使用binwalk提取混合类型文件中的子文件

最新推荐文章于 2025-09-17 21:59:37 发布
最新推荐文章于 2025-09-17 21:59:37 发布
阅读量951 收藏 6
点赞数 5
CC 4.0 BY-SA版权
分类专栏: 数字取证 反编译 网络安全 文章标签: 安全威胁分析 软件工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybdesire/article/details/137385400

1. 引入

混合类型文件(polyglot)的检测,目前能找到的工具,都是根据YARA规则来做的。这样的检测方法,没有去解析不同类型文件的结构,势必会产生误报。

如果把混合类型文件,看为一个类似于固件的二进制文件,就能用固件扫描工具来检测并提取其中嵌入的子文件了。

2. binwalk的安装

参考1中有详细的安装方式,也给出了一键安装的脚本。这个脚本笔者在ubuntu上20.04.5上安装失败,折腾老半天,后来无意中发现,在ubuntu上可以直接用apt来安装(apt install binwalk),几秒钟就安装成功了。

3. 检测文件类型

从参考3中拿一个文件(EXE+HTML+PDF-1.pdf)来做测试(注意参考3中的文件需要用 git-lfs clone xxx来获取)。

root@aabbcc:/home/prjs/polyglot/binwalk# binwalk EXE+HTML+PDF-1.pdf

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
64            0x40            PDF document, version: "1.3"
386           0x182           PDF document, version: "1.3"
457           0x1C9           HTML document header
740           0x2E4           HTML document footer
827           0x33
最低0.47元/天 解锁文章

200万优质内容无限畅学
2021-09-02 网安实验-文件修复-BinWalk实现文件提取
时光隧道
09-02 4万+
磁盘镜像分析 解压题目提供的data.7z文件得到一个名为data.img的文件,从后缀img来看这可能是一个磁盘镜像文件,这里我们可以尝试使用BinWalk来对其进行扫描。打开CMD命令提示符,首先切换到C:\CTF\DiskForensics\1目录,随后执行python C:\Python27\Scripts\binwalk data.img -f res.txt命令。因为BinWalk可能产生大量扫描结果,而CMD默认的缓冲区无法保存这么多的输出数据,因此这里使用-f参数将扫描结果输出到res.tx
binwalk -e mysql_自动提取文件系统---binwalk(一)
weixin_35319943的博客
02-01 1012
Binwalk是路由器固件分析的必备工具,该工具最大的优点就是可以自动完成指定文件的扫描,智能发掘潜藏在文件中所有可疑的文件类型文件系统。1、Binwalk和libmagicBinwalk的扫描实现方法,就是把重复而复杂的手工分析方法通过程序实现。但是Binwalk并不是简单地使用file命令识别文件类型,原因在于file命令占用了太多的磁盘来读写I/O,效率太低,而且file命令识别文件类型是...
binwalk文件分离、提取——命令
N1ce_peter的blog
05-02 3万+
binwalk ** binwalk常用命令 ** binwalk常用命令 -e 分解出压缩包 binwalk -e pcat.bin //要分解的文件名 -D或者–dd 分解某种类型文件(在windows里要用双引号括起来) binwalk -D=jpeg/*文件类型*/ pcat.bin //要分解的文件名 -M 递归分解扫描出来的文件(得跟-e或者-D配合使用binwalk...
自动提取文件系统---binwalk(一)
weixin_47065084的博客
09-03 2257
  Binwalk的扫描实现方法,就是把重复而复杂的手工分析方法通过程序实现。但是Binwalk并不是简单地使用file命令识别文件类型,原因在于file命令占用了太多的磁盘来读写I/O,效率太低,而且file命令识别文件类型是从文件的第一个字节开始,且只能把磁盘上的一个文件识别成一种文件格式,所以会占用很多磁盘空间来保存文件,此外,使用file命令,就需要逐字节把路由器文件分割成多个文件文件的I/O也必然会极大影响扫描效率。
CTF—基于BinWalk实现文件提取
weixin_52620919的博客
07-27 6998
预备知识 BinWalk BinWalk是一款固件分析工具,旨在协助研究人员对固件进行分析提取及逆向工程之用。BinWalk简单易用,支持自动化脚本、自定义签名、提取规则和插件模块。BinWalk使用方法十分简单,提供待分析文件路径即可。 【BinWalk】常用于识别任意二进制数据块中所包含的指定类型文件数据。 AES算法 AES(高级加密标准)是一个对称分组密码算法,旨在取代DES(数据加密标准)成为广泛使用的标准,其加密过程比较复杂,分为字节代替、行移位、列混淆、轮密钥加四个步骤,具体的实现过
【CTF-MISC】binwalk提取文件,dd分割文件,strings寻找密码
最新发布
qq_37400312的博客
09-17 435
题目。
路由器固件分析工具binwalk
11-13
压缩包中的binwalk-2.0.1”可能是binwalk源码的一个特定版本,用户需要按照指示安装和配置,才能在本地环境中使用该工具。 总之,binwalk是路由器固件分析的重要工具,它提供了丰富的功能,使分析工作变得更加...
binwalk和foremost使用
07-04
binwalk 主要用于分析文件结构并分离嵌入的多格式文件,而 foremost 则专注于从镜像或磁盘文件中恢复已删除的文件(通过识别文件头和尾的数据结构)。以下是逐步指导,帮助您高效使用这两个工具。回答基于真实工具...
linux下怎么看一个文件dsd是什么格式
09-06
- **`binwalk`**:分析嵌入式固件或混合文件。 ```bash binwalk dsd ``` - **`objdump`**:反汇编二进制文件(ELF)。 ```bash objdump -d dsd ``` --- ## **常见问题** ### **Q:`file` 命令显示 `data` ...
【产品那些事】固件安全-关于OTA升级包分析
今天是几号的博客
07-16 2185
OTA(Over-the-Air)是一种通过无线通信网络(如Wi-Fi、蜂窝网络)远程下载和安装设备固件或软件更新的方式。这种方式广泛应用于智能手机、物联网设备、汽车电子等领域。小米发烧友估计对此并不陌生,线刷、卡刷、各种系统的刷机包,最近的澎湃OS不知道各位米友试着刷了没有。当然还有路由器、汽车,甚至台灯等各种智能家居,都是通过OTA的方式进行升级更新。这里笔者通过两个固件解压包分析案例,来学习固件安全相关内容。
物联网安全实验3-BinWalk固件提取分析
taylorswift的博客
07-07 1万+
一、 实验目的 1.理解binwalk工具的作用 2.掌握binwalk固件分析的常用命令二、 实验环境  虚拟机环境:VMware Workstation Pro  操作系统:Kali linux  实验工具: BinWalk相关软件三、 实验原理及背景 1.固件(Firmware) 固件(Firmware)一般存储在设备中的电可擦除只读存储器、带电可擦可编程读写存储器(Electrically Erasable Programmable Read Only Memory,EEPROM)或者Flas
可以提取加密RAR中的文件的万能文件提取
07-26
可以提取加密RAR中的文件,不错的东西,大家用用吧
binwalk工具
菜鸟-宇的个人博客
09-07 880
D、 --dd=提取签名(正则表达式),为文件指定扩展名,然后执行。用法:binwalk[OPTIONS][FILE1][FILE 2][FILE3]。-a、 --finclude=仅扫描名称与此正则表达式匹配的文件。-p、 --fexclude=不扫描名称与此正则表达式匹配的文件。-R、 --raw=<str>扫描目标文件的指定字节序列。-m、 --magic=指定要使用的自定义魔术文件。-M、 --matryoshka递归扫描提取文件
0x00 设备漏洞---固件提取(Binwalk)
q759451733的博客
01-23 1098
Binwalk安装: Binwalk是一款十分强大的固件分析工具,不仅可以用于提取文件系统,而且可以用于协助研究人员对固件进行分析及逆向工程等。 sudo git clone https://github.com/devttys0/binwalk.git 依赖文件(以下都是) sudo apt-get install libqt4-opengl python-opengl python...
binwalk -e mysql_linux – 使用binwalk提取所有文件
weixin_35545345的博客
03-03 1197
我有一个文件music.mp3.使用binwalk后,我得到了结果:pexea12@DESMICE:~/Downloads$binwalk music.mp3DECIMAL HEXADECIMAL DESCRIPTION--------------------------------------------------------------------------------...
CTF工具隐写分离神器Binwalk安装和详细使用方法
热门推荐
Aluxian_的博客
08-20 4万+
Binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。具体来说,Binwalk是一个固件的分析工具,旨在协助研究人员对固件非分析提取及逆向工程用处。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,还重要一点的是可以轻松地扩展。Binwalk是一个功能强大的命令行工具,用于提取分析固件文件。它可以扫描文件并从中提取有用的信息和文件,快速定位漏洞,并允许您深入了解设备的特定方面。此外,Binwalk不仅易于使用,而且非常灵活,并且可以与其他工具和库集成使用
binwalk分离出特定的文件并保存
东隅的博客
04-12 3526
这样是分析文件,有的时候不给自动提取文件,不知道为什么 binwalk -e 文件名 然后可以这样强制提取文件 binwalk -D=jpeg(要提取类型) 文件
kali——binwalk使用
bunengyongzho666的博客
09-16 4803
binwalk是一个用于分析、逆向工程和提取固件映像的工具。binwalk能够分析固件映像文件,识别其中包含的文件。例如,它可以从一个设备固件中提取出压缩文件或图片等嵌入内容。
binwalk笔记
Starr
04-04 2364
文章目录1. 一些基础知识固件复习一下Linux2. 安装3. 命令行用法反汇编扫描签名扫描提取熵Diff压缩其它通用选项 源码仓库:https://github.com/ReFirmLabs/binwalk Gitee镜像:https://gitee.com/mirrors/Binwalk Wiki: https://github.com/ReFirmLabs/binwalk/wiki 集成工具firmware-mod-kit,感觉不太好用,随便从dlink上下了一个固件,binwalk可以提取,fmk的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值