WinDiff é uma ferramenta baseada na Web de código aberto que permite visualizar e comparar símbolos e informações de tipo de arquivos binários do Microsoft Windows em diferentes versões do sistema operacional.
Em comparação com um projeto semelhante, https://ntdiff.github.io contém mais informações (por exemplo, existe um "diff" de funções por analogia com BinDiff, que permite verificar rapidamente quais funções foram adicionadas ou removidas).
Das desvantagens, apenas um conjunto limitado de arquivos do sistema ainda é suportado, ou seja, Você não pode "diferenciar" um binário arbitrário. Do ponto de vista de encontrar vulnerabilidades de 0 dias, você pode encontrar seu uso.
Por exemplo, "diferenciar" dois bancos de dados ntoskrnl.exe, incluindo a análise inicial desses dois bancos de dados por um desmontador, pode levar até meia hora no total (no caso de diaphora será mais longo) e ao mesmo tempo você pode não achar que algumas novas funções foram adicionadas, mas o tempo gasto. Com a ajuda do WinDiff (também pode ser uma ferramenta personalizada), você pode ver em um minuto quais funções foram adicionadas, executar o desmontador com a versão desejada do arquivo e começar a assistir imediatamente. Este é um caso de uso possível. Estruturas alteradas/novas e seus campos também são lugares interessantes para se observar.
Outra desvantagem é que as informações estão disponíveis apenas para WIndows 10/11, não há escolha de versões por "Update Build Revision" (UBR), que é mais familiar para mim pessoalmente
