)
浅谈bin文件的分析——使用binwalk和udidumps进行bin文件分析(1-合理使用binwalk)
- bin文件的类型
- 认识ubi文件 和一般bin的头文件
- bin文件的分析套路
- 第一步,使用binwalk v3.1.0 对已知bin文件进行解包,获得除ubi文件包以外的所有资源
- 第二步使用ubidumps工具对ubi文件进行解包
- 第三步导入IDA Pro
- 第四步打开十六进制编辑器
- 加壳的ubi文件的处理(可选)
- 分离ubi文件
- 1、使用binwalk对bin的结构进行嗅探
- 2、用dd指令进行分离,蓝色箭头处的就是DECIMAL值
- 3、用ubidumps对单独分离的ubi文件分别解包
- 4、发现解不开,怀疑加壳,用各种壳嗅探工具检测然后去壳,去壳以后再用ubidumps解包
- 5、获得所有解出的数据后导入IDA Pro 进行分析
- 用到的工具
bin文件的类型
- 常用的bin文件一般有单片机bin(路由器bin)、nano芯片中的bin,从烧录座提取bin文件后,后缀都是bin,但是压缩格式会有不同
认识ubi文件 和一般bin的头文件
- ubi文件是专为nano芯片设计的一种文件形式,也可以看作一种压缩算法,压缩以后后缀也可以是bin,但是文件头不一样,解包的时候需要用ubidumps工具来解包。
- ubi文件常用于压缩头文件,一般的bin文件使用解包工具解包以后,可以获得资源文件+头文件,头文件的本质是一个linux核心,在早期的路由器bin文件中头文件是不加密的(因为不使用nano芯片),目前的路由器芯片广泛采用nano芯片,所以头文件基本都是ubi系统
bin文件的分析套路
第一步,使用binwalk v3.1.0 对已知bin文件进行解包,获得除ubi文件包以外的所有资源
binwalk -Me "app.bin"- 记住目前的binwalk v3.1.0版本是解不开ubi文件的
第二步使用ubidumps工具对ubi文件进行解包
- ubidumps工具也可以对资源进行解包,但是解包能力binwalk更好,但是可以双向验证,不漏掉所有资源。
ubidumps -e "app.bin"- 只需要对原始bin文件进行处理,不要去处理第一步解出的资源
- 此时未加壳的ubi系统会被解开来
第三步导入IDA Pro
- 拿出逆向神器,将第一步、第二步导出的文件用IDA打开,合并在一个database下,随意命名比如用芯片命名。
第四步打开十六进制编辑器
- 用十六进制编辑器主要为了交叉验证IDA中进行调试分析的文件
