bindiff

Urheberrecht 2011–2024 Google LLC.

Dieses Repository enthält den BinDiff-Quellcode. BinDiff ist ein Open-Source-Vergleichstool für Binärdateien, um schnell Unterschiede und Ähnlichkeiten in disassembliertem Code zu finden.

• Über BinDiff
• Schnellstart
• Dokumentation
• Codemap
• Bauen aus der Quelle
• Lizenz
• Mitmachen

BinDiff ist ein Open-Source-Vergleichstool für Binärdateien, das Schwachstellenforschern und -ingenieuren dabei hilft, schnell Unterschiede und Ähnlichkeiten in disassembliertem Code zu finden.

Mit BinDiff können Forscher Korrekturen für Schwachstellen in vom Anbieter bereitgestellten Patches identifizieren und isolieren. Es kann auch zum Portieren von Symbolen und Kommentaren zwischen Disassemblierungen mehrerer Versionen derselben Binärdatei verwendet werden. Dies erleichtert die Verfolgung von Änderungen im Laufe der Zeit, ermöglicht Organisationen die Aufbewahrung von Analyseergebnissen und ermöglicht den Wissenstransfer zwischen binären Analysten.

• Vergleichen Sie Binärdateien für x86, MIPS, ARM, PowerPC und andere Architekturen, die von gängigen Disassemblern unterstützt werden.
• Identifizieren Sie identische und ähnliche Funktionen in verschiedenen Binärdateien
• Portieren Sie Funktionsnamen, Kommentare und lokale Namen von einer Disassemblierung zur anderen
• Erkennen und markieren Sie Änderungen zwischen zwei Varianten derselben Funktion

Wenn Sie gerade erst mit der Verwendung von BinDiff beginnen möchten, laden Sie vorgefertigte Installationspakete von der Release-Seite herunter.

Hinweis: BinDiff basiert auf einem separaten Disassembler. Ab Werk wird es mit Unterstützung für IDA Pro, Binary Ninja und Ghidra ausgeliefert. Auf der Disassembler-Seite werden die unterstützten Konfigurationen aufgelistet.

Eine Teilmenge des vorhandenen Handbuchs ist im Verzeichnis docs/ verfügbar.

BinDiff enthält die folgenden Komponenten:

• cmake – CMake-Build-Dateien, die externe Abhängigkeiten deklarieren
• fixtures – Eine Sammlung von Testdateien zum Trainieren der BinDiff-Kern-Engine
• ida – Integration mit dem IDA Pro-Disassembler
• java – Java-Quellcode. Diese enthält die visuelle Diff-Benutzeroberfläche von BinDiff und die entsprechende Dienstprogrammbibliothek.
• match – Matching-Algorithmen für die BinDiff-Kern-Engine
• packaging – Paketquellen für die Installationspakete
• tools – ausführbare Hilfsdateien, die mit dem Produkt geliefert werden

Die folgende Anleitung sollte ausreichen, um sowohl den nativen Code als auch die Java-basierten Komponenten zu erstellen.

Detailliertere Bauanweisungen werden zu einem späteren Zeitpunkt hinzugefügt. Dazu gehören vorgefertigte Dockerfile und Skripte zum Erstellen der Installationspakete.

BinDiff verwendet CMake, um seine Build-Dateien für die Komponenten zu generieren, die aus nativem C++-Code bestehen.

Die folgenden Build-Abhängigkeiten sind erforderlich:

• BinExport 12, das Begleit-Plugin zu BinDiff, das auch viel gemeinsam genutzten Code enthält
• Boost 1.83.0 oder höher (eine Teilkopie von 1.83.0 wird mit BinExport geliefert und wird automatisch verwendet)
• CMake 3.14 oder höher
• Ninja für schnelle Builds
• GCC 9 oder eine aktuelle Version von Clang unter Linux/macOS. Verwenden Sie unter Windows den Visual Studio 2019-Compiler und das Windows SDK für Windows 10.
• Git 1.8 oder höher
• Abhängigkeiten, die heruntergeladen werden:
  • Abseil, GoogleTest, Protocol Buffers (3.14) und SQLite3
  • Binäres Ninja-SDK

Die folgenden Build-Abhängigkeiten sind optional:

• Nur IDA Pro: IDA SDK 8.2 oder höher (in deps/idasdk entpacken)

Die allgemeinen Build-Schritte sind unter Windows, Linux und macOS gleich. Im Folgenden sind die Befehle für Linux aufgeführt.

Laden Sie Abhängigkeiten herunter, die nicht automatisch heruntergeladen werden:

mkdir -p build/out
git clone https://github.com/google/binexport build/binexport
unzip -q < path/to/idasdk_pro80.zip > -d build/idasdk

Als nächstes konfigurieren Sie das Build-Verzeichnis und generieren Build-Dateien:

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  " -DIdaSdk_ROOT_DIR= ${PWD} build/idasdk "

Rufen Sie abschließend den eigentlichen Build auf. Binärdateien werden in build/out/bindiff-prefix platziert:

cmake --build build/out --config Release
(cd build/out ; ctest --build-config Release --output-on-failure)
cmake --install build/out --config Release

Um ohne IDA zu erstellen, ändern Sie einfach den obigen Konfigurationsschritt in

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  -DBINEXPORT_ENABLE_IDAPRO=OFF

Für die Erstellung der Java-basierten GUI ist die kommerzielle Diagrammvisualisierungsbibliothek yFiles eines Drittanbieters für die Diagrammanzeige und das Diagrammlayout erforderlich. Diese Bibliothek ist immens leistungsfähig und nicht leicht austauschbar.

Zum Erstellen verwendet BinDiff Gradle 6.x und Java 11 LTS. Anweisungen zur Installation finden Sie in der Installationsanleitung.

Angenommen, Sie sind Inhaber einer yFiles-Lizenz, legen Sie die Umgebungsvariable YFILES_DIR auf ein Verzeichnis fest, das die yFiles y.jar und ysvg.jar enthält.

Hinweis: BinDiff verwendet weiterhin den älteren 2.x-Zweig von yFiles.

Rufen Sie dann Gradle auf, um externe Abhängigkeiten herunterzuladen und zu erstellen:

Windows:

 set YFILES_DIR=<pathtoyfiles_2.17>
cd java
gradle shadowJar

Linux oder macOS:

 export YFILES_DIR=<path/to/yfiles_2.17>
cd java
gradle shadowJar

Anschließend sollte das Verzeichnis ui/build/libs im java -Unterverzeichnis das eigenständige Artefakt bindiff-ui-all.jar enthalten, das mit dem Standardbefehl java -jar ausgeführt werden kann.

Die Originalpapiere, in denen die allgemeinen Ideen hinter BinDiff dargelegt werden:

• Thomas Dullien und Rolf Rolles. Graphbasierter Vergleich ausführbarer Objekte . bindiffsstic05-1.pdf. SSTIC '05, Symposium sur la Sécurité des Technologies de l'Information et des Communications. 2005.
• Halvar-Flocke. Struktureller Vergleich ausführbarer Objekte . dimva_paper2.pdf. S. 161-173. Erkennung von Eindringlingen und Malware- und Schwachstellenbewertung. 2004.3-88579-375-X.

Andere Tools im gleichen Problembereich:

• Diaphora, ein fortschrittliches Tool zur Programmdifferenzierung, das viele der gleichen Ideen umsetzt.
• TurboDiff, ein inzwischen nicht mehr existierendes Programm-Diffing-Plugin für IDA Pro.

Projekte mit BinDiff:

• VxSig, ein Tool zum automatischen Generieren von AV-Byte-Signaturen aus Sätzen ähnlicher Binärdateien.

BinDiff ist unter den Bedingungen der Apache-Lizenz lizenziert. Weitere Informationen finden Sie unter LIZENZ.

Wenn Sie einen Beitrag leisten möchten, lesen Sie bitte CONTRIBUTING.md, bevor Sie Pull-Anfragen senden. Sie können auch Fehler melden oder Funktionsanfragen stellen.