比较生成可执行文件以进行等效

时间:2010-07-12 19:35:25

标签: comparison executable shared-objects binary-reproducibility

我需要比较使用相同编译器/标志编译的2个可执行文件和/或共享对象,并验证它们没有更改。我们在受监管的环境中工作,因此对于测试目的而言,确切地隔离可执行文件的哪些部分已经发生变化非常有用。

由于标题包含有关文件的信息,因此使用MD5Sums / Hashes不起作用。

有没有人知道一个程序或方法来验证2个文件在执行方面是否相同,即使它们是在不同时间构建的?

4 个答案:

答案 0 :(得分:4)

一个有趣的问题。我在linux上有类似的问题。如果可执行文件的hashsum突然发生变化,OSSEC或tripwire等入侵检测系统可能会产生误报。这可能比Linux“prelink”程序修补可执行文件以便更快启动更糟糕。

为了比较两个二进制文件(在ELF format中),可以使用“readelf”可执行文件,然后使用“diff”来比较输出。我确信有一些精致的解决方案,但没有进一步的麻烦,在Perl中是一个穷人的比较器:

#!/usr/bin/perl -w

$exe = $ARGV[0];

if (!$exe) {
   die "Please give name of executable\n"
}
if (! -f $exe) {
   die "Executable $exe not found or not a file\n";
}
if (! (`file '$exe'` =~ /\bELF\b.*?\bexecutable\b/)) {
   die "file command says '$exe' is not an ELF executable\n";
}

# Identify sections in ELF

@lines = pipeIt("readelf --wide --section-headers '$exe'");

@sections = ();

for my $line (@lines) {
   if ($line =~ /^\s*\[\s*(\d+)\s*\]\s+(\S+)/) {
      my $secnum = $1;
      my $secnam = $2;
      print "Found section $1 named $2\n";
      push @sections, $secnam;
   }
}

# Dump file header

@lines = pipeIt("readelf --file-header --wide '$exe'");
print @lines;

# Dump all interesting section headers

@lines = pipeIt("readelf --all --wide '$exe'");
print @lines;

# Dump individual sections as hexdump

for my $section (@sections) {
   @lines = pipeIt("readelf --hex-dump='$section' --wide '$exe'");
   print @lines;
}

sub pipeIt {
   my($cmd) = @_;
   my $fh;
   open ($fh,"$cmd |") or die "Could not open pipe from command '$cmd': $!\n";
   my @lines = <$fh>;
   close $fh or die "Could not close pipe to command '$cmd': $!\n";
   return @lines;
}

现在你可以在机器1上运行:

./checkexe.pl /usr/bin/curl > curl_machine1

在机器2上:

./checkexe.pl /usr/bin/curl > curl_machine2

将文件复制到SFTP-ed或NSF-ed(您不使用FTP,是吗?)将文件放入同一文件树中,比较文件:

diff --side-by-side --width=200 curl_machine1 curl_machine2 | less

在我的情况下,“.gnu.conflict”,“。geu.liblist”,“。got.plt”和“.dynbss”部分存在差异,这可能适用于“预链接”干预,但是代码部分,“。text”,这将是一个坏标志。

答案 1 :(得分:1)

跟进,这是我最终想出的:

而不是比较最终的可执行文件&amp;共享对象,我们在链接之前比较了.o文件输出。我们假设连接过程具有足够的可重复性,这样就可以了。

它适用于我们的一些情况,我们有两个版本,我们做了一些小的改动,不应该影响最终的代码(代码漂亮的打印机),但如果我们没有建立中间产出。

答案 2 :(得分:0)

您可以通过从ELF文件生成二进制文件来比较RO和RW初始化节的内容。

objcopy <elf_file> -O binary <binary_file>

使用生成的二进制文件比较它们是否相同,例如使用diff

我认为,这足以使您正在生成相同的可执行文件。

答案 3 :(得分:-1)

几年前我不得不做同样的事情。我们必须证明,在仅提供修订号,修订控制存储库,构建工具和构建配置时,我们可以从源重建可执行文件。注意:如果任何这些更改,您可能会发现不同。

我记得可执行文件中有一些时间戳。诀窍是要意识到文件不仅仅是一堆无法解释的字节。该文件有部分,大多数不会更改,但会有一个部分用于构建时间(或某些此类事物)。

我不记得所有的细节,但你需要的命令是{objcopy,objdump,nm},我认为 objdump 是第一个尝试的。

希望这有帮助。