binwalk、foremost、dd隐藏文件分离
**
binwalk、foremost、dd隐藏文件分离
**
Binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。 具体来说,它被设计用于识别嵌入固件镜像内的文件和代码。 Binwalk使用libmagic库,因此它与Unix文件实用程序创建的魔数签名兼容。 Binwalk还包括一个自定义魔数签名文件,其中包含常见的诸如压缩/存档文件,固件头,Linux内核,引导加载程序,文件系统等的固件映像中常见文件的改进魔数签名。
Binwalk常用于分析隐藏文件(CTF)
binwalk +文件名可直接扫描
通过扫描能够发现目标文件中包含的所有可识别的文件类型
binwalk -e +文件名扫描
extract自动提取已知的文件类型 ,按照定义的配置文件中的提取方法从固件中提取探测到的文件系统
binwalk参数中文说明:
文件签名扫描选项:
-B, --signature 使用常见的文件签名扫描目标文件
-R, --raw=<str> 使用指定字节序列扫描目标文件
-A, --opcodes 使用普通可执行操作码签名扫描目标文件
-m, --magic=<file> 使用指定的特殊格式文件
-b, --dumb 禁用智能签名关键字
-I, --invalid 显示标记为无效的结果
-x, --exclude=<str> 排除与str相匹配的结果
-y, --include=<str> 只显示与str相匹配的结果
提取选项:
-e, --extract 自动提取已知的文件类型
-D, --dd=<type:ext:cmd> 提取类型的签名<type>, 文件扩展名为 <ext>, 执行的命令 <cmd>
-M, --matryoshka 递归扫描提取文件
-d, --depth=<int> 限制-M递归的范围 (默认值: 8次)
-C, --directory=<str> 提取文件或文件夹至指定文件夹 (默认值: 当前工作文件夹)
-j, --size=<int> 限制每个提取文件的大小
-n, --count=<int> 限制提取文件的数量
-r, --rm 清除在提取过程中提取工具无法处理的零大小文件。
-z, --carve 从文件中切割数据,但是不执行提取程序
熵分析选项:
-E, --entropy 计算文件熵
-F, --fast 使用快速但是不详细的熵分析
-J, --save 自动将由-E生成的的熵图保存为PNG文件而不是直接显示。
-Q, --nlegend 将熵图的说明省略
-N, --nplot 不生成熵图
-H, --high=<float> 设置上升边缘熵触发阈值 (默认值: 0.95)
-L, --low=<float> 设置下降边缘熵触发阈值 (默认值: 0.85)
二进制比较选项:
-W, --hexdump 执行输入文件的十六进制转储(s)和颜色编码区分:绿色—这些字节在所有文件中都是相同的。红色-这些字节在所有文件中都是不同的。蓝色—这些字节在某些文件中是不同的。
-G, --green 只显示在所有文件中都相同的字节所在的行
-i, --red 只显示在所有文件中都不相同的字节所在的行
-U, --blue 只显示在某些文件中都不相同的字节所在的行
-w, --terse 比较所有文件,但是只显示第一个文件的16进制转储
原始压缩选项:
-X, --deflate 用蛮力识别可能的原始压缩数据流
-Z, --lzma 扫描原始LZMA压缩流
-P, --partial 只使用常用的压缩选项搜索压缩流,速度快。
-S, --stop 在获得第一个结果后停止
通用选项:
-l, --length=<int> 需扫描的字节数-o, --offset=<int> 跳过文件偏移量开始扫描
-O, --base=<int>为所有的打印结果偏移量增加一个基址
-K, --block=<int> 设置文件块大小
-g, --swap=<int> 在扫描前每n字节反转一次
-f, --log=<file> 把结果记录到文件
-c, --csv 把结果记录到CSV文件中
-t, --term 格式化输出,已使用终端窗口
-q, --quiet 禁用输出到标准输出
-v, --verbose 启用详细输出,包括目标文件MD5和扫描时间戳。
-h, --help 显示帮助信息
-a, --finclude=<str> 只扫描文件名匹配正则表达式的文件
-p, --fexclude=<str> 不扫描文件名匹配正则表达式的文件
-s, --status=<int> 在指定端口启动状态服务器
foremost在数字取证中,通过对设备备份,可以获取磁盘镜像文件。通过分析镜像文件,可以获取磁盘存在的数据。但是很多重要数据往往已被删除。这个时候,就需要还原这些文件。Kali Linux提供一款还原专用工具Foremost。该工具通过分析不同类型文件的头、尾和内部数据结构,同镜像文件的数据进行比对,以还原文件。它默认支持19种类型文件的恢复。用户还可以通过配置文件扩展支持其他文件类型。
此处只讲它的分离用途。
foremost 文件名
之后会形成一个output文件夹里面是分离出来的文件
foremost命令参数中文说明:
-V - 显示版权信息并退出
-t - 指定文件类型. (-t jpeg,pdf …)
-d -打开间接块检测 (针对UNIX文件系统)
-i - 指定输入文件 (默认为标准输入)
-a - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w - 向磁盘写入审计文件,不写入任何检测到的文件
-o - 设置输出目录 (默认为为输出)
-c - 设置配置文件 (默认为 foremost.conf)
-q - 启用快速模式. 在512字节边界执行搜索.
-Q - 启用安静模式. 禁用输出消息.
-v - 详细模式. 向屏幕上记录所有消息。
dd命令作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。
ps:
dd命令创建稀疏磁盘文件
使用dd命令创建名为test2.img的稀疏磁盘文件,参数值bs为1024,count为1000,seek为2048
注:dd if=/dev/zero of=文件名用来测试磁盘的纯写入性能
seek参数:从输出文件跳过若干空间后开始写入
此处为跳过2048M后开始写入
使用qume-img info+文件名查看磁盘文件信息
注:跳过的空间会被计入磁盘进程中,但是真实空间只显示磁盘创建时指定的空间大小
注:du 用来查看非稀疏文件的大小
dd命令创建非稀疏文件
1、 将test3.img非稀疏文件转换为稀疏文件(先复制)并改名为test4.img
执行命令从cp test3.img –sparse=always test4.img
使用qume-img info+文件名查看磁盘文件信息
注:此时test4已经转换为稀疏文件,磁盘没有存储数据所以disk size真实空间大小为0
使用du命令查看磁盘文件信息(可见磁盘没有数据存储,显示为0说明磁盘文件为稀疏文件)
dd分离
查看分离出来的文件
以上为今天随笔总结,侵权请私信,转载注明出处。
binwalk、foremost、dd隐藏文件分离相关推荐
- 20220215-CTF-MISC-BUUCTF-小明的保险箱-binwalk分析-dd命令分离出RAR文件-ARCHPR暴力破解密码
CTF-MISC-BUUCTF-小明的保险箱 小明有一个保险箱,里面珍藏了小明的日记本,他记录了什么秘密呢?...告诉你,其实保险箱的密码四位纯数字密码.(答案格式:flag{答案},只需提交答案) ...
- 20220215-CTF-MISC-BUUCTF-ningen--binwalk分析---dd命令分离--ARCHPR暴力破解
MISC-BUUCTF-ningen 人类的科学日益发展,对自然的研究依然无法满足,传闻日本科学家秋明重组了基因序列,造出了名为ningen的超自然生物.某天特工小明偶然截获了日本与俄罗斯的秘密通信, ...
- 20220215-CTF-MISC-BUUCTF-爱因斯坦-binwalk分析图片-dd命令分离ZIP文件--图片属性中寻找密码
MISC-BUUCTF-爱因斯坦 注意:得到的 flag 请包上 flag{} 提交 [1]下载附件,并解压,得到一张图片(misc2.jpg): [2]binwalk分析: 显示里面有一个ZIP压缩 ...
- CTF-MISC总结
这里写自定义目录标题 1.看图片属性 2.隐藏在字节中 3.补充头部 4. ZIP ZIP文件格式 真加密 伪加密 5. LSB隐写 6. 双图 7. 音频分析 8. 压缩包暴力破解 9. 掩码攻击 ...
- 2021涅普冬令营Misc笔记与题解
前言: 在我进行CTF签到活动的不长时间里,也没有专门学过,平常也就应付应付签到题,正好最近有个挺好的入门课,结果有事绊着,到现在录播就看了三个,这两天趁没事了赶紧补一补,先前零碎而间断地写练习场的题 ...
- 2021年3月7日之前学习记录
学习记录 每日任务有两项:做题和总结当天所学知识.做题由简单到困难,刷题顺序是PAT->蓝桥杯->牛客->力扣->PAT··· 写博客进行自我监督 day 4,5,6 × 反思 ...
- 分离图片中的隐藏文件方法总结
文章目录 前言 1.图片分析: 2.如何分离: 2.1.binwalk 分离: 2.2.foremost 工具分离: 2.3.hex编辑器分离: 2.4.改后缀名: 前言 CTF中经常会碰见图片隐藏文 ...
- linux++查找隐藏文件,使用find命令查找Linux中的隐藏文件的方法
我们可以在Linux 或者 Unix 系统上使用 find 命令去查询所有(全部)隐藏文件 基本语法如下: 复制代码 代码如下: [root@dabu.info ~]#find /要查找的文/件/夹/ ...
- binwalk有MySQL_在Linux中使用binwalk提取所有文件
我有一个文件music.mp3.使用binwalk后,我得到了结果: [email protected]:~/Downloads$binwalk music.mp3 DECIMAL HEXADECIM ...
- binwalk -e mysql_linux – 使用binwalk提取所有文件
我有一个文件music.mp3.使用binwalk后,我得到了结果: pexea12@DESMICE:~/Downloads$binwalk music.mp3 DECIMAL HEXADECIMAL ...
最新文章
- linux运维常用命令一句话(持续更新中)
- 网络营销方案之巧用电子书营销
- 单元测试之JUnit 5 参数化测试使用手册
- 太阳能计算机屏幕是什么材质,魅蓝E的屏幕怎么样?屏幕材质是什么?
- webstorm中nodejs代码提示
- 牛客网 【每日一题】7月24日题目精讲—小A的柱状图
- Unity之读取配置表去加载物体
- Django+MySQLDB配置
- python筛选数据求均值_Python数据分析之从100万条数据中筛选出前100热门电影
- 局域网传输文件_如何“互传文件”?简单几步,方便快捷
- 7-5 判断上三角矩阵
- XP和Linux双系统启动菜单的修复
- mysql解题器_mysql触发器,答题记录表同步教学跟踪(用户列表)
- php octet stream,为什么上传图片时,type 显示application/octet-stream 呢? 原
- 安利一款免费、开源、实时的服务器监控工具:Netdata
- 耳机接口规则_线控缘何不兼容 3.5mm耳机接口的奥秘
- deepin 网速(WIFI)太慢的一种解决方法
- 微服务架构之全局异常(@ControllerAdvice + @ExceptionHandler)
- C/C++ 控制台高级操作(非常详细)
- 如何基于NTP协议获取阿里云实时时间
热门文章
- 手机聊天记录怎么备份技巧分享,再也不用担心数据丢失了
- 测试用例的定义,测试用例模板,测试用例的作用,测试用例编写注意事项
- QT/C++高级编程(中)
- Minitab Express 1.5 for Mac 完美版 数据分析工具
- 文件下载---txt文件下载
- 用手机otg方式给U盘制作一个Win10PE启动U盘,手机加U盘协助电脑重装系统
- 【恶搞Python】Python实现QQ连续发送信息的代码,咋就说可还刑
- Cfs三层靶机内网渗透模拟
- lwip路由实现_TCP控制块《LwIP协议栈源码详解——TCP/IP协议的实现》
- InTouch软件介绍