白袍的小行星

漏洞分析中的Diff方法

字数统计: 1.3k阅读时长: 4 min
2021/04/03 Share

在做最新漏洞的分析时,通常要diff补丁,看官方增加或修改了哪里的代码,从而得出漏洞利用方式,所以收集了常见的方式和工具,便于以后使用。

diff命令

Linux的diff命令可以比较文件之间的差异,也可以用来寻找后门等。

diff命令语法:

diff [-abBcdefHilnNpPqrstTuvwy][-<行数>][-C <行数>][-D <巨集名称>]
[-I <字符或字符串>][-S <文件>][-W <宽度>][-x <文件或目录>]
[-X <文件>][--help][--left-column]
[--suppress-common-line][文件或目录1][文件或目录2]

参数:

  • -<行数>  指定要显示多少行的文本。此参数必须与-c或-u参数一并使用。
  • -a或—text  diff预设只会逐行比较文本文件。
  • -b或–ignore-space-change  不检查空格字符的不同。
  • -B或–ignore-blank-lines  不检查空白行。
  • -c  显示全部内文,并标出不同之处。
  • -C<行数>或—context<行数>  与执行”-c-<行数>”指令相同。
  • -d或—minimal  使用不同的演算法,以较小的单位来做比较。
  • -D<巨集名称>或ifdef<巨集名称>  此参数的输出格式可用于前置处理器巨集。
  • -e或—ed  此参数的输出格式可用于ed的script文件。
  • -f或-forward-ed  输出的格式类似ed的script文件,但按照原来文件的顺序来显示不同处。
  • -H或–speed-large-files  比较大文件时,可加快速度。
  • -l<字符或字符串>或—ignore-matching-lines<字符或字符串>  若两个文件在某几行有所不同,而这几行同时都包含了选项中指定的字符或字符串,则不显示这两个文件的差异。
  • -i或—ignore-case  不检查大小写的不同。
  • -l或—paginate  将结果交由pr程序来分页。
  • -n或—rcs  将比较结果以RCS的格式来显示。
  • -N或—new-file  在比较目录时,若文件A仅出现在某个目录中,预设会显示:
  • Only in目录:文件A若使用-N参数,则diff会将文件A与一个空白的文件比较。
  • -p  若比较的文件为C语言的程序码文件时,显示差异所在的函数名称。
  • -P或—unidirectional-new-file  与-N类似,但只有当第二个目录包含了一个第一个目录所没有的文件时,才会将这个文件与空白的文件做比较。
  • -q或—brief  仅显示有无差异,不显示详细的信息。
  • -r或—recursive  比较子目录中的文件。
  • -s或—report-identical-files  若没有发现任何差异,仍然显示信息。
  • -S<文件>或—starting-file<文件>  在比较目录时,从指定的文件开始比较。
  • -t或—expand-tabs  在输出时,将tab字符展开。
  • -T或—initial-tab  在每行前面加上tab字符以便对齐。
  • -u,-U<列数>或—unified=<列数>  以合并的方式来显示文件内容的不同。
  • -v或–version  显示版本信息。
  • -w或–ignore-all-space  忽略全部的空格字符。
  • -W<宽度>或—width<宽度>  在使用-y参数时,指定栏宽。
  • -x<文件名或目录>或—exclude<文件名或目录>  不比较选项中所指定的文件或目录。
  • -X<文件>或—exclude-from<文件>  您可以将文件或目录类型存成文本文件,然后在=<文件>中指定此文本文件。
  • -y或—side-by-side  以并列的方式显示文件的异同之处。
  • —help  显示帮助。
  • —left-column  在使用-y参数时,若两个文件某一行内容相同,则仅在左侧的栏位显示该行内容。
  • —suppress-common-lines  在使用-y参数时,仅显示不同之处。

常用方式:

# 比较两个文件目录里的文件差异
diff -c -a -r dir1 dir2 > /tmp/diff.txt

20210403223903RmZulo

diff命令比较适合做简单的快速比较。

Beyond Compare

这也是一款强大的内容比较软件,支持Windows、Linux和macOS,官网:Scooter Software: Home of Beyond Compare
购买专业版需要60美刀,标准版减半。

2021040323013882rl9S

Mac下无限试用的方法:黑科技之Beyond Compare在Mac OS系统下永久试用 - 简书

git-history

这个并不是git命令的history,而是一个项目:GitHub - pomber/git-history
使用它很简单,只需要在github上访问你要查看的文件,再将域名里的github.com替换为github.githistory.xyz,就可以很直观地看到此文件的变化,差异处会有高亮:
20210403232256ZEZgkT
202104032323556OMtSp

它还有Chrome和Firefox插件,很方便,有点美中不足的是似乎只能对单文件进行跟踪。

cafecompare

GitHub - GraxCode/cafecompare是用来对jar或class文件进行diff的,可以得到比较详细的结果,也适用于经过混淆的情况,但是一般耗时较长。
20210403232944pDYbIJ

总结

文中介绍了几种diff的方法,在实际的漏洞补丁跟踪中,需要综合使用,根据情况决定。

CATALOG
  1. 1. diff命令
  2. 2. Beyond Compare
  3. 3. git-history
  4. 4. cafecompare
  5. 5. 总结