补丁比较工具BinDiff

通过补丁比较进行漏洞挖掘的思路

在只有补丁包的情况下，为了发掘补丁解决的漏洞，需要弄清两个问题

1、漏洞在哪个模块中？

2、漏洞在模块中的哪个函数？

为解决第一个问题，可以通过ProcessMonitor，监控补丁执行时对哪些文件进行了修改，从而判断漏洞可能的模块。

为解决第二个问题，需要将补丁前的模块和补丁后的模块进行二进制比较，分析其中被修改的函数，找到漏洞成因。

还有一种思路，通过调试器的指令运行记录功能，记录poc在漏洞版本和修复版本运行的指令上的差异，从而找出漏洞成因和修复方法。上一种分析方法类似于静态分析，此种分析方法类似于动态调试。

https://blog.csdn.net/counsellor/article/details/98954462

https://www.cnblogs.com/lsdb/p/10543411.html

https://blog.csdn.net/caiqiiqi/article/details/80890226

64位的ida可以生成32位程序或64位程序的.i64文件。64位的IDA不能用于打开.idb格式的文件。

BinDiff可以支持.idb和.i64两种格式的文件比较。

BinDiff如果分析较大的文件，需要使用大量内存，如果内存过小，可能导致分析结果无法在bindiff.jar的界面中显示，笔者环境为win7虚拟机+ida6.8+BinDiff4.3，需要配置16Gb的虚拟机内存才能保证漏洞战争一书中漏洞补丁实例的分析。

BindDiff中bindiff.jar界面似乎不支持中文，最好保证文件以及文件路径均为英文

如果系统中账户用户名为中文（即c盘user目录下当前账户文件夹名为中文），会导致BinDiff执行失败，因为BinDiff会用到"C:Users用户名"路径下的文件。

搜索指定漏洞函数0x30f0b5c2

对比漏洞函数补丁前后的执行流程