**
binwalk、foremost、dd隐藏文件分离**
Binwalk是一个用于搜索特定二进制镜像文件以获取嵌入的文件和代码的工具。 具体而言,它旨在识别嵌入在固件镜像中的文件和代码。 Binwalk使用lib幻灯片库,因此与Unix文件实用程序创建的魔术签名兼容。 Binwalk还包含自定义魔术签名文件,其中包含常见固件映像的改进魔术签名,如压缩和归档文件、固件标头、Linux内核、引导装载器和文件系统。
Binwalk常用于分析隐藏文件(CTF )
可以直接扫描binwalk文件名
扫描可以检测目标文件中包含的所有可识别的文件类型
binwalk -e文件名扫描
extract会自动提取已知的文件类型,并根据定义的配置文件提取方法从固件中提取找到的文件系统
binwalk参数中文说明:
文件签名扫描选项:
-b----signature使用常规文件签名扫描目标文件--raw=str使用指定的字节序列,目标文件--opcodes使用常规可执行操作码签名扫描目标文件--magic=file使用指定的特殊格式文件--b,--dumb-- invalid标记为无效的结果--x,--exclude=str排除与str匹配的结果--include
-e,--extract自动提取已知文件类型--D,--dd=type:ext:cmd提取类型的签名type,文件扩展名为ext,要执行的命令cmd-M,--extract --depth=int限制-M递归范围--c,--directory=str将文件或文件夹提取到指定文件夹(默认值:当前工作文件夹(j,--size=int限制每个提取文件
-E,--Entropy计算文件熵--f,--fast使用快速但不详细的熵分析--j,--save自动显示由-E生成的熵映射,而不是直接显示-Q,--nlegend省略熵图说明--n,--nplot不生成熵图--h,--high=float表示上升沿熵触发阈值(默认值:00 )
-W,--hexdump对输入文件执行十六进制转储(s )和颜色编码:绿色。 这些字节在所有文件中是相同的。 红色-这些字节在所有文件中都不同。 蓝色—这些字节在某些文件中不同。 -G,--green是所有文件中有相同字节的行--I,--red是所有文件中有不同字节的行--u,--blue是某些文件中有不同字节的行--w,--terse
-X,--deflate表示原始压缩流--z,--LZMA扫描原始lzma压缩流--p,--partial,并仅使用常用压缩选项搜索压缩流-S,--stop在获得第一个结果后停止公共选项:
-l,--length=int要扫描的字节数--o,--offset=跳过int文件偏移开始扫描--o,--base=int所有打印结果偏移均包含--k,---
t> 设置文件块大小-g, --swap=<int> 在扫描前每n字节反转一次-f, --log=<file> 把结果记录到文件-c, --csv 把结果记录到CSV文件中-t, --term 格式化输出,已使用终端窗口-q, --quiet 禁用输出到标准输出-v, --verbose 启用详细输出,包括目标文件MD5和扫描时间戳。-h, --help 显示帮助信息-a, --finclude=<str> 只扫描文件名匹配正则表达式的文件-p, --fexclude=<str> 不扫描文件名匹配正则表达式的文件-s, --status=<int> 在指定端口启动状态服务器
foremost在数字取证中,通过对设备备份,可以获取磁盘镜像文件。通过分析镜像文件,可以获取磁盘存在的数据。但是很多重要数据往往已被删除。这个时候,就需要还原这些文件。Kali Linux提供一款还原专用工具Foremost。该工具通过分析不同类型文件的头、尾和内部数据结构,同镜像文件的数据进行比对,以还原文件。它默认支持19种类型文件的恢复。用户还可以通过配置文件扩展支持其他文件类型。
此处只讲它的分离用途。
foremost 文件名
之后会形成一个output文件夹里面是分离出来的文件
foremost命令参数中文说明:
-V - 显示版权信息并退出
-t - 指定文件类型. (-t jpeg,pdf …)
-d -打开间接块检测 (针对UNIX文件系统)
-i - 指定输入文件 (默认为标准输入)
-a - 写入所有的文件头部, 不执行错误检测(损坏文件)
-w - 向磁盘写入审计文件,不写入任何检测到的文件
-o - 设置输出目录 (默认为为输出)
-c - 设置配置文件 (默认为 foremost.conf)
-q - 启用快速模式. 在512字节边界执行搜索.
-Q - 启用安静模式. 禁用输出消息.
-v - 详细模式. 向屏幕上记录所有消息。
dd命令作用是用指定大小的块拷贝一个文件,并在拷贝的同时进行指定的转换。
ps:
dd命令创建稀疏磁盘文件
使用dd命令创建名为test2.img的稀疏磁盘文件,参数值bs为1024,count为1000,seek为2048
注:dd if=/dev/zero of=文件名用来测试磁盘的纯写入性能
seek参数:从输出文件跳过若干空间后开始写入
此处为跳过2048M后开始写入
使用qume-img info+文件名查看磁盘文件信息
注:跳过的空间会被计入磁盘进程中,但是真实空间只显示磁盘创建时指定的空间大小
注:du 用来查看非稀疏文件的大小
dd命令创建非稀疏文件
1、 将test3.img非稀疏文件转换为稀疏文件(先复制)并改名为test4.img
执行命令从cp test3.img –sparse=always test4.img
使用qume-img info+文件名查看磁盘文件信息
注:此时test4已经转换为稀疏文件,磁盘没有存储数据所以disk size真实空间大小为0
使用du命令查看磁盘文件信息(可见磁盘没有数据存储,显示为0说明磁盘文件为稀疏文件)
dd分离
查看分离出来的文件
以上为今天随笔总结,侵权请私信,转载注明出处。