Page d'accueil>Code source JSP>Autres catégories
Télécharger

Introduction

Kiewtai est un HEM (AKA Plugin) pour l'éditeur Hiew Hex qui met tous les analyseurs binaires du projet Kaitai disponibles. Cela signifie que vous pouvez obtenir tous les champs marqués et décodés pour des dizaines de formats de fichiers populaires. Vous pouvez également utiliser le format Kaitai pour écrire un nouveau modèle pour un format de fichier que vous analysez.

Cliquez ici pour voir une liste de tous les formats pris en charge par Kaitai.

Vous voulez le voir en action? Voir quelques captures d'écran!

Installation

Si vous ne voulez pas le construire vous-même, consultez l'onglet des versions

Copiez kiewtai.hem dans votre dossier hem , qui devrait être l'endroit où vous avez installé hiew .

Usage

Appuyez sur F11 et sélectionnez Kiewtai: Kaitai Struct format parsers .

Vous recevrez une liste de tous les analyseurs pris en charge, sélectionnez celui que vous souhaitez.

Kiewtai mettra en évidence les différents champs et ajoutera un commentaire décrivant le champ.

Démo kiewtai jpeg

Utilisation avancée

Si vous souhaitez que Kiewtai analyse une section d'un fichier plus grand, par exemple, vous disposez d'un blob de firmware ou d'une image de système de fichiers, marquez simplement la section que vous souhaitez analyser. Si vous travaillez dans DFIR, vous appelez probablement cette "sculpture".

  • Appuyez sur F2 pour basculer entre l'analyse simple et détaillée.

Le mode d'analyse par défaut est verbeux, essayez ceci si vous préférez.

  • Appuyez sur F3 pour activer ou désactiver les commentaires.

Kiewtai ajoutera des commentaires à Hiew décrivant chaque champ, ceux-ci sont affichés lorsque vous naviguez. Vous pouvez également les parcourir et les rechercher avec F12 .

  • Appuyez sur F4 pour activer ou désactiver les marqueurs.

Kiewtai ajoutera des marqueurs de couleur par défaut afin que vous puissiez facilement voir où se trouvent les différents champs. Appuyez sur F4 si vous n'aimez pas ça.

  • Appuyez sur F5 pour rechercher un analyseur.

La liste des analyseurs est assez longue, appuyez sur F5 et entrez certains termes de recherche si vous le souhaitez.

Démo kiewtai exe

Notes

Si vous êtes un utilisateur Hiew et que vous souhaitez aider à faire une meilleure documentation, cliquez ici!

Ce projet utilise les bibliothèques tierces suivantes:

  • HEM SDK V0.53 http://www.hiew.ru/
  • Kaitai struct v0.9 https://kaitai.io/
  • Duktape v2.5.0 https://duktape.org/
  • Jsmin http://crockford.com/javascript/

N'hésitez pas à déposer un problème pour tous les bogues, les fonctionnalités manquantes ou la documentation!

Oh, et je procôt kiewtai "cue-tie". ?

Captures d'écran

Voici quelques captures d'écran de différents écrans Kiewtai.

Parcourir un en-tête GIF

Vous pouvez voir la magie, la version, les descripteurs, les dimensions sont toutes identifiées.

Le commentaire montre que Kiewtai sait que le curseur est sur le champ applicationId .

Les octets R / G / B individuels sont HILLEMP, ce qui donne aux données que les données se sont déroulées. Si c'est trop de verbosité, appuyez sur F2 sur la liste des analyseurs et Kiewtai réduira le niveau de détail qu'elle génère.

Capture d'écran

Afficher les champs reconnus dans un fichier EXE.

Vous pouvez charger plusieurs analyseurs Kaitai à la fois, cette capture d'écran montre les analyseurs DOSMZ et Microsoftpe chargés simultanément.

Si vous avez un fichier intégré, marquez-le simplement et Kiewtai analysera ce bloc.

Champs kiewtai mz / pe

Parcourir les morceaux d'une image PNG.

Les noms de champ s'affichent comme des commentaires que vous naviguez dans un fichier.

Kiewtai png morceaux

Formats de navigation disponibles.

Kaitai a des analyseurs pour des dizaines de formats populaires déjà faits, vous pouvez voir la liste complète en ligne ici. La liste est longue, vous tapez F5 pour le Serach.

Liste de l'analyse Kiewtai

Gérer automatiquement les sous-formats communs.

Ici, Kiewtai a analysé un fichier PCAP, et toutes les trames TCP, UDP, ICMP, paquets et Ethernet à l'intérieur du PCAP sont automatiquement reconnues. Tout cela s'est produit automatiquement lors du chargement de l'analyseur PCAP!

Affichage de l'adresse MAC

Énumérez tous les champs PCAP

Bâtiment

Si vous ne voulez pas le construire vous-même, consultez l'onglet des versions

J'ai utilisé Visual Studio 2019 pour développer Kiewtai.

Ce projet utilise des sous-modules pour certaines des dépendances, assurez-vous que vous utilisez une commande comme celle-ci pour récupérer tout le code requis. 

 git submodule update --init --recursive
  1. Téléchargez et installez le compilateur Kaitai Struct.
  2. Si vous ne les avez pas déjà, installez les binutilles ouvertes JDK, GNU et GNU.

Si vous utilisez Chocolatey, cette commande devrait être suffisante: 

 > choco install make openjdk mingw
  1. Ouvrez une invite de commande de développeur Visual Studio.
  2. Type make.exe

Si tout fonctionnait, vous devriez avoir un fichier appelé kiewtai.hem

Si vous obtenez The system cannot find the file specified , vérifiez objcopy.exe , make.exe et kaitai-struct-compiler.bat sont tous dans votre %PATH% .

Essai

Il existe des tests simples dans le répertoire test qui vérifient que certains formats courants fonctionnent comme prévu.

Tapez simplement make du répertoire test pour les exécuter.

Auteur

Tavis ormandy [email protected]

Développer
Informations supplémentaires
Applications connexes
Recommandé pour vous
Actualités connexes Tout