未知のバイナリデータ形式のデコードを支援するために利用できるツールは何ですか?
HexWorkshopと010Editorの両方が構造をサポートしていることを知っています。これらは、既知の固定形式ではある程度問題ありませんが、特に未知の形式では、より複雑なもので使用するのが難しくなります。スクリプト言語またはスクリプト可能なGUIツールのモジュールを見ていると思います。
たとえば、限られた既知の情報(おそらくマジックナンバー)からデータのブロック内の構造を見つけられるようにしたいと思います。構造を見つけたら、既知の長さとオフセットの単語に従って他の構造を見つけます。次に、これを再帰的かつ反復的に繰り返します。
私の夢では、おそらくシステムにすでに伝えたことに基づいて、可能なオフセットと長さを自動的に特定することさえできます。
回答:
頭に浮かぶヒントは次のとおりです。
私の経験から、インタラクティブなスクリプト言語(私はPythonを使用しています)は大きな助けになります。バイナリストリームといくつかの単純なアルゴリズムを処理するための単純なフレームワークを作成できます。次に、バイナリを取得してさまざまなことをチェックするスクリプトを作成できます。例えば:
さまざまな部分で統計分析を行います。たとえば、ランダムデータは、この部分がおそらく圧縮/暗号化されていることを示しています。ゼロは、パーツ間のパディングを意味する場合があります。散在するゼロは、整数値またはUnicode文字列などを意味する場合があります。さまざまなオフセットを見つけてみてください。バイナリの一部を2バイトまたは4バイトの整数またはfloatに変換し、それらを印刷して、意味があるかどうかを確認してください。データ内の繰り返し部分または非常に類似した部分を検索する関数をいくつか記述します。これにより、ヘッダーを簡単に見つけることができます。
できるだけ多くの文字列を見つけて、さまざまなエンコーディング(c文字列、pascal文字列、utf8 / 16など)を試してください。そのための優れたツールがいくつかあります(Hex Workshopにはそのようなツールがあると思います)。文字列は多くのことを教えてくれます。
幸運を!
Mac OS Xの場合、私のiBoredよりもさらに優れた新しい優れたツールがあります:Synaliyze It!(http://www.synalysis.net/)
iBoredと比較して、ブロックされていないファイルに適していると同時に、スクリプト可能性(Luaを使用)を含む構造を完全に制御できます。また、構造をより適切に視覚化します。
トゥプニ; 私の知る限り、Microsoft Researchから直接入手することはできませんが、このツールに関する論文があります。これは、同様のプログラム(おそらくオープンソース)を作成したい人にとって興味深いものです。
Tupni:入力フォーマットの自動リバースエンジニアリング(@ACMデジタルライブラリ)
概要
最近の研究により、プロトコルまたはファイル形式の仕様の自動リバースエンジニアリングの重要性が確立されました。ただし、以前のツールでリバースエンジニアリングされた形式では、セキュリティアプリケーションにとって重要な重要な情報が欠落しています。このホワイトペーパーでは、レコードシーケンス、レコードタイプ、入力制約などの豊富な情報セットを使用して入力形式をリバースエンジニアリングできるツールであるTupniを紹介します。Tupniは、複数の入力にわたってフォーマット仕様を一般化できます。Tupniのプロトタイプを実装し、5つのファイル形式(WMF、BMP、JPG、PNG、TIF)と5つのネットワークプロトコル(DNS、RPC、TFTP、HTTP、FTP)の10種類の形式で評価しました。Tupniは、テスト入力のすべてのレコードシーケンスを識別しました。また、複数のWMFファイルを集約することにより、Tupniは、WMFのより完全なフォーマット仕様を導き出すことができます。さらに、以前のリバースエンジニアリングツールでは不可能だったゼロデイ脆弱性シグネチャの生成に提供される豊富な情報を使用して、Tupniの有用性を示します。
最近リリースした私自身のツール「iBored」は、この一部を実行できます。ファイルシステム形式(UDF、HFS、ISO9660、FATなど)を視覚化およびデバッグするためのツールを作成し、検索、コピー、さらには構造とテンプレートのサポートを実装しました。構造のサポートは非常に簡単で、テンプレートは構造を動的に識別する方法です。
全体がVisualBASIC方言でプログラム可能であり、値のテスト、特定のブロックの読み取りなどを行うことができます。
このツールは無料で、すべてのプラットフォーム(Win、Mac、Linux)で動作しますが、共有するために公開したばかりの個人用ツールであるため、あまり文書化されていません。
ただし、試してみたい場合やフィードバックを提供したい場合は、さらに便利な機能を追加することもできます。
オープンソースでもいいのですが、REALbasicで書かれているので、そんなプロジェクトに多くの人が参加するのではないかと思います。
リンク:iBoredホームページ
私はまだ時々AXEと呼ばれる古い16進エディタ、AdvancedHexEditorを使用しています。グーグルがあなたのためにそれを見つけることができるはずであるけれども、それは今インターネットから大部分消えたようです。私が知っている最後のバージョンはバージョン3.4でしたが、実際には個人使用の無料バージョン2.1しか使用していません。
その最も興味深い機能、そして私がさまざまなゲームやグラフィック形式を解読するために最も使用した機能は、そのグラフィカルビューモードです。これは基本的に、各バイトが色分けされたピクセルに変換されたファイルを示しています。そして、それは単純に聞こえますが、リバースエンジニアリングの試みが非常に簡単になることがあります。
ただし、目で行うのは自動分析を行うのとは正反対だと思います。グラフィカルモードは、オフセットを見つけて追跡するのにあまり役立ちません...
後のバージョンには、ニーズに合うように聞こえる機能(スクリプト、規則性ファインダー、文法ジェネレーター)がいくつかありますが、それらがどれほど優れているかはわかりません。
私のプロジェクトicebuddha.comは、Pythonを使用してブラウザでフォーマットを記述することでこれをサポートしています。
同様の質問に対する私の答えのカットアンドペースト:
1つのツールはWinOLSです、これは車両エンジン管理コンピューターのバイナリイメージ(主にルックアップテーブルの数値データ)を解釈および編集するために設計されています。さまざまなエンディアン形式(PDPではないと思います)をサポートし、さまざまな幅とオフセットでデータを表示し、配列領域(マップ)を定義し、あらゆる種類のスケーリングとオフセットオプションを使用して2Dまたは3Dで視覚化します。また、ヒューリスティック/統計の自動マップファインダーがあり、これが役立つ場合があります。
これは商用ツールですが、無料のデモでは、バイナリへの変更を保存し、不要なエンジン管理機能を使用する以外はすべて実行できます。