kiewtai
v0.5
Kiewtai é uma bainha (também conhecida como plugin) do editor Hiew Hex que disponibiliza todos os analisadores binários do projeto Kaitai. Isso significa que você pode obter todos os campos marcados e decodificados para dezenas de formatos de arquivo populares. Você também pode usar o formato Kaitai para escrever um novo modelo para um formato de arquivo que está analisando.
Clique aqui para ver uma lista de todos os formatos suportados pela Kaitai.
Quer ver isso em ação? Veja algumas capturas de tela!
Se você não quiser construir você mesmo, consulte a guia Releases
Copie kiewtai.hem para a pasta hem , que deve estar onde você instalou hiew .
Pressione F11 e selecione Kiewtai: Kaitai Struct format parsers .
Você receberá uma lista de todos os analisadores suportados, selecione o que você deseja.
Kiewtai destacará os diferentes campos e adicionará um comentário que descreve o campo.
Se você deseja que o Kiewtai analise uma seção de um arquivo maior, por exemplo, você possui uma imagem de Blob ou sistema de arquivos, basta marcar a seção que deseja analisar. Se você trabalha no DFIR, provavelmente chama isso de "escultura".
F2 para alternar entre análise simples e detalhada.O modo de análise padrão é detalhado, tente isso, se preferir.
F3 para ativar ou desativar comentários. O Kiewtai adicionará comentários ao Hiew descrevendo cada campo, eles são exibidos enquanto você navega. Você também pode navegar e pesquisá -los com F12 .
F4 para ativar ou desativar marcadores. O Kiewtai adicionará marcadores de cores por padrão para que você possa ver facilmente onde estão os diferentes campos. Pressione F4 se você não gosta disso.
F5 para procurar um analisador. A lista de analisadores é bastante longa, pressione F5 e insira alguns termos de pesquisa, se quiser.
Se você é um usuário do HIEW e deseja ajudar a fazer melhor documentação, clique aqui!
Este projeto usa as seguintes bibliotecas de terceiros:
Sinta -se à vontade para registrar um problema para qualquer bug, falta de recursos ou documentação!
Ah, e eu prorrogando Kiewtai "Cue-tie". ?
Aqui estão algumas capturas de tela de diferentes telas de Kiewtai.
Você pode ver a magia, a versão, os descritores, as dimensões são todas identificadas.
O comentário mostra que Kiewtai sabe que o cursor está no campo applicationId .
Os bytes R/G/B Se isso for muito verbosidade, pressione
F2na lista do analisador e o Kiewtai reduzirá o nível de detalhe que gera.
Você pode carregar vários analisadores de Kaitai ao mesmo tempo, esta captura de tela mostra os analisadores DOSMZ e Microsoftpe carregados simultaneamente.
Se você possui um arquivo incorporado, basta marcar e Kiewtai analisará apenas esse bloco.
Os nomes de campo são exibidos como comentários enquanto você navega em torno de um arquivo.
Kaitai tem analistas para dezenas de formatos populares já fabricados, você pode ver a lista completa on -line aqui. A lista é longa, você digita F5 para servir.
Aqui, o Kiewtai analisou um arquivo PCAP e todos os quadros TCP, UDP, ICMP, pacotes e Ethernet dentro do PCAP são reconhecidos automaticamente. Tudo isso aconteceu automaticamente ao carregar o analisador PCAP!
Se você não quiser construir você mesmo, consulte a guia Releases
Usei o Visual Studio 2019 para desenvolver o Kiewtai.
Este projeto usa submódulos para algumas das dependências, verifique se você está usando um comando como esse para buscar todo o código necessário.
git submodule update --init --recursive
Se você usar chocolate, este comando deve ser suficiente:
> choco install make openjdk mingw
make.exe Se tudo funcionar, você deve ter um arquivo chamado kiewtai.hem
Se você obtiver
The system cannot find the file specifiedkaitai-struct-compiler.batmake.exeobjcopy.exeestão todos no seu%PATH%.
Existem alguns testes simples no diretório test que verificam que alguns formatos comuns estão funcionando conforme o esperado.
Basta digitar make no diretório test para executá -los.
Tavis ormandy [email protected]
