Startseite>JSP-Quellcode>Andere Kategorien
Herunterladen

Einführung

Kiewtai ist ein Saum (auch bekannt als Plugin) für den Hiew Hex -Editor, der alle binären Parser aus dem Kaitai -Projekt zur Verfügung stellt. Dies bedeutet, dass Sie alle Felder für Dutzende populärer Dateiformate markieren und dekodieren lassen. Sie können auch das Kaitai -Format verwenden, um eine neue Vorlage für ein Dateiformat zu schreiben, das Sie analysieren.

Klicken Sie hier, um eine Liste aller von Kaitai unterstützten Formate anzuzeigen.

Möchten Sie es in Aktion sehen? Sehen Sie einige Screenshots!

Installation

Wenn Sie es nicht selbst bauen möchten, lesen Sie die Registerkarte "Veröffentlichungen"

Kopieren Sie kiewtai.hem in Ihren hem -Ordner, in dem Sie hiew installiert haben sollten.

Verwendung

Drücken Sie F11 und wählen Sie Kiewtai: Kaitai Struct format parsers .

Sie werden eine Liste aller unterstützten Parsers angezeigt, die Sie gewünscht haben.

Kiewtai wird die verschiedenen Felder hervorheben und einen Kommentar hinzufügen, der das Feld beschreibt.

Kiewtai JPEG Demo

Erweiterte Verwendung

Wenn Sie möchten, dass Kiewtai einen Abschnitt einer größeren Datei analysiert, haben Sie beispielsweise ein Firmware -Blob oder ein Dateisystembild, einfach den Abschnitt, den Sie analysieren möchten. Wenn Sie in DFIR arbeiten, nennen Sie dies wahrscheinlich "Schnitzen".

  • Drücken Sie F2 , um zwischen einfachem und detailliertem Parsen zu wechseln.

Der Standard -Parsing -Modus ist ausführlich. Versuchen Sie dies, wenn Sie es vorziehen.

  • Drücken Sie F3 , um Kommentare zu aktivieren oder zu deaktivieren.

Kiewtai fügt Hiew zu, die jedes Feld beschreiben. Diese werden beim Navigieren angezeigt. Sie können sie auch mit F12 durchsuchen und durchsuchen.

  • Drücken Sie F4 , um Marker zu aktivieren oder zu deaktivieren.

Kiewtai fügt standardmäßig Farbmarkierungen hinzu, sodass Sie leicht sehen können, wo sich die verschiedenen Felder befinden. Drücken Sie F4 wenn Ihnen das nicht gefällt.

  • Drücken Sie F5 , um nach einem Parser zu suchen.

Die Liste der Parser ist ziemlich lang, drücken Sie F5 und geben Sie einige Suchbegriffe ein, wenn Sie möchten.

Kiewtai exe Demo

Notizen

Wenn Sie ein Hiew -Benutzer sind und helfen möchten, bessere Dokumentation zu erstellen, klicken Sie hier!

Dieses Projekt verwendet die folgenden Bibliotheken Dritter:

  • HEM SDK V0.53 http://www.hiew.ru/
  • Kaitai Struct v0.9 https://kaitai.io/
  • Duktape v2.5.0 https://duktape.org/
  • Jsmin http://crockford.com/javascript/

Bitte zögern Sie nicht, ein Problem für Fehler, fehlende Funktionen oder Dokumentationen einzureichen!

Oh, und ich treibe Kiewtai "Cue-Tie" vor. ?

Screenshots

Hier sind einige Screenshots verschiedener Kiewtai -Bildschirme.

Durchsuchen eines GIF -Headers

Sie können die Magie, Version, Deskriptoren und Dimensionen identifiziert.

Der Kommentar zeigt, dass Kiewtai weiß, dass sich der Cursor im Feld applicationId befindet.

Die einzelnen R/G/B -Bytes sind hilighted, wodurch die Daten Stripey aussehen lassen. Wenn das zu viel ausführlich ist, drücken Sie F2 auf der Parser -Liste und Kiewtai verringert das Detailniveau, das sie generiert.

Screenshot

Zeigen Sie die anerkannten Felder in einer EXE -Datei an.

Sie können mehrere Kaitai -Parsers gleichzeitig laden. Dieser Screenshot zeigt die gleichzeitigen geladenen DOSMZ- und Microsoftpe -Parsers.

Wenn Sie eine eingebettete Datei haben, markieren Sie sie einfach und Kiewtai analysiert diesen Block nur.

Kiewtai MZ/PE -Felder

Durchsuchen der Stücke eines PNG -Bildes.

Die Feldnamen werden als Kommentare angezeigt, während Sie durch eine Datei navigieren.

Kiewtai Png Stücke

Browserformate verfügbar.

Kaitai hat Parser für bereits hergestellte Dutzende beliebter Formate. Hier sehen Sie die vollständige Liste online. Die Liste ist lang, Sie geben F5 in Serach ein.

Kiewtai Parser -Liste

Behandeln Sie automatisch gemeinsame Subformate.

Hier analysiert Kiewtai eine PCAP -Datei, und alle TCP-, UDP-, ICMP-, Pakete und Ethernet -Frames im PCAP werden automatisch erkannt. Dies alles geschah automatisch beim Laden des PCAP -Parsers!

Anzeigen der MAC -Adresse

Listen Sie alle PCAP -Felder auf

Gebäude

Wenn Sie es nicht selbst bauen möchten, lesen Sie die Registerkarte "Veröffentlichungen"

Ich habe Visual Studio 2019 verwendet, um Kiewtai zu entwickeln.

Dieses Projekt verwendet Submodules für einige der Abhängigkeiten. Stellen Sie sicher, dass Sie einen Befehl wie diesen verwenden, um den gesamten erforderlichen Code zu holen. 

 git submodule update --init --recursive
  1. Laden Sie den Kaitai Struct -Compiler herunter und installieren Sie es.
  2. Wenn Sie sie noch nicht haben, installieren Sie Open JDK, GNU Make und Gnu Binutils.

Wenn Sie Schokolade verwenden, sollte dieser Befehl ausreichen: 

 > choco install make openjdk mingw
  1. Öffnen Sie eine Visual Studio Developer -Eingabeaufforderung.
  2. Typ make.exe

Wenn alles funktioniert hat, sollten Sie eine Datei namens kiewtai.hem haben

Wenn Sie The system cannot find the file specified , verifizieren Sie objcopy.exe , make.exe und kaitai-struct-compiler.bat sind alle in Ihrem %PATH% .

Testen

Es gibt einige einfache Tests im test , die überprüfen, wie einige gemeinsame Formate wie erwartet funktionieren.

Geben Sie einfach in das test make , um sie auszuführen.

Autor

Tavis Ormandy [email protected]

Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle