Bagaimana Membandingkan File Biner di Linux

Diterbitkan: 2022-08-20

Laptop Linux menampilkan prompt bash — fatmawati achmad zaenuri/Shutterstock.com

Bagaimana Anda bisa memeriksa apakah dua binari Linux sama? Jika itu adalah file yang dapat dieksekusi, perbedaan apa pun mungkin berarti perilaku yang tidak diinginkan atau berbahaya. Inilah cara termudah untuk memeriksa apakah mereka berbeda.

Membandingkan File Biner

Linux kaya akan cara untuk membandingkan dan menganalisis file teks. Perintah diff akan membandingkan dua file untuk Anda, dan menyoroti perbedaannya. Itu bahkan dapat memberikan beberapa baris di kedua sisi perubahan untuk memberikan beberapa konteks di sekitar baris yang diubah. Dan perintah colordiff menambahkan warna untuk membuat penguraian perbedaan secara visual menjadi lebih mudah.

Pengembang dan penulis menggunakan diff untuk menyoroti perbedaan antara berbagai versi file kode sumber program, atau teks draf. Ini cepat dan mudah, dan Anda tidak memerlukan keahlian teknis untuk melihat perbedaan antara string teks.

Di dunia file biner, semuanya tidak sesederhana itu. File biner tidak terdiri dari teks biasa. Mereka terdiri dari banyak byte yang berisi nilai numerik. Jika file terkompresi seperti arsip TAR atau file ZIP, nilai tersebut mewakili file terkompresi yang disimpan di dalam file arsip, bersama dengan tabel simbol yang diperlukan untuk dekompresi dan ekstraksi file.

Bagaimana Membandingkan Dua File Teks di Terminal Linux

TERKAIT Cara Membandingkan Dua File Teks di Terminal Linux

Jika file biner adalah file yang dapat dieksekusi, nilai numerik byte file ditafsirkan sebagai hal-hal seperti instruksi kode mesin untuk CPU, metadata, label, atau data yang dikodekan. Perubahan pada file biner atau file library cenderung menyebabkan perbedaan perilaku saat biner dijalankan atau digunakan oleh aplikasi lain.

Sangat mudah untuk memalsukan tanggal dan waktu pembuatan atau modifikasi file. Itu berarti mungkin ada dua versi file yang memiliki nama yang sama, ukuran file—jika perubahan menggantikan byte konten yang ada untuk byte—dan cap tanggal. Namun, salah satu file mungkin telah diubah.

Algoritma Hash Aman

Algoritma hash yang aman adalah algoritma berbasis matematika. Ini menciptakan nilai 64-bit dengan memindai semua byte dalam file dan menerapkan transformasi matematis untuk menghasilkan nilai hash. Setiap hari, file yang sama akan selalu menghasilkan hash yang sama. Bahkan perbedaan satu byte akan menghasilkan hash yang sangat berbeda.

Anda akan sering melihat hash file yang ditampilkan di halaman unduhannya. Anda harus membuat hash untuk file setelah Anda mengunduhnya. Jika berbeda dari hash yang ditampilkan di halaman web, Anda tahu bahwa file tersebut telah disusupi. Itu telah dirusak dan diganti dengan file asli—untuk membuat orang mengunduh file yang tercemar—atau telah rusak dalam perjalanan.

Di komputer uji kami, kami memiliki dua salinan file yang sama, perpustakaan bersama. File-file tersebut telah diganti namanya sehingga mereka dapat berada di direktori yang sama. Secara teori, file-file ini harus sama. Bagaimanapun, mereka seharusnya menjadi versi yang sama dari perpustakaan bersama.

 ls -l *.so

Dua file biner yang tampak sama

File memiliki ukuran yang sama, stempel tanggal yang sama, dan stempel waktu yang sama. Bagi pengamat biasa, mereka akan tampak sama. Mari gunakan perintah sha256sum dan buat hash untuk setiap file.

 sha256sum binary_file1.so

 sha256sum binary_file2.so

Menghasilkan hash untuk dua file biner

Hash benar-benar berbeda, dengan jelas menunjukkan bahwa ada perbedaan antara kedua file. Jika situs web menunjukkan hash dari file asli, Anda dapat membuang file yang tidak cocok.

Menemukan Perbedaan

Jika Anda ingin melihat perubahannya, ada cara untuk melakukannya juga. Anda tidak perlu dapat mendekompilasi file, atau memahami kode perakitan atau mesin hanya untuk melihat modifikasinya. Memahami apa arti perubahan itu, dan apa tujuannya, tentu saja, akan membutuhkan pengetahuan teknis yang lebih dalam. Tetapi hanya mengetahui seberapa besar perubahannya dapat menjadi indikasi tentang apa yang terjadi pada file tersebut.

Jika kita menggunakan diff pada dua file biner, kita akan mendapatkan respon yang sedikit mengecewakan.

 diff binary_file1.so binary_file2.so

Menggunakan diff dengan dua file biner memberikan informasi yang sangat sedikit

Kami sudah tahu filenya berbeda. Mari kita coba cmp .

 cmp binary_file1.so binary_file2.so

Menggunakan cmp dengan dua file biner memberikan sedikit lebih banyak informasi, tetapi tidak banyak

Ini memberitahu kita sedikit lebih banyak. Byte pertama yang membedakan kedua file tersebut adalah byte nomor 13451. Artinya, dihitung dari awal file biner, byte 13451 berbeda di kedua file biner. Jadi 13451 adalah offset dari perbedaan pertama, dari awal file.

Secara kebetulan, di seluruh file, akan ada byte yang berisi nilai heksadesimal 0x10. Ini adalah nilai yang digunakan Linux dalam file teks sebagai karakter akhir baris. Perintah cmp menemukan 131 byte dengan nilai ini antara awal file biner dan lokasi perbedaan pertama. Jadi ia berpikir itu ada di jalur 132. Ini benar-benar tidak berarti apa-apa dalam konteks ini.

Jika kita menambahkan opsi -l (verbose) kita akan mulai mendapatkan informasi yang berguna.

 cmp -l binary_file1.so binary_file2.so

Menggunakan opsi -l dengan cmp untuk membuat daftar byte yang diubah

Semua byte yang berbeda terdaftar. Nomor byte atau offset, nilai dari file pertama, dan nilai dari file kedua ditampilkan, dengan satu byte per baris output.

Nilai byte ditampilkan dalam oktal, bukan format heksadesimal yang biasa digunakan dengan file biner. Meskipun demikian, kami telah belajar sesuatu yang lain. Semua byte yang diubah berada dalam satu urutan berkelanjutan. Offset mereka bertambah satu untuk setiap byte.

Alat hexdump akan membuang file biner ke jendela terminal. Jika kita menggunakan opsi -C (canonical) output akan mencantumkan offset pada setiap baris, nilai 16 byte pada offset tersebut, dan—jika ada—representasi ASCII dari nilai byte.

 hexdump -C binary_file1.so

Output kanonik hexdump dari file biner

Kita dapat menggunakan output dari hexdump sebagai input ke diff , membiarkan diff bekerja seolah-olah sedang membaca dua file teks.

 diff <(hexdump binary_file1.so) <(hexdump binary_file2.so)

Menggunakan diff dan hexdump untuk mendapatkan perbedaan antara dua file

diff menemukan baris yang berbeda dan menunjukkan nilai byte heksadesimal dari file pertama di atas nilai dari file kedua. Offset baris pertama adalah 0x3480, atau 13440 dalam desimal. Sebelumnya, cmp memberi tahu kami bahwa perubahan pertama terjadi pada byte 13451, yaitu 0x348B. Itu benar-benar cocok dengan apa yang kita lihat di sini.

Output dari diff dalam blok dua byte. Pasangan byte pertama adalah byte 0 dan 1 dari offset 0x3480, blok kedua menampung byte 2 dan 3 dari offset. Blok 6 akan menampung byte 0xA dan 0xB, atau 10 dan 11 dalam desimal. Itu adalah byte 13450 dan 13451. Dan kita dapat melihat bahwa mereka adalah byte pertama yang berbeda. Lima pasang byte pertama sama di kedua file.

Namun, karena diff dihitung dari basis nol, apa yang dipanggil cmp 13451 akan menjadi byte 13540 menjadi diff . Dan untuk membuat masalah menjadi lebih membingungkan, urutan byte di setiap blok dua byte dibalikkan oleh diff . Byte sebenarnya terdaftar dalam urutan ini: 1 dan 0, 3 dan 2, 5 dan 4, 7 dan 6, dan seterusnya.

Perintah ini juga mahal secara komputasi—dua hexdumps dan satu diff sekaligus—terutama jika file yang dibandingkan berukuran besar.

Tetapi jika hexdump -C dapat mengirim versi ASCII dari file biner ke jendela terminal, mengapa kita tidak mengarahkan output ke file teks, dan kemudian membandingkan kedua file teks tersebut dengan diff ?

 hexdump -C binary_file1.so > binary1.txt

 hexdump -C binary_file2.so > binary2.txt

 diff binary1.txt binary2.txt

Mengarahkan hexdump untuk membuat dua file teks, dan menggunakan diff untuk membandingkan file teks

Perbedaan antara dua file ditampilkan dalam dua ekstrak singkat. Ada representasi ASCII di samping mereka. Akan ada sepasang ekstrak untuk setiap perbedaan antara file. Dalam contoh ini, hanya ada satu perbedaan.

Itu semua baik-baik saja, tetapi bukankah lebih bagus jika ada sesuatu yang melakukan semua itu untuk Anda?

VBinDiff

Program VBinDiff dapat diinstal dari repositori biasa untuk semua distribusi utama. Untuk menginstalnya di Ubuntu, gunakan perintah ini:

 sudo apt install vbindiff

Menginstal VBinDiff di Ubuntu

Di Fedora, Anda perlu mengetik:

 sudo dnf instal vbindiff

Menginstal VBinDiff di Fedora

Pengguna Manjaro perlu menggunakan pacman .

 sudo pacman -Sy vbindiff

Menginstal VBinDiff di Fedora

Untuk menggunakan program, berikan nama dua file biner pada baris perintah.

 vbindiff binary_file1.so binary_file2.so

Melewati dua file biner ke VBinDiff pada baris perintah

Aplikasi berbasis terminal terbuka, menampilkan kedua file dalam tampilan bergulir.

VBinDiff menampilkan dua file biner

Anda dapat menggunakan roda gulir mouse atau tombol "Panah Atas", "Panah Bawah", "Beranda", "End", "PageUp", dan "PageDown" untuk menelusuri file. Kedua file akan bergulir.

Tekan tombol "Enter" untuk melompat ke perbedaan pertama. Perbedaannya disorot di kedua file.

VBinDiff menyoroti perbedaan antara dua file biner

Jika ada lebih banyak perbedaan, menekan "Enter" akan menampilkan perbedaan berikutnya. Menekan “q” atau “Esc” akan keluar dari program.

Apa bedanya?

Jika Anda bekerja di komputer milik orang lain dan Anda tidak diizinkan untuk menginstal paket apa pun, Anda dapat menggunakan cmp , diff , dan hexdump . Jika Anda perlu menangkap output untuk diproses lebih lanjut, ini adalah alat yang digunakan juga.

Tetapi jika Anda diizinkan untuk menginstal paket, VBinDiff membuat alur kerja Anda lebih mudah dan lebih cepat. Dan faktanya, menggunakan VBinDiff dengan satu file biner adalah cara mudah dan nyaman untuk menelusuri file biner, yang merupakan bonus yang bagus.

TERKAIT: Cara Mengintip Di Dalam File Biner Dari Baris Perintah Linux