Bindiff原理及官方文档手册

最新推荐文章于 2024-05-27 10:03:54 发布
最新推荐文章于 2024-05-27 10:03:54 发布
阅读量2.6k 收藏 1
点赞数 1
文章标签: 二进制比对 软件漏洞 二进制分析 软件分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49393427/article/details/119108295
版权

Bindiff原理

处理可执行文件的抽象结果,忽略具体的汇编级别的指令。

可以分为两个阶段,生成初始匹配和Drill Down

初始匹配

根据每个函数的的flow图生成一个签名,包括代码块数目,代码块之间的边数,子函数的调用数目

对两个可执行文件生成了两组签名,就会创建初始匹配。通过选择每个可执行文件中具有共同特征的所有函数的子集来实现的。如果一个签名发生且仅发生一次在两个检查的签名子集中,则创建匹配

调用图用于生成更多的匹配:如果匹配已知,则检查从匹配函数调用的所有函数的子集。这些子集明显小于所有函数的集合,因此找到唯一匹配的概率要高得多。重复这个过程直到无法找到匹配项

运行bindiff以后,将拥有一个成功关联的函数列表,及两个无法关联的函数列表

General Matching Strategy

bindiff有一个合适的用于生成匹配的函数属性列表。从全局级别开始,考虑二进制中的所有函数,并为每个函数计算第一个属性。有几种可能的结果

  1. 该属性在所有二进制中都是唯一的,则认为二进制文件中该函数匹配
  2. 该属性在二进制文件中多次出现,匹配不明确。bindiff只考虑相同属性的函数,并进行Drill Down。Drill Down意味着尝试下一个最佳属性,直到算法结束/匹配到函数(1中的情况)/集合解散(有属性无法匹配到任何函数,就是3中的情况)
  3. 该属性在另一个二进制文件中没有该匹配项,则保留在未匹配集合中

在初始全局匹配结束后,考虑每个新匹配的调用者及调用。尝试对每个函数执行向下匹配,来匹配调用者和调用集合中的函数

最后,对所有新匹配的函数进行基本块匹配(已经配对的函数进行基本块分析,更细粒度的匹配),并匹配从匹配的基本块调用的函数(调用引用匹配)。

然后才是结束单个属性的全局匹配,对剩下的不匹配的函数,应用下一个最佳属性

函数匹配

这部分其实就是函数属性优先级列表,可以参考文档原文

基本块匹配

这部分没看

置信度和相似度

置信度:平均算法置信度(匹配质量),用于查找有sigmoid函数加权的特定匹配项

不是简单的进行平均,因为在完美匹配的函数/二进制中很少有单个弱匹配,不应当过多的降低置信度。类似,少数的强匹配也无法拯救大部分弱匹配。

函数相似度加权和:

  • 25%,匹配的flow图中的边占总边数
  • 15%,匹配的基本块占基本块总数
  • 10%,匹配的指令数占总指令数目
  • 50%,difference in flow graph MD index

得到的相似度再乘以置信度。

整个二进制的相似度:

  • 35%,匹配的flow图中的边占总边数
  • 25%,匹配的基本块占基本块总数
  • 10%,匹配的函数占总函数的比例
  • 10%,匹配的指令占总指令数目
  • 20%,difference in call graph MD index

乘以置信度,只考虑非库函数。

MD index:基于函数的拓扑顺序,入度和出度的CFG哈希函数。参考 MD-Index paper

参考

Bindiff 官方文档
How does BinDiff work?

苏打呀
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
二进制文件比较工具Zynamics_BinDiff_4.2
02-16
二进制文件比较工具 Zynamics_BinDiff_4.2 with license
bindiff-开源
04-24
查找二进制文件中差异的工具。
Bindiff安装以及使用
z2664836046的博客
09-28 3143
工具安装
推荐文章:《提升逆向工程效率的神器——BinDiffHelper》
最新发布
gitblog_00055的博客
05-27 482
推荐文章:《提升逆向工程效率的神器——BinDiffHelper》 项目地址:https://gitcode.com/ubfx/BinDiffHelper 项目介绍 在软件逆向工程领域,精确地识别和命名函数是至关重要的。为此,我们发现了一个名为BinDiffHelper的革命性工具,这是Ghidra平台的一个扩展插件,它通过集成BinDiff的功能,自动化了函数匹配与重命名过程。无论是对于安全研究...
BinDiff 使用记录
qq_36535153的博客
08-13 1258
1.先介绍下BinDiff 的安装 1. **bindiff5.msi**下载路径 链接:https://pan.baidu.com/s/1AvCqAyJAp_gT1piIHgV6-A 提取码:3cpg 这个版本的binDiff是支持IDA7.0的版本 2 安装的时候提示要输入IDA的安装路径 如果路径错误也可能会导致bindiff不能正常使用 3.安装完成后会在File->binfiff的路径下出现工具的图案,或者快捷键 shift-D能调用出BinDiff的功能 BinDiff使用 1.sh
推荐开源项目:VBinDiff - 可视化二进制比较工具
gitblog_00067的博客
05-21 412
推荐开源项目:VBinDiff - 可视化二进制比较工具 项目地址:https://gitcode.com/madsen/vbindiff 项目介绍 VBinDiff 是一个强大的可视化二进制文件比较工具,它能以十六进制和ASCII(或EBCDIC)的形式展示文件,并能同时显示两个文件的差异。不同于普通的文本比较工具diff,VBinDiff在处理大型文件时表现出色,即使面对高达4GB的文件也能轻...
BinDiff安装使用教程
weixin_30335575的博客
03-18 1448
一、说明 大概一两年前在《漏洞战争:软件漏洞分析精要》听到bindiff(和补丁比较法),但一直都没去使用。前两天再回头看书感觉需要使用一翻,整个过程下来还是遇到了一些问题,值得记录一番。 二、安装 2.1 jdk安装 bindiff是一款java程序,因此需要安装jdk,我装的是jdk1.8其他版本兼容性不太清楚。 jdk下载地址:https://www.oracle....
BinDiff二进制文件的开源比较工具
网络研究观
09-26 9641
BinDiff 是一个二进制文件比较工具,可以快速查找反汇编代码中的差异和相似之处。
Win10 + Bindiff 6.0 + IDA 7.5 安装教程
YouTheFreedom的博客
09-18 6693
文章目录JAVA 环境搭建IDA 7.5 安装Bindiff 6 安装新建 workspace编写比较测试程序使用ida创建数据库Bindiff 简单对比文件安装 IDA Bindiff 插件 第二次安装 Bindiff 依旧踩了大坑,为了避免重蹈覆辙,详细记录下正确的安装方式 安装 Bindiff 不是随便找个版本安装下就能用的,不同版本的 Bindiff 对应不同版本的操作系统,JAVA 和 IDA,所以安装前最好先根据个人实际情况选择正确的软件版本,环境没问题了,神器用起来才得心应手。 本人的操作系统
bindiff can‘t compare IDA string table
谢绝留言与私信
08-21 445
在查其他资料时, 突然看到bindiff有新版了, 顺手下载了一个装上试试.bindiff功能:用来无源码比较1个可执行程序工程的不同版本之间的实现区别. e.g. 程序A的1.0.0版和1.0.20之间的实现区别. 如果改动比较小, 很容易用bindiff看出具体区别出来. 如果变化比较大, 也能定位到底哪些函数实现变化了.以前用bindiff_V4.20时, 写了一个笔记(). 那时是2017年.现在的bindiff是V7.0(2021年发布的), 比较速度比以前版本快多了.
BinDiff7.dmg
08-25
BinDiff7.dmg Mac版本 免费版本
[程序分析测试软件].Zynamics.BinNavi.v5.0.Incl.Keyfilemaker(WWW.EMULEBA.COM).zip
11-07
[程序分析测试软件].Zynamics.BinNavi.v5.0.Incl.Keyfilemaker(WWW.EMULEBA.COM).zip
bindiff7.msi
08-25
bindiff7.msi win10版本 免费版本 免费的 非盗版 https://www.zynamics.com/software.html
bindiff420-win-x86_ida_bindiff_
09-30
BinDiff二进制分析漏洞研究中的应用》 BinDiff,作为一款强大的二进制文件比较工具,对于信息安全领域的专业人员,尤其是漏洞研究人员和逆向工程师而言,具有不可忽视的价值。该软件的主要功能是对比两个二...
bindiff5.msi
05-20
Bindiff 5.0 windows版本 免费版本 https://www.zynamics.com/software.html
bindiff6.msi 最新版
09-17
bindiff6.msi 最新版
2023-GUDOCTF-L!S!(bindiff的使用)
qq_54894802的博客
04-18 555
本题主要是运用了bindiff这个插件。对于处理两个源码的函数处理,和符号恢复有奇效
Bindiff工具使用-[GDOUCTF 2023]L!s!
m0_73393932的博客
04-25 2474
逆向
基于帧差法的目标跟踪matlab
05-24
基于帧差法的目标跟踪是一种简单而有效的方法,它可以通过计算相邻帧之间的像素变化来检测和跟踪运动目标。以下是一个基于帧差法的目标跟踪的MATLAB实现示例: 1. 读取视频帧序列 ```matlab videoReader = VideoReader('test_video.mp4'); frameCount = videoReader.NumberOfFrames; frames = cell(1, frameCount); for i = 1:frameCount frames{i} = read(videoReader, i); end ``` 2. 提取目标区域并进行背景建模 ```matlab background = imopen(frames{1}, strel('disk', 5)); foreground = zeros(size(frames{1})); for i = 1:frameCount frame = frames{i}; diff = imabsdiff(frame, background); grayDiff = rgb2gray(diff); threshold = graythresh(grayDiff); binDiff = imbinarize(grayDiff, threshold); binDiff = imfill(binDiff, 'holes'); binDiff = bwareafilt(binDiff, 1); foreground = imoverlay(frame, binDiff, [1,0,0]); imshow(foreground); end ``` 3. 计算目标运动轨迹 ```matlab props = regionprops(binDiff, 'Centroid'); centroids = cat(1, props.Centroid); if size(centroids, 1) >= 2 displacement = centroids(2,:) - centroids(1,:); motionVector = [motionVector; displacement]; position = position + displacement; end ``` 在上述代码中,我们首先读取视频帧序列并提取目标区域。然后,我们计算目标的运动轨迹,并使用motionVector和position变量来跟踪目标的位置和速度。 这是一个基本的帧差法目标跟踪实现示例,可以根据实际情况进行调整和改进。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

苏打呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值