एंबेडेड initramfs निकालें

9

मेरे पास एक कर्नेल है जिसमें एक initramfs एम्बेडेड है। मैं इसे निकालना चाहता हूं।

x86 boot sectorजब मैं करता हूं तो मुझे आउटपुट मिला हैfile bzImage

इस कर्नेल छवि के लिए मेरे पास System.map फ़ाइल है।

क्या इस कर्नेल से एम्बेडेड initramfs छवि को निकालने के लिए कोई तरीका है या System.map फ़ाइल की मदद के बिना ?

सिस्टम मैप फ़ाइल में पाया जाने वाला दिलचस्प स्ट्रिंग है: (बस अगर यह मदद करता है)

57312:c17fd8cc T __initramfs_start
57316:c19d7b90 T __initramfs_size
linux  kernel  initramfs 
SHW
स्रोत

जवाबों:

14

Gentoo wiki में इसके बारे में कुछ जानकारी है: https://wiki.gentoo.org/wiki/Custom_Initramfs#Salvaging

यह अनुशंसा binwalkकरता है कि किसके उपयोग से बहुत अच्छा काम होता है।

मैं एक उदाहरण के साथ एक त्वरित चलना दूंगा:

पहले बिनवॉक के साथ bzImage फ़ाइल निकालें:

> binwalk --extract bzImage
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             Microsoft executable, portable (PE)
18356         0x47B4          xz compressed data
9772088       0x951C38        xz compressed data

मैं तीन फाइलों के साथ समाप्त हो गया: 47B4, 47B4.xzऔर951C38.xz

> file 47B4
47B4: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=aa47c6853b19e9242401db60d6ce12fe84814020, stripped

अब बिनवॉक को फिर से चलाने दें 47B4:

> binwalk --extract 47B4
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             ELF, 64-bit LSB executable, AMD x86-64, version 1 (SYSV)
9818304       0x95D0C0        Linux kernel version "4.4.6-gentoo (root@host) (gcc version 4.9.3 (Gentoo Hardened 4.9.3 p1.5, pie-0.6.4) ) #1 SMP Tue Apr 12 14:55:10 CEST 2016"
9977288       0x983DC8        gzip compressed data, maximum compression, from Unix, NULL date (1970-01-01 00:00:00)
<snip>

यह पाया पथ और कई संभावित दिलचस्प फ़ाइलों की लंबी सूची के साथ वापस आ गया। चलो देखते हैं।

> file _47B4.extracted/*
<snip>
_47B4.extracted/E9B348:     ASCII cpio archive (SVR4 with no CRC)

फ़ाइल E9B348एक (पहले से ही विघटित) cpio संग्रह है, बस हम जो खोज रहे हैं! बिंगो!

अपने वर्तमान निर्देशिका में असम्पीडित cpio संग्रह (अपने initramfs!) को अनपैक करने के लिए बस चलाएँ

> cpio -i < E9B348

यह लगभग बहुत आसान था। binwalkबिल्कुल वह उपकरण है जिसकी आपको तलाश है। संदर्भ के लिए, मैं यहाँ v2.1.1 का उपयोग कर रहा था।

freaker
स्रोत
बिंगो !!! आप इसे किसी न किसी !
SHW
2

जहाँ तक मुझे पता है, initramfs cpio आर्काइव सिर्फ कर्नेल में जुड़ा हुआ है।

इसलिए, यह काम करना चाहिए:

  1. और के ddबीच की सीमा को निकालने के लिए उपयोग करेंc17fd8ccc19d7b90
  2. CPIO अनपैकर का उपयोग करके परिणामी डेटा ny को अनपैक करें।
MULTISYNC
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.