使用binwalk提取混合类型文件中的子文件

于 2024-04-04 23:15:50 发布
阅读量343 收藏 6
点赞数 5
分类专栏: 数字取证 反编译 网络安全 文章标签: 安全威胁分析 软件工程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybdesire/article/details/137385400
版权

1. 引入

混合类型文件(polyglot)的检测,目前能找到的工具,都是根据YARA规则来做的。这样的检测方法,没有去解析不同类型文件的结构,势必会产生误报。

如果把混合类型文件,看为一个类似于固件的二进制文件,就能用固件扫描工具来检测并提取其中嵌入的子文件了。

2. binwalk的安装

参考1中有详细的安装方式,也给出了一键安装的脚本。这个脚本笔者在ubuntu上20.04.5上安装失败,折腾老半天,后来无意中发现,在ubuntu上可以直接用apt来安装(apt install binwalk),几秒钟就安装成功了。

3. 检测文件类型

从参考3中拿一个文件(EXE+HTML+PDF-1.pdf)来做测试(注意参考3中的文件需要用 git-lfs clone xxx来获取)。

root@aabbcc:/home/prjs/polyglot/binwalk# binwalk EXE+HTML+PDF-1.pdf

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
64            0x40            PDF document, version: "1.3"
386           0x182           PDF document, version: "1.3"
457           0x1C9           HTML document header
740           0x2E4           HTML document footer
827           0x33B           Zlib compressed data, best compression
2496          0x9C0           Zlib compressed data, best compression
15192         0x3B58          Zlib compressed data, best compression
25313         0x62E1          Zlib compressed data, best compression

可见,binwalk能检出其中含有 PE(exe)文件,pdf文件,html文件。
当然,也有一些zlib文件属于错误的检测输出。

4. 提取子文件

使用如下命令,能将检测到的所有文件都提取出来(参考2).

root@aabbcc:/home/prjs/polyglot/binwalk# binwalk --dd='.*' EXE+HTML+PDF-1.pdf

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
64            0x40            PDF document, version: "1.3"
386           0x182           PDF document, version: "1.3"
457           0x1C9           HTML document header
740           0x2E4           HTML document footer
827           0x33B           Zlib compressed data, best compression
2496          0x9C0           Zlib compressed data, best compression
15192         0x3B58          Zlib compressed data, best compression
25313         0x62E1          Zlib compressed data, best compression

这个命令运行成功后,输出和上一节一致,并且会生成一个_开头的文件夹,进入这个文件夹,就能看到binwalk提取出来的子文件:

root@aabbcc:/home/prjs/polyglot/binwalk# cd _EXE+HTML+PDF-1.pdf.extracted/
root@aabbcc:/home/prjs/polyglot/binwalk/_EXE+HTML+PDF-1.pdf.extracted# ll
total 340
drwxr-xr-x 2 root root  4096 Sep 22 18:59 ./
drwxr-xr-x 3 root root  4096 Sep 22 18:59 ../
-rw-r--r-- 1 root root 36371 Sep 22 18:59 0
-rw-r--r-- 1 root root 35985 Sep 22 18:59 182
-rw-r--r-- 1 root root 35914 Sep 22 18:59 1C9
-rw-r--r-- 1 root root 35631 Sep 22 18:59 2E4
-rw-r--r-- 1 root root   337 Sep 22 18:59 33B
-rw-r--r-- 1 root root 35544 Sep 22 18:59 33B.zlib
-rw-r--r-- 1 root root 10291 Sep 22 18:59 3B58
-rw-r--r-- 1 root root 21179 Sep 22 18:59 3B58.zlib
-rw-r--r-- 1 root root 36307 Sep 22 18:59 40
-rw-r--r-- 1 root root 10009 Sep 22 18:59 62E1
-rw-r--r-- 1 root root 11058 Sep 22 18:59 62E1.zlib
-rw-r--r-- 1 root root 12893 Sep 22 18:59 9C0
-rw-r--r-- 1 root root 33875 Sep 22 18:59 9C0.zlib

这些文件,可以用file查看类型:

root@aabbcc:/home/prjs/polyglot/binwalk/_EXE+HTML+PDF-1.pdf.extracted# file 0
0: MS-DOS executable PE32 executable (console) Intel 80386, for MS Windows
root@aabbcc:/home/prjs/polyglot/binwalk/_EXE+HTML+PDF-1.pdf.extracted# file 182
182: PDF document, version 1.3
root@aabbcc:/home/prjs/polyglot/binwalk/_EXE+HTML+PDF-1.pdf.extracted# file 1C9
1C9: data
root@aabbcc:/home/prjs/polyglot/binwalk/_EXE+HTML+PDF-1.pdf.extracted# vim 1C9

其中文件名为0的是PE文件,文件名为182的是pdf文件,文件名为1C9的用vim打开就能看到是html文件。

5. 总结

在ubuntu上,可以用apt快速安装binwalk,使用binwalk也能很方便的进行固件内容的分析,转换一下思路也就能把binwalk用来辅助做混合类型文件的检测与子文件的提取。

本文用到的文件和提取出来的内容都已经放到(https://github.com/ybdesire/polydet_binwalk),供参考。

6. 参考

  1. https://github.com/ReFirmLabs/binwalk/
  2. https://stackoverflow.com/questions/36530643/use-binwalk-to-extract-all-files
  3. https://github.com/Polydet/polyglot-database/tree/master/files
  4. https://github.com/ybdesire/polydet_binwalk
ybdesire
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
binwalk-1.2.2-1.tar.gz
07-21
inwalk一个文件分析工具,旨在协助研究人员对文件进行分析提取及逆向工程。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,还重要一点的是可以轻松地扩展。
夏令营集训3--MISC总结
MIGENGKING的博客
07-17 1941
MISC: 一 、流量分析 二、文件格式分析 三、隐写—图片、音频 四、压缩包分析 五、古典密码 什么是MISC: Misc 是英文 Miscellaneous 的前四个字母,杂项、混合体、大杂烩的意思。 Misc 在国外的比赛其实又被具体划分为各个小块,有 Recon、Forensic、Stego、Misc… 在国内内的比赛,被统一划分入 Misc 领域,有时 Crypto(尤其是古典密码)...
CTF 之 Forensics 取证
algae
04-18 5667
这篇文章列了CTFForensics(取证)类型题的技巧和窍门,展示了CTF常用工具的使用场景和使用方法。文件格式(File Formats)十六进制文件头和对应ASCII码通过查看文件头前四到五个字节的十六进制数来识别文件类型。参考Hex file and Regex Cheat Sheet 和Gary Kessler File Signature Ta...
CTF Series Forensics
梦想专栏
08-26 1553
描述 这篇文章列了CTFForensics(取证)类型题的技巧和窍门,展示了CTF常用工具的使用场景和使用方法。 文件格式(File Formats) 十六进制文件头和对应ASCII码 通过查看文件头前四到五个字节的十六进制数来识别文件类型。参考Hex file and Regex Cheat Sheet和Gary Kessler File Signature Table ...
CTF常见用法小总结
qq_45837896的博客
05-31 998
CTF方法零碎小总结
cpu_rec:识别任意二进制文件的CPU指令
05-27
cpu_rec是可识别任意二进制文件的cpu指令的工具。 它可以用作独立工具,也可以用作binwalk的插件( )。 安装说明 独立工具 将cpu_rec.py和cpu_rec_corpus复制到同一目录。 如果您没有为python安装lzma模块(此...
CVE-2022-4510:Binwalk 远程代码执行漏洞
最新发布
07-03
CVE-2022-4510:Binwalk 远程代码执行漏洞
binwalk.zip
03-04
经常需要用到Linux下的binwalk命令,但是就为了这个去打开虚拟机再等待开机很麻烦,因此想到了在Windows下也能有一个binwalk
binwalk.exe
08-20
binwalk的python版本打包从exe方便windows使用
介绍一个可以轻松下载病毒样本的数据库
热门推荐
ybdesire的专栏
09-30 2万+
引入 病毒样本有一些知名的数据集,但一般这些数据集的样本都比较老,并且申请这些数据集的流程复杂,耗时长。有的数据集只有meta信息,没有完整的样本。 而病毒样本又是各大安全公司的资产,研究者也不会轻易拿到新样本。 所以病毒样本的收集是比较麻烦的。 MalwareBazaar Database 从如下介绍,可以看,MalwareBazaar数据库是与安全产商合作后,构建的一个公开的病毒样本数据库。 MalwareBazaar is a project operated by abuse.ch. The p
MITRE ATT&CK安全知识库介绍
ybdesire的专栏
09-26 1万+
1. 引入 通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。 本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。 2. MITRE是什么 从wikipedia[1]上可以看到介绍: The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an Amer...
Django的CSRF保护引起的403 FORBIDDEN
ybdesire的专栏
09-03 1万+
用Django写了一个API,专门处理客户端发来的POST请求。结果每一次客户端JS发送POST请求,都得到403的Error。Google搜“django 403 forbidden ajax post”,在神奇的stackoverflow上发现了答案 。 原来是Django的CSRF保护机制导致的。CSRFCSRF是跨站点请求伪造,简单来说就是用户在访问受信任网站后,浏览器记录了受信任网站的co
[网络诈骗]BEC(Business Email Compromise 企业邮件受骇)
ybdesire的专栏
04-18 9516
企业邮件受骇(BEC-Business Email Compromise)
使用foremost对磁盘镜像文件做数字取证
ybdesire的专栏
04-19 5454
foremost是linux下用于恢复文件的工具,能对dd,Safeback,Encase等工具提取来的image文件进行恢复。
IDA 常用快捷键记录
ybdesire的专栏
10-06 3426
IDA常用的快捷键有哪些
VirusTotal智能搜索安卓样本示例
ybdesire的专栏
03-31 3289
在Virus Total上搜索Android平台样本的示例
Javascript跨域访问资源
ybdesire的专栏
08-19 2805
API的设计要考虑CORS。同源策略,跨域资源共享,错误No 'Access-Control-Allow-Origin' header is present on the requested resource.的缘由及解决方案。
VirusTotal智能搜索itw查找从github下载的恶意Android样本
ybdesire的专栏
01-06 1571
一个,从VirusTotal查找到新鲜的恶意Android样本,根据itw找到从某个特定网站下载的恶意样本。
binwalk有MySQL_在Linux使用binwalk提取所有文件
05-28
Binwalk一个用于分析二进制文件的命令行工具,可以用于提取文件文件系统等操作。要在Linux使用Binwalk提取所有文件,可以按照以下步骤进行操作: 1. 安装Binwalk:在Linux终端输入以下命令进行安装: ``` sudo apt-get install binwalk ``` 2. 使用Binwalk提取文件:在Linux终端进入要提取文件的目录,然后输入以下命令: ``` binwalk -e 文件名 ``` 其,"文件名"指要提取的二进制文件的名称。执行该命令后,Binwalk将会自动提取文件并保存在一个新的目录。 3. 提取MySQL文件:如果要提取MySQL文件,可以使用以下命令: ``` binwalk -e 文件名 --matryoshka ``` 这个命令将会提取所有文件并将其保存在一个新的目录,包括MySQL文件。 需要注意的是,Binwalk提取文件可能会包含大量的垃圾数据,需要根据实际情况进行筛选和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值