Toggle search
Toggle menu
34
12
25
1.5K
Virtual World R.E.
Toggle personal menu
Not logged in
Your IP address will be publicly visible if you make any edits.

File formats reverse engineering: Difference between revisions

More actions
← Older editNewer edit →
VisualWikitext
No edit summary
No edit summary
Line 11: Line 11:
Le script python affiche la taille de header pour lequel le PGCD des tailles de corps de fichiers est supérieur à un seuil donné :
Le script python affiche la taille de header pour lequel le PGCD des tailles de corps de fichiers est supérieur à un seuil donné :


#!/usr/bin/env python3<br># -*- coding: utf-8 -*-
# contient les tailles de fichiers<br>_list = [928, 3712, 4704, 11648, 14464, 16448, 20576, 32832, 32896, 38528, 77888, 115296, 143424, 573504, 2293888]
def pgcd(a,b):<br>&nbsp; &nbsp; """pgcd(a,b): calcul du 'Plus Grand Commun Diviseur' entre les 2 nombres entiers a et b"""<br>&nbsp; &nbsp; while b != 0:<br>&nbsp; &nbsp; &nbsp; &nbsp; r= a % b<br>&nbsp; &nbsp; &nbsp; &nbsp; a, b=b, r<br>&nbsp; &nbsp; return a


def pgcd_list(_list, _pgcd = 0):<br>&nbsp; &nbsp; if _pgcd == 0:<br>&nbsp; &nbsp; &nbsp; &nbsp; _pgcd = _list.pop()<br>&nbsp; &nbsp; if len(_list) == 0 or _pgcd == 1:<br>&nbsp; &nbsp; &nbsp; &nbsp; return _pgcd


&nbsp; &nbsp; _pgcd = pgcd(_pgcd, _list.pop())<br>&nbsp; &nbsp; return pgcd_list(_list, _pgcd)


_list.sort()<br>max_header_len = _list[0]<br>header_len = 8<br>while header_len &lt; max_header_len:<br>&nbsp; &nbsp; tmp_list = _list.copy()<br>&nbsp; &nbsp; for i in range(len(tmp_list)):<br>&nbsp; &nbsp; &nbsp; &nbsp; tmp_list[i]-=header_len<br>&nbsp; &nbsp; tmp_pgcd = pgcd_list(tmp_list)<br>&nbsp; &nbsp; if tmp_pgcd &gt; 30 :<br>&nbsp; &nbsp; &nbsp; &nbsp; print("Header_len:"+str(header_len)+" &nbsp;PGCD:"+str(tmp_pgcd))<br>&nbsp; &nbsp; header_len+=1
 
== Outils à tester ==
== Outils à tester ==
https://hexinator.com/
https://hexinator.com/

Revision as of 21:00, 16 November 2021

Reverse de formats

Cette page est destinée aux recherches sur les méthodes de reverse de fichiers de formats et aux essais en cours.

Tailles de fichiers

PGCD

L'utilisation du PGCD de l'ensemble des tailles du format de fichier utilisé permet de voir si le fichier a une taille particulière. Si le PGCD est très grand 0x800 par exemple, ça peut vouloir dire que le header et l'ensemble du fichier est composé de CHUNKs de taille fixe.

PGCD et taille de header variable

L'objectif est de trouver un header de taille 1 fixe et des CHUNKs de taille 2 fixe :

|---- HEADER ----|------------ CHUNK 1 ------------|------------ CHUNK 2 ------------|------------ CHUNK N ------------|

Le script python affiche la taille de header pour lequel le PGCD des tailles de corps de fichiers est supérieur à un seuil donné :



Outils à tester

https://hexinator.com/

tester l'entropie avec binwalk (1. dans doku)

Doku

1. https://archive.fosdem.org/2021/schedule/event/reverse_engineering/attachments/slides/4518/export/events/attachments/reverse_engineering/slides/4518/Reverse_Engineering_of_binary_File_Formats.pdf

https://en.wikibooks.org/wiki/Reverse_Engineering/File_Formats

Retrieved from "https://wiki.re.virtualworld.fr/index.php?title=File_formats_reverse_engineering&oldid=217"
Last modified
This page was last edited on 16 November 2021, at 21:00.
View count
This page has been accessed 5,852 times.