bindiff

Copyright 2011-2024 Google LLC.

Ce référentiel contient le code source BinDiff. BinDiff est un outil de comparaison open source pour les fichiers binaires permettant de trouver rapidement les différences et les similitudes dans le code désassemblé.

• À propos de BinDiff
• Démarrage rapide
• Documentation
• Carte de code
• Construire à partir de la source
• Licence
• S'impliquer

BinDiff est un outil de comparaison open source pour les fichiers binaires, qui aide les chercheurs et ingénieurs en vulnérabilités à trouver rapidement les différences et les similitudes dans le code désassemblé.

Avec BinDiff, les chercheurs peuvent identifier et isoler les correctifs de vulnérabilités dans les correctifs fournis par les fournisseurs. Il peut également être utilisé pour porter des symboles et des commentaires entre les désassemblages de plusieurs versions du même binaire. Cela facilite le suivi des modifications au fil du temps, permet aux organisations de conserver les résultats d'analyse et permet le transfert de connaissances entre les analystes binaires.

• Comparez les fichiers binaires pour x86, MIPS, ARM, PowerPC et d'autres architectures prises en charge par les désassembleurs populaires.
• Identifier les fonctions identiques et similaires dans différents binaires
• Portez les noms de fonctions, les commentaires et les noms locaux d'un désassemblage à l'autre
• Détecter et mettre en évidence les changements entre deux variantes d'une même fonction

Si vous souhaitez simplement commencer à utiliser BinDiff, téléchargez les packages d'installation prédéfinis à partir de la page des versions.

Remarque : BinDiff s'appuie sur un désassembleur distinct. Prêt à l'emploi, il est livré avec la prise en charge d'IDA Pro, Binary Ninja et Ghidra. La page des désassembleurs répertorie les configurations prises en charge.

Un sous-ensemble du manuel existant est disponible dans le répertoire docs/ .

BinDiff contient les composants suivants :

• cmake - Fichiers de construction CMake déclarant des dépendances externes
• fixtures - Une collection de fichiers de test pour exercer le moteur principal BinDiff
• ida - Intégration avec le désassembleur IDA Pro
• java - Code source Java. Celui-ci contient l'interface utilisateur de comparaison visuelle BinDiff et sa bibliothèque d'utilitaires correspondante.
• match - Algorithmes de correspondance pour le moteur principal BinDiff
• packaging - Sources des packages pour les packages d'installation
• tools - Exécutables d'assistance fournis avec le produit

Les instructions ci-dessous devraient suffire pour créer à la fois le code natif et les composants basés sur Java.

Des instructions de construction plus détaillées seront ajoutées ultérieurement. Cela inclut des Dockerfile et des scripts prêts à l'emploi pour créer les packages d'installation.

BinDiff utilise CMake pour générer ses fichiers de construction pour les composants constitués de code C++ natif.

Les dépendances de build suivantes sont requises :

• BinExport 12, le plugin compagnon de BinDiff qui contient également beaucoup de code partagé
• Boost 1.83.0 ou supérieur (une copie partielle de 1.83.0 est livrée avec BinExport et sera utilisée automatiquement)
• CMake 3.14 ou supérieur
• Ninja pour des constructions rapides
• GCC 9 ou une version récente de Clang sous Linux/macOS. Sous Windows, utilisez le compilateur Visual Studio 2019 et le SDK Windows pour Windows 10.
• Git 1.8 ou supérieur
• Dépendances qui seront téléchargées :
  • Rappel, GoogleTest, tampons de protocole (3.14) et SQLite3
  • SDK Ninja binaire

Les dépendances de build suivantes sont facultatives :

• IDA Pro uniquement : IDA SDK 8.2 ou supérieur (décompresser dans deps/idasdk )

Les étapes générales de construction sont les mêmes sous Windows, Linux et macOS. Ce qui suit montre les commandes pour Linux.

Téléchargez les dépendances qui ne seront pas téléchargées automatiquement :

mkdir -p build/out
git clone https://github.com/google/binexport build/binexport
unzip -q < path/to/idasdk_pro80.zip > -d build/idasdk

Ensuite, configurez le répertoire de build et générez les fichiers de build :

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  " -DIdaSdk_ROOT_DIR= ${PWD} build/idasdk "

Enfin, invoquez la version réelle. Les binaires seront placés dans build/out/bindiff-prefix :

cmake --build build/out --config Release
(cd build/out ; ctest --build-config Release --output-on-failure)
cmake --install build/out --config Release

Pour construire sans IDA, modifiez simplement l'étape de configuration ci-dessus en

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  -DBINEXPORT_ENABLE_IDAPRO=OFF

La création de l'interface graphique basée sur Java nécessite la bibliothèque commerciale tierce de visualisation de graphiques yFiles pour l'affichage et la mise en page des graphiques. Cette bibliothèque est extrêmement puissante et difficilement remplaçable.

Pour construire, BinDiff utilise Gradle 6.x et Java 11 LTS. Reportez-vous à son guide d'installation pour obtenir des instructions sur la façon d'installer.

En supposant que vous êtes titulaire d'une licence yFiles, définissez la variable d'environnement YFILES_DIR sur un répertoire contenant les yFiles y.jar et ysvg.jar .

Remarque : BinDiff utilise toujours l'ancienne branche 2.x de yFiles.

Invoquez ensuite Gradle pour télécharger les dépendances externes et créer :

Fenêtres :

 set YFILES_DIR=<pathtoyfiles_2.17>
cd java
gradle shadowJar

Linux ou macOS :

 export YFILES_DIR=<path/to/yfiles_2.17>
cd java
gradle shadowJar

Ensuite, le répertoire ui/build/libs dans le sous-répertoire java doit contenir l'artefact autonome bindiff-ui-all.jar , qui peut être exécuté à l'aide de la commande standard java -jar .

Les articles originaux décrivant les idées générales derrière BinDiff :

• Thomas Dullien et Rolf Rolles. Comparaison graphique des objets exécutables . bindiffsstic05-1.pdf. SSTIC '05, Symposium sur la Sécurité des Technologies de l'Information et des Communications. 2005.
• Flocon Halvar. Comparaison structurelle des objets exécutables . dimva_paper2.pdf. pages 161-173. Détection des intrusions et des logiciels malveillants et évaluation des vulnérabilités. 2004.3-88579-375-X.

Autres outils dans le même espace problématique :

• Diaphora, un outil avancé de comparaison de programmes mettant en œuvre bon nombre des mêmes idées.
• TurboDiff, un plugin de comparaison de programmes aujourd'hui disparu pour IDA Pro.

Projets utilisant BinDiff :

• VxSig, un outil pour générer automatiquement des signatures d'octets AV à partir d'ensembles de binaires similaires.

BinDiff est sous licence selon les termes de la licence Apache. Voir LICENCE pour plus d’informations.

Si vous souhaitez contribuer, veuillez lire CONTRIBUTING.md avant d'envoyer des pull request. Vous pouvez également signaler des bogues ou déposer des demandes de fonctionnalités.