Winhex 和 010Editor

winhex

功能介绍：想看的看

可以对硬盘、软盘、CD-ROM、DVD、ZIP及各种存储卡进⾏编辑
⽀持FAT、NTFS、Ext2/3、ReiserFS、Reiser4、UFS、CDFS、UDF等⽂件系统
可⽀持重组RAID及动态磁盘
附带数据恢复功能
可以访问物理内存及虚拟内存
内置数据解释器，可以识别解释20种数据类型
可以⽤数据结构模板查看、编辑结构数据
可以分割与合并⽂件
可以对⽂件进⾏分析与对⽐
具有灵活的搜索和替换功能
可以对磁盘进⾏克隆
可对磁盘进⾏压缩镜像备份，⽀持对备份⽂件进⾏分卷处理
具有编程接⼝，⽀持脚本操作
⽀持256位加密、校验和、CRC32、hash（MD5，SHA-1）计算
⽀持对磁盘进⾏数据安全销毁
包含ANSI ASCII, IBM ASCII, EBCDIC, Unicode字符集
⽀持⽂件⼤⼩超过4GB

1.标记位置

首先用鼠标，把要选中的位置索引住。然后按下 Ctrl+I/导航–>标记位置

跳转到标记处：Ctrl+K/导航–>转到标记。

2.位置管理器

也就是对某个特定的值，进行搜索。

导航–>位置管理器。搜索->【你想要的】

3.分割文件

把一个文件分割成好几个文件。

工具–>文件工具–>文件分割

4.链接文件

把好几个文件链接在一起。【首位相连的】

工具–>文件工具–>文件合并

5.同步比较文件或者磁盘

首先打开2个

查看–>同步窗口/同步和比较

010Editor

不说了，遇到了在查，这东西又不是靠背的。不懂的情况下可以查。

固件分析：Binwalk、file

首先，这2个都是在kali下运行的。

file ==>是一个命令

file 1.txt【格式】

binwalk==>是工具

binwalk –help 显示binwalk帮助

Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] …

签名扫描

Binwalk可以扫描固件映像以查找许多不同的嵌⼊式⽂件类型和⽂件系统。

binwalk FILE1

-y filesystem只扫描⽂件系统 -y选中
-x filesystem 不扫描⽂件系统 -x过滤
-a，-finclude = 
仅扫描名称与给定正则表达式字符串匹配的⽂件
-p，--fexclude = 
不扫描名称与给定正则表达式字符串匹配的⽂件```

-M递归扫描

**⽂件提取-e ** binwalk提取其在固件映像中找到的所有⽂件

可能用到的

下面的不用记住啦，这东西以后多用，自然就记住了

只解压出⽂件系统 -y

binwalk -y filesystem -e IoTGoat-raspberry-pi2.img

附加-a，-finclude =

仅扫描名称与给定正则表达式字符串匹配的⽂件。

binwalk -M -e -a = ’ \ .bin $ ’ firmware.bin

附加-C，–directory = 选项

设置提取数据的输出⽬录（默认：当前⼯作⽬录）

binwalk -e –directory = /tmp firmware.bin

附加-r选项

清理⼤⼩为零的⽂件以及提取过程中提取实⽤程序⽆法处理的⽂件

附加-d n

递归解压深度为n

附加-f，-log = <⽂件>

将扫描结果记录到指定⽂件。

binwalk –log = binwalk.log firmware.bin

提取特定的类型

-D选项-D, –dd=type[:ext[:cmd]

ype是签名描述中包含的⼩写字符串（⽀持正则表达式）
ext是保存数据磁盘时使⽤的⽂件扩展名（默认为none）
cmd是在将数据保存到磁盘后执⾏的可选命令

binwalk -D ‘zip archive:zip:unzip %e’ -D ‘png image:png’ firmware.bin

该选项将提取包含字符串“zip archive”,⽂件扩展名为“zip”的⽂件，然后执⾏“unzip”命令。

此外，PNG图像按原样提取，带有’png’⽂件扩展名。

请注意使⽤’％e’占位符。执⾏unzip命令时，此占位符将替换为解压缩⽂件的相对路径