{"id":1240,"date":"2025-09-29T14:26:09","date_gmt":"2025-09-29T12:26:09","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/diffrays-un-super-outil-de-diffing-binaire-ida-pro-pour-la-recherche-de-vulnerabilites\/"},"modified":"2025-09-29T14:26:09","modified_gmt":"2025-09-29T12:26:09","slug":"diffrays-un-super-outil-de-diffing-binaire-ida-pro-pour-la-recherche-de-vulnerabilites","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/diffrays-un-super-outil-de-diffing-binaire-ida-pro-pour-la-recherche-de-vulnerabilites\/","title":{"rendered":"Diffrays &#8211; Un super outil de diffing binaire IDA Pro pour la recherche de vuln\u00e9rabilit\u00e9s"},"content":{"rendered":"<p>Tous les mardis soir, c\u2019est la m\u00eame chose dans le petit monde de la cybers\u00e9curit\u00e9 : Microsoft balance ses patches, et d\u00e8s le mercredi matin, c\u2019est la ru\u00e9e vers l\u2019or pour les experts s\u00e9cu. Bienvenue dans l\u2019univers d\u00e9jant\u00e9 de l\u2019<strong>Exploit Wednesday<\/strong>, o\u00f9 des chercheurs du monde entier se transforment en cyber-arch\u00e9ologues pour y d\u00e9terrer les vuln\u00e9rabilit\u00e9s avant que les m\u00e9chants ne s\u2019en emparent afin de coder des exploits.<\/p>\n<p>Et un nouvel outil vient de d\u00e9barquer pour pimenter cette course folle :<br \/>\n<a href=\"https:\/\/github.com\/pwnfuzz\/diffrays\">Diffrays<\/a><br \/>\n.<\/p>\n<p>Imaginez\u2026 il est 3h du matin, on est mercredi et pendant que vous dormez tranquillement, des milliers de chercheurs en s\u00e9curit\u00e9 sont d\u00e9j\u00e0 en train de comparer fr\u00e9n\u00e9tiquement les binaires de Windows fra\u00eechement patch\u00e9s avec leurs versions vuln\u00e9rables.<\/p>\n<p>Pourquoi est-ce qu\u2019ils font \u00e7a ? H\u00e9 bien c\u2019est parce que chaque seconde compte. L\u2019IA a r\u00e9duit de 40% le temps n\u00e9cessaire pour identifier une vuln\u00e9rabilit\u00e9 \u00e0 partir d\u2019un patch et ce qui prenait des jours prend maintenant des heures, notamment aux cybercriminels, du coup, la course s\u2019est transform\u00e9e en sprint.<\/p>\n<p>Et c\u2019est l\u00e0 que Diffrays entre en sc\u00e8ne. Cet outil, con\u00e7u par pwnfuzz, fait ce qu\u2019on appelle du \u201cpatch diffing\u201d. Pour les non-initi\u00e9s, le patch diffing, c\u2019est l\u2019art de comparer deux versions d\u2019un programme pour trouver ce qui a chang\u00e9. Un peu comme comparer deux photos pour jouer au jeu des 7 diff\u00e9rences, sauf que l\u00e0, on cherche des bugs qui valent potentiellement des millions.<\/p>\n<p>Pour cela, Diffrays utilise<br \/>\n<a href=\"https:\/\/hex-rays.com\/blog\/introducing-the-ida-domain-api\">IDA Pro et sa nouvelle IDA Domain API<\/a><br \/>\npour extraire le pseudocode des fonctions et les comparer de mani\u00e8re structur\u00e9e. Et ce n\u2019est un vulgaire comparateur de texte\u2026non\u2026 Diffrays g\u00e9n\u00e8re en fait une base de donn\u00e9es SQLite compl\u00e8te avec toutes les diff\u00e9rences trouv\u00e9es, et lance m\u00eame un serveur web local pour naviguer dans les r\u00e9sultats. Vous tapez <code>diffrays diff old.exe new.exe<\/code>, puis <code>diffrays server --db-path results.sqlite<\/code>, et hop, vous avez une jolie interface web sur http:\/\/localhost:5555 pour explorer ces changements.<\/p>\n<p>\n<img decoding=\"async\" src=\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/diffrays-exploit-wednesday-archeologie-binaire\/diffrays-exploit-wednesday-archeologie-binaire-2.png\" alt=\"\" loading=\"lazy\">\n<\/p>\n<p>Gr\u00e2ce \u00e0 cet outil, chacun peut savoir exactement comment Microsoft corrige ses bugs. Prenez par exemple<br \/>\n<a href=\"https:\/\/github.com\/pwnfuzz\/diffrays\">l\u2019analyse du driver Clfs.sys montr\u00e9e dans la documentation de Diffrays<\/a><br \/>\n. Les chercheurs ont t\u00e9l\u00e9charg\u00e9 deux versions du driver. La premi\u00e8re vuln\u00e9rable (10.0.22621.5037) et la seconde patch\u00e9e (10.0.22621.5189) puis ont laiss\u00e9 Diffrays faire son travail\u2026 Et en quelques minutes, l\u2019outil a identifi\u00e9 exactement quelles fonctions avaient \u00e9t\u00e9 modifi\u00e9es et comment.<\/p>\n<p>\u00c9videmment, Diffrays n\u2019est pas seul sur ce march\u00e9 juteux.<br \/>\n<a href=\"https:\/\/korben.info\/thomas-dullien-halvar-flake-reverse-engineering.html\">Google a son BinDiff<\/a><br \/>\n, il y a aussi Diaphora, et maintenant m\u00eame des outils boost\u00e9s \u00e0 l\u2019IA comme DeepDiff qui convertissent le code en \u201cembeddings\u201d (des repr\u00e9sentations math\u00e9matiques) pour trouver des similarit\u00e9s. Mais Diffrays a un avantage, il est open source, gratuit, et surtout, il est con\u00e7u sp\u00e9cifiquement pour la recherche. Pas de conneries marketing, juste du code qui fait le taf.<\/p>\n<p>\n<a href=\"https:\/\/undercodetesting.com\/patch-diffing-in-2025-leveraging-ai-and-advanced-tools-for-vulnerability-analysis\/\">D\u2019ici 2026<\/a><br \/>\n, les experts pr\u00e9disent que le patch diffing assist\u00e9 par IA sera la norme dans toutes les red teams et programmes de bug bounty. On parle m\u00eame de plateformes de diffing en temps r\u00e9el avec des bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s crowdsourc\u00e9es.<\/p>\n<p>Voil\u00e0, donc si vous voulez vous lancer dans ce genre d\u2019analyses comparatives de binaires, sachez que<br \/>\n<a href=\"https:\/\/github.com\/pwnfuzz\/diffrays\">Diffrays est sur GitHub<\/a><br \/>\n, et qu\u2019il est pr\u00eat \u00e0 transformer vos mercredis matins en s\u00e9ances de fouilles intensives. Et n\u2019oubliez pas\u2026 avec un grand pouvoir vient une grande responsabilit\u00e9 ! Sinon, c\u2019est la zonzon, comme pour Sarko !<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Tous les mardis soir, c\u2019est la m\u00eame chose dans le petit monde de la cybers\u00e9curit\u00e9 : Microsoft balance ses patches, et d\u00e8s le mercredi matin, c\u2019est la ru\u00e9e vers l\u2019or pour les experts s\u00e9cu. Bienvenue dans l\u2019univers d\u00e9jant\u00e9 de l\u2019Exploit Wednesday, o\u00f9 des chercheurs du monde entier se transforment en cyber-arch\u00e9ologues pour y d\u00e9terrer les vuln\u00e9rabilit\u00e9s avant que les m\u00e9chants ne s\u2019en emparent afin de coder des exploits. Et un nouvel outil vient de d\u00e9barquer pour pimenter cette course folle : Diffrays . Imaginez\u2026 il est 3h du matin, on est mercredi et pendant que vous dormez tranquillement, des milliers de chercheurs en s\u00e9curit\u00e9 sont d\u00e9j\u00e0 en train de comparer fr\u00e9n\u00e9tiquement les binaires de Windows fra\u00eechement patch\u00e9s avec leurs versions vuln\u00e9rables. Pourquoi est-ce qu\u2019ils font \u00e7a ? H\u00e9 bien c\u2019est parce que chaque seconde compte. L\u2019IA a r\u00e9duit de 40% le temps n\u00e9cessaire pour identifier une vuln\u00e9rabilit\u00e9 \u00e0 partir d\u2019un patch et ce qui prenait des jours prend maintenant des heures, notamment aux cybercriminels, du coup, la course s\u2019est transform\u00e9e en sprint. Et c\u2019est l\u00e0 que Diffrays entre en sc\u00e8ne. Cet outil, con\u00e7u par pwnfuzz, fait ce qu\u2019on appelle du \u201cpatch diffing\u201d. Pour les non-initi\u00e9s, le patch diffing, c\u2019est l\u2019art de comparer deux versions d\u2019un programme pour trouver ce qui a chang\u00e9. Un peu comme comparer deux photos pour jouer au jeu des 7 diff\u00e9rences, sauf que l\u00e0, on cherche des bugs qui valent potentiellement des millions. Pour cela, Diffrays utilise IDA Pro et sa nouvelle IDA Domain API pour extraire le pseudocode des fonctions et les comparer de mani\u00e8re structur\u00e9e. Et ce n\u2019est un vulgaire comparateur de texte\u2026non\u2026 Diffrays g\u00e9n\u00e8re en fait une base de donn\u00e9es SQLite compl\u00e8te avec toutes les diff\u00e9rences trouv\u00e9es, et lance m\u00eame un serveur web local pour naviguer dans les r\u00e9sultats. Vous tapez diffrays diff old.exe new.exe, puis diffrays server &#8211;db-path results.sqlite, et hop, vous avez une jolie interface web sur http:\/\/localhost:5555 pour explorer ces changements. Gr\u00e2ce \u00e0 cet outil, chacun peut savoir exactement comment Microsoft corrige ses bugs. Prenez par exemple l\u2019analyse du driver Clfs.sys montr\u00e9e dans la documentation de Diffrays . Les chercheurs ont t\u00e9l\u00e9charg\u00e9 deux versions du driver. La premi\u00e8re vuln\u00e9rable (10.0.22621.5037) et la seconde patch\u00e9e (10.0.22621.5189) puis ont laiss\u00e9 Diffrays faire son travail\u2026 Et en quelques minutes, l\u2019outil a identifi\u00e9 exactement quelles fonctions avaient \u00e9t\u00e9 modifi\u00e9es et comment. \u00c9videmment, Diffrays n\u2019est pas seul sur ce march\u00e9 juteux. Google a son BinDiff , il y a aussi Diaphora, et maintenant m\u00eame des outils boost\u00e9s \u00e0 l\u2019IA comme DeepDiff qui convertissent le code en \u201cembeddings\u201d (des repr\u00e9sentations math\u00e9matiques) pour trouver des similarit\u00e9s. Mais Diffrays a un avantage, il est open source, gratuit, et surtout, il est con\u00e7u sp\u00e9cifiquement pour la recherche. Pas de conneries marketing, juste du code qui fait le taf. D\u2019ici 2026 , les experts pr\u00e9disent que le patch diffing assist\u00e9 par IA sera la norme dans toutes les red teams et programmes de bug bounty. On parle m\u00eame de plateformes de diffing en temps r\u00e9el avec des bases de donn\u00e9es de vuln\u00e9rabilit\u00e9s crowdsourc\u00e9es. Voil\u00e0, donc si vous voulez vous lancer dans ce genre d\u2019analyses comparatives de binaires, sachez que Diffrays est sur GitHub , et qu\u2019il est pr\u00eat \u00e0 transformer vos mercredis matins en s\u00e9ances de fouilles intensives. Et n\u2019oubliez pas\u2026 avec un grand pouvoir vient une grande responsabilit\u00e9 ! Sinon, c\u2019est la zonzon, comme pour Sarko !<\/p>\n","protected":false},"author":1,"featured_media":1241,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-1240","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1240","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=1240"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/1240\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/1241"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=1240"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}