kiewtai

Kiewtai是Hiew Hex编辑器的下摆（又名插件），它使Kaitai项目的所有二进制解析器可用。这意味着您可以将所有字段标记和解码以数十种流行的文件格式。您还可以使用Kaitai格式为您正在分析的文件格式编写新模板。

单击此处查看Kaitai支持的所有格式的列表。

想在行动中看到它吗？查看一些屏幕截图！

如果您不想自己构建，请查看“版本”选项卡

将kiewtai.hem复制到您的hem文件夹，这应该是您安装的hiew位置。

按F11并选择Kiewtai: Kaitai Struct format parsers 。

将向您显示所有受支持的解析器的列表，选择所需的解析器。

Kiewtai将突出显示不同的字段，并添加描述该字段的评论。

如果您希望Kiewtai分析较大文件的一部分，例如，您有一个固件斑点或文件系统图像，只需标记要分析的部分即可。如果您在DFIR工作，则可能称此为“雕刻”。

• 按F2在简单和详细解析之间切换。

默认解析模式是冗长的，如果您愿意，请尝试此操作。

• 按F3启用或禁用评论。

Kiewtai将在描述每个字段的hiew中添加注释，在您浏览时会显示这些注释。您也可以浏览并使用F12搜索。

• 按F4启用或禁用标记。

Kiewtai默认情况下会添加颜色标记，因此您可以轻松地查看不同字段的位置。如果您不喜欢这样，请按F4 。

• 按F5搜索解析器。

解析器的列表很长，请按F5 ，如果您愿意，输入一些搜索术语。

如果您是Hiew用户，并且想帮助制作更好的文档，请单击此处！

该项目使用以下第三方库：

• 下摆SDK v0.53 http://www.hiew.ru/
• Kaitai结构v0.9 https://kaitai.io/
• duktape v2.5.0 https：//duktape.org/
• jsmin http://crockford.com/javascript/

请随时提交任何错误，缺少功能或文档的问题！

哦，我在kiewtai“提示”。 ？

这是不同Kiewtai屏幕的一些屏幕截图。

您可以看到魔术，版本，描述符，尺寸均已识别。

评论显示，Kiewtai知道光标在applicationId字段上。

单个r/g/b字节被hilightighters hilightert，这使数据看起来很稳定。如果这太多了，请按解析器列表上的F2 ，而Kiewtai将降低其生成的细节水平。

您可以一次加载多个Kaitai解析器，此屏幕截图显示同时加载的Dosmz和Microsoftpe解析器。

如果您有一个嵌入式文件，只需对其进行标记，而Kiewtai只会分析该块。

当您围绕文件导航时，字段名称显示为注释。

Kaitai拥有已经制作的数十种流行格式的分析器，您可以在此处在线看到完整列表。列表很长，您键入F5来塞拉克。

在这里，Kiewtai解析了一个PCAP文件，并自动识别PCAP内部的所有TCP，UDP，ICMP，数据包和以太网帧。这一切都会在加载PCAP解析器时自动发生！

如果您不想自己构建，请查看“版本”选项卡

我使用Visual Studio 2019开发Kiewtai。

该项目使用某些依赖项的子模型，请确保您使用这样的命令来获取所有必需的代码。

 git submodule update --init --recursive

1. 下载并安装Kaitai结构编译器。
2. 如果您还没有它们，请安装Open JDK，GNU Make和GNU Binutils。

如果您使用巧克力，此命令就足够了：

 > choco install make openjdk mingw

3. 打开Visual Studio开发人员命令提示。
4. 键入make.exe

如果一切正常，您应该有一个名为kiewtai.hem的文件

如果您获得The system cannot find the file specified错误，请验证objcopy.exe ， make.exe和kaitai-struct-compiler.bat都在您的%PATH%中。

test目录中有一些简单的测试，可以验证某些常见格式正在按预期工作。

只需在test目录中键入make即可运行它们。

tavis ormandy [email protected]