介绍

binwalk是一种用于分析和提取嵌入式设备固件中的文件和文件系统的工具。它可以扫描二进制文件，识别其中的各种类型的文件，例如压缩文件、图像、音频等，并提供有关它们的详细信息。此外，binwalk还可以提取这些文件，以便进一步分析和处理。binwalk在安全领域中被广泛用于固件分析、漏洞研究和逆向工程等任务。

例如上图输出，是binwalk分析一个jpg，发现其藏有

jpeg，JFIF 1.01标准，TIFF图像数据，大端字节。第一个映像目录偏移量:8；

Zip存档数据，至少v2.0提取，压缩大小:729，未压缩大小:8206，名字1.txt。

（常用）使用参数

原文

累了，会个binwalk filename和binwalk -e filename够用了。

binwalk --help / binwalk -h # 显示binwalk帮助

-M递归扫描 -y filesystem只扫描文件系统 -y选中 -x filesystem 不扫描文件系统 -x过滤

-a，-finclude = <str> 仅扫描名称与给定正则表达式字符串匹配的文件

-p，--fexclude = <str> 不扫描名称与给定正则表达式字符串匹配的文件

-e选项：文件提取，binwalk提取其在固件映像中找到的所有文件

不太喜欢，怎么比foremost少提取个jpg，1.txt还重复提取两次。 

附加-a，-finclude = <str>
仅扫描名称与给定正则表达式字符串匹配的文件。
binwalk -M -e -a = ’ \ .bin $ ’ firmware.bin
​
附加-C，--directory = <str>选项
设置提取数据的输出目录（默认：当前工作目录）
binwalk -e --directory = /tmp firmware.bin
​
附加-r选项
清理大小为零的文件以及提取过程中提取实用程序无法处理的文件
​
附加-d n
递归解压深度为n
​
附加-f，-log = <文件>
将扫描结果记录到指定文件。
binwalk --log = binwalk.log firmware.bin

提取特定的类型

-D选项-D, --dd=<type[:ext[:cmd]]>
​
    type是签名描述中包含的小写字符串（支持正则表达式）
    ext是保存数据磁盘时使用的文件扩展名（默认为none）
    cmd是在将数据保存到磁盘后执行的可选命令

binwalk -D 'zip archive:zip:unzip %e' -D 'png image:png' firmware.bin

该选项将提取包含字符串“zip archive”,文件扩展名为“zip”的文件，然后执行“unzip”命令。
此外，PNG图像按原样提取，带有’png’文件扩展名。
请注意使用’％e’占位符。执行unzip命令时，此占位符将替换为解压缩文件的相对路径