如何在Linux中比较二进制文件？

我需要比较两个二进制文件并以以下形式获取输出：

<fileoffset-hex> <file1-byte-hex> <file2-byte-hex>

对于每个不同的字节。所以如果file1.bin是

  00 90 00 11

以二进制形式和file2.bin是

  00 91 00 10

我想得到像

  00000001 90 91
  00000003 11 10

在Linux中有没有办法做到这一点？我知道，cmp -l但是它使用十进制表示偏移量，使用八进制表示字节，我想避免这种情况。

这将以十六进制打印偏移量和字节：

cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1, strtonum(0$2), strtonum(0$3)}'

或$1-1将第一个打印的偏移量从0开始。

cmp -l file1.bin file2.bin | gawk '{printf "%08X %02X %02X\n", $1-1, strtonum(0$2), strtonum(0$3)}'

不幸的是，strtonum()它特定于GAWK，因此对于其他版本的awk（例如mawk），您将需要使用八进制到十进制的转换函数。例如，

cmp -l file1.bin file2.bin | mawk 'function oct2dec(oct,     dec) {for (i = 1; i <= length(oct); i++) {dec *= 8; dec += substr(oct, i, 1)}; return dec} {printf "%08X %02X %02X\n", $1, oct2dec($2), oct2dec($3)}'

出于可读性而细分：

cmp -l file1.bin file2.bin |
    mawk 'function oct2dec(oct,    dec) {
              for (i = 1; i <= length(oct); i++) {
                  dec *= 8;
                  dec += substr(oct, i, 1)
              };
              return dec
          }
          {
              printf "%08X %02X %02X\n", $1, oct2dec($2), oct2dec($3)
          }'

正如〜quack指出的那样：

 % xxd b1 > b1.hex
 % xxd b2 > b2.hex

接着

 % diff b1.hex b2.hex

要么

 % vimdiff b1.hex b2.hex

diff + xxd

尝试diff以下zsh / bash进程替换的组合：

diff -y <(xxd foo1.bin) <(xxd foo2.bin)

哪里：

• -y 并排显示差异（可选）。
• xxd 是用于创建二进制文件的十六进制转储输出的CLI工具。
• 添加-W200到diff用于更宽的输出（每行的200个字符）。
• 对于颜色，请colordiff如下所示使用。

colordiff + xxd

如果您拥有colordiff，它可以使diff输出着色，例如：

colordiff -y <(xxd foo1.bin) <(xxd foo2.bin)

^{否则通过以下方式安装sudo apt-get install colordiff。}

样本输出：

vimdiff + xxd

您也可以使用vimdiff，例如

vimdiff <(xxd foo1.bin) <(xxd foo2.bin)

提示：

• 如果文件太大，-l1000则为每个文件添加限制（例如）xxd

有一个名为DHEX的工具可以完成这项工作，还有另一个名为VBinDiff的工具。

对于严格的命令行方法，请尝试jojodiff。

适用于字节添加/删除的方法

diff <(od -An -tx1 -w1 -v file1) \
     <(od -An -tx1 -w1 -v file2)

删除一个字节64即可生成一个测试用例：

for i in `seq 128`; do printf "%02x" "$i"; done | xxd -r -p > file1
for i in `seq 128`; do if [ "$i" -ne 64 ]; then printf "%02x" $i; fi; done | xxd -r -p > file2

输出：

64d63
<  40

如果您还想查看字符的ASCII版本：

bdiff() (
  f() (
    od -An -tx1c -w1 -v "$1" | paste -d '' - -
  )
  diff <(f "$1") <(f "$2")
)

bdiff file1 file2

输出：

64d63
<   40   @

在Ubuntu 16.04上测试。

我喜欢od过xxd，因为：

• 它是POSIX，xxd不是（Vim附带）
• 有-An没有删除地址栏awk。

命令说明：

• -An删除地址列。这很重要，否则在添加/删除字节后所有行都会有所不同。
• -w1每行放置一个字节，以便diff可以使用它。每行有一个字节至关重要，否则删除后的每一行将异相并有所不同。不幸的是，这不是POSIX，而是在GNU中存在。
• -tx1 是您想要的表示形式，只要您每行保留1个字节，就可以更改为任何可能的值。
• -v防止星号重复的缩写*可能会影响差异
• paste -d '' - -每两行连接一次。我们需要它，因为十六进制和ASCII会进入单独的相邻行。摘自：https : //stackoverflow.com/questions/8987257/concatenating-every-other-line-with-the-next
• 我们使用括号()来定义bdiff而不是{}限制内部函数的范围f，另请参见：https : //stackoverflow.com/questions/8426077/how-to-define-a-function-inside-another-function-in-bash

也可以看看：

• https://unix.stackexchange.com/questions/59849/diff-binary-files-of-different-sizes
• https://stackoverflow.com/questions/8385618/using-cmp-to-compare-two-binaries

简短答案

vimdiff <(xxd -c1 -p first.bin) <(xxd -c1 -p second.bin)

当使用hexdumps和text diff比较二进制文件时，尤其是xxd字节的增加和减少会导致寻址移位，这可能使您很难看到。此方法告诉xxd不输出地址，并且每行仅输出一个字节，从而准确显示更改，添加或删除的字节。您可以稍后在更“正常”的十六进制转储（的输出xxd first.bin）中搜索有趣的字节序列，以找到地址。

我建议使用hexdump将二进制文件转储为文本格式，使用kdiff3将其差异查看。

hexdump myfile1.bin > myfile1.hex
hexdump myfile2.bin > myfile2.hex
kdiff3 myfile1.hex myfile2.hex

该hexdiff程序旨在完全满足您的需求。

用法：

hexdiff file1 file2

它将两个文件的十六进制（和7位ASCII）显示在另一个文件的上方，并突出显示所有差异。查看在man hexdiff文件中四处移动的命令，然后一个简单的命令q退出。

它可能不能严格回答这个问题，但是我用它来区别二进制文件：

gvim -d <(xxd -c 1 ~/file1.bin | awk '{print $2, $3}') <(xxd -c 1 ~/file2.bin | awk '{print $2, $3}')

它将两个文件以十六进制和ASCII值打印出来，每行一个字节，然后使用Vim的diff工具以可视方式呈现它们。

dhex http://www.dettus.net/dhex/

DHEX不仅仅只是另一个十六进制编辑器：它包括diff模式，可用于轻松方便地比较两个二进制文件。由于它基于ncurses并且具有主题性，因此它可以在任何数量的系统和方案上运行。利用搜索日志，可以轻松跟踪文件不同迭代中的更改。

您可以使用vim-gui-common软件包中包含的gvimdiff工具

sudo apt-get更新

须藤apt-get install vim-gui-common

然后，您可以使用以下命令比较2个十六进制文件：

ubuntu> gvimdiff <hex-file1> <hex-file2>

Tha的全部。希望能有所帮助！

固件分析工具binwalk的-W/ --hexdump命令行选项也具有此功能，该选项提供诸如仅显示不同字节的选项：

    -W, --hexdump                Perform a hexdump / diff of a file or files
    -G, --green                  Only show lines containing bytes that are the same among all files
    -i, --red                    Only show lines containing bytes that are different among all files
    -U, --blue                   Only show lines containing bytes that are different among some files
    -w, --terse                  Diff all files, but only display a hex dump of the first file

在OP的示例中，执行binwalk -W file1.bin file2.bin以下操作时：

https://security.googleblog.com/2016/03/bindiff-now-available-for-free.html

BinDiff是一个很棒的UI工具，用于比较最近开源的二进制文件。

Linux（以及其他所有产品）上的开源产品是Radare，它radiff2为此提供了明确的支持。我投票决定将其关闭，因为我和其他人在您提出的问题中存在相同的问题

对于每个不同的字节

那太疯狂了。因为按照要求，如果在文件的第一个字节插入一个字节，则会发现随后的每个字节都不同，因此差异将重复整个文件，实际差值为一个字节。

稍微实用一些radiff -O。该-O是“”别代码的所有字节而不是只是固定的操作码字节版本比较“”

0x000000a4 0c01 => 3802 0x000000a4
0x000000a8 1401 => 3802 0x000000a8
0x000000ac 06 => 05 0x000000ac
0x000000b4 02 => 01 0x000000b4
0x000000b8 4c05 => 0020 0x000000b8
0x000000bc 4c95 => 00a0 0x000000bc
0x000000c0 4c95 => 00a0 0x000000c0

与IDA Pro一样，Radare是二进制分析的主要工具，您也可以使用来显示增量差异-d，或使用来显示反汇编的字节而不是十六进制-D。

如果您仍在问这些问题，请查看

• 有关软件问题的堆栈溢出，
• 逆向工程堆栈交换
• Radare radiff2用于二进制比较