub-0.1.82.tar.gz为例》 在IT行业中,Python作为一门简洁易学且功能强大的编程语言,其丰富的库支持是其广泛应用的关键因素之一。今天我们将深入探讨Python的一个重要库...
Python库 | construct-hub-0.1.71.tar.gz
03-02
Python库Construct详解——以construct-hub-0.1.71.tar.gz为例》 Python是一种强大且广泛应用的编程语言,其丰富的库生态系统是其魅力所在。在众多Python库中,"Construct"是一个用于解析和构建二进制数据结构的...
Python库 | construct-hub-0.1.76.tar.gz
03-02
Python库Construct详解——以construct-hub-0.1.76.tar.gz为例》 在IT行业中,Python作为一门简洁而强大的编程语言,其丰富的库生态是其深受开发者喜爱的重要原因之一。今天我们要深入探讨的是一个名为Construct...
电子取证资料
02-27
电子取证 Computer Forensics JumpStart, 2nd Edition.pdf
Python编程在电子数据取证分析中的应用.pdf
06-28
Python编程在电子数据取证分析中的应用.pdf
python在电子方面的应用_Python编程在电子数据取证分析中的应用
weixin_39777497的博客
12-06 322
Python编程在电子数据取证分析中的应用章凇;张朝程【期刊名称】《信息安全与技术》【年(卷),期】2018(009)002【摘要】近年来,电子数据取证分析技术日益成熟,大部分电子数据取证分析工具都能对主流的应用程序数据进行提取解析,提高了电子数据取证分析人员工作效率的同时也降低了电子数据取证分析人员的技术门槛.然而,在实际电子数据取证分析工作中,目前基于预设策略的电子数据取证分析工具无法智能化、...
python数据恢复开发_Python:完整版 wc
weixin_39769627的博客
12-01 371
#!/usr/bin/pythonimport osimport sysfrom optparse import OptionParserdef opt():parser = OptionParser()parser.add_option("-c", "--char",dest="chars",action="store_true",default=False,help="only count c...
RecoverPy: 数据恢复利器,Python实现的文件救星
gitblog_00024的博客
04-25 660
RecoverPy: 数据恢复利器,Python实现的文件救星 RecoverPyInteractively find and recover deleted or :point_right: overwritten :point_left: files from your terminal项目地址:https://gitcode.com/gh_mirrors/re/RecoverPy 是一个开...
电子取证-活取证1
banacyo14206的博客
08-22 315
电子取证 使用dumpit工具将计算机内存镜像保存。并生成raw文件格式文件。 检测镜像文件基本信息 volatility -f 2008.raw imageinfo 检测进程列表及物理内存位置 volatility -f 2008.raw --profile=Win2008R2SP1x64 pslist 产看进程树,可以轻松了解各进程之间的关系:...
Python2 进程扫描脚本
weixin_34115824的博客
05-02 194
2019独角兽企业重金招聘Python工程师标准>>> ...
python中class SEQ(_CONSTRUCT)的意思
06-13
Python中,class SEQ(_CONSTRUCT)定义了一个名为SEQ的类,该类继承了_CONSTRUCT类。这意味着SEQ类将具有_CONSTRUCT类中定义的所有属性和方法。通常,这种继承被用于创建新的类,该类需要一些已有类的功能,同时还...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值