前言
vxworks
的固件分析流程
1.用binwalk查看固件基本信息并解压固件
2.获取固件相关信息, cpu架构,大小端
3.确定固件的加载地址
4.用IDA加载固件,并修复符号表
5. 分析固件
实战分析
一道CTF题
分析固件
用到的例子
http://www.icsmaster.org/wp-content/uploads/2018/01/2018013004153995.zip
首先用 binwalk
扫描下固件的信息
$ binwalk ctf_vxworks.bin
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
901 0x385 Zlib compressed data, default compression
发现就是 zlib
压缩的数据, 用 binwalk
直接解开, 然后用 binwalk
对解开后的文件扫描,发现 vxworks
关键信息, 于是拿到 vxworks
的固件。
$ binwalk 385
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2054252 0x1F586C EST flat binary
2088936 0x1FDFE8 HTML document header
2108532 0x202C74 HTML document footer
2110048 0x203260 HTML document header
2115564 0x2047EC HTML document footer
2119528 0x205768 XML document, version: "1.0"
2119796 0x205874 XML document, version: "1.0"
2119912 0x2058E8 XML document, version: "1.0"
2192512 0x217480 Base64 standard index table
2192580 0x2174C4 Base64 standard index table
2211604 0x21BF14 VxWorks WIND kernel version "2.5"
2225264 0x21F470 Copyright string: "Copyright Wind River Systems, Inc., 1984-2000"
2321952 0x236E20