#frida
#фрида
Вопрос:
Я провожу некоторое тестирование нечеткого хеширования и использовал двоичные файлы сервера frida в качестве примеров. Я предполагал, что более новые версии frida server будут создаваться поверх существующего кода, и поэтому между каждым выпуском должен быть высокий процент сходства. Однако, когда я провел сравнение ssdeep между второстепенными версиями, такими как 12.11.14 и 12.11.13, я обнаружил, что сходство равно 0 (никакого сходства).
Мне было интересно, пробовал ли кто-нибудь еще это раньше? Имеет ли это отношение к тому, как компилируется код сервера frida?
Пример нечеткого хэширования frida_server_12.11.14_ios_arm64 и frida_server_12.11.13_ios_arm64
filename frida-server-12.11.14-ios-arm64 393216:8ljDmG xQiYfCR1t1rK8JuMwlG/WjeZFO5r vxLEf8FC/ie:cvY5IMwlUWjeZFLxC
filename2 frida-server-12.11.13-ios-arm64 393216:hWCJZ51p1Y1flpCv5iu1rK42BQAtcqg9EywtUQO82xsT89C/7mekv:hLP6 kBQAtvg9Eywj2Eu
Функция сравнения в ssdeep вернула 0, что означает, что подписи не совпадали.
Однако, когда я сравнил различные архитектуры (arm, arm64 и arm64e) в рамках одной и той же версии (12.11.14), обнаружилось некоторое сходство.
filename frida-server-12.11.14-ios-arm64 393216:8ljDmG xQiYfCR1t1rK8JuMwlG/WjeZFO5r vxLEf8FC/ie:cvY5IMwlUWjeZFLxC
filename2 frida-server-12.11.14-ios-arm 196608:BpN3Tm15GpZHGG xQiYMxi/s60k01dX1rKCVasZDpeCVR:XNjDmG xQiYfCR1t1rK e
fuzzy hashes comparison 57
filename frida-server-12.11.14-ios-arm64 393216:8ljDmG xQiYfCR1t1rK8JuMwlG/WjeZFO5r vxLEf8FC/ie:cvY5IMwlUWjeZFLxC
filename2 frida-server-12.11.14-ios-arm64e 786432:BBMMwlUWjeZFLxC99NMeQEaB9GFLM6j7D:VdyD
fuzzy hashes comparison 49
Комментарии:
1. Я не уверен, насколько хорошо ssdeep подходит для таких сравнений. Ваш вопрос близок к теме «воспроизводимые сборки с помощью Xcode», которая много обсуждалась в последние годы. Смотрите, например twitter.com/steipete/status/1267926133988786176