kiewtai

Kiewtai هو تنحنح (ويعرف أيضًا باسم البرنامج المساعد) لمحرر Hiew Hex الذي يجعل جميع المحلات الثنائية من مشروع Kaitai متاحًا. هذا يعني أنه يمكنك الحصول على جميع الحقول التي تم وضع علامة عليها وعشراتها لعشرات تنسيقات الملفات الشائعة. يمكنك أيضًا استخدام تنسيق Kaitai لكتابة قالب جديد لتنسيق ملف تقوم بتحليله.

انقر هنا لمشاهدة قائمة بجميع التنسيقات التي تدعمها Kaitai.

تريد أن تراه في العمل؟ انظر بعض لقطات الشاشة!

إذا كنت لا تريد أن تبنيها بنفسك ، تحقق من علامة تبويب الإصدارات

انسخ kiewtai.hem إلى مجلد hem الخاص بك ، والذي يجب أن يكون المكان الذي قمت فيه بتثبيت hiew .

اضغط على F11 وحدد Kiewtai: Kaitai Struct format parsers .

سيتم عرض قائمة بجميع المحلات المحمولة المدعومة ، حدد القائمة التي تريدها.

ستقوم Kiewtai بتسليط الضوء على الحقول المختلفة ، وإضافة تعليق يصف الحقل.

إذا كنت تريد من Kiewtai تحليل قسم من ملف أكبر ، على سبيل المثال ، لديك صورة خالية من البرامج الثابتة أو صورة نظام الملفات ، ما عليك سوى وضع علامة على القسم الذي تريد تحليله. إذا كنت تعمل في DFIR ، فربما تسمي هذا "نحت".

• اضغط على F2 للتبديل بين التحليل البسيط والمفصل.

وضع التحليل الافتراضي هو مطوّل ، جرب هذا إذا كنت تفضل ذلك.

• اضغط F3 لتمكين أو تعطيل التعليقات.

ستضيف Kiewtai تعليقات إلى Hiew التي تصف كل حقل ، ويتم عرضها أثناء التنقل. يمكنك أيضًا تصفحها والبحث عنها باستخدام F12 .

• اضغط F4 لتمكين أو تعطيل العلامات.

ستضيف Kiewtai علامات ألوان افتراضيًا حتى تتمكن من معرفة مكان الحقول المختلفة بسهولة. اضغط على F4 إذا كنت لا تحب هذا.

• اضغط على F5 للبحث عن محلل.

قائمة المحلات التحليلية طويلة جدًا ، اضغط على F5 وأدخل بعض مصطلحات البحث إذا أردت.

إذا كنت من مستخدمي Hiew وتريد المساعدة في وضع وثائق أفضل ، فانقر هنا!

يستخدم هذا المشروع مكتبات الجهات الخارجية التالية:

• HEM SDK V0.53 http://www.hiew.ru/
• Kaitai struct v0.9 https://kaitai.io/
• duktape v2.5.0 https://duktape.org/
• jsmin http://crockford.com/javaScript/

لا تتردد في تقديم مشكلة لأي أخطاء أو ميزات أو وثائق مفقودة!

أوه ، وأنا أتقن kiewtai "جديلة tie". ؟

فيما يلي بعض لقطات الشاشة لشاشات Kiewtai المختلفة.

يمكنك رؤية السحر والنسخة والواصفات والأبعاد كلها محددة.

يوضح التعليق Kiewtai يعرف أن المؤشر موجود في حقل applicationId .

بايتات R/G/B الفردية هي Hilighted ، مما يجعل Data Look Sterney. إذا كان هذا هو الكثير من الأفعال ، فاضغط على F2 على قائمة المحللين وسيقلل Kiewtai من مستوى التفاصيل التي يولدها.

يمكنك تحميل العديد من محلات Kaitai في وقت واحد ، تُظهر لقطة الشاشة هذه محلات DOSMZ و Microsoftpe في وقت واحد.

إذا كان لديك ملف مضمن ، فما عليك سوى وضع علامة عليه وسيقوم Kiewtai بتحليل هذه الكتلة فقط.

تعرض أسماء الحقل كتعليقات أثناء التنقل حول ملف.

لدى Kaitai تحليلات لعشرات التنسيقات الشائعة التي تم إجراؤها بالفعل ، يمكنك رؤية القائمة الكاملة عبر الإنترنت هنا. القائمة طويلة ، يمكنك كتابة F5 لتصويرها.

هنا قام Kiewtai بتحليل ملف PCAP ، ويتم التعرف تلقائيًا على جميع TCP و UDP و ICMP و Packets و Ethernet داخل PCAP. حدث كل هذا تلقائيًا عند تحميل محلل PCAP!

إذا كنت لا تريد أن تبنيها بنفسك ، تحقق من علامة تبويب الإصدارات

لقد استخدمت Visual Studio 2019 لتطوير Kiewtai.

يستخدم هذا المشروع عروضًا فرعية لبعض التبعيات ، تأكد من أنك تستخدم أمرًا كهذا لجلب جميع التعليمات البرمجية المطلوبة.

 git submodule update --init --recursive

1. قم بتنزيل وتثبيت برنامج التحويل البرمجي Kaitai.
2. إذا لم يكن لديك بالفعل ، فقم بتثبيت Open JDK و GNU Make و Gnu BinuTils.

إذا كنت تستخدم الشوكولاتة ، فيجب أن يكون هذا الأمر كافياً:

 > choco install make openjdk mingw

3. افتح موجه أوامر Visual Studio Developer.
4. اكتب make.exe

إذا نجح كل شيء ، فيجب أن يكون لديك ملف يسمى kiewtai.hem

إذا The system cannot find the file specified ، فاحرص على objcopy.exe و make.exe و kaitai-struct-compiler.bat كلها في %PATH% .

هناك بعض الاختبارات البسيطة في دليل test الذي يتحقق من بعض التنسيقات الشائعة التي تعمل كما هو متوقع.

ببساطة اكتب make في دليل test لتشغيلها.

tavis ormandy [email protected]