0x00Binwalk介紹
Binwalk是用於搜索給定二進制鏡像文件以獲取嵌入的文件和代碼的工具。 具體來說,它被設計用於識別嵌入固件鏡像內的文件和代碼。 Binwalk使用libmagic庫,因此它與Unix文件實用程序創建的魔數簽名兼容。 Binwalk還包括一個自定義魔數簽名文件,其中包含常見的諸如壓縮/存檔文件,固件頭,Linux內核,引導加載程序,文件系統等的固件映像中常見文件的改進魔數簽名。
0x01 功能
掃描選項:
-B,-- signature 掃描目標文件的常見文件簽名
-R,--raw = <str>掃描目標文件的指定字符序列
-A,--opcodes掃描目標文件中常見可執行代碼
-m,--magic = <file> 指定要使用的自定義魔數簽名文件
-b,--dumb 禁用智能簽名關鍵字
-I,--invalid顯示結果標記為無效
-x,--exclude = <str>排除與<str>匹配的結果
-y,--include = <str>只顯示匹配<str>的結果
提取選項:
-e,--extract自動提取已知的文件類型
-D,--dd = <type:ext:cmd>提取<type>簽名,為文件擴展名為<ext>,然后執行<cmd>
-M,--matryoshka 遞歸掃描提取的文件
-d,--depth = <int>限制matryoshka遞歸深度(默認值:8級深)
-C,--directory = <str>將文件/文件夾提取到自定義目錄(默認值:當前工作目錄)
-j,--size = <int> 限制每個提取的文件的大小
-n,--count = <int>限制提取文件的數量
-r,--rm 提取后刪除刻錄文件
-z,--carve從文件中讀取數據,但不執行提取實用程序
熵分析選項:
-E,--entropy 計算文件熵
-F,--fast計算更快,但不太詳細的熵分析
-J,--save將熵圖保存為PNG圖像
-Q,--nlegend 從熵圖圖中省略圖例
-N,--nplot 不生成熵圖
-H,--high = <float>設置上升沿熵觸發閾值(默認值:0.95)
-L,--low = <float> 設置下降沿熵觸發閾值(默認值:0.85)
原始壓縮選項:
-X, --deflate掃描原始deflate壓縮流
-Z, --lzma 掃描原始LZMA壓縮流
-P, --partial淺度掃描,速度更快
-S, --stop 找到第一個結果后停止掃描
二進制差異選項:
-W,--hexdump 執行文件或文件的hexdump/diff
-G,--green 只顯示包含所有文件中相同字節的行
-i,--red 僅顯示包含所有文件中不同字節的行
-U,--blue只顯示一些文件中包含不同字節的行
-w,--terse 只顯示第一個文件的十六進制轉儲
一般選項:
-l,--length = <int>要掃描的字節數
-o,--offset = <int>以此偏移開始掃描
-O,--base = <int>向所有打印的偏移量添加基址
-K,--block = <int> 設置文件塊大小
-g,--swap = <int>掃描前每n個字節反轉一次
-f,--log = <file>將結果記錄到文件
-c,--csv 將結果記錄到CSV格式的文件中
-t,--term格式化輸出以適合終端窗口
-q,--quiet 禁止輸出
-v,--verbose 詳細輸出
-h,--help顯示幫助
-a,--finclude = <str>只掃描名稱與此正則表達式匹配的文件
-p,--fexclude = <str>不掃描名稱與此正則表達式匹配的文件
-s,--status = <int>啟用指定端口上的狀態服務器