Как быстро сравнить старые и новые файлы патчей для анализа патчей?

[bit57]

I ran into a problem when analyzing patches, there are many service pack files after extraction, I don't know which is the target vulnerability file, for example, the target vulnerability has a lot of .sys under the tcpip .sys directory, compare one by one? Is there a way to bulk export the pre-update file and the patch content to be updated to different folders and then compare?

Я столкнулся с проблемой при анализе патчей, после извлечения есть много файлов пакетов обновления, я не знаю, какой файл целевой уязвимости, например, целевая уязвимость имеет много .sys в каталоге tcpip .sys, сравните один за другим? Есть ли способ массового экспорта файла предварительного обновления и содержимого исправления, которое необходимо обновить, в разные папки, а затем сравнить?

 

[bit57]

Это небольшой пакет обновления, некоторые пакеты обновлений имеют размер 800 МБ, поэтому метод сравнения IDA слишком медленный
Есть ли способ узнать, какой из них имеет уязвимость, есть ли лучший способ узнать, какой файл он обновил?
Какой старый файл находится в этом каталоге?

 

[handersen]

1. Вычислите хеши всех системных до установки обновления, и сохраните и в текстовом файле в формате "путь\к\файлу\имя_файла хеш".
2. Установите обновление и снова выполните пункт 1, сохранив результаты в аналогичный файл под другим именем.
3. Сравните полученные списки файл/хеш и создайте список из одинаковых файлов с отличающимися хешами: это будут файлы измененные установкой обновления, т. е. уязвимость возможно в них.
Вариант технической реализации действий из пунктов 1-3, неплохо описан в главе 10 "Инструмент: контроль файловой системы" книги Bash и кибербезопасность Атака, защита и анализ из командной строки Linux
4. Также надо сделать сравнение снапшотов реестра до и после установки обновления.

 

[kbonslow0x1]

Это небольшой пакет обновления, некоторые пакеты обновлений имеют размер 800 МБ, поэтому метод сравнения IDA слишком медленный
Есть ли способ узнать, какой из них имеет уязвимость, есть ли лучший способ узнать, какой файл он обновил?
Какой старый файл находится в этом каталоге?

$ diff -q -s -r old_pkg/ new_pkg/

 

[bit57]

Я использую Windows, но я не могу получить доступ к даркнету, моя область не позволяет этого, пожалуйста, дайте мне подробное сравнение до и после исправления или знайте перед установкой, что файлы должны быть заменены, в патче есть описание этого файла, но в нем не указано, где хранится замененный файл

 

[handersen]

я не могу получить доступ

Bash и кибербезопасность в Clearnet, and English version of this book.

 

[handersen]

Я использую Windows

Bash можно использовать в Windows.