Firmware analysieren und extrahieren
Öffnen Sie die Firmware. Finden Sie die Struktur. Extrahieren Sie die Beweise. Binwalk identifiziert und extrahiert Dateien, Dateisysteme, komprimierte Datenströme, ausführbare Dateien, Bootloader, Kernel und andere in Firmware und Binärabbildern eingebettete Daten – entwickelt für die Firmware-Sicherheitsforschung, das Reverse Engineering und die digitale Forensik.
Kostenlos & Open Source · Binwalk 3.1.0 · Linux, macOS & Windows (WSL/Docker) · Installationsoptionen
Was ist Binwalk?
Ein Firmware-Abbild enthält selten nur eine einzige Datei. Es kann Schichten komprimierter Daten, proprietäre Header, Betriebssystemkomponenten, Boot-Code, Zertifikate, ausführbare Dateien, Konfigurationsdateien und vollständige Dateisysteme enthalten – und jedes davon von Hand zu lokalisieren ist langsam und fehleranfällig.
Binwalk automatisiert die erste Phase der Analyse: Es durchsucht Binärdaten nach bekannten Strukturen, validiert die erkannten Objekte und zeigt, wo jede erkannte Komponente beginnt. Ursprünglich von Craig Heffner bei ReFirm Labs entwickelt, hat Binwalk v3 die Engine in Rust neu aufgebaut – für Geschwindigkeit, strukturelle Validierung und niedrigere Fehlalarmraten. Es ist Open Source unter der MIT-Lizenz und funktioniert als Kommandozeilen-Tool oder als Rust-Bibliothek.
So funktioniert Binwalk
Sechs Befehle decken den Großteil der Firmware-Analyse ab – scannen, extrahieren, rekursiv entpacken, Entropie messen, protokollieren und ansehen.
Scannen und identifizieren
$ binwalk firmware.binBilden Sie die interne Struktur eines Abbilds ab: Binwalk meldet erkannte Objekte nach dezimalem und hexadezimalem Offset – mit Größe, Formatdetails, Kompressionsparametern, Architektur, Dateisystem-Metadaten und einem Konfidenzwert für jeden Fund.
Eingebettete Inhalte extrahieren
$ binwalk -e firmware.binHolen Sie erkannte Dateien, Archive, komprimierte Datenströme und Dateisysteme mit den integrierten Extraktoren oder unterstützten externen Werkzeugen heraus – ganz ohne manuelle Offset-Berechnung oder File Carving.
Verschachtelte Firmware entpacken
$ binwalk -Me firmware.binAnalysieren Sie neu extrahierte Dateien rekursiv, um Archive in Dateisystemen, komprimierte Daten in Partitionen und die tieferen Schichten von Update-Paketen und mehrschichtiger Firmware aufzudecken.
Unbekannte Bereiche lokalisieren
$ binwalk --entropy firmware.binErzeugen Sie ein Entropie-Diagramm, um Übergänge zwischen strukturierten Daten und Bereichen mit hoher Entropie zu erkennen – die Kompression, Verschlüsselung oder das Padding, die sich allein durch Signaturen nicht erklären lassen.
Strukturierte Ergebnisse speichern
$ binwalk --log=results.json firmware.binExportieren Sie Signatur- und Entropie-Ergebnisse als JSON für Automatisierung, Reporting, Indexierung, Vergleich oder die Übergabe an andere Analysewerkzeuge.
Unterstützte Signaturen ansehen
$ binwalk --listListen Sie die in der installierten Version verfügbaren Signaturen, ihre internen Namen und das jeweils mit dem Format verknüpfte Extraktionswerkzeug auf.
Warum Binwalk
Eigene Rust-Parser, konfidenzbewusste Ergebnisse und automatisierungsbereite Ausgabe – damit ein Scan ein verlässlicher Ausgangspunkt ist und kein Haufen von Vermutungen.
Validierung über Magic Bytes hinaus
Binwalk v3 nutzt eigene Rust-Parser, um eine Struktur zu bestätigen, die Größe eines eingebetteten Objekts zu berechnen und zu entscheiden, wo das Scannen fortgesetzt wird – deutlich weniger Fehlalarme als ein reiner Abgleich von Byte-Signaturen.
Konfidenz bei jedem Ergebnis
Jede Erkennung wird als hoch (Metadaten und Daten validiert), mittel (sinnvolle Metadaten-Prüfungen bestanden) oder niedrig (nur kennzeichnende Bytes) eingestuft – so lassen sich verlässliche Funde leicht von solchen trennen, die eine manuelle Prüfung erfordern.
Entropie-Analyse
Visualisieren Sie die Zufälligkeit der Daten, um zu erkennen, wo eine komprimierte Partition beginnt und endet, ob ein Abbild mehrere Bereiche enthält und welche unerklärten Abschnitte verschlüsselt, aufgefüllt oder unbekannt sein könnten.
Gezielte Scans
Große Abbilder enthalten Tausende von Objekten. Schließen Sie störende Medien aus, beschränken Sie sich auf ausgewählte Signaturen oder durchsuchen Sie jeden Offset für einen vollständigen Durchlauf – damit die Ergebnisse bei zeitkritischer Arbeit lesbar bleiben.
Für Automatisierung gebaut
Die JSON-Ausgabe speist Skripte, CI-Pipelines und Forensik-Plattformen. Die Rust-Bibliothek von Binwalk lässt sich direkt in Anwendungen integrieren, wenn die Ausführung über die Kommandozeile und das Parsen von JSON nicht ausreichen.
Vollständig lokale Analyse
Alles läuft in Ihrer eigenen Umgebung – sensible Produktabbilder, unveröffentlichte Builds und forensische Beweismittel müssen niemals hochgeladen werden. Bei nicht vertrauenswürdigen Proben arbeiten Sie in einer VM oder einem Container.
Unterstützte Formate
Mehr als 100 Datei- und Datensignaturen über Firmware-, Betriebssystem-, Archiv-, Dateisystem-, ausführbare und sicherheitsbezogene Formate hinweg.
Firmware- & Boot-Formate
Dateisysteme & Datenträgerstrukturen
Kompression & Archive
Ausführbare Dateien & System
Sicherheit & Kryptografie
Verfügbare Formate und Extraktionsfähigkeiten variieren je nach Binwalk-Version und den auf dem System installierten externen Werkzeugen.
Wer Binwalk nutzt
Von der Sicherheitsforschung bis zur Embedded-Entwicklung – überall dort, wo Firmware und Binärdaten geöffnet werden müssen.
Firmware- & IoT-Sicherheitsforschung
Bilden Sie Update-Pakete ab, stellen Sie eingebettete Dateisysteme wieder her, inspizieren Sie Startskripte, lokalisieren Sie Konfigurationsdateien und bereiten Sie Firmware für die Schwachstellenanalyse vor.
Produktsicherheit & PSIRT-Teams
Sichten Sie Firmware aus Routern, Kameras, Industriegeräten, Haushaltsgeräten, Automotive-Systemen und vernetzten Produkten, bevor eine tiefere statische Analyse oder Emulation erfolgt.
Reverse Engineering
Zerlegen Sie proprietäre Container in kleinere Komponenten, identifizieren Sie interne Grenzen, lokalisieren Sie ausführbaren Code und reduzieren Sie die Menge unbekannter Daten, die manuell geprüft werden muss.
Digitale Forensik & Incident Response
Extrahieren Sie Artefakte aus Geräteabbildern, identifizieren Sie eingebettete Payloads und exportieren Sie strukturierte Ergebnisse für wiederholbare forensische Abläufe.
Embedded-Entwicklung
Inspizieren Sie Release-Abbilder, prüfen Sie erwartete Komponenten, vergleichen Sie Firmware-Layouts und integrieren Sie Binäranalyse in Ihre Entwicklungs- oder Qualitätssicherungswerkzeuge.
Hardware-Hacking & Schulung
Gelangen Sie schnell von einem erfassten Flash-Abbild oder einer Hersteller-Update-Datei zu einem extrahierten Root-Dateisystem, Kernel, Bootloader und gerätespezifischer Konfiguration.
Binwalk installieren
64-Bit-Linux (Cargo)
Linux ist die offiziell unterstützte Plattform für Binwalk v3, wobei Ubuntu-basierte Distributionen die berechenbarste Einrichtung bieten. Einige Dateisysteme und Archivformate benötigen zusätzliche externe Werkzeuge.
$ cargo install binwalkmacOS & Linux (Homebrew)
Homebrew bietet eine paketierte Installation für unterstützte macOS- und Linux-Umgebungen.
$ brew install binwalkDocker
Docker bietet eine reproduzierbare Umgebung mit kontrollierten Abhängigkeiten, die sich gut für eine isolierte Firmware-Analyse eignet.
$ sudo docker run -t -v "$PWD":/analysis binwalkv3 -Me firmware.binWindows (WSL oder Docker)
Für den berechenbarsten Windows-Workflow führen Sie Binwalk in WSL oder Docker aus. Native Windows-Builds lassen sich möglicherweise kompilieren, doch Tests und Support seitens des Projekts bleiben begrenzt.
$ wsl -- cargo install binwalkDen Binwalk-Quellcode beziehen
Laden Sie das Quellarchiv von Binwalk 3.1.0 herunter, um aus dem Quellcode zu kompilieren, die Implementierung zu inspizieren, Signaturen und Parser beizutragen oder die Rust-Bibliothek in Ihr eigenes Projekt zu integrieren. Die Analyse bleibt lokal – behandeln Sie extrahierten Code als nicht vertrauenswürdig und halten Sie unbekannte Proben isoliert.
Quellarchiv (.zip) · Binwalk 3.1.0 · MIT-Lizenz
Häufig gestellte Fragen
Beginnen Sie beim Binärabbild. Kommen Sie schneller zu den Beweisen.
Bilden Sie das Firmware-Abbild ab, extrahieren Sie seine internen Komponenten und identifizieren Sie unerklärte Bereiche – Open Source, MIT-lizenziert und vollständig auf Ihrem eigenen Rechner analysiert.