我需要比较两个二进制文件,并得到输出的形式。
<fileoffset-hex> <file1-byte-hex> <file2-byte-hex>
每一个不同的字节。因此,如果file1.bin是
00 90 00 11
二进制形式,而file2.bin是
00 91 00 10
我想得到类似
00000001 90 91
00000003 11 10
这样的东西,在Linux中有没有办法做到?我知道cmp -l,但它使用十进制系统来表示偏移量,而使用八进制来表示字节,这是我想避免的。
这将以十六进制打印偏移量和字节数:
cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1, strtonum(0$2), strtonum(0$3)}'
或者做$1-1,让第一个打印的偏移量从0开始。例如,
cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1-1, strtonum(0$2), strtonum(0$3)}'
为了可读性:
cmp -l file1.bin file2.bin | mawk 'function oct2dec(oct, dec) {for (i = 1; i <= length(oct); i++) {dec *= 8; dec += substr(oct, i, 1)}; return dec} {printf "%08X %02X %02X\n", $1, oct2dec($2), oct2dec($3)}'
diff + xxddiff 在下面的zsh/bash进程替换组合中尝试一下:
diff -y <(xxd foo1.bin) <(xxd foo2.bin)
其中:
-y 并排显示出差异(可选)。xxd是CLI工具,用于创建一个二进制文件的hexdump输出。 -W200中加入diff以获得更宽的输出(每行200个字符)。colordiff + colordiffxxd + colordiff如果你有diff,它可以对sudo apt-get install colordiff输出进行着色,例如:
colordiff -y <(xxd foo1.bin) <(xxd foo2.bin)
否则通过:vimdiff安装。
适用于字节添加/删除的方法*
diff <(od -An -tx1 -w1 -v file1) \
<(od -An -tx1 -w1 -v file2)
for i in `seq 128`; do printf "%02x" "$i"; done | xxd -r -p > file1
for i in `seq 128`; do if ["$i" -ne 64]; then printf "%02x" $i; fi; done | xxd -r -p > file2
生成一个测试用例,只删除一个字节64:
64d63
< 40
输出:
bdiff() (
f() (
od -An -tx1c -w1 -v "$1" | paste -d '' - -
)
diff <(f "$1") <(f "$2")
)
bdiff file1 file2
如果你也想看ASCII版本的字符:
64d63
< 40 @
输出:
&001
在Ubuntu 16. 04.
我更喜欢od而不是xxd,因为:
xxd不是(自带的Vim)-An可以删除地址栏而不需要awk。这一点很重要,否则所有的行都会在增加/删除一个字节后出现差异。-An每行放一个字节,这样diff就可以消耗掉它。每行有一个字节是非常重要的,否则删除后的每一行都会失去相位而产生差异。-w1是你想要的表示方式,可以改成任何可能的值,只要每行保持1个字节就可以。我们需要它,因为十六进制和ASCII会进入不同的相邻行。摘自: https://stackoverflow.com/questions/8987257/concatenating-every-other-line-with-the-next 我们用括号-tx1来定义-v,而不是*来限制内部函数paste -d '' - -的范围,参见。https://stackoverflow.com/questions/8426077/how-to-define-a-function-inside-another-function-in-bash
https://unix.stackexchange.com/questions/59849/diff-binary-files-of-different-sizes
https://stackoverflow.com/questions/8385618/using-cmp-to-compare-two-binaries
它可能不能严格地回答这个问题,但我用它来区别二进制文件:
gvim -d <(xxd -c 1 ~/file1.bin | awk '{print $2, $3}') <(xxd -c 1 ~/file2.bin | awk '{print $2, $3}')
``` &001
它将两个文件都打印成十六进制和[ASCII](http://en.wikipedia.org/wiki/ASCII)的值,每行一个字节,然后使用Vim的diff工具将它们直观地呈现出来。
固件分析工具binwalk也有这个功能,它的-W/--hexdump命令行选项提供了一些选项,比如只显示不同的字节:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-w, --terse Diff all files, but only display a hex dump of the first file
在OP的例子中,当做binwalk -W file1.bin file2.bin时:
dhex http://www.dettus.net/dhex/
DHEX是一个不只是另一个十六进制编辑器:它包含了一个diff模式,可以用来简单方便地比较两个二进制文件。由于它是基于 ncurses,而且是可主题化的,所以它可以在任何系统和场景下运行。通过对搜索日志的利用,它可以很容易地跟踪不同迭代文件的变化。
Linux上的开源产品(和其他一切)是Radare,它明确提供了radiff2。我投票决定关闭这个问题,因为我自己和其他人也有同样的问题,在你问的问题中
for every different byte
这简直是疯了。因为正如你所问的,如果你在文件的第一个字节插入一个字节,你会发现后面的每一个字节都不一样,所以 diff 会重复整个文件,实际的差别是一个字节。radiff -O的意思是"“用所有的字节来进行代码 diffing,而不是只用固定的 opcode 字节”“
0x000000a4 0c01 => 3802 0x000000a4
0x000000a8 1401 => 3802 0x000000a8
0x000000ac 06 => 05 0x000000ac
0x000000b4 02 => 01 0x000000b4
0x000000b8 4c05 => 0020 0x000000b8
0x000000bc 4c95 => 00a0 0x000000bc
0x000000c0 4c95 => 00a0 0x000000c0
和 IDA Pro 一样,Radare 是一个主要用于二进制分析的工具,你也可以用 -O 来显示 delta diffing,或者用 -d 来显示被分解的字节,而不是用 hex 来显示。
如果你在问这类问题,请查看
-D 用于二进制 diffinghttps://security.googleblog.com/2016/03/bindiff-now-available-for-free.html
BinDiff是一款不错的UI工具,用于比较二进制文件,最近开源的二进制文件。