Diff

Aus IT-Forensik Wiki
Version vom 2. August 2019, 14:46 Uhr von St181280 (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Die Funktion diff beschreibt ein UNIX-Programm, dass Unterschiede (differences) innerhalb von Text-basierten Dateien vergleicht. Dieser Vorgang wird, je nach Implementierung, schrittweise oder zeilenweise durchgeführt. Ein diff kann innerhalb der IT-Forensik verwendet werden, um veränderte Dateien mit denen zu vergleichen, die vermeintliche Originale darstellen. Zahlreiche Programme bieten Erweiterungen/Plugins für diese Funktion. Ein Beispiel hierfür ist Notepad++, dessen Plugin-Umsetzung wie folgt aussieht:

Quelle: https://notepad-plus-plus.org/community/topic/17366/how-to-install-emmet-plugin/18

Hier sind jene Zeilen farblich rot markiert, die gelöscht wurden. In grün werden Zeilen dargestellt, die zuvor nicht vorhanden waren. Markierungen in gelb zeigen Textabschnitte oder Wörter, die innerhalb einer bestehenden Zeile hinzugefügt oder verändert wurden. Abgesehen von forensischen Untersuchungen ist ein häufiger Anwendungsfall des diff der Vergleich zweier Dateien Programmcode verschiedener Versionen. Dies ist bspw. notwendig, wenn die Programmierung ab einem bestimmten Zeitpunkt Fehler hervorruft, die zuvor nicht bestanden haben.