use bindiff to diff patch

最新推荐文章于 2025-06-24 09:10:58 发布
转载 最新推荐文章于 2025-06-24 09:10:58 发布 · 3.6k 阅读 · 2

本文介绍了一款由Google开源的二进制代码比较工具Bindiff,该工具主要用于对比可执行文件中汇编代码的变化,尤其适用于分析软件补丁的差异。文章详细介绍了Bindiff的安装配置过程及基本使用方法,并通过一个示例展示了如何使用Bindiff快速定位代码的修改之处。

看到google开源的一款2进制代码比较工具bindiff, 这软件以前还是商业版,google收购了人家的公司,现在变成免费版本了.

这工具主要用来比较增量的可执行文件里面汇编代码的差异, 软件的原始设计目的是比较MS的patch文件.

下载点

google-bindiff420-win-x86.zip

初级使用方法

软件是java写的,先安装jre-8u131-windows-x64.exe
将java_home和path设置好。

JAVA_HOME=D:\Program Files\Java\jre1.8.0_131\
path += %JAVA_HOME%\bin

软件要比对的是IDA的idb文件,先安装IDA6.8.

安装bindiff, 安装文件为bindiff420-win-x86.msi
将bindiff420-win-pluginsonly.zip和bindiff-license-key.zip中的文件释放到bindiff420安装目录下的bin目录.

假设要分析的代码(假设这工程是第三方的)如下

// testcase0510a.cpp : Defines the entry point for the console application.
//

#include "stdafx.h"
#include <stdlib.h>
#include <stdio.h>

void fnTest(int iIn);
int main()
{
    fnTest(rand());

    printf("END\n");
    system("pause");
    return 0;
}

void fnTest(int iIn)
{
    // if ((iIn > 0x100) && (0 == (iIn % 2))) // v1
    if ((iIn > 90) && (iIn <= 100) && (0 == (iIn % 2))) { // v2 这行算法升级了, 这里是增量的修改
        printf("luck\n");
    }
    else {
        printf("oh, no\n");
    }
}

用IDA打开2个增量的exe, 分析完后,形成2个idb
testcase0510a_v1.exe => testcase0510a_v1.idb
testcase0510a_v2.exe => testcase0510a_v2.idb

运行bindiff.cmd,启动UI.

建立工作区

这里写图片描述
这里写图片描述

增加新比较

这里写图片描述
这里写图片描述

找增量的函数

这里写图片描述
这里写图片描述
对于本实验,只找相似度高,但是不一样的函数,不勾选”Show identical”, 马上就找到了, 就一个函数。

打开图形模式看代码增量的反汇编

这里写图片描述
当找到增量的函数时,函数地址已经知道了。这时,如果用打开2个IDA直接看反汇编,也是可以的。但是bindiff更专业,看完bindiff的分析,再去用IDA分析,思路更清晰。
这里写图片描述
bindiff将增量的代码用黄框围起,说明是不同的代码。
绿色的代码框内是相同的代码。
比较黄色代码和上下文逻辑可以看出增量的代码功能。
v1版本:当入参<=0x100时,走失败流程。
v2版本 : 失败流程判断与v1不同,具体由调试器动态分析和IDA静态分析相结合来决定逻辑实现。

总结

这工具相当好用,不管是第三方的增量还是自己开发的程序,找不同点都非常容易。
工作任务中,经常有这个版本好使,下个版本不好使了,那到底哪的代码实现被改挫了呢,一目了然。不用去一步一步的单步了.

LostSpeed
关注
[网络安全提高篇] 一一六.恶意代码同源分析及BinDiff软件基础用法
杨秀璋的专栏
10-12 6144
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文详细介绍Token关键词的抽取方法,它是指Powershell中具有特定含义的字段,主要通过官方提供的接口实现。这篇文章将详细讲解恶意代码同源分析和BinDiff软件基础用法,首先介绍恶意代码同源分析原理,其次介绍BinDiff工具的原理知识和安装过程,最后介绍BinDiff软件基础用法和Diaphora开源工具。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
Resource punkt not found. Please use the NLTK Downloader to obtain the resource 解决方案
weixin_43178406的博客
08-03 6万+
本文主要介绍了Resource punkt not found. Please use the NLTK Downloader to obtain the resource 解决方案,需要特别说明的是本方法不需要下载完整的nltk包,希望能对使用python nltk的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
bindiff-开源
04-24
查找二进制文件中差异的工具。
深入理解Google BinDiff的二进制差异分析原理
最新发布
gitblog_00223的博客
06-24 383
深入理解Google BinDiff的二进制差异分析原理 前言 在逆向工程和安全研究领域,二进制文件比较工具扮演着至关重要的角色。Google BinDiff作为一款专业的二进制差异分析工具,通过先进的算法帮助研究人员快速识别不同版本二进制文件之间的异同点。本文将深入解析BinDiff的核心工作原理,帮助读者全面理解其匹配引擎的实现机制。 核心概念解析 1. 基本工作原理 BinDiff的工作基于...
bindiff can‘t compare IDA string table
谢绝(无视)留言与私信
08-21 572
在查其他资料时, 突然看到bindiff有新版了, 顺手下载了一个装上试试.bindiff功能:用来无源码比较1个可执行程序工程的不同版本之间的实现区别. e.g. 程序A的1.0.0版和1.0.20之间的实现区别. 如果改动比较小, 很容易用bindiff看出具体区别出来. 如果变化比较大, 也能定位到底哪些函数实现变化了.以前用bindiff_V4.20时, 写了一个笔记(). 那时是2017年.现在的bindiff是V7.0(2021年发布的), 比较速度比以前版本快多了.
Bindiff安装以及使用
z2664836046的博客
09-28 4879
工具安装
BinDiff
z2664836046的博客
09-06 609
import subprocess import sys import os BINDIFF_PATH = "C:\\Program Files\\zynamics\\BinDiff 4.2\\bin\\differ.exe" IDAQ_PATH = "C:\\Program Files\\IDA 6.9\\idaq.exe" if len(sys.argv) < 3: print "Usage: python diff_binaries.py $bin1 $bin2" sys.exit(1.
diff-match-patch.rs:用于生锈的diff-match-patch
02-15
2. **导入**:在 Rust 代码中,使用 `use diff_match_patch::{Diff, Match, Patch};` 导入所需模块。 3. **使用**:调用库提供的函数,比如 `diff::diff_lines()` 来计算文本差异,`patch::apply()` 来应用补丁,...
check the manual that corresponds to your MySQL server version for the right syntax to use near 解决方法
码农研究僧的博客
06-10 7717
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ') NULL COMMENT '实际工时' AFTER 'expected_work_time' at line 2
check the manual that corresponds to your MySQL server version for the right syntax to use完美解决
热门推荐
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-02 17万+
check the manual that corresponds to your MySQL server version for the right syntax to use near方法有六个: 1、在数据库表冲突字段前后加 `符号(键盘Tab键上面那个键),就不会再报语法错误了; 2、修改数据库表中冲突字段名称,修改为和 SQL语句关键字不冲突的其他名称。 3、navicat工具不可以,命令行可以。 check the manual that corresponds to your MySQ
CommandNotFoundError: Your shell has not been properly configured to use ‘conda activate‘解决方案
weixin_43178406的博客
03-05 2万+
本文主要介绍了CommandNotFoundError: Your shell has not been properly configured to use 'conda activate’解决方案,希望能对使用conda的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
BinDiff7.dmg
08-25
BinDiff7.dmg Mac版本 免费版本
Zynamics_BinDiff_4.3.7z
02-19
Zynamics_BinDiff_4.3.7z.是一款IDA插件。可以对比文件PATCH前后的变化。
二进制文件比较工具Zynamics_BinDiff_4.2
02-16
二进制文件比较工具 Zynamics_BinDiff_4.2 with license
BinDiff5.dmg
05-20
Bindiff MacOS 5.0版本 免费的 https://www.zynamics.com/software.html
Bindiff 安装使用教程
桃子小迷妹
09-10 1731
1. 下载及安装 Bindiff 2. 使用 (1). 创建新的工作空间 (2). 设置IDA地址以及工作空间地址 (3).新建newdiff,导入需要diff的两个i64文件
开源linux 二进制工具,谷歌开源二进制文件对比工具 BinDiff
weixin_39732534的博客
05-05 742
谷歌上周五宣布BinDiff开源——这是给安全研究人员用于进行二进制文件分析和对比的工具。早在2011年的时候,谷歌就收购了Zynamics,也就成为了BinDiff的东家,那个时候这款工具就已经很流行了。BinDiff当时是需要商业授权的,只不过谷歌在收购Zynamics之后调低了其价格。谷歌自己将BinDiff融入到了许多内部文件分析系统中,利用其二进制对比技术,来追踪恶意程序家族。谷歌软件工...
BinDiff:二进制文件的开源比较工具
网络研究观
09-26 1万+
BinDiff 是一个二进制文件比较工具,可以快速查找反汇编代码中的差异和相似之处。
BinDiff(IDA Pro、Binary Ninja、Ghidra)用于二进制文件版本比对和差异性分析
qq_38393271的博客
12-18 2425
逆向分析、二进制程序比对、版本分析
如何打diffpatch
05-20
### 如何生成和应用 `diff` 的 `patch` 文件 #### 生成 `patch` 文件 在 Linux 或 Git 中,可以通过多种方法生成 `patch` 文件。 1. **使用 `git diff` 命令** 当前工作目录与暂存区之间的差异可以通过 `git diff` 来捕获并保存到 `.patch` 文件中。 ```bash git diff > my_patch.patch ``` 此命令会将未提交的更改导出为一个补丁文件[^1]。 2. **使用 `git format-patch` 命令** 如果需要针对已提交的历史记录生成补丁,则可以使用 `git format-patch`。例如,生成最近一次提交对应的补丁: ```bash git format-patch -1 HEAD ``` 上述命令会在当前目录下生成类似于 `0001-commit-message.patch` 的文件[^1]。 3. **使用标准 `diff` 工具** 对于非版本控制下的文件或目录,可以直接通过 `diff` 命令生成补丁文件。以下是两种常见场景: - 单个文件间的差异: ```bash diff -u old_file new_file > changes.patch ``` - 整个目录结构的变化: ```bash diff -urN dir1 dir2 > directory_changes.patch ``` #### 应用 `patch` 文件 一旦生成了 `patch` 文件,就可以将其应用于目标环境。 1. **使用 `patch` 命令** 针对普通的 `diff` 补丁文件,可采用如下方式应用: ```bash patch -p1 < path/to/my_patch.patch ``` 参数 `-p1` 意味着忽略路径的第一层目录信息[^2]。 2. **使用 `git apply` 命令** 若补丁来源于 Git 版本控制系统,则推荐使用 `git apply` 方法: ```bash git apply my_git_patch.patch ``` 它能够更精确地处理由 Git 创建的补丁文件,并支持撤销操作(如 `git apply -R`)[^3]。 3. **冲突解决** 在某些情况下,可能遇到无法自动合并的情况。此时需手动编辑受影响区域以完成修复过程。具体步骤包括定位标记 (`<<<<<<<`, `=======`, `>>>>>>>`) 并决定保留哪些变更内容[^4]。 --- ### 示例代码 以下是一个完整的流程演示: ```bash # Step A: Generate a patch from uncommitted changes using git diff. git diff > example.patch # Step B: Apply the generated patch back to another repository or branch. patch -p1 < example.patch # Alternatively, use git apply for better compatibility with Git patches. git apply example.patch ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值