Linux에서 이진 파일을 비교하려면 어떻게합니까?

두 바이너리 파일을 비교하고 출력을 다음과 같은 형식으로 얻어야합니다.

& lt; fileoffset-hex & gt; & lt; file1-byte-hex & gt; & lt; file2-byte-hex & gt;

모든 다른 바이트마다. 그래서 만약 file1.bin ~이다.

  00 90 00 11

이진 형태로 file2.bin ~이다.

  00 91 00 10

나는 뭔가를 사고 싶다.

  00000001 90 91
  00000003 11 10

Linux에서이 작업을 수행 할 수있는 방법이 있습니까? 나도 알아. cmp -l 하지만 오프셋을위한 10 진수 체계와 피하고자하는 바이트의 8 진수를 사용합니다.

offset과 bytes를 16 진수로 출력합니다 :

cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1, strtonum(0$2), strtonum(0$3)}'

또는 $1-1 첫 번째 인쇄 오프셋을 0에서 시작합니다.

cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1-1, strtonum(0$2), strtonum(0$3)}'

운수 나쁘게, strtonum() GAWK에만 해당하므로 awk의 다른 버전 (예 : mawk)에서는 8 진수 - 10 진수 변환 함수를 사용해야합니다. 예를 들어,

cmp -l file1.bin file2.bin | mawk 'function oct2dec(oct,     dec) {for (i = 1; i <= length(oct); i++) {dec *= 8; dec += substr(oct, i, 1)}; return dec} {printf "%08X %02X %02X\n", $1, oct2dec($2), oct2dec($3)}'

가독성을 위해 깨진 :

cmp -l file1.bin file2.bin |
    mawk 'function oct2dec(oct,    dec) {
              for (i = 1; i <= length(oct); i++) {
                  dec *= 8;
                  dec += substr(oct, i, 1)
              };
              return dec
          }
          {
              printf "%08X %02X %02X\n", $1, oct2dec($2), oct2dec($3)
          }'

같이 ~ 돌팔매 지적했다 :

 % xxd b1 > b1.hex
 % xxd b2 > b2.hex

그리고

 % diff b1.hex b2.hex

또는

 % vimdiff b1.hex b2.hex

시험 diff 다음 zsh / bash 프로세스 대체 조합 및 colordiff CLI에서 :

diff -y <(xxd foo1.bin) <(xxd foo2.bin) | colordiff

어디에:

• -y 차이점을 나란히 표시합니다 (선택 사항).
• xxd 이진 파일의 hexdump 출력을 만드는 CLI 도구입니다
• colordiff 색을 칠 것이다 diff 출력 (통해 설치 : sudo apt-get install colordiff )
• 더하다 -W200 에 diff 더 넓은 출력 (한 줄당 200 자)

힌트 :

• 파일이 너무 큰 경우 제한을 추가하십시오 (예 : -l1000 ) 각각 xxd

샘플 출력 :

다음과 같은 도구가 있습니다. DHEX 어떤 일을 할 수 있는지, 그리고 다른 도구가 있습니다. VBinDiff .

엄밀히 말하면 명령 줄 방식으로 시도해보십시오. JDIFF .

바이트 추가 / 삭제에 작동하는 메소드

diff <(od -An -tx1 -w1 -v file1) \
     <(od -An -tx1 -w1 -v file2)

바이트 64를 한 번만 제거하여 테스트 케이스 생성 :

for i in `seq 128`; do printf "%02x" "$i"; done | xxd -r -p > file1
for i in `seq 128`; do if [ "$i" -ne 64 ]; then printf "%02x" $i; fi; done | xxd -r -p > file2

산출:

64d63
<  40

문자의 ASCII 버전을보고 싶다면 다음을 수행하십시오.

bdiff() (
  f() (
    od -An -tx1c -w1 -v "$1" | paste -d '' - -
  )
  diff <(f "$1") <(f "$2")
)

bdiff file1 file2

산출:

64d63
<   40   @

우분투 16.04에서 테스트되었습니다.

나는 선호한다 od 위에 xxd 때문에:

• 그것 POSIX이다. , xxd 그렇지 않다 (Vim과 함께).
• ~을 가지고있다. -An 없이 주소 열을 제거하려면 awk.

명령 설명 :

• -An 주소 열을 제거합니다. 이것은 중요합니다. 그렇지 않으면 모든 행은 바이트 추가 / 제거 후에 달라집니다.
• -w1 diff가 그것을 소비 할 수 있도록 한 줄에 한 바이트 씩 넣는다. 한 줄에 한 바이트 씩 넣는 것이 중요합니다. 그렇지 않으면 삭제 후 모든 줄이 서로 다르고 다르게됩니다. 불행하게도 이것은 POSIX가 아니고 GNU에있다.
• -tx1 한 줄에 1 바이트를 유지하는 한 원하는 표현으로, 가능한 모든 값으로 변경하십시오.
• -v 별표 반복 생략 방지 * diff를 방해 할 수있는
• paste -d '' - - 두 줄마다 조인합니다. 16 진수와 ASCII가 서로 인접한 라인으로 들어가기 때문에 필요합니다. 취한 것 : https://stackoverflow.com/questions/8987257/concatenating-every-other-line-with-the-next
• 괄호를 사용한다. () 정의하기 bdiff 대신에 {} 내부 기능의 범위를 제한하는 것 f, 또한보십시오 : https://stackoverflow.com/questions/8426077/how-to-define-a-function-inside-another-function-in-bash

참조 :

• https://unix.stackexchange.com/questions/59849/diff-binary-files-of-different-sizes
• https://stackoverflow.com/questions/8385618/using-cmp-to-compare-two-binaries

짧은 답변

vimdiff <(xxd -c1 -p first.bin) <(xxd -c1 -p second.bin)

hexdumps와 text diff를 사용하여 이진 파일을 비교할 때, 특히 xxd, 바이트의 추가 및 제거가 어드레싱에서 변경되어보기 어려울 수 있습니다. 이 방법은 xxd가 주소를 출력하지 않고 줄마다 한 바이트 만 출력하도록 지시합니다.이 바이트는 변경, 추가 또는 제거 된 바이트를 정확하게 보여줍니다. 나중에 "정상적인"16 진수 덤프에서 흥미로운 바이트 시퀀스를 검색하여 주소를 찾을 수 있습니다 ( xxd first.bin ).

바이너리 파일을 텍스트 형식으로 덤프하고 diff보기를 위해 kdiff3을 사용하도록 hexdump를 권합니다.

hexdump myfile1.bin > myfile1.hex
hexdump myfile2.bin > myfile2.hex
kdiff3 myfile1.hex myfile2.hex

그만큼 hexdiff 당신이 찾고있는 것을 정확하게하기 위해 고안된 프로그램입니다.

용법:

hexdiff file1 file2

두 파일의 16 진수 (및 7 비트 ASCII)를 서로 위에 표시하고 차이점을 강조 표시합니다. 보다 man hexdiff 명령이 파일에서 돌아 다니고, 간단한 q 그만 둘거야.

그것은 엄격하게 질문에 대답하지 않을 수도 있지만, 나는 diffing 바이너리에 이것을 사용한다.

gvim -d <(xxd -c 1 ~/file1.bin | awk '{print $2, $3}') <(xxd -c 1 ~/file2.bin | awk '{print $2, $3}')

두 파일을 16 진수로 출력합니다. ASCII 값을 한 줄에 한 바이트 씩 넣은 다음 Vim의 diff 기능을 사용하여 시각적으로 렌더링합니다.

헥스 http://www.dettus.net/dhex/

DHEX는 단지 16 진수 편집기 이외의 다른 편집기입니다 : diff 모드가있어 두 바이너리 파일을 쉽고 편리하게 비교할 수 있습니다. ncurses를 기반으로하고 테마화할 수 있기 때문에 모든 시스템 및 시나리오에서 실행할 수 있습니다. 검색 로그를 사용하여 파일의 여러 반복에서 변경 사항을 쉽게 추적 할 수 있습니다.

당신이 사용할 수있는 gvimdiff 포함 된 도구 Vim-gui-common 꾸러미

sudo apt-get update

sudo apt-get vim-gui-common을 설치하십시오.

다음 명령을 사용하여 2 개의 16 진수 파일을 비교할 수 있습니다.

ubuntu> gvimdiff <hex-file1> <hex-file2>

그게 다야. 그들이 도움이되기를 바랍니다!

https://security.googleblog.com/2016/03/bindiff-now-available-for-free.html

BinDiff는 최근 공개 된 오픈 소스 바이너리 파일을 비교하기위한 훌륭한 UI 도구입니다.

Linux에서 오픈 소스 제품으로 이동 (및 기타 모든 것) 방사능 제공하는 radiff2 이 목적을 위해 명시 적으로. 나 자신 때문에 이걸 끝내기로 결심했다. 다른 사람 당신이 묻는 질문에서 같은 질문을하십시오.

매 바이트마다

그건 미친 짓이야. 요청 된대로 파일의 첫 번째 바이트에 1 바이트를 삽입하면 이후의 모든 바이트가 다르기 때문에 diff가 전체 파일을 반복하므로 실제로 1 바이트 차이가 나옵니다.

조금 더 실용적이다. radiff -O. 그만큼 -O ""고정 된 opcode 바이트가 아닌 모든 바이트로 diff를 수행합니다. ""

0x000000a4 0c01 => 3802 0x000000a4
0x000000a8 1401 => 3802 0x000000a8
0x000000ac 06 => 05 0x000000ac
0x000000b4 02 => 01 0x000000b4
0x000000b8 4c05 => 0020 0x000000b8
0x000000bc 4c95 => 00a0 0x000000bc
0x000000c0 4c95 => 00a0 0x000000c0

IDA Pro와 마찬가지로 Radare는 바이너리 분석을위한 기본 도구이며, 다음과 같이 델타 차이를 표시 할 수도 있습니다. -d, 또는 16 진수 대신에 디스 어셈블 된 바이트 표시 -D.

이런 종류의 질문을하는 경우 체크 아웃하십시오.

• 소프트웨어 질문에 대한 스택 오버플로,
• 리버스 엔지니어링 스택 교환
• 래다 레즈 radiff2 이진 diffing

나는 추천한다. IDA Pro 바이너리 파일을 분석합니다. 그런 다음 IDA 용 플러그인을 사용하여 비교를 수행 할 수 있습니다. BinDiff .