kiewtai

Kiewtai เป็นเฮ็ม (ปลั๊กอินที่รู้จักกันดี) สำหรับโปรแกรมแก้ไข Hiew Hex ที่ทำให้ตัวแยกวิเคราะห์ไบนารีทั้งหมดจากโครงการ Kaitai พร้อมใช้งาน ซึ่งหมายความว่าคุณสามารถรับฟิลด์ทั้งหมดที่ทำเครื่องหมายและถอดรหัสสำหรับรูปแบบไฟล์ยอดนิยมหลายสิบรูปแบบ คุณยังสามารถใช้รูปแบบ Kaitai เพื่อเขียนเทมเพลตใหม่สำหรับรูปแบบไฟล์ที่คุณกำลังวิเคราะห์

คลิกที่นี่เพื่อดูรายการรูปแบบทั้งหมดที่สนับสนุนโดย Kaitai

ต้องการดูการกระทำหรือไม่? ดูภาพหน้าจอ!

หากคุณไม่ต้องการสร้างด้วยตัวเองให้ตรวจสอบแท็บรีลีส

คัดลอก kiewtai.hem ไปยังโฟลเดอร์ hem ของคุณซึ่งควรเป็นที่ที่คุณติดตั้ง hiew

กด F11 และเลือก Kiewtai: Kaitai Struct format parsers

คุณจะแสดงรายการของตัวแยกวิเคราะห์ที่รองรับทั้งหมดเลือกรายการที่คุณต้องการ

Kiewtai จะเน้นฟิลด์ที่แตกต่างกันและเพิ่มความคิดเห็นที่อธิบายถึงฟิลด์

หากคุณต้องการให้ Kiewtai วิเคราะห์ส่วนของไฟล์ที่ใหญ่กว่าเช่นคุณมีอิมเมจเฟิร์มแวร์หรือภาพระบบไฟล์เพียงทำเครื่องหมายส่วนที่คุณต้องการวิเคราะห์ หากคุณทำงานใน DFIR คุณอาจเรียกสิ่งนี้ว่า "แกะสลัก"

• กด F2 เพื่อสลับระหว่างการแยกวิเคราะห์อย่างง่ายและรายละเอียด

โหมดการแยกวิเคราะห์เริ่มต้นคือ verbose ลองสิ่งนี้ถ้าคุณต้องการ

• กด F3 เพื่อเปิดใช้งานหรือปิดการใช้งานความคิดเห็น

Kiewtai จะเพิ่มความคิดเห็นลงใน Hiew ที่อธิบายแต่ละฟิลด์ซึ่งจะปรากฏขึ้นในขณะที่คุณนำทางไปรอบ ๆ นอกจากนี้คุณยังสามารถเรียกดูและค้นหาด้วย F12

• กด F4 เพื่อเปิดใช้งานหรือปิดการใช้งานเครื่องหมาย

Kiewtai จะเพิ่มเครื่องหมายสีตามค่าเริ่มต้นเพื่อให้คุณสามารถดูได้อย่างง่ายดายว่าเขตข้อมูลต่าง ๆ อยู่ที่ไหน กด F4 ถ้าคุณไม่ชอบสิ่งนี้

• กด F5 เพื่อค้นหาตัวแยกวิเคราะห์

รายการของตัวแยกวิเคราะห์ค่อนข้างยาวกด F5 และป้อนคำค้นหาบางอย่างหากคุณต้องการ

หากคุณเป็นผู้ใช้ HIEW และต้องการช่วยสร้างเอกสารที่ดีขึ้นคลิกที่นี่!

โครงการนี้ใช้ห้องสมุดบุคคลที่สามต่อไปนี้:

• HEM SDK v0.53 http://www.hiew.ru/
• Kaitai struct v0.9 https://kaitai.io/
• duktape v2.5.0 https://duktape.org/
• jsmin http://crockford.com/javascript/

โปรดอย่าลังเลที่จะยื่นปัญหาสำหรับข้อบกพร่องใด ๆ คุณสมบัติที่ขาดหายไปหรือเอกสารประกอบ!

โอ้และฉันกล่าวระยะเวลา Kiewtai "Cue-Tie" -

นี่คือภาพหน้าจอของหน้าจอ Kiewtai ที่แตกต่างกัน

คุณสามารถดูเวทมนตร์เวอร์ชันตัวบ่งชี้ขนาดจะถูกระบุทั้งหมด

ความคิดเห็นแสดงให้เห็นว่า Kiewtai รู้ว่าเคอร์เซอร์อยู่ในฟิลด์ applicationId

ไบต์ R/G/B แต่ละตัวนั้นเป็น Hilighted ซึ่งทำให้ข้อมูลดูเป็นลาย หากนั่นเป็นคำฟางมาก เกินไป ให้กด F2 ในรายการ Parser และ Kiewtai จะลดระดับรายละเอียดที่สร้างขึ้น

คุณสามารถโหลดตัวแยกวิเคราะห์ Kaitai หลายตัวได้พร้อมกันภาพหน้าจอนี้แสดงตัวแยกวิเคราะห์ Dosmz และ Microsoftpe ที่โหลดพร้อมกัน

หากคุณมีไฟล์ฝังตัวเพียงทำเครื่องหมายและ Kiewtai จะวิเคราะห์บล็อกนั้นเท่านั้น

ชื่อฟิลด์แสดงเป็นความคิดเห็นในขณะที่คุณนำทางไปรอบ ๆ ไฟล์

Kaitai มีรูปแบบยอดนิยมหลายสิบรูปแบบที่สร้างขึ้นมาแล้วคุณสามารถดูรายการทั้งหมดออนไลน์ได้ที่นี่ รายการมีความยาวคุณพิมพ์ F5 เป็น serach มัน

ที่นี่ Kiewtai แยกวิเคราะห์ไฟล์ PCAP และ TCP, UDP, ICMP, แพ็คเก็ตและเฟรมอีเธอร์เน็ตภายใน PCAP ทั้งหมดได้รับการยอมรับโดยอัตโนมัติ ทั้งหมดนี้เกิดขึ้นโดยอัตโนมัติเมื่อโหลดตัวแยกวิเคราะห์ PCAP!

หากคุณไม่ต้องการสร้างด้วยตัวเองให้ตรวจสอบแท็บรีลีส

ฉันใช้ Visual Studio 2019 เพื่อพัฒนา Kiewtai

โครงการนี้ใช้ submodules สำหรับการพึ่งพาบางส่วนตรวจสอบให้แน่ใจว่าคุณใช้คำสั่งเช่นนี้เพื่อดึงรหัสที่ต้องการทั้งหมด

 git submodule update --init --recursive

1. ดาวน์โหลดและติดตั้งคอมไพเลอร์โครงสร้าง Kaitai
2. หากคุณไม่มีพวกเขาให้ติดตั้ง Open JDK, GNU Make และ GNU Binutils

หากคุณใช้ช็อคโกแลตคำสั่งนี้ควรเพียงพอ:

 > choco install make openjdk mingw

3. เปิดพรอมต์คำสั่งนักพัฒนา Visual Studio
4. พิมพ์ make.exe

หากทุกอย่างทำงานคุณควรมีไฟล์ที่เรียกว่า kiewtai.hem

หากคุณได้รับ The system cannot find the file specified ให้ตรวจสอบ objcopy.exe , make.exe และ kaitai-struct-compiler.bat ทั้งหมดอยู่ใน %PATH%

มีการทดสอบอย่างง่าย ๆ ในไดเรกทอรี test ที่ตรวจสอบรูปแบบทั่วไปบางรูปแบบทำงานตามที่คาดไว้

เพียงพิมพ์ make ในไดเรกทอรี test เพื่อเรียกใช้

tavis ormandy [email protected]