帮助逆向工程二进制文件格式的工具

Question

有哪些工具可以帮助解码未知的二进制数据格式？

我知道 Hex Workshop 和 010 Editor 都支持结构。 对于已知的固定格式来说，这些在有限的范围内是可以的，但对于更复杂的东西来说很难使用，特别是对于未知的格式。 我想我正在寻找脚本语言或可编写脚本的 GUI 工具的模块。

例如，我希望能够从有限的已知信息（也许是一个幻数）中找到数据块中的结构。 一旦找到一个结构，然后按照已知的长度和偏移量单词来查找其他结构。 然后在有意义的地方递归和迭代地重复这个过程。

在我的梦想中，甚至可能根据我已经告诉系统的信息自动识别可能的偏移和长度！

Answer 1

以下是我想到的一些提示：

根据我的经验，交互式脚本语言（我使用 Python）可以提供很大的帮助。 您可以编写一个简单的框架来处理二进制流和一些简单的算法。 然后您可以编写脚本来获取二进制文件并检查各种内容。 例如：

对各个部分做一些统计分析。 例如，随机数据会告诉您这部分可能是压缩/加密的。 零可能意味着部件之间的填充。 分散的零可能表示整数值或 Unicode 字符串等。 尝试发现各种偏移。 尝试将二进制文件的一部分转换为 2 或 4 字节整数或浮点数，打印它们并查看它们是否有意义。 编写一些函数来搜索数据中重复或非常相似的部分，这样您就可以轻松找到标题。

尝试找到尽可能多的字符串，尝试不同的编码（c 字符串、pascal 字符串、utf8/16 等）。 有一些很好的工具可以做到这一点（我认为 Hex Workshop 有这样的工具）。 字符串可以告诉你很多东西。

祝你好运！

Answer 2

对于 Mac OS X，有一个比我的 iBored 还要好的工具：Synalyze It！
(http://www.synaanalysis.net/)

与 iBored，它更适合非阻塞文件，同时还可以完全控制结构，包括可脚本性（使用 Lua）。 而且它也可以更好地可视化结构。

Answer 3

图普尼； 据我所知，Microsoft Research 无法直接提供该工具，但有一篇关于此工具的论文可能会引起想要编写类似程序（可能是开源）的人的兴趣：

Tupni：输入格式的自动逆向工程 (@ACM 数字图书馆)

摘要

最近的工作已经确立了自动反向的重要性
协议或文件格式规范的工程。 但是，那
以前的工具逆向设计的格式遗漏了重要的内容
对于安全应用程序至关重要的信息。 在这个
论文中，我们提出了 Tupni，一种可以对输入进行逆向工程的工具
具有丰富信息的格式，包括记录序列，
记录类型和输入约束。 Tupni 可以概括格式
多个输入的规范。 我们已经实施了
Tupni 的原型并在 10 种不同的格式上对其进行了评估：五种
文件格式（WMF、BMP、JPG、PNG 和 TIF）和五种网络
协议（DNS、RPC、TFTP、HTTP 和 FTP）。 图普尼识别了所有
记录测试输入中的序列。 我们还表明，通过聚合
通过多个 WMF 文件，Tupni 可以得出更完整的
WMF 的格式规范。 此外，我们还展示了
Tupni 的实用性，利用它为 Zeroday 提供的丰富信息
漏洞签名生成，这是不可能的
以前的逆向工程工具。

Answer 4

我最近发布的自己的工具“iBored”可以完成部分工作。 我编写了该工具来可视化和调试文件系统格式（UDF、HFS、ISO9660、FAT 等），并实现了搜索、复制，甚至是结构和模板支持。 结构支持非常简单，模板是动态识别结构的一种方法。

整个事情都可以用 Visual BASIC 语言进行编程，允许您测试值、读取特定块等等。

该工具是免费的，适用于所有平台（Win、Mac、Linux），但由于它是我刚刚发布给公众共享的个人工具，因此没有太多文档记录。

但是，如果您想尝试一下并提供反馈，我可能会添加更多有用的功能。

我什至愿意开源它，但由于它是用 REALbasic 编写的，我怀疑很多人会加入这样的项目。

链接：iBored 主页

Answer 5

我仍然偶尔使用一个名为 AXE（高级十六进制编辑器）的旧十六进制编辑器。 它现在似乎已经基本上从互联网上消失了，尽管谷歌应该仍然能够为你找到它。 我知道的最后一个版本是 3.4 版，但我实际上只使用过免费个人使用的 2.1 版。

它最有趣的功能，也是我在解读各种游戏和图形格式时最常用的功能，是它的图形视图模式。 这基本上只是向您显示文件，其中每个字节都变成了颜色编码的像素。 尽管听起来很简单，但它有时使我的逆向工程尝试变得更加容易。

我认为通过眼睛进行分析与自动分析完全相反，并且图形模式对于查找和跟踪偏移量没有多大用处......

后来的版本有一些听起来可以满足您的需求的功能（脚本、规律查找器、语法生成器），但我不知道它们有多好。

Answer 6

Hachoir 是一个 Python 库，用于将任何二进制格式解析为字段，然后浏览字段。 它有很多常见格式的解析器，但您也可以为您的文件编写自己的解析器（例如，当使用读取或写入二进制文件的代码时，我通常首先编写 Hachoir 解析器以进行调试）。 不过，看起来该项目现在几乎不活跃。

Answer 7

Kaitai 是一种用于描述数据流中的二进制结构的开源语言。 它配备了一个翻译器，可以输出多种编程语言的解析代码，以便包含在您自己的程序代码中。

Answer 8

我的项目 icebuddha.com 支持使用 python 来描述浏览器中的格式。

Answer 9

我对类似问题的回答的剪切和粘贴：

一个工具是 WinOLS，旨在解释和编辑车辆发动机管理计算机二进制图像（主要是查找表中的数字数据）。 它支持各种字节序格式（我认为不是 PDP），并以各种宽度和偏移量查看数据、定义数组区域（映射）并使用各种缩放和偏移选项以 2D 或 3D 方式可视化它们。 它还具有启发式/统计自动地图查找器，可能适合您。

它是一个商业工具，但免费演示可以让您执行所有操作，但保存对二进制文件的更改并使用您不需要的引擎管理功能。