Digitalna forenzika srednje

Binwalk

1️⃣ Šta je Binwalk?

Binwalk je alat za analizu binarnih fajlova — skenira fajl i pronalazi potpise poznatih formata skrivenih unutar njega. Najčešće se koristi u firmware analizi i digitalnoj forenzici.

U prethodnoj lekciji smo naučili kako file komanda otkriva pravi tip fajla. Binwalk ide korak dalje — pronalazi više fajlova sakrivenih jedan unutar drugog.

Realna primena

  • ✔ analiza firmware-a rutera, kamera i IoT uređaja — pronalaženje fajl sistema, konfiguracija i lozinki
  • ✔ otkrivanje malvera sakrivenog unutar legitimnog fajla
  • ✔ forenzička analiza — izvlačenje skrivenih fajlova sa kompromitovanog uređaja
  • ✔ CTF zadaci — slike i fajlovi koji kriju ZIP arhive, izvršne fajlove ili flagove

2️⃣ Instalacija

Kali Linux / Debian

sudo apt install binwalk

Provera instalacije

binwalk --help

3️⃣ Osnovno skeniranje

Binwalk skenira fajl i ispisuje sve prepoznate potpise sa njihovim offsetom (pozicijom u fajlu).

binwalk slika.jpg

Primer ispisa kada fajl krije ZIP arhivu:

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             JPEG image data, JFIF standard 1.01
142832        0x22EB0         Zip archive data, at least v2.0 to extract
143102        0x22FBE         Zip archive data, at least v2.0 to extract
143362        0x230C2         End of Zip archive, footer length: 22

Vidimo da fajl počinje kao JPG (offset 0), ali na offsetu 142832 počinje ZIP arhiva.

4️⃣ Ekstrakcija skrivenih fajlova

Samo skeniranje ne izvlači fajlove — za ekstrakciju koristimo -e flag:

binwalk -e slika.jpg

Binwalk kreira folder _slika.jpg.extracted/ i unutra stavlja sve pronađene fajlove.

Rekurzivna ekstrakcija

Ako ekstrahovani fajlovi i sami sadrže skrivene fajlove:

binwalk -eM slika.jpg

-M flag rekurzivno skenira i izvlači sve nivoe.

5️⃣ Realna primena — analiza firmware-a 🔧

Firmware je softver ugrađen u hardverske uređaje — rutere, IP kamere, pametne uređaje. Proizvođači ga distribuiraju kao jedan binarni fajl, ali unutra se kriju:

  • Linux fajl sistem (SquashFS, JFFS2)
  • konfiguracije i skripte
  • ponekad hardkodovane lozinke i privatni ključevi
# Preuzmi firmware sa sajta proizvođača i analiziraj ga
binwalk -e firmware.bin

Istraživači sajber bezbednosti ovako pronalaze ranjivosti u uređajima pre nego što ih napadači iskoriste.

📝 Provera znanja

Pokrenuo si binwalk na fajlu dokument.pdf i dobio sledeći ispis:

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             PDF document, version 1.4
89432         0x15D98         Zip archive data, at least v2.0 to extract
89700         0x15EA4         End of Zip archive, footer length: 22

Koji komandu ćeš koristiti kako bi izvukao skriveni sadržaj iz fajla dokument.pdf?

Pomoć > Pogledaj sekciju **Ekstrakcija skrivenih fajlova**.

📝 Provera Znanja

Unesite svoj odgovor ispod da biste proverili da li ste razumeli lekciju:


← Prethodna Lekcija 📚 Sve Lekcije Sledeća Lekcija →