kiewtai

Kiewtai是Hiew Hex編輯器的下擺（又名插件），它使Kaitai項目的所有二進制解析器可用。這意味著您可以將所有字段標記和解碼以數十種流行的文件格式。您還可以使用Kaitai格式為您正在分析的文件格式編寫新模板。

單擊此處查看Kaitai支持的所有格式的列表。

想在行動中看到它嗎？查看一些屏幕截圖！

如果您不想自己構建，請查看“版本”選項卡

將kiewtai.hem複製到您的hem文件夾，這應該是您安裝的hiew位置。

按F11並選擇Kiewtai: Kaitai Struct format parsers 。

將向您顯示所有受支持的解析器的列表，選擇所需的解析器。

Kiewtai將突出顯示不同的字段，並添加描述該字段的評論。

如果您希望Kiewtai分析較大文件的一部分，例如，您有一個固件斑點或文件系統圖像，只需標記要分析的部分即可。如果您在DFIR工作，則可能稱此為“雕刻”。

• 按F2在簡單和詳細解析之間切換。

默認解析模式是冗長的，如果您願意，請嘗試此操作。

• 按F3啟用或禁用評論。

Kiewtai將在描述每個字段的hiew中添加註釋，在您瀏覽時會顯示這些註釋。您也可以瀏覽並使用F12搜索。

• 按F4啟用或禁用標記。

Kiewtai默認情況下會添加顏色標記，因此您可以輕鬆地查看不同字段的位置。如果您不喜歡這樣，請按F4 。

• 按F5搜索解析器。

解析器的列表很長，請按F5 ，如果您願意，輸入一些搜索術語。

如果您是Hiew用戶，並且想幫助製作更好的文檔，請單擊此處！

該項目使用以下第三方庫：

• 下擺SDK v0.53 http://www.hiew.ru/
• Kaitai結構v0.9 https://kaitai.io/
• duktape v2.5.0 https：//duktape.org/
• jsmin http://crockford.com/javascript/

請隨時提交任何錯誤，缺少功能或文檔的問題！

哦，我在kiewtai“提示”。 ？

這是不同Kiewtai屏幕的一些屏幕截圖。

您可以看到魔術，版本，描述符，尺寸均已識別。

評論顯示，Kiewtai知道光標在applicationId字段上。

單個r/g/b字節被hilightighters hilightert，這使數據看起來很穩定。如果這太多了，請按解析器列表上的F2 ，而Kiewtai將降低其生成的細節水平。

您可以一次加載多個Kaitai解析器，此屏幕截圖顯示同時加載的Dosmz和Microsoftpe解析器。

如果您有一個嵌入式文件，只需對其進行標記，而Kiewtai只會分析該塊。

當您圍繞文件導航時，字段名稱顯示為註釋。

Kaitai擁有已經製作的數十種流行格式的分析器，您可以在此處在線看到完整列表。列表很長，您鍵入F5來塞拉克。

在這裡，Kiewtai解析了一個PCAP文件，並自動識別PCAP內部的所有TCP，UDP，ICMP，數據包和以太網幀。這一切都會在加載PCAP解析器時自動發生！

如果您不想自己構建，請查看“版本”選項卡

我使用Visual Studio 2019開發Kiewtai。

該項目使用某些依賴項的子模型，請確保您使用這樣的命令來獲取所有必需的代碼。

 git submodule update --init --recursive

1. 下載並安裝Kaitai結構編譯器。
2. 如果您還沒有它們，請安裝Open JDK，GNU Make和GNU Binutils。

如果您使用巧克力，此命令就足夠了：

 > choco install make openjdk mingw

3. 打開Visual Studio開發人員命令提示。
4. 鍵入make.exe

如果一切正常，您應該有一個名為kiewtai.hem的文件

如果您獲得The system cannot find the file specified錯誤，請驗證objcopy.exe ， make.exe和kaitai-struct-compiler.bat都在您的%PATH%中。

test目錄中有一些簡單的測試，可以驗證某些常見格式正在按預期工作。

只需在test目錄中鍵入make即可運行它們。

tavis ormandy [email protected]