Binwalk hace un buen trabajo analizando posibles firmas de archivos y filtrando falsos positivos obvios, pero no es perfecto. Algunas firmas son más difíciles de validar que otras y binwalk siempre va a pecar de cauteloso, es decir, informará antes de un posible falso positivo para que pueda validarlo o invalidarlo de forma independiente, en lugar de no informar de un resultado cuestionablemente válido.
Como utilizar binwalk
Escaneo de firmware
La característica principal, y la más popular, de binwalk es su escaneo exclusivo. Binwalk puede escanear una imagen de firmware para diferentes tipos de archivos y sistemas de archivos, solo hay que pasarle una lista de archivos para escanear:
$ binwalk firmware.bin
Extracción de archivos.
Permite extraer los archivos que se encuentran en la imagen de firmware con la opción “-e”:
$ binwalk -e firmware.bin
Binwalk incluso escaneará archivos recursivamente a medida que los extrae si también especifica la opción “-M”:
$ binwalk -Me firmware.bin
Y si se especifica la opción “-r”, cualquier firma de archivo que no se haya podido extraer o que haya resultado en archivos de tamaño 0, se eliminará automáticamente:
$ binwalk -Mre firmware.bin
Para extraer un tipo de firma específico, especifique una o más opciones de archivos a extraer con el modificador “-D”:
$ binwalk -D ‘ png image: png ‘ firmware.bin
Análisis de entropía
Cuando el análisis de binwalk no reporta nada porque no coincide nada sospechoso las firmas, existe una opción para que analice el código y identifique posibles códigos maliciosos, gracias al análisis de entropía. El análisis de entropía puede ayudar a identificar secciones interesantes de datos dentro de una imagen de firmware:
$ binwalk -E firmware.bin
Fuente: segu-info.com.ar
