Binwalk

Firmware analysieren und extrahieren

Öffnen Sie die Firmware. Finden Sie die Struktur. Extrahieren Sie die Beweise. Binwalk identifiziert und extrahiert Dateien, Dateisysteme, komprimierte Datenströme, ausführbare Dateien, Bootloader, Kernel und andere in Firmware und Binärabbildern eingebettete Daten – entwickelt für die Firmware-Sicherheitsforschung, das Reverse Engineering und die digitale Forensik.

Binwalk herunterladenAuf GitHub ansehen

Kostenlos & Open Source · Binwalk 3.1.0 · Linux, macOS & Windows (WSL/Docker) · Installationsoptionen

Animierte Terminal-Aufzeichnung, die zeigt, wie Binwalk ein Firmware-Abbild scannt und extrahiert

Was ist Binwalk?

Ein Firmware-Abbild enthält selten nur eine einzige Datei. Es kann Schichten komprimierter Daten, proprietäre Header, Betriebssystemkomponenten, Boot-Code, Zertifikate, ausführbare Dateien, Konfigurationsdateien und vollständige Dateisysteme enthalten – und jedes davon von Hand zu lokalisieren ist langsam und fehleranfällig.

Binwalk automatisiert die erste Phase der Analyse: Es durchsucht Binärdaten nach bekannten Strukturen, validiert die erkannten Objekte und zeigt, wo jede erkannte Komponente beginnt. Ursprünglich von Craig Heffner bei ReFirm Labs entwickelt, hat Binwalk v3 die Engine in Rust neu aufgebaut – für Geschwindigkeit, strukturelle Validierung und niedrigere Fehlalarmraten. Es ist Open Source unter der MIT-Lizenz und funktioniert als Kommandozeilen-Tool oder als Rust-Bibliothek.

So funktioniert Binwalk

Sechs Befehle decken den Großteil der Firmware-Analyse ab – scannen, extrahieren, rekursiv entpacken, Entropie messen, protokollieren und ansehen.

1

Scannen und identifizieren

$ binwalk firmware.bin

Bilden Sie die interne Struktur eines Abbilds ab: Binwalk meldet erkannte Objekte nach dezimalem und hexadezimalem Offset – mit Größe, Formatdetails, Kompressionsparametern, Architektur, Dateisystem-Metadaten und einem Konfidenzwert für jeden Fund.

2

Eingebettete Inhalte extrahieren

$ binwalk -e firmware.bin

Holen Sie erkannte Dateien, Archive, komprimierte Datenströme und Dateisysteme mit den integrierten Extraktoren oder unterstützten externen Werkzeugen heraus – ganz ohne manuelle Offset-Berechnung oder File Carving.

3

Verschachtelte Firmware entpacken

$ binwalk -Me firmware.bin

Analysieren Sie neu extrahierte Dateien rekursiv, um Archive in Dateisystemen, komprimierte Daten in Partitionen und die tieferen Schichten von Update-Paketen und mehrschichtiger Firmware aufzudecken.

4

Unbekannte Bereiche lokalisieren

$ binwalk --entropy firmware.bin

Erzeugen Sie ein Entropie-Diagramm, um Übergänge zwischen strukturierten Daten und Bereichen mit hoher Entropie zu erkennen – die Kompression, Verschlüsselung oder das Padding, die sich allein durch Signaturen nicht erklären lassen.

5

Strukturierte Ergebnisse speichern

$ binwalk --log=results.json firmware.bin

Exportieren Sie Signatur- und Entropie-Ergebnisse als JSON für Automatisierung, Reporting, Indexierung, Vergleich oder die Übergabe an andere Analysewerkzeuge.

6

Unterstützte Signaturen ansehen

$ binwalk --list

Listen Sie die in der installierten Version verfügbaren Signaturen, ihre internen Namen und das jeweils mit dem Format verknüpfte Extraktionswerkzeug auf.

Warum Binwalk

Eigene Rust-Parser, konfidenzbewusste Ergebnisse und automatisierungsbereite Ausgabe – damit ein Scan ein verlässlicher Ausgangspunkt ist und kein Haufen von Vermutungen.

Validierung über Magic Bytes hinaus

Binwalk v3 nutzt eigene Rust-Parser, um eine Struktur zu bestätigen, die Größe eines eingebetteten Objekts zu berechnen und zu entscheiden, wo das Scannen fortgesetzt wird – deutlich weniger Fehlalarme als ein reiner Abgleich von Byte-Signaturen.

Konfidenz bei jedem Ergebnis

Jede Erkennung wird als hoch (Metadaten und Daten validiert), mittel (sinnvolle Metadaten-Prüfungen bestanden) oder niedrig (nur kennzeichnende Bytes) eingestuft – so lassen sich verlässliche Funde leicht von solchen trennen, die eine manuelle Prüfung erfordern.

Entropie-Analyse

Visualisieren Sie die Zufälligkeit der Daten, um zu erkennen, wo eine komprimierte Partition beginnt und endet, ob ein Abbild mehrere Bereiche enthält und welche unerklärten Abschnitte verschlüsselt, aufgefüllt oder unbekannt sein könnten.

Gezielte Scans

Große Abbilder enthalten Tausende von Objekten. Schließen Sie störende Medien aus, beschränken Sie sich auf ausgewählte Signaturen oder durchsuchen Sie jeden Offset für einen vollständigen Durchlauf – damit die Ergebnisse bei zeitkritischer Arbeit lesbar bleiben.

Für Automatisierung gebaut

Die JSON-Ausgabe speist Skripte, CI-Pipelines und Forensik-Plattformen. Die Rust-Bibliothek von Binwalk lässt sich direkt in Anwendungen integrieren, wenn die Ausführung über die Kommandozeile und das Parsen von JSON nicht ausreichen.

Vollständig lokale Analyse

Alles läuft in Ihrer eigenen Umgebung – sensible Produktabbilder, unveröffentlichte Builds und forensische Beweismittel müssen niemals hochgeladen werden. Bei nicht vertrauenswürdigen Proben arbeiten Sie in einer VM oder einem Container.

Unterstützte Formate

Mehr als 100 Datei- und Datensignaturen über Firmware-, Betriebssystem-, Archiv-, Dateisystem-, ausführbare und sicherheitsbezogene Formate hinweg.

Firmware- & Boot-Formate

TRXuImageAndroid bootAndroid sparseUEFI capsuleUEFI volumeDevice tree (DTB)CFE bootloaderMatter OTAD-Link / TP-Link / Dahua

Dateisysteme & Datenträgerstrukturen

SquashFSJFFS2UBIUBIFSEXTFATNTFSAPFSBTRFSCramFSRomFSYAFFSISO9660MBRGPT/EFI

Kompression & Archive

gzipLZMAXZZIP7-Zipbzip2LZ4LZFSELZOZstandardRARCPIOTARCABARJ

Ausführbare Dateien & System

ELFWindows PELinux kernelARM / ARM64 bootWindows CEVxWorksQNXQEMU disk image

Sicherheit & Kryptografie

PEM-ZertifikateÖffentliche / private SchlüsselLUKS-HeaderOpenSSL-verschlüsseltAES-TabellenRSA-SitzungsschlüsselHash-KonstantenSignierte Dateien

Verfügbare Formate und Extraktionsfähigkeiten variieren je nach Binwalk-Version und den auf dem System installierten externen Werkzeugen.

Wer Binwalk nutzt

Von der Sicherheitsforschung bis zur Embedded-Entwicklung – überall dort, wo Firmware und Binärdaten geöffnet werden müssen.

Firmware- & IoT-Sicherheitsforschung

Bilden Sie Update-Pakete ab, stellen Sie eingebettete Dateisysteme wieder her, inspizieren Sie Startskripte, lokalisieren Sie Konfigurationsdateien und bereiten Sie Firmware für die Schwachstellenanalyse vor.

Produktsicherheit & PSIRT-Teams

Sichten Sie Firmware aus Routern, Kameras, Industriegeräten, Haushaltsgeräten, Automotive-Systemen und vernetzten Produkten, bevor eine tiefere statische Analyse oder Emulation erfolgt.

Reverse Engineering

Zerlegen Sie proprietäre Container in kleinere Komponenten, identifizieren Sie interne Grenzen, lokalisieren Sie ausführbaren Code und reduzieren Sie die Menge unbekannter Daten, die manuell geprüft werden muss.

Digitale Forensik & Incident Response

Extrahieren Sie Artefakte aus Geräteabbildern, identifizieren Sie eingebettete Payloads und exportieren Sie strukturierte Ergebnisse für wiederholbare forensische Abläufe.

Embedded-Entwicklung

Inspizieren Sie Release-Abbilder, prüfen Sie erwartete Komponenten, vergleichen Sie Firmware-Layouts und integrieren Sie Binäranalyse in Ihre Entwicklungs- oder Qualitätssicherungswerkzeuge.

Hardware-Hacking & Schulung

Gelangen Sie schnell von einem erfassten Flash-Abbild oder einer Hersteller-Update-Datei zu einem extrahierten Root-Dateisystem, Kernel, Bootloader und gerätespezifischer Konfiguration.

Binwalk installieren

64-Bit-Linux (Cargo)

Linux ist die offiziell unterstützte Plattform für Binwalk v3, wobei Ubuntu-basierte Distributionen die berechenbarste Einrichtung bieten. Einige Dateisysteme und Archivformate benötigen zusätzliche externe Werkzeuge.

$ cargo install binwalk

macOS & Linux (Homebrew)

Homebrew bietet eine paketierte Installation für unterstützte macOS- und Linux-Umgebungen.

$ brew install binwalk

Docker

Docker bietet eine reproduzierbare Umgebung mit kontrollierten Abhängigkeiten, die sich gut für eine isolierte Firmware-Analyse eignet.

$ sudo docker run -t -v "$PWD":/analysis binwalkv3 -Me firmware.bin

Windows (WSL oder Docker)

Für den berechenbarsten Windows-Workflow führen Sie Binwalk in WSL oder Docker aus. Native Windows-Builds lassen sich möglicherweise kompilieren, doch Tests und Support seitens des Projekts bleiben begrenzt.

$ wsl -- cargo install binwalk

Den Binwalk-Quellcode beziehen

Laden Sie das Quellarchiv von Binwalk 3.1.0 herunter, um aus dem Quellcode zu kompilieren, die Implementierung zu inspizieren, Signaturen und Parser beizutragen oder die Rust-Bibliothek in Ihr eigenes Projekt zu integrieren. Die Analyse bleibt lokal – behandeln Sie extrahierten Code als nicht vertrauenswürdig und halten Sie unbekannte Proben isoliert.

Quellarchiv (.zip) · Binwalk 3.1.0 · MIT-Lizenz

Häufig gestellte Fragen

Was ist Binwalk?

Binwalk ist ein Open-Source-Tool zur Firmware-Analyse, das Dateien, Dateisysteme, komprimierte Daten, ausführbare Dateien, Bootloader, Kernel, Zertifikate und andere in Binärabbildern eingebettete Strukturen identifiziert und extrahiert. Es wird häufig in der Firmware-Sicherheitsforschung, beim Reverse Engineering, in der digitalen Forensik, der Embedded-Entwicklung, beim Hardware-Hacking und bei Untersuchungen zur Produktsicherheit eingesetzt.

Wofür wird Binwalk verwendet?

Binwalk hilft Analysten, die interne Struktur von Firmware und anderen Binärdateien zu verstehen. Typische Einsätze umfassen das Extrahieren eingebetteter Dateisysteme, das Lokalisieren komprimierter oder verschlüsselter Bereiche, das Identifizieren ausführbaren Codes, das Wiederherstellen von Konfigurationsdateien, das Inspizieren von Geräte-Update-Paketen, den Vergleich von Firmware-Layouts und die Vorbereitung von Binärabbildern für eine tiefere Sicherheitsanalyse.

Für wen ist Binwalk gedacht?

Binwalk richtet sich an Sicherheitsforscher, Reverse Engineers, Penetrationstester, Forensik-Analysten, Embedded-Entwickler, Hardware-Hacker, Produktsicherheitsteams und alle, die mit Firmware oder Binärdaten arbeiten. Es unterstützt sowohl die schnelle Inspektion über die Kommandozeile als auch fortgeschrittenere automatisierte Analyse-Workflows.

Welche Dateitypen kann Binwalk analysieren?

Binwalk kann Firmware-Abbilder, Flash-Dumps, Geräte-Update-Pakete, Datenträgerabbilder, Boot-Abbilder, ausführbare Dateien, Archive, komprimierte Datenströme und andere Binärdateien analysieren. Die Datei benötigt keine standardmäßige Erweiterung – Binwalk analysiert die zugrunde liegenden Binärdaten, statt sich auf den Dateinamen zu verlassen.

Kann Binwalk Dateien aus Firmware extrahieren?

Ja. Binwalk kann viele erkannte Dateien, Archive, komprimierte Datenströme und Dateisysteme automatisch extrahieren. Einige Formate werden durch integrierte Extraktionslogik verarbeitet, während andere zusätzliche, auf dem System installierte Werkzeuge erfordern. Die Unterstützung für Erkennung und Extraktion kann je nach Format und installierter Binwalk-Version variieren. Eine grundlegende Extraktion erfolgt mit binwalk -e firmware.bin.

Kann Binwalk verschachtelte Firmware rekursiv entpacken?

Ja. Die rekursive Extraktion ermöglicht es Binwalk, Dateien zu analysieren, die während des Extraktionsvorgangs entstehen. Das ist nützlich, wenn Firmware mehrere Schichten enthält – etwa ein Hersteller-Update-Paket mit einer komprimierten Partition, die wiederum ein Dateisystem, Archive und eingebettete ausführbare Dateien enthält. Ein gängiger rekursiver Befehl ist binwalk -Me firmware.bin.

Was zeigt ein Entropie-Scan?

Ein Entropie-Scan visualisiert, wie zufällig oder wiederholend verschiedene Bereiche einer Binärdatei erscheinen. Bereiche mit hoher Entropie enthalten oft komprimierte oder verschlüsselte Daten; Bereiche mit niedriger Entropie können Text, strukturierte Datensätze, Padding oder sich wiederholende Daten enthalten. Die Entropie-Analyse beweist nicht, dass ein Bereich verschlüsselt oder komprimiert ist, aber sie offenbart Grenzen und unerklärte Bereiche, die eine genauere Untersuchung verdienen.

Wie genau sind die Signaturen von Binwalk?

Die Genauigkeit hängt vom Format, dem verfügbaren Parser und dem Umfang der möglichen strukturellen Validierung ab. Binwalk v3 kann viele erkannte Objekte über ihre anfänglichen kennzeichnenden Bytes hinaus validieren, was hilft, Fehlalarme zu reduzieren, Objektgrößen zu berechnen und nützlichere Metadaten bereitzustellen. Ergebnisse sollten dennoch als Hinweise für die weitere Analyse und nicht als endgültige Schlussfolgerung behandelt werden.

Funktioniert Binwalk lokal?

Ja. Binwalk läuft lokal auf dem System des Analysten. Firmware-Abbilder, unveröffentlichte Builds, Kundendateien und forensische Beweismittel müssen nicht zu einem externen Dienst hochgeladen werden, was Binwalk für sensible Forschung und kontrollierte Umgebungen geeignet macht. Nicht vertrauenswürdige Firmware sollte dennoch in einer isolierten Maschine, einer virtuellen Maschine oder einem Container analysiert werden.

Welche Betriebssysteme unterstützen Binwalk?

Binwalk v3 wird in erster Linie für 64-Bit-Linux-Systeme entwickelt und getestet. Es kann auch über Homebrew auf unterstützten macOS- und Linux-Umgebungen installiert werden. Windows-Nutzer können Binwalk über WSL oder Docker für eine berechenbarere Einrichtung ausführen. Native Kompatibilität, verfügbare Extraktionswerkzeuge und Installationsanforderungen können je nach Plattform variieren.

Wie wird Binwalk installiert?

Binwalk kann über Cargo (cargo install binwalk), Homebrew (brew install binwalk), Docker oder durch Kompilieren des Projekts aus dem Quellcode auf GitHub installiert werden. Einige Extraktionsfunktionen erfordern externe Werkzeuge, die möglicherweise nicht automatisch mit dem Hauptpaket installiert werden.

Ist Binwalk kostenlos und Open Source?

Ja. Binwalk ist Open-Source-Software, die unter der MIT-Lizenz vertrieben wird. Der Quellcode kann inspiziert, verändert, in andere Software integriert und gemäß den Lizenzbedingungen in kommerziellen oder nicht kommerziellen Umgebungen genutzt werden.

Kann Binwalk in automatisierte Werkzeuge integriert werden?

Ja. Binwalk kann Analyseergebnisse als strukturiertes JSON für Skripte, CI-Pipelines, forensische Systeme, Firmware-Verarbeitungsplattformen und interne Sicherheitswerkzeuge exportieren. Binwalk v3 kann zudem als Rust-Bibliothek verwendet werden, sodass Anwendungen Binärdaten direkt scannen können, ohne sich allein auf die Ausführung über die Kommandozeile zu verlassen.

Wer hat Binwalk entwickelt?

Binwalk wurde ursprünglich von Craig Heffner bei ReFirm Labs entwickelt, um das Identifizieren und Extrahieren eingebetteter Daten aus Firmware-Abbildern zu vereinfachen. Es wurde zu einem weit verbreiteten Werkzeug in der Firmware-Sicherheit, beim Reverse Engineering, in der digitalen Forensik, bei Penetrationstests und in der Hardware-Forschung. Binwalk v3 hat die Analyse-Engine in Rust neu aufgebaut, mit einem stärkeren Fokus auf Leistung, strukturelle Validierung, Extraktion und weniger Fehlalarme.

Ist Binwalk ein vollständiger Firmware-Sicherheitsscanner?

Nein. Binwalk ist ein Werkzeug zur Identifizierung, Extraktion und Analyse von Firmware. Es legt die Komponenten innerhalb eines Binärabbilds offen, bestimmt aber nicht automatisch, ob jede extrahierte Komponente sicher oder verwundbar ist. Ein vollständiger Firmware-Sicherheits-Workflow kann zusätzlich Disassemblierung, Dekompilierung, Emulation, Software Composition Analysis, Secret Scanning, Konfigurationsprüfung, kryptografische Analyse, Schwachstellenforschung und Tests auf autorisierter Hardware umfassen.

Ist Binwalk für Windows verfügbar?

Binwalk ist Linux-orientiert, läuft aber unter Windows gut über WSL (Windows-Subsystem für Linux) oder einen Docker-Container, die der offiziell unterstützten Umgebung am nächsten kommen. In WSL können Sie es mit cargo install binwalk installieren und Dateien von Ihren Windows-Laufwerken analysieren. Native Windows-Builds lassen sich möglicherweise kompilieren, erhalten jedoch begrenzte Tests seitens des Projekts.

Beginnen Sie beim Binärabbild. Kommen Sie schneller zu den Beweisen.

Bilden Sie das Firmware-Abbild ab, extrahieren Sie seine internen Komponenten und identifizieren Sie unerklärte Bereiche – Open Source, MIT-lizenziert und vollständig auf Ihrem eigenen Rechner analysiert.