kiewtai
v0.5
Kiewtai - это Hem (так же таккальный плагин) для редактора Hiew Hex, который делает все бинарные анализаторы из проекта Kaitai. Это означает, что вы можете получить все поля, помеченные и декодированные для десятков популярных форматов файлов. Вы также можете использовать формат Kaitai, чтобы написать новый шаблон для формата файла, который вы анализируете.
Нажмите здесь, чтобы увидеть список всех форматов, поддерживаемых Kaitai.
Хотите увидеть это в действии? Смотрите несколько скриншотов!
Если вы не хотите создавать его самостоятельно, посмотрите вкладку «Выпуск»
Скопируйте kiewtai.hem в папку hem , которая должна быть там, где вы установили hiew .
Нажмите F11 и выберите Kiewtai: Kaitai Struct format parsers .
Вам будет показан список всех поддерживаемых анализаторов, выберите тот, который вы хотите.
Kiewtai выделит различные поля и добавит комментарий, описывающий поле.
Если вы хотите, чтобы Kiewtai проанализировал раздел более крупного файла, например, у вас есть капля прошивки или изображение файловой системы, просто отметьте раздел, который вы хотите проанализировать. Если вы работаете в DFIR, вы, вероятно, называете это «резьбой».
F2 , чтобы переключиться между простым и подробным анализом.Режим диапазона по умолчанию является словесным, попробуйте это, если вы предпочитаете.
F3 , чтобы включить или отключить комментарии. Kiewtai добавит комментарии в Hiew, описывающие каждое поле, они отображаются при перемещении. Вы также можете просмотреть и искать их с помощью F12 .
F4 , чтобы включить или отключить маркеры. Kiewtai будет добавлять цветовые маркеры по умолчанию, чтобы вы могли легко увидеть, где находятся разные поля. Нажмите F4 если вам это не нравится.
F5 , чтобы найти анализатор. Список анализаторов довольно длинный, нажмите F5 и введите некоторые условия поиска, если хотите.
Если вы являетесь пользователем Hiew и хотите помочь сделать лучшую документацию, нажмите здесь!
В этом проекте используются следующие сторонние библиотеки:
Пожалуйста, не стесняйтесь подать проблему для любых ошибок, отсутствующих функций или документации!
О, и я отдаю Kiewtai "Cue-Tie". ?
Вот несколько скриншотов различных экранов Kiewtai.
Вы можете увидеть магию, версию, дескрипторы, измерения идентифицированы.
Комментарий показывает, что Kiewtai знает, что курсор находится в поле applicationId .
Индивидуальные байты R/G/B склонны, что заставляет данные выглядеть полосатым. Если это слишком много условности, нажмите
F2в списке синтаксического анализатора, и Kiewtai снизит уровень детализации, которые он генерирует.
Вы можете загрузить несколько анализаторов Kaitai одновременно, этот скриншот показывает, что Dosmz и Parsers Microsoftpe загружаются одновременно.
Если у вас есть встроенный файл, просто отметьте его, и Kiewtai будет только анализировать этот блок.
Имена поля отображаются в виде комментариев при перемещении по файлу.
У Кайтай есть анализаторы для десятков популярных форматов, уже сделанных, вы можете увидеть полный список онлайн здесь. Список длинный, вы вводите F5 , чтобы он его.
Здесь автоматически расположена файл PCAP, и все TCP, UDP, ICMP, пакеты и рамы Ethernet внутри PCAP расположены автоматически. Все это произошло автоматически при загрузке анализатора PCAP!
Если вы не хотите создавать его самостоятельно, посмотрите вкладку «Выпуск»
Я использовал Visual Studio 2019 для разработки Kiewtai.
Этот проект использует подмодули для некоторых зависимостей, убедитесь, что вы используете такую команду для получения всего требуемого кода.
git submodule update --init --recursive
Если вы используете Chocolatey, этой команды должно быть достаточно:
> choco install make openjdk mingw
make.exe Если все сработало, у вас должен быть файл с именем kiewtai.hem
Если вы получите
The system cannot find the file specified, проверьтеobjcopy.exe,make.exeиkaitai-struct-compiler.batвсе в вашем%PATH%.
В справочнике test есть несколько простых тестов, которые проверяют, что некоторые общие форматы работают, как и ожидалось.
Просто make в test каталог, чтобы запустить их.
Tavis Ormandy [email protected]
