binwalk ja binääri sisältä

Tässä raportissa tutustumme binwalkiin ja jadxään. Saamme Larilta pari demotiedostoa, jotka osana vain kurssimateriaalia.

Binwalkista on virallisesti saatavilla versio 3 ja kalin mukana tulee versio 2.

Luon oman venv ympäristön johon laitan v3, jolloin voin käyttää molempia.

Lyhyesti ohjeet bash python3 -m venv binwalk3_env (luo oma venv ympäristö kansioon binwalk3_env -m käyttää nykyistä asennuspohjaa)

source binwalk3_env/bin/activate (aktivoi oma ympäristö)

Tämän jälkeen asennetaan binwalk ihan ohjeiden mukaan uusimpaan. ’Deactivate’ ottaa takaisin vanhan käyttöön.

h1.jpg

Saimme ensimmäisenä valokuvan h1.jpg - analysoidaan tätä. Teen nyt esimerkissä binwalk v3, mutta vähän samaa toimintalogiikkaa käyttää myös v2.

bash binwalk -a h1.jpg (-a etsii kaiken mitä binwalk löytää tiedostosta.)

Sisällä on 2 kuvaa ja yksi zip tiedosto. Puretaan nämä.

bash binwalk -c -d h1_x h1.jpg (-c carve - puretaan -d kansioon h1_x)

Tästä saamme puretut raaka-datat. Luen kaikesta file tiedot ja näemme, että kyseessä on jpg kuva jonka sisällä on kaksi jpg kuvaa, sekä word-tiedosto.

Muutan puuttuvan jpg kuvan muotoon ja doc.docx tiedoston omaan muotoon. Kyseessä punainen kone, eli avaan myös word tiedoston auki.

50 Predictions for the Next 50 Years A Glimpse into the Future (2025-2075)

Kommentit

Binwalk vaikuttaa hyvältä ja kivalta tavalta purkaa binääriä. Olen jonkin verran CTF haasteissa törmännyt tähän ja tärkeä työkalu. Myös suosittelen pitämään lähellä molemmat versiot, jos tarvetta molemmille.

Terveisiä lämmöstä <3

Lähteet

Binwalk https://github.com/ReFirmLabs/binwalk

Kuvat optimoitu https://optimage.app

Käytetty aika n. 2h