bindiff

版权所有 2011-2024 Google LLC。

该存储库包含 BinDiff 源代码。 BinDiff 是一个开源的二进制文件比较工具，可以快速查找反汇编代码中的差异和相似之处。

• 关于 BinDiff
• 快速入门
• 文档
• 代码图
• 从源头构建
• 执照
• 参与其中

BinDiff是一款开源的二进制文件比较工具，可以帮助漏洞研究人员和工程师快速找到反汇编代码中的差异和相似之处。

借助 BinDiff，研究人员可以识别并隔离供应商提供的补丁中漏洞的修复。它还可用于在同一二进制文件的多个版本的反汇编之间移植符号和注释。这使得跟踪随时间的变化变得更加容易，并允许组织保留分析结果并实现二进制分析师之间的知识转移。

• 比较 x86、MIPS、ARM、PowerPC 和流行反汇编程序支持的其他架构的二进制文件。
• 识别不同二进制文件中相同和相似的功能
• 将函数名称、注释和本地名称从一个反汇编移植到另一个反汇编
• 检测并突出显示同一功能的两个变体之间的变化

如果您想开始使用 BinDiff，请从发布页面下载预构建的安装包。

注意：BinDiff 依赖于单独的反汇编程序。它开箱即用，支持 IDA Pro、Binary Ninja 和 Ghidra。反汇编程序页面列出了支持的配置。

现有手册的子集可在docs/目录中找到。

BinDiff 包含以下组件：

• cmake - 声明外部依赖项的 CMake 构建文件
• fixtures - 用于测试 BinDiff 核心引擎的测试文件集合
• ida - 与 IDA Pro 反汇编程序集成
• java - Java 源代码。这包含BinDiff 视觉diff 用户界面及其相应的实用程序库。
• match - BinDiff 核心引擎的匹配算法
• packaging - 安装包的包源
• tools - 产品附带的帮助程序可执行文件

下面的说明应该足以构建本机代码和基于 Java 的组件。

稍后将添加更详细的构建说明。这包括现成的Dockerfile和用于构建安装包的脚本。

BinDiff 使用 CMake 为包含本机 C++ 代码的组件生成其构建文件。

需要以下构建依赖项：

• BinExport 12，BinDiff 的配套插件，也包含大量共享代码
• Boost 1.83.0 或更高版本（1.83.0 的部分副本随 BinExport 一起提供，并将自动使用）
• CMake 3.14 或更高版本
• 忍者快速构建
• Linux/macOS 上的 GCC 9 或最新版本的 Clang。在 Windows 上，使用 Visual Studio 2019 编译器和适用于 Windows 10 的 Windows SDK。
• Git 1.8 或更高版本
• 将下载的依赖项：
  • Abseil、GoogleTest、Protocol Buffers (3.14) 和 SQLite3
  • 二进制 Ninja SDK

以下构建依赖项是可选的：

• 仅限 IDA Pro：IDA SDK 8.2 或更高版本（解压到deps/idasdk中）

Windows、Linux 和 macOS 上的一般构建步骤相同。下面显示了 Linux 的命令。

下载不会自动下载的依赖项：

mkdir -p build/out
git clone https://github.com/google/binexport build/binexport
unzip -q < path/to/idasdk_pro80.zip > -d build/idasdk

接下来，配置构建目录并生成构建文件：

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  " -DIdaSdk_ROOT_DIR= ${PWD} build/idasdk "

最后，调用实际的构建。二进制文件将放置在build/out/bindiff-prefix中：

cmake --build build/out --config Release
(cd build/out ; ctest --build-config Release --output-on-failure)
cmake --install build/out --config Release

要不使用 IDA 进行构建，只需将上述配置步骤更改为

cmake -S . -B build/out -G Ninja 
  -DCMAKE_BUILD_TYPE=Release 
  -DCMAKE_INSTALL_PREFIX=build/out 
  -DBINDIFF_BINEXPORT_DIR=build/binexport 
  -DBINEXPORT_ENABLE_IDAPRO=OFF

构建基于 Java 的 GUI 需要商业第三方图形可视化库 yFiles 来进行图形显示和布局。这个库非常强大，并且不容易被替换。

BinDiff 使用 Gradle 6.x 和 Java 11 LTS 进行构建。有关如何安装的说明，请参阅其安装指南。

假设您是 yFiles 许可证持有者，请将YFILES_DIR环境变量设置为包含 yFiles y.jar和ysvg.jar目录。

注意：BinDiff 仍然使用 yFiles 的较旧 2.x 分支。

然后调用 Gradle 下载外部依赖并构建：

视窗：

 set YFILES_DIR=<pathtoyfiles_2.17>
cd java
gradle shadowJar

Linux 或 macOS：

 export YFILES_DIR=<path/to/yfiles_2.17>
cd java
gradle shadowJar

之后， java子目录中的ui/build/libs目录应包含自包含的bindiff-ui-all.jar工件，可以使用标准java -jar命令运行该工件。

原始论文概述了 BinDiff 背后的一般思想：

• 托马斯·杜林和罗尔夫·罗尔斯。可执行对象的基于图形的比较。 Bindiffsstic05-1.pdf。 SSTIC '05，信息和通信技术安全研讨会。 2005年。
• 哈尔瓦片。可执行对象的结构比较。 dimva_paper2.pdf。第 161-173 页。入侵和恶意软件检测以及漏洞评估。 2004.3-88579-375-X。

同一问题空间中的其他工具：

• Diaphora，一种先进的程序差异工具，实现了许多相同的想法。
• TurboDiff，一个现已失效的 IDA Pro 程序比较插件。

使用 BinDiff 的项目：

• VxSig，一种从相似的二进制文件集自动生成 AV 字节签名的工具。

BinDiff 根据 Apache 许可证条款获得许可。请参阅许可证了解更多信息。

如果您想做出贡献，请在发送拉取请求之前阅读 CONTRIBUTING.md。您还可以报告错误或提交功能请求。