ffind

Ffind to narzędzie do głębokie analizy firmware'u i urządzeń IoT. Automatycznie identyfikuje typy plików w obrazach firmware'u, wykrywa osadzone systemy plików (ext2/3/4, F2FS) i ekstrahuje je do osobnego katalogu. Przydatne dla badaczy bezpieczeństwa, inżynierów reverse-engineeringu i analityków firmware'u, którzy muszą szybko zrozumieć strukturę wewnętrzną urządzeń. Obsługuje wiele formatów wyjścia: czytelny tekst, JSON do automatyzacji, oraz tryb cichy dla skryptów.

1. Upewnij się, że masz zainstalowane wymagane narzędzia systemowe: e2fsprogs (do obsługi ext2/3/4) i f2fs-tools (do obsługi F2FS). Na systemach Linux zainstaluj je za pomocą menadżera pakietów dystrybucji.

2. Przygotuj ścieżkę do pliku lub katalogu firmware'u, który chcesz analizować. Może to być obraz binarny, plik spakowany lub katalog zawierający rozpakowany firmware.

3. Aby przeanalizować plik i zobaczyć wykryte typy plików, uruchom ffind z ścieżką: ffind /ścieżka/do/firmware.bin. Narzędzie wyświetli kolorowe podsumowanie znalezionych typów plików w formacie tekstowym.

4. Jeśli chcesz ekstrahować osadzone systemy plików, dodaj flagę -e i uruchom z uprawnieniami sudo: sudo ffind /ścieżka/do/firmware.bin -e. Ekstrahowane systemy plików będą domyślnie umieszczone w /tmp/ffind_<timestamp>.

5. Aby zmienić katalog docelowy ekstrakcji, użyj flagi -d: sudo ffind /ścieżka/do/firmware.bin -e -d /twoja/ścieżka/wyjścia. Jeśli chcesz zobaczyć wszystkie typy plików (nie tylko artefakty), dodaj flagę -a.

6. Dla zautomatyzowanych procesów użyj --format json zamiast domyślnego formatu tekstowego, aby otrzymać strukturyzowane dane gotowe do przetworzenia przez skrypty.