IDA补丁差异怎么比对 IDA补丁修改记录怎么导出

在IDA里做补丁，真正容易乱的不是改那几个字节，而是改完以后回头看不清哪里动过、动了多少、最后又该拿什么文件发给别人复现。Hex-Rays官方文档把这件事拆成了两层，一层是用【Patched bytes】窗口回看当前数据库里所有已改字节，另一层是从【File】下面生成【DIF】文件，把补丁差异导出去。也就是说，IDA自带的思路不是先做一份花哨的对比报告，而是先把改动点列出来，再把差异文件产出去。

一、IDA补丁差异怎么比对

补丁差异在IDA里最直接的看法，不是去翻每个地址，而是先把所有修改集中到一个窗口里看。官方文档写得很清楚，【Patched bytes】视图就是专门用来看数据库里所有补丁位置的，而且还能按条目选择性回退。

1、先打开【Patched bytes】窗口

Hex-Rays文档说明，这个窗口会列出数据库中所有已经被补过的地址。你想先确认到底改了几处、改动是不是集中在一段范围里，先看这里最省事。

2、把这里当成当前补丁清单来看

这个窗口本身就是补丁差异的第一层结果。因为它列出的不是原始文件全部内容，而是“哪些位置被改过”，所以你回看修改范围、核对补丁是否遗漏时，不需要再一条条手工记地址。这个判断是基于官方对【Patched bytes】窗口用途的说明做出的实操理解。

3、发现改错了可以先局部回退再重看

官方文档还提到，在【Patched bytes】里选中条目后，可以用右键里的【Revert】选择性撤回某个修改。实际工作里，这一步很有用，因为你不需要整库回滚，只要先撤掉有疑问的那几处，再看剩下的补丁列表就会清楚很多。

4、要落到文件级差异，就往下走【DIF】

如果你现在要的不是“当前库里改了什么”，而是“我要拿一份能交付的差异文件”，那就别停在窗口里。官方把【Generate DIF file】放在【Produce output files】里，说明它本身就是给补丁导出准备的。

二、IDA补丁修改记录怎么导出

在IDA里，补丁记录最常见的导出方式就是DIF。这个文件本质上就是把补丁差异写出来，后面你自己留档、交给同事复核，或者做补丁分发，都会比只发截图稳。

1、从【File】里进入【Produce output files】

官方文档里写明，这个子菜单下面可以生成多种输出文件，其中就包括【Generate DIF file】。也就是说，补丁记录导出不在补丁窗口里做，而是在文件输出这条线上做。

2、直接生成【DIF】文件

如果你只是想导出修改记录，官方已经给了现成入口，不需要自己再整理地址表。DIF文件就是当前数据库补丁差异的正式输出形式。

3、要导出已打补丁的文件本体，可以走【Apply patches to input file】或【Create EXE file】

Hex-Rays文档说明，补过字节后，可以把这些补丁应用回输入文件；另外也提供【Create EXE file】来生成带补丁的新可执行文件。前者更像把改动写回原始输入，后者更适合直接产出一个新文件版本。

4、如果你要的是“记录”而不是“成品”，优先保留DIF

因为新二进制文件只告诉别人结果，DIF更像是差异说明。这个区分虽然官方没有用这句话直说，但从它把【Generate DIF file】和【Apply patches】分成两类入口就能看出来，两个动作服务的不是同一个目的。这个判断属于基于官方菜单结构做出的实操归纳。

三、补丁整理时先按什么顺序做

真到项目里，最省时间的做法不是改完就急着导文件，而是先把补丁窗口过一遍，再决定导出哪一种结果。这样后面不容易出错，也方便留底。

1、先在【Patched bytes】里核对改动

先看地址、数量和范围，确认没有多改也没有漏改。官方已经把这个窗口定义成补丁位置总表，这一步最适合做最终自查。

2、再决定导【DIF】还是导新文件

如果你只是要修改记录，导DIF就够了；如果你要给别人直接运行或验证，再考虑把补丁应用回输入文件，或者直接生成新的可执行文件。

3、改错的先回退，不要带着脏补丁导出

因为【Patched bytes】支持选择性【Revert】，所以有疑问的改动最好先撤掉，再产出最终记录。这样导出来的DIF才不会把临时试验也一起带进去。

总结

IDA补丁差异怎么比对，最直接的办法就是先看【Patched bytes】窗口，因为它本来就是官方给出的补丁位置总表。IDA补丁修改记录怎么导出，最稳的方式则是从【Produce output files】里生成【DIF】文件；如果你要的是补丁后的成品文件，再走【Apply patches to input file】或者【Create EXE file】。顺着这个顺序做，补丁自查、留档和交付都会清楚很多。