bindiff

Direitos autorais 2011-2024 Google LLC.

Este repositório contém o código-fonte BinDiff. BinDiff é uma ferramenta de comparação de código aberto para arquivos binários para encontrar rapidamente diferenças e semelhanças em código desmontado.

• Sobre BinDiff
• Início rápido
• Documentação
• Mapa de código
• Construindo a partir da fonte
• Licença
• Envolvendo-se

BinDiff é uma ferramenta de comparação de código aberto para arquivos binários, que auxilia pesquisadores e engenheiros de vulnerabilidade a encontrar rapidamente diferenças e semelhanças em código desmontado.

Com o BinDiff, os pesquisadores podem identificar e isolar correções para vulnerabilidades em patches fornecidos pelo fornecedor. Também pode ser usado para portar símbolos e comentários entre desmontagens de múltiplas versões do mesmo binário. Isso facilita o rastreamento de alterações ao longo do tempo e permite que as organizações retenham os resultados da análise e permite a transferência de conhecimento entre analistas binários.

• Compare arquivos binários para x86, MIPS, ARM, PowerPC e outras arquiteturas suportadas por desmontadores populares.
• Identifique funções idênticas e semelhantes em diferentes binários
• Nomes de funções de porta, comentários e nomes locais de uma desmontagem para outra
• Detecte e destaque alterações entre duas variantes da mesma função

Se você quiser apenas começar a usar o BinDiff, baixe os pacotes de instalação pré-construídos na página de lançamentos.

Nota: BinDiff depende de um desmontador separado. Pronto para uso, ele vem com suporte para IDA Pro, Binary Ninja e Ghidra. A página de desmontadores lista as configurações suportadas.

Um subconjunto do manual existente está disponível no diretório docs/ .

BinDiff contém os seguintes componentes:

• cmake - arquivos de compilação do CMake declarando dependências externas
• fixtures - Uma coleção de arquivos de teste para exercitar o mecanismo principal BinDiff
• ida - Integração com o desmontador IDA Pro
• java - código-fonte Java. Ele contém a interface de usuário do diferencial visual BinDiff e sua biblioteca de utilitários correspondente.
• match - Algoritmos de correspondência para o mecanismo principal BinDiff
• packaging - Fontes de pacotes para os pacotes de instalação
• tools - Executáveis ​​auxiliares fornecidos com o produto

As instruções abaixo devem ser suficientes para construir o código nativo e os componentes baseados em Java.

Instruções de construção mais detalhadas serão adicionadas posteriormente. Isso inclui Dockerfile prontos e scripts para construir os pacotes de instalação.

BinDiff usa CMake para gerar seus arquivos de construção para os componentes que consistem em código C++ nativo.

As seguintes dependências de compilação são necessárias:

• BinExport 12, o plugin complementar do BinDiff que também contém muito código compartilhado
• Boost 1.83.0 ou superior (uma cópia parcial do 1.83.0 vem com BinExport e será usada automaticamente)
• CMake 3.14 ou superior
• Ninja para construções rápidas
• GCC 9 ou uma versão recente do Clang no Linux/macOS. No Windows, use o compilador do Visual Studio 2019 e o SDK do Windows para Windows 10.
• Git 1.8 ou superior
• Dependências que serão baixadas:
  • Abseil, GoogleTest, buffers de protocolo (3.14) e SQLite3
  • SDK Ninja Binário

As seguintes dependências de compilação são opcionais:

• Apenas IDA Pro: IDA SDK 8.2 ou superior (descompacte em deps/idasdk )

As etapas gerais de construção são as mesmas no Windows, Linux e macOS. A seguir mostramos os comandos para Linux.

Baixe dependências que não serão baixadas automaticamente:

mkdir -p build/out
git clone https://github.com/google/binexport build/binexport
unzip -q < path/to/idasdk_pro80.zip > -d build/idasdk

Em seguida, configure o diretório de compilação e gere os arquivos de compilação:

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  " -DIdaSdk_ROOT_DIR= ${PWD} build/idasdk "

Finalmente, invoque a compilação real. Os binários serão colocados em build/out/bindiff-prefix :

cmake --build build/out --config Release
(cd build/out ; ctest --build-config Release --output-on-failure)
cmake --install build/out --config Release

Para construir sem IDA, basta alterar a etapa de configuração acima para

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  -DBINEXPORT_ENABLE_IDAPRO=OFF

Construir a GUI baseada em Java requer a biblioteca comercial de visualização de gráficos de terceiros yFiles para exibição e layout de gráficos. Esta biblioteca é imensamente poderosa e não é facilmente substituível.

Para construir, BinDiff usa Gradle 6.xe Java 11 LTS. Consulte o guia de instalação para obter instruções sobre como instalar.

Supondo que você seja titular de uma licença yFiles, defina a variável de ambiente YFILES_DIR para um diretório contendo yFiles y.jar e ysvg.jar .

Nota: BinDiff ainda usa o ramo 2.x mais antigo do yFiles.

Em seguida, invoque o Gradle para baixar dependências externas e construir:

Windows:

 set YFILES_DIR=<pathtoyfiles_2.17>
cd java
gradle shadowJar

Linux ou macOS:

 export YFILES_DIR=<path/to/yfiles_2.17>
cd java
gradle shadowJar

Posteriormente, o diretório ui/build/libs no subdiretório java deve conter o artefato bindiff-ui-all.jar independente, que pode ser executado usando o comando java -jar padrão.

Os artigos originais que descrevem as ideias gerais por trás do BinDiff:

• Thomas Dullien e Rolf Rolles. Comparação baseada em gráfico de objetos executáveis . bindiffsstic05-1.pdf. SSTIC '05, Simpósio sobre a Segurança das Tecnologias da Informação e das Comunicações. 2005.
• Floco Halvar. Comparação estrutural de objetos executáveis . dimva_paper2.pdf. páginas 161-173. Detecção de intrusões e avaliação de malware e vulnerabilidade. 2004.3-88579-375-X.

Outras ferramentas no mesmo espaço do problema:

• Diaphora, uma ferramenta avançada de diferenciação de programas que implementa muitas das mesmas ideias.
• TurboDiff, um plugin de diferenciação de programa extinto para IDA Pro.

Projetos usando BinDiff:

• VxSig, uma ferramenta para gerar automaticamente assinaturas de bytes AV a partir de conjuntos de binários semelhantes.

BinDiff é licenciado sob os termos da licença Apache. Consulte LICENÇA para obter mais informações.

Se você quiser contribuir, leia CONTRIBUTING.md antes de enviar solicitações pull. Você também pode relatar bugs ou enviar solicitações de recursos.