这三个实验是三个小坑,看看就行了
Peach的 Peach Pit 包涵5个模块:
GeneralConf、DataModel、StateModel、Agents and Monitors、Test and Run Configuration
Chunk的DataModel定义如下:
下载pngcheck 发现只有win32版本的,今天时间太晚,回去。明天继续
下载的pngcheck闪退,所以用Peach Fuzz PNG文件做不了,做下一节
010脚本,复杂文件解析的瑞海军刀:
此处可以看到对exe文件格式的简单解析
2.1 010脚本编写入门
声明的变量对应文件相应字节,若不度需要对应,使用local
local int i, total = 0; //未映射到文件中,不会在解析结果中显示 int recordCounts[5]; for(i=0 ;i<5;i++) total += recordCounts[i];
编写解析png文件,总是卡在这个错误上
并且网上没有一个靠谱的资料解决这个问题
常用的模板库(*.bt)用于识别文件类型http://www.sweetscape.com/010editor/repository/templates/
其他:
Drive.bt 解析mbr fat16 fat43 hfs ntfs等
elf.bt 解析Linux elf格式的文件
exe.bt 解析windows pe x86/x64 格式文件(dll sys exe ...)
macho.bt 解析mac os可执行文件
registrayhive.bt 解析注册表(Hive)文件
bson.bt 解析二进制json
常用的脚本库(*.1sc)用于操作数据http://www.sweetscape.com/010editor/repository/scripts/
基本流程知道了,一直读不出pngid,以后需要解析的话直接去模板库找吧。下一节
修改9-12字节的内容并保存
在虚拟机中打开,未出现同样的实验结果。
排查发现虚拟机中GdiPlus.dll版本为5.2.6002.22791。下一节
3 深入解析,深入挖掘--PPT文件解析
office系列软件分为两个系列:
Office97~Office2003:基于二进制的文件格式,后缀为doc,ppt,xls等
Office2003及更高的版本:基于XML的文件格式,后缀为docx,pptx,xlsx等
这三个实验是三个小坑,看看就行了