Geçenlerde Sergey Bratus ve Greg Conti'nin Voyage of the Reverser: A Visual Study of Binary Species adlı eski bir konuşmasını gördüm.
Beslenen ikili dosyaların görsel temsillerini görmek için kullanılabilecek açık kaynak / ücretsiz araçlar var mı (konuşmada gösterilene benzer)?
konuşma:
Konuşma için kullandığımız binviz, burada mevcuttur: binviz_0.zip.
Bazı makaleler burada:
Ayrıca daha eski bir Black Hat var Sergey ile bir Idid'e ek olarak konuş:
Kullanmadım bir süre sonra, ancak binviz Visual C # (VS2005 veya belki VS2008) ile yazılmıştır. .Zip, proje (kaynak) dosyasıdır, bu nedenle görsel stüdyoya yüklenmeli ve çalıştırılmalıdır. Ayrıca ... /binviz_0.44bw/binviz_0.01/bin/Debug/ içinde derlenmiş bir .exe vardır. Sadece çift tıklayıp bir Windows makinesinde çalıştırabilmelisiniz. XP altında geliştirdim, buthave onu Windows 7 altında kullandığından beri az çok aynı şekilde çalıştı. (Fareyle üzerine gelme olayı davranışı biraz farklı, ancak yine de kullanılabilir).
Binviz'in bir araştırma prototipi olduğunu unutmayın. ve bir hatası var ... küçük dosyaları sevmiyor. 10M boyutunda bir şey dener ve oradan aşağı doğru çalışır. Huysuzlaşmaya başladığı yerin yaklaşık 500 bin olduğunu düşünüyorum.
Bu proje, geleneksel hex düzenleyicinin köklü bir evrimi olan etkileşimli bir ikili görselleştirme aracıdır. Tersine mühendisler ve adli tıp uzmanları, ikili bilgileri görsel bir soyutlamaya çevirerek, saniyeler içinde rastgele verileri dağlarda inceleyebilir. Daha önce görülmemiş komut setleri ve veri formatları bile, görsel parmak izleriyle kolayca bulunabilir ve anlaşılabilir.
Maalesef geliştirme durdu , en azından yakın zamanda bu proje hakkında herhangi bir haber almadım.
devttys0, binwalk'ta benzer bir görselleştirme uyguladı.
GNU / Linux için tasarlanmış grafiksel (SDL tabanlı) onaltılık döküm aracı. Bitlerinin oluşturduğu desenleri görmenizi sağlar.
Binglide, görsel bir tersine mühendislik aracıdır. Dosyada bulunan farklı veri türlerine hızlı bir genel bakış sunmak için tasarlanmıştır. Bu araç belirli bir dosya formatını bilmez, her şey veriler üzerinde çalışan aynı analiz kullanılarak yapılır. Bu, başlıklar eksik veya bozuk olsa veya dosya biçimi bilinmese bile işe yarayacağı anlamına gelir.
Senseye, statik dosyalardan ve çökme dökümlerinden canlı veri akışlarına ve uygulama dinamik hafızasına kadar her şeyi izlemek, analiz etmek ve görselleştirmek için bir araçtır.Her veri penceresi size farklı görünümler (örn. uç nokta) ve istatistiksel araçlar (örn. histogram) ve sensörün verileri nasıl örneklemesi, paketlemesi ve aktarması gerektiğine dair bazı kontroller.
ikili verileri görselleştirmek için tarayıcı tabanlı bir araç.
binvis.io ile şunları yapabilirsiniz:
İkili verileri görsel olarak keşfedin. İnce yapısal bilgileri seçmek için küme baytları Sezgisel olarak veriler arasında gezinmek ve veri seçmek için basit tarama düzenini kullanın. Bir entropi de dahil olmak üzere bir dizi yararlı bayt renk eşlemesi arasında geçiş yapın. Sıkıştırılmış veya şifrelenmiş bölümleri seçmenizi sağlayan görselleştirici. Analiz için veri bölümlerini dışa aktarın
===
Keyfi verileri görselleştirmek için Qt tabanlı bir araç. BinVis'in şu yetenekleri vardır:
Büyük miktarda ikili veriyi görselleştirme (birkaç TiB). Zaman (normal çizim) ve uzayda (bayt grafiği) görselleştirme ) etki alanları Dosyaların bölümlerini görselleştirin ve görselleştirilmiş verilerdeki güçlü desenleri vurgulamak için dosyanın her bir bölümünün ne tür veri içerdiğini görmek için dosyanın "Adımla" ilgili bölümlerini daraltın "Tersine çizim" ve çeşitli s Performans nedenleriyle yoğun iş parçacığı kullanımı 1GiB dosyası ve 100TiB dosyasını görselleştirmek için aynı miktarda bellek kullanılarak, oldukça statik bellek kullanımı http://trippler.no/wpcms/?page_id=20 http : //trippler.no/wpcms/wp-content/uploads/2014/06/Screenshot_2015-08-09_19-52-30.png
Kötü amaçlı yazılım analizi ve PE malformasyon sağlamlığına özel bir odaklanma ile Portable Executable dosyalarını analiz etmek için Java kitaplığı
İkili görselleştirme çerçevesi.
Konuşmada kullandığım veri görselleştirme aracı, Google Code 'da bulunan BinVis aracıyla aynı olmasa da hemen hemen aynı görünüyor. Bazı özelliklerin ekran görüntüsü:
Not: Yukarıdakiler eski bir sürümdür çünkü en son sürümü bilgisayarıma yükleyemedim ; daha fazlası için Google kod sitesine bakın.
Bunlar, kaynak verilerden alınan grafik dökümlerdir. Bunu kapsamlı kullanıyorum, kendi yazdığım bir onaltılık okuyucu ile - bu, "verileri" hızlı bir şekilde bulmanın harika bir yoludur ( .text ile arasındaki farka bakın. veri ) ve daha büyük yapılar (genellikle aynı ofsetler üzerinde tekrar eden veya benzer veriler içerir).
En üstteki resimler gri tonlamalı bilgi olarak dökülmüş ham verileri gösterir: her bayt bir piksel olarak değerlendirilir. Muhtemelen, yazar kolaylık sağlamak için gri tonlamayı seçti. Tam bir zıt renkler yelpazesini tercih ederim, bu nedenle "aynı" ve "benzer" verilerin uzun alanları daha kolay anlaşılabilir.
Alt tarafa yakın tek renkli bloklar ( .rsrc ) simgeler ve diğer grafiklerdir. Yatay olarak uzatılmış görünüyorlar çünkü bayt başına bir piksel olarak görüntüleniyorlar ve aslında 16, 24 veya 32 bpp'lik görüntüler.
(Tüm üst tarafın .text ! Yürütülebilir kod rastgele pikseller olarak görünür, ancak bu görüntüdeki ilk 1/3 ün daha az yoğun. Muhtemelen MZ ve PE Yürütülebilir Başlığıdır; bunlar çok sayıda sıfır içerir. alttaki 1/3, .text 'in bir parçasıdır ve büyük olasılıkla, 0xFF baytını çok fazla içeren Sanal Çağrı tablosudur.)
Alttaki görüntülerde, her bayt tek renkli ikili formatta görüntülenir: her bayt 8 ardışık piksel olarak gösterilir. Geleneksel olarak, bunlar en önemli bit ilk olarak görüntülenir. Yalnızca tek bir bayttan daha büyük tek değerlerle uğraşırken devreye girdiği için 'bitkinliği' kontrol etmeye gerek yoktur.
Böyle bir şeyi kendi başınıza yazmak zor değildir; muhtemelen en önemlisi, grafik rutinlerini, özellikle monokrom bitmapleri olabildiğince hızlı hale getirmektir. Bu aynı zamanda Conti ve diğerleri, İkili ve Veri Dosyalarının Görsel Ters Mühendisliği ( http://www.rumint.org/gregconti/publications/2008_VizSEC_FileVisualization_v53_final.pdf tarafından da ele alınmaktadır. ):
Performansı test ederken, ekranın 0,03 saniyede güncellenebileceğini gördük, bu da daha yüksek çözünürlüklerde görselleştirmelerin yanı sıra duyarlı bir arayüz sağlamaya devam etme olasılığını açık bıraktı. [...] C #’ın GetPixel ve SetPixel yöntemlerinden kaçınarak ve doğrudan görüntü belleğine erişerek bu performans düzeyine ulaşmayı başardık [...]
Kendi aracımın ekran görüntüleri , yukarıda gösterilene çok benzer:
CALC.EXE'nin .text bölümü. Alt kısımdaki yinelenen yapı, Sanal Çağrı tablosudur.
RLE kodlu görüntüleri içeren bir dosya. RLE sıkıştırması, "tutarlı" verilerin yatay çizgileriyle tanınabilir (etkileşimli olarak genişlik değiştirildiğinde daha iyi görülebilir).
Tek renkli GZ sıkıştırılmış veriler. Bu, rastgele durağanlığa olabildiğince yakın.
Başka bir yürütülebilir dosyada bulunan küçük bir gömülü bitmap yazı tipi. Karakterler arasındaki rastgele bitler piksel cinsinden genişliktir - eşzamanlı olarak kaydırılan onaltılık dökümüne bakın.
Bazı veriler başka şekillerde daha iyi görselleştirilir. Bu eski tarz bir VGA paletidir (6x6x6 RGB).
BinView, ikili veri görselleştirme aracı için bir prototiptir
Conti'nin sunduğu ngram yöntemini ve görsel özellikleri izole etmek için bir kümeleme bileşenini uygulayan https://github.com/REMath/implementations/blob/master/code_examples/plot_hex.py yazdım .
Haxxis adında dinamik bir görselleştirme aracı (dinamik, çünkü statik ikili dosyalar üzerinde değil, ikili dosyaların çalıştırılması üzerinde çalışıyor) geliştiren bir ekibin parçasıydım:
https://github.com / voidALPHA / cgc_viz (voidALPHA tarafından geliştirilen görselleştirme bileşeni) https://github.com/Vector35/traceapi (görselleştiriciye beslenen değiştirilmiş bir qemu kullanarak izler oluşturur)
Esas olarak "Kararname" formatında (32bit x86 değiştirilmiş elf formatı) çalışsa da, diğer ikili formatlara uyarlanması kolay olacaktır. Bazı güzel görselleştirmeler üretir:
https://www.youtube.com/watch?v=6r1fOrDb80s&list=PLuDRBJDBc4F9HnfV5tQDwqhSs9a5VPegD https://www.youtube.com/ parçalarla birlikte CGC olayın kendisi izle? v = LEfejsqEucY&list = PL6wMum5UsYvZx2x9QGhDY8j3FcQUH7uY0&index = 13 https://www.youtube.com/watch?v=SYYZjTx92KU&list=PL6wMum5UsYvZx2x9QGhDY8j3FcQUH7uY0&index=31 (uzun bakış Haxxis boyunca)