kiewtai
v0.5
Kiewtai adalah hem (alias plugin) untuk editor Hiew Hex yang membuat semua parser biner dari proyek Kaitai tersedia. Ini berarti Anda bisa mendapatkan semua bidang yang ditandai dan diterjemahkan untuk lusinan format file populer. Anda juga dapat menggunakan format Kaitai untuk menulis templat baru untuk format file yang Anda analisis.
Klik di sini untuk melihat daftar semua format yang didukung oleh Kaitai.
Ingin melihatnya beraksi? Lihat beberapa tangkapan layar!
Jika Anda tidak ingin membangunnya sendiri, lihat tab Rilis
Salin kiewtai.hem ke folder hem Anda, yang seharusnya menjadi tempat Anda menginstal hiew .
Tekan F11 dan pilih Kiewtai: Kaitai Struct format parsers .
Anda akan ditampilkan daftar semua parser yang didukung, pilih yang Anda inginkan.
Kiewtai akan menyoroti berbagai bidang, dan menambahkan komentar yang menjelaskan bidang.
Jika Anda ingin Kiewtai menganalisis bagian dari file yang lebih besar, misalnya Anda memiliki gumpalan firmware atau gambar sistem file, cukup tandai bagian yang ingin Anda analisis. Jika Anda bekerja di DFIR, Anda mungkin menyebut ini "ukiran".
F2 untuk beralih antara penguraian yang sederhana dan terperinci.Mode parsing default adalah verbose, coba ini jika Anda mau.
F3 untuk mengaktifkan atau menonaktifkan komentar. Kiewtai akan menambahkan komentar ke Hiew yang menjelaskan setiap bidang, ini ditampilkan saat Anda menavigasi. Anda juga dapat menelusuri dan mencari mereka dengan F12 .
F4 untuk mengaktifkan atau menonaktifkan penanda. Kiewtai akan menambahkan penanda warna secara default sehingga Anda dapat dengan mudah melihat di mana bidang yang berbeda berada. Tekan F4 jika Anda tidak suka ini.
F5 untuk mencari parser. Daftar parser cukup panjang, tekan F5 dan masukkan beberapa istilah pencarian jika Anda suka.
Jika Anda adalah pengguna Hiew dan ingin membantu membuat dokumentasi yang lebih baik, klik di sini!
Proyek ini menggunakan perpustakaan pihak ketiga berikut:
Silakan mengajukan masalah untuk bug apa pun, fitur yang hilang atau dokumentasi!
Oh, dan saya mengutamakan Kiewtai "Cue-tie". ?
Berikut adalah beberapa tangkapan layar dari layar Kiewtai yang berbeda.
Anda dapat melihat keajaiban, versi, deskriptor, dimensi semuanya diidentifikasi.
Komentar menunjukkan Kiewtai tahu kursor ada di bidang applicationId .
Byte R/G/B individu ditampilkan, yang membuat data terlihat stripey. Jika itu terlalu banyak verbositas, tekan
F2pada daftar parser dan Kiewtai akan mengurangi tingkat detail yang dihasilkannya.
Anda dapat memuat beberapa parser Kaitai sekaligus, tangkapan layar ini menunjukkan parser Dosmz dan Microsoftpe dimuat secara bersamaan.
Jika Anda memiliki file tertanam, cukup tandai dan Kiewtai hanya akan menganalisis blok itu.
Nama bidang ditampilkan sebagai komentar saat Anda menavigasi di sekitar file.
Kaitai memiliki parser untuk lusinan format populer yang sudah dibuat, Anda dapat melihat daftar lengkapnya secara online di sini. Daftarnya panjang, Anda mengetik F5 untuk serach
Di sini Kiewtai parsed file PCAP, dan semua TCP, UDP, ICMP, paket dan frame Ethernet di dalam PCAP secara otomatis dikenali. Ini semua terjadi secara otomatis saat memuat parser PCAP!
Jika Anda tidak ingin membangunnya sendiri, lihat tab Rilis
Saya menggunakan Visual Studio 2019 untuk mengembangkan Kiewtai.
Proyek ini menggunakan submodules untuk beberapa dependensi, pastikan Anda menggunakan perintah seperti ini untuk mengambil semua kode yang diperlukan.
git submodule update --init --recursive
Jika Anda menggunakan cokelat, perintah ini sudah cukup:
> choco install make openjdk mingw
make.exe Jika semuanya berhasil, Anda harus memiliki file bernama kiewtai.hem
Jika Anda mendapatkan
The system cannot find the file specified, verifikasiobjcopy.exe,make.exedankaitai-struct-compiler.batsemuanya ada di%PATH%.
Ada beberapa tes sederhana dalam direktori test yang memverifikasi beberapa format umum berfungsi seperti yang diharapkan.
Cukup ketik make di direktori test untuk menjalankannya.
Tavis ormandy [email protected]
