前几天打了datacon,需要寻找埋在二进制文件里的漏洞。一种不错的方式是找两个版本靠近二进制文件进行diff一下。之前笔者都是通过bindiff+ghidra来进行diff二进制文件的,对于看习惯了IDA界面的我而言,总感觉ghidra界面看起来不够舒服。于是找到了diaphora这个IDA的插件(项目地址:https://github.com/joxeankoret/diaphora ),专门用来对二进制文件进行diff,使用起来也极为简单便捷。这这里记录一下使用方法。
首先用IDA打开第一个二进制文件,File->Script file里选择diaphora.py。弹出Diaphora界面后直接点击OK,把第一个文件的数据导入数据库中,记住sqlite的位置。等待Diaphora运行完毕之后,即可关闭第一个IDA界面。
然后用IDA打开第二个二进制文件,用同样的方式运行diaphora.py之后,把刚才生成的sqlite的路径填到,SQLite database to diff against中,再点击OK运行。
运行完成之后即可看到diff的结果,看起来很舒服。
