ffind
分析固件並提取檔案系統
安全研究人員需要識別檔案類型並從固件映像中提取嵌入的檔案系統。此技能提供使用 ffind 分析二進制檔案、偵測檔案類型以及提取 ext2/3/4 或 F2FS 檔案系統的命令和指導。
下载技能 ZIP
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
开启并开始使用
测试它
正在使用“ffind”。 分析 /tmp/firmware.bin 中的固件檔案並提取任何嵌入的檔案系統
预期结果:
- 發現 3 個嵌入的檔案系統:
- • ext4 檔案系統在偏移量 0x10000 (大小:2.1 MB)
- • ext3 檔案系統在偏移量 0x240000 (大小:512 KB)
- • F2FS 檔案系統在偏移量 0x280000 (大小:1.5 MB)
- 提取完成。檔案已提取到:/tmp/ffind_20250110_143022/
正在使用“ffind”。 這個二進制檔案中有什麼檔案類型?
预期结果:
- 分析結果:
- - 偵測到 15 個 ELF 可執行檔
- - 3 個 SquashFS 檔案系統片段
- - 2 個 gzip 壓縮檔案
- - 1 個 JFFS2 檔案系統在偏移量 0x50000
- 使用 -a 標誌查看所有檔案類型,包括常見格式
正在使用“ffind”。 以 JSON 格式顯示所有偵測到的檔案類型
预期结果:
- {
- "file": "/firmware/image.bin",
- "filesystems": [
- {"type": "ext4", "offset": "0x10000", "size": "2.1MB"},
- {"type": "F2FS", "offset": "0x280000", "size": "1.5MB"}
- ],
- "total_filesystems": 2,
- "artifacts_found": 24
- }
安全审计
安全This is a documentation-only skill containing markdown instructions for the external ffind CLI tool. No executable code, network calls, or file system operations exist within the skill itself. All 41 static findings are false positives triggered by documentation patterns: sudo mentions document tool requirements, backticks are markdown code formatting, filesystem type identifiers (ext2/3/4) were misidentified as cryptographic algorithms, and temp directory references are documentation of tool behavior.
风险因素
⚙️ 外部命令 (25)
🌐 网络访问 (1)
质量评分
你能构建什么
從 IoT 固件中提取檔案系統
從 IoT 設備固件中提取嵌入的檔案系統,用於漏洞研究和逆向工程
分析固件組成
在提取或修改之前,識別固件二進制檔案中的檔案類型和結構
調查受感染的設備
檢查來自受感染設備的固件映像,以了解攻擊面和惡意軟體存在情況
试试这些提示
使用 ffind 分析位於 /path/to/firmware.bin 的固件映像。顯示嵌入的檔案類型並總結發現。
使用 sudo 啟用提取模式運行 ffind,從 /path/to/firmware.bin 中提取所有嵌入的檔案系統。輸出到 /tmp/analysis。
分析多個固件檔案 (file1.bin、file2.bin、file3.bin) 並顯示每個檔案中發現的所有檔案類型。以 JSON 格式輸出以便輕鬆解析。
對 /firmware/device.bin 的固件進行詳細分析,提取所有檔案系統,並儲存到 /results/extracted。顯示所有偵測到的檔案類型,包括常見格式。
最佳实践
- 始終使用專用的分析目錄,以防止意外覆蓋系統檔案
- 僅在必要時且在非生產環境中使用 sudo 運行提取
- 在分析開始之前記錄固件版本和來源設備
避免
- 在未先分析檔案結構的情況下運行提取
- 提取到 /home 或 /var 等系統目錄時未指定自訂輸出路徑
- 假設不使用 -a 標誌進行全面掃描就能偵測到所有檔案類型