工具使用-BinDiff

Posted 2020-11-16 hell--world

补丁比较工具BinDiff

通过补丁比较进行漏洞挖掘的思路

在只有补丁包的情况下，为了发掘补丁解决的漏洞，需要弄清两个问题

1、漏洞在哪个模块中？

2、漏洞在模块中的哪个函数？

为解决第一个问题，可以通过ProcessMonitor，监控补丁执行时对哪些文件进行了修改，从而判断漏洞可能的模块。

    为解决第二个问题，需要将补丁前的模块和补丁后的模块进行二进制比较，分析其中被修改的函数，找到漏洞成因。

 

BinDiff下载以及安装教程：

https://blog.csdn.net/counsellor/article/details/98954462

https://www.cnblogs.com/lsdb/p/10543411.html

https://blog.csdn.net/caiqiiqi/article/details/80890226

 

 

注意事项

64位的ida可以生成32位程序或64位程序的.i64文件。64位的IDA不能用于打开.idb格式的文件。

 

BinDiff可以支持.idb和.i64两种格式的文件比较。

 

BinDiff如果分析较大的文件，需要使用大量内存，如果内存过小，可能导致分析结果无法在bindiff.jar的界面中显示，笔者环境为win7虚拟机+ida6.8+BinDiff4.3，需要配置16Gb的虚拟机内存才能保证漏洞战争一书中漏洞补丁实例的分析。

 

BindDiff中bindiff.jar界面似乎不支持中文，最好保证文件以及文件路径均为英文

 

如果系统中账户用户名为中文（即c盘user目录下当前账户文件夹名为中文），会导致BinDiff执行失败，因为BinDiff会用到"C:Users用户名"路径下的文件。

 

使用示例：

搜索指定漏洞函数0x30f0b5c2

 

对比漏洞函数补丁前后的执行流程