--- /tmp/samhain-4.1.4-2+b2xtdaxvpg/debian/samhain_4.1.4-2+b2_amd64.deb +++ samhain_4.1.4-2+b2_amd64.deb ├── file list │ @@ -1,3 +1,3 @@ │ -rw-r--r-- 0 0 0 4 2019-11-17 17:09:37.000000 debian-binary │ --rw-r--r-- 0 0 0 9976 2019-11-17 17:09:37.000000 control.tar.xz │ --rw-r--r-- 0 0 0 1197404 2019-11-17 17:09:37.000000 data.tar.xz │ +-rw-r--r-- 0 0 0 9972 2019-11-17 17:09:37.000000 control.tar.xz │ +-rw-r--r-- 0 0 0 1197528 2019-11-17 17:09:37.000000 data.tar.xz ├── control.tar.xz │ ├── control.tar │ │ ├── ./md5sums │ │ │ ├── ./md5sums │ │ │ │┄ Files differ ├── data.tar.xz │ ├── data.tar │ │ ├── ./usr/sbin/samhain │ │ │ ├── readelf --wide --notes {} │ │ │ │ @@ -1,8 +1,8 @@ │ │ │ │ │ │ │ │ Displaying notes found in: .note.gnu.build-id │ │ │ │ Owner Data size Description │ │ │ │ - GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring) Build ID: 6e72470b23c6f873f32b85a09aa3a0a74cf12bb3 │ │ │ │ + GNU 0x00000014 NT_GNU_BUILD_ID (unique build ID bitstring) Build ID: 5de1eb3692c28f3b6fc3837a520dcedb4efc9c95 │ │ │ │ │ │ │ │ Displaying notes found in: .note.ABI-tag │ │ │ │ Owner Data size Description │ │ │ │ GNU 0x00000010 NT_GNU_ABI_TAG (ABI version tag) OS: Linux, ABI: 3.2.0 │ │ │ ├── strings --all --bytes=8 {} │ │ │ │ @@ -2590,15 +2590,15 @@ │ │ │ │ enmty)3q]8 │ │ │ │ 4@[![)Y │ │ │ │ pVCouIhZaB │ │ │ │ [0000-00-00T00:00:00] │ │ │ │ [0000-00-00T00:00:00] │ │ │ │ 0123456789ABCDEF │ │ │ │ /var/run/utmp │ │ │ │ -72470b23c6f873f32b85a09aa3a0a74cf12bb3.debug │ │ │ │ +e1eb3692c28f3b6fc3837a520dcedb4efc9c95.debug │ │ │ │ .shstrtab │ │ │ │ .note.gnu.build-id │ │ │ │ .note.ABI-tag │ │ │ │ .gnu.hash │ │ │ │ .gnu.version │ │ │ │ .gnu.version_r │ │ │ │ .rela.dyn │ │ │ ├── objdump --line-numbers --disassemble --demangle --reloc --no-show-raw-insn --section=.text {} │ │ │ │ @@ -53,73 +53,73 @@ │ │ │ │ lea 0xe181(%rip),%rdi │ │ │ │ callq 83950 │ │ │ │ mov $0x8,%edx │ │ │ │ xor %esi,%esi │ │ │ │ lea 0x1249be(%rip),%rdi │ │ │ │ callq 56010 <__cxa_finalize@plt+0x48af0> │ │ │ │ lea 0x770fd(%rip),%rdi │ │ │ │ - orl $0x71,0x1249ab(%rip) │ │ │ │ + orl $0x86,0x1249a8(%rip) │ │ │ │ callq cd40 │ │ │ │ mov %rax,%r13 │ │ │ │ test %rax,%rax │ │ │ │ - je d663 <__cxa_finalize@plt+0x143> │ │ │ │ + je d666 <__cxa_finalize@plt+0x146> │ │ │ │ xor %eax,%eax │ │ │ │ or $0xffffffffffffffff,%rcx │ │ │ │ mov %r13,%rdi │ │ │ │ repnz scas %es:(%rdi),%al │ │ │ │ not %rcx │ │ │ │ lea -0x1(%rcx),%rax │ │ │ │ mov %rcx,%r14 │ │ │ │ cmp $0x3ff,%rax │ │ │ │ jbe e6f3 <__cxa_finalize@plt+0x11d3> │ │ │ │ - movq $0x0,0x1248f2(%rip) │ │ │ │ + movq $0x0,0x1248ef(%rip) │ │ │ │ xor %eax,%eax │ │ │ │ callq 1e2e0 <__cxa_finalize@plt+0x10dc0> │ │ │ │ mov $0x1,%edi │ │ │ │ callq 2c150 <__cxa_finalize@plt+0x1ec30> │ │ │ │ xor %r8d,%r8d │ │ │ │ xor %edx,%edx │ │ │ │ mov $0x3,%ecx │ │ │ │ mov $0x6a6,%esi │ │ │ │ - lea 0x76fcb(%rip),%rdi │ │ │ │ + lea 0x76fc8(%rip),%rdi │ │ │ │ callq 49880 <__cxa_finalize@plt+0x3c360> │ │ │ │ cmp $0xffffffffffffffff,%rax │ │ │ │ je e7bb <__cxa_finalize@plt+0x129b> │ │ │ │ xor %r8d,%r8d │ │ │ │ mov $0x3,%ecx │ │ │ │ mov $0x1,%edx │ │ │ │ mov $0x6a8,%esi │ │ │ │ - lea 0x76fa3(%rip),%rdi │ │ │ │ + lea 0x76fa0(%rip),%rdi │ │ │ │ callq 49880 <__cxa_finalize@plt+0x3c360> │ │ │ │ cmp $0xffffffffffffffff,%rax │ │ │ │ je e7e6 <__cxa_finalize@plt+0x12c6> │ │ │ │ xor %r8d,%r8d │ │ │ │ mov $0x3,%ecx │ │ │ │ mov $0x2,%edx │ │ │ │ mov $0x6aa,%esi │ │ │ │ - lea 0x76f7b(%rip),%rdi │ │ │ │ + lea 0x76f78(%rip),%rdi │ │ │ │ callq 49880 <__cxa_finalize@plt+0x3c360> │ │ │ │ cmp $0xffffffffffffffff,%rax │ │ │ │ je e814 <__cxa_finalize@plt+0x12f4> │ │ │ │ - mov 0x11fe6a(%rip),%ebx │ │ │ │ + mov 0x11fe67(%rip),%ebx │ │ │ │ test %ebx,%ebx │ │ │ │ jne e6d6 <__cxa_finalize@plt+0x11b6> │ │ │ │ movabs $0x6e6961686d6153,%rax │ │ │ │ - movl $0x0,0x1248be(%rip) │ │ │ │ - orl $0x3000,0x1248c0(%rip) │ │ │ │ - movl $0x0,0x12344e(%rip) │ │ │ │ - orl $0xc7,0x1248b0(%rip) │ │ │ │ - movl $0x0,0x123432(%rip) │ │ │ │ - movl $0x0,0x124820(%rip) │ │ │ │ - movl $0x0,0x123412(%rip) │ │ │ │ - movl $0x656e6f4e,0x124824(%rip) │ │ │ │ - movl $0x0,0x124872(%rip) │ │ │ │ - movb $0x0,0x124817(%rip) │ │ │ │ - movl $0x0,0x124851(%rip) │ │ │ │ - mov %rax,0x123402(%rip) │ │ │ │ + orl $0x7f,0x1248ce(%rip) │ │ │ │ + movl $0x0,0x1248b4(%rip) │ │ │ │ + orl $0x1000,0x1248b6(%rip) │ │ │ │ + movl $0x0,0x123444(%rip) │ │ │ │ + movl $0x0,0x12482a(%rip) │ │ │ │ + movl $0x0,0x123428(%rip) │ │ │ │ + movl $0x656e6f4e,0x12482e(%rip) │ │ │ │ + movl $0x0,0x123408(%rip) │ │ │ │ + movb $0x0,0x124821(%rip) │ │ │ │ + movl $0x0,0x12486b(%rip) │ │ │ │ + mov %rax,0x12340c(%rip) │ │ │ │ + movl $0x0,0x12484a(%rip) │ │ │ │ movl $0x0,0x1233e4(%rip) │ │ │ │ movl $0x0,0x12483a(%rip) │ │ │ │ movl $0x0,0x1233d8(%rip) │ │ │ │ movl $0x0,0x12482a(%rip) │ │ │ │ movl $0x0,0x1233b0(%rip) │ │ │ │ movl $0x0,0x1247be(%rip) │ │ │ │ callq c630 │ │ │ │ @@ -129,15 +129,15 @@ │ │ │ │ mov %rax,0x1233ae(%rip) │ │ │ │ test %r11d,%r11d │ │ │ │ je dc37 <__cxa_finalize@plt+0x717> │ │ │ │ movq $0x0,0x1246ea(%rip) │ │ │ │ movl $0x0,0x1246e8(%rip) │ │ │ │ mov $0xffffffff,%eax │ │ │ │ xor %edi,%edi │ │ │ │ - orl $0xff00,0x1247db(%rip) │ │ │ │ + orl $0xc000,0x1247db(%rip) │ │ │ │ mov %rax,0x124710(%rip) │ │ │ │ add $0x1,%rax │ │ │ │ movq $0x0,0x1246c9(%rip) │ │ │ │ movq $0x0,0x1246c6(%rip) │ │ │ │ mov %rax,0x1246c7(%rip) │ │ │ │ movq $0x1,0x1246c4(%rip) │ │ │ │ movq $0x0,0x1246c1(%rip) │ │ │ │ @@ -150,35 +150,35 @@ │ │ │ │ movq $0x0,0x124635(%rip) │ │ │ │ movq $0x0,0x1245ea(%rip) │ │ │ │ movq $0x0,0x1245e7(%rip) │ │ │ │ callq d4d0 │ │ │ │ mov $0x40,%edx │ │ │ │ lea 0x77347(%rip),%rsi │ │ │ │ lea 0x1239f3(%rip),%rdi │ │ │ │ - orl $0xf40000,0x124715(%rip) │ │ │ │ + orl $0x150000,0x124715(%rip) │ │ │ │ mov %rax,0x1245c6(%rip) │ │ │ │ movq $0x0,0x1245c3(%rip) │ │ │ │ callq 560b0 <__cxa_finalize@plt+0x48b90> │ │ │ │ mov $0x100,%edx │ │ │ │ lea 0x76e4a(%rip),%rsi │ │ │ │ lea 0x1233cc(%rip),%rdi │ │ │ │ - orl $0xdf000000,0x1246e1(%rip) │ │ │ │ + orl $0x20000000,0x1246e1(%rip) │ │ │ │ movb $0x0,0x123aae(%rip) │ │ │ │ movb $0x0,0x123ae7(%rip) │ │ │ │ movb $0x0,0x123b20(%rip) │ │ │ │ callq 560b0 <__cxa_finalize@plt+0x48b90> │ │ │ │ mov $0x100,%edx │ │ │ │ lea 0x76e2a(%rip),%rsi │ │ │ │ lea 0x1234c6(%rip),%rdi │ │ │ │ movb $0x0,0x12348e(%rip) │ │ │ │ callq 560b0 <__cxa_finalize@plt+0x48b90> │ │ │ │ mov $0x100,%edx │ │ │ │ lea 0x76d66(%rip),%rsi │ │ │ │ lea 0x124429(%rip),%rdi │ │ │ │ - orl $0x720000,0x12468f(%rip) │ │ │ │ + orl $0x770000,0x12468f(%rip) │ │ │ │ movb $0x0,0x123596(%rip) │ │ │ │ movb $0x0,0x12322d(%rip) │ │ │ │ movb $0x0,0x123326(%rip) │ │ │ │ movb $0x0,0x123c03(%rip) │ │ │ │ movb $0x0,0x123afc(%rip) │ │ │ │ movb $0x0,0x123ff5(%rip) │ │ │ │ movb $0x0,0x123eee(%rip) │ │ │ │ @@ -192,15 +192,15 @@ │ │ │ │ lea 0x1240be(%rip),%rdi │ │ │ │ movb $0x0,0x1241b7(%rip) │ │ │ │ callq 560b0 <__cxa_finalize@plt+0x48b90> │ │ │ │ mov 0x12461c(%rip),%ebx │ │ │ │ mov $0x648,%esi │ │ │ │ mov $0x1,%edi │ │ │ │ movq $0x0,0x124573(%rip) │ │ │ │ - or $0x60000000,%ebx │ │ │ │ + or $0x10000000,%ebx │ │ │ │ movq $0x258,0x12455a(%rip) │ │ │ │ mov %ebx,0x1245f0(%rip) │ │ │ │ movq $0x0,0x124541(%rip) │ │ │ │ movq $0x15180,0x12452e(%rip) │ │ │ │ movq $0x0,0x12451b(%rip) │ │ │ │ movq $0xa,0x124508(%rip) │ │ │ │ movl $0x3c,0x12452e(%rip) │ │ │ │ @@ -228,15 +228,15 @@ │ │ │ │ jne daa8 <__cxa_finalize@plt+0x588> │ │ │ │ mov 0x124526(%rip),%eax │ │ │ │ mov %ebx,0x1e4(%rcx) │ │ │ │ lea 0x17c(%rcx),%rdx │ │ │ │ movl $0x0,0x19c(%rcx) │ │ │ │ movq $0x0,0x124504(%rip) │ │ │ │ mov %eax,0x1e0(%rcx) │ │ │ │ - lea 0x9a0d6(%rip),%rax │ │ │ │ + lea 0x9a097(%rip),%rax │ │ │ │ lea 0x8(%rax),%rdi │ │ │ │ nopl (%rax) │ │ │ │ movzbl (%rax),%esi │ │ │ │ movb $0x0,(%rax) │ │ │ │ add $0x1,%rax │ │ │ │ add $0x1,%rdx │ │ │ │ mov %sil,-0x1(%rdx) │ │ │ │ @@ -883,26 +883,26 @@ │ │ │ │ lea 0x79713(%rip),%rdi │ │ │ │ callq 56880 <__cxa_finalize@plt+0x49360> │ │ │ │ jmpq db4a <__cxa_finalize@plt+0x62a> │ │ │ │ mov $0x132,%edx │ │ │ │ lea 0x75f7e(%rip),%rsi │ │ │ │ lea 0x796f6(%rip),%rdi │ │ │ │ callq 56690 <__cxa_finalize@plt+0x49170> │ │ │ │ - jmpq d702 <__cxa_finalize@plt+0x1e2> │ │ │ │ + jmpq d705 <__cxa_finalize@plt+0x1e5> │ │ │ │ mov $0x1,%edi │ │ │ │ mov %rcx,%rsi │ │ │ │ callq 78e50 │ │ │ │ mov %rax,0x123859(%rip) │ │ │ │ mov %rax,%rdi │ │ │ │ test %rax,%rax │ │ │ │ - je d66e <__cxa_finalize@plt+0x14e> │ │ │ │ + je d671 <__cxa_finalize@plt+0x151> │ │ │ │ mov %r14,%rdx │ │ │ │ mov %r13,%rsi │ │ │ │ callq 560b0 <__cxa_finalize@plt+0x48b90> │ │ │ │ - jmpq d66e <__cxa_finalize@plt+0x14e> │ │ │ │ + jmpq d671 <__cxa_finalize@plt+0x151> │ │ │ │ mov $0x52,%esi │ │ │ │ mov $0x43,%edi │ │ │ │ callq 24f50 <__cxa_finalize@plt+0x17a30> │ │ │ │ jmpq ddfa <__cxa_finalize@plt+0x8da> │ │ │ │ mov %rdx,%rax │ │ │ │ and $0x1,%edx │ │ │ │ pxor %xmm0,%xmm0 │ │ │ │ @@ -940,31 +940,31 @@ │ │ │ │ xor %r9d,%r9d │ │ │ │ mov $0x2,%r8d │ │ │ │ mov $0x34,%edx │ │ │ │ mov $0x6a7,%esi │ │ │ │ lea 0x75f59(%rip),%rcx │ │ │ │ lea 0x75e84(%rip),%rdi │ │ │ │ callq 4a8f0 <__cxa_finalize@plt+0x3d3d0> │ │ │ │ - jmpq d6a4 <__cxa_finalize@plt+0x184> │ │ │ │ + jmpq d6a7 <__cxa_finalize@plt+0x187> │ │ │ │ mov $0x1,%r9d │ │ │ │ mov $0x2,%r8d │ │ │ │ mov $0x34,%edx │ │ │ │ mov $0x6a9,%esi │ │ │ │ lea 0x75f2b(%rip),%rcx │ │ │ │ lea 0x75e56(%rip),%rdi │ │ │ │ callq 4a8f0 <__cxa_finalize@plt+0x3d3d0> │ │ │ │ - jmpq d6cc <__cxa_finalize@plt+0x1ac> │ │ │ │ + jmpq d6cf <__cxa_finalize@plt+0x1af> │ │ │ │ mov $0x2,%r9d │ │ │ │ mov $0x2,%r8d │ │ │ │ mov $0x34,%edx │ │ │ │ mov $0x6ab,%esi │ │ │ │ lea 0x75efd(%rip),%rcx │ │ │ │ lea 0x75e28(%rip),%rdi │ │ │ │ callq 4a8f0 <__cxa_finalize@plt+0x3d3d0> │ │ │ │ - jmpq d6f4 <__cxa_finalize@plt+0x1d4> │ │ │ │ + jmpq d6f7 <__cxa_finalize@plt+0x1d7> │ │ │ │ callq 565f0 <__cxa_finalize@plt+0x490d0> │ │ │ │ test %eax,%eax │ │ │ │ jne ea41 <__cxa_finalize@plt+0x1521> │ │ │ │ cmpl $0x1,0x12367e(%rip) │ │ │ │ jne dbab <__cxa_finalize@plt+0x68b> │ │ │ │ movq $0x0,0x12367d(%rip) │ │ │ │ jmpq dbab <__cxa_finalize@plt+0x68b> │ │ │ ├── readelf --wide --decompress --hex-dump=.data {} │ │ │ │ @@ -522,19 +522,19 @@ │ │ │ │ 0x000a7b10 1f1f0000 00000000 1e0e0000 00000000 ................ │ │ │ │ 0x000a7b20 180a0000 00000000 ff0f0000 00000000 ................ │ │ │ │ 0x000a7b30 ff0f0000 00000000 ff0f0000 00000000 ................ │ │ │ │ 0x000a7b40 ff0f0000 00000000 ff0f0000 00000000 ................ │ │ │ │ 0x000a7b50 1b2e0000 00000000 00000000 00000000 ................ │ │ │ │ 0x000a7b60 30313233 34353637 38394142 43444546 0123456789ABCDEF │ │ │ │ 0x000a7b70 00000000 00000000 b80b0000 00000000 ................ │ │ │ │ - 0x000a7b80 ffc312aa aa12c3ff 00ffc312 aaaa12c3 ................ │ │ │ │ + 0x000a7b80 f7c312aa aa12c3f7 00ffc312 aaaa12c3 ................ │ │ │ │ 0x000a7b90 ff00ffc3 12aaaa12 c3ff00ff c312aaaa ................ │ │ │ │ 0x000a7ba0 12c3ff00 ffc312aa aa12c3ff 00ffc312 ................ │ │ │ │ - 0x000a7bb0 aaaa12c3 ff00ffc3 12aaaa12 c3ff00f7 ................ │ │ │ │ - 0x000a7bc0 c312aaaa 12c3f700 a7c312aa aa12c3a7 ................ │ │ │ │ + 0x000a7bb0 aaaa12c3 ff00ffc3 12aaaa12 c3ff00ff ................ │ │ │ │ + 0x000a7bc0 c312aaaa 12c3ff00 a7c312aa aa12c3a7 ................ │ │ │ │ 0x000a7bd0 01000000 00000000 00000000 00000000 ................ │ │ │ │ 0x000a7be0 40750800 00000000 10000000 00000000 @u.............. │ │ │ │ 0x000a7bf0 30d00400 00000000 19730800 00000000 0........s...... │ │ │ │ 0x000a7c00 10000000 00000000 20d40400 00000000 ........ ....... │ │ │ │ 0x000a7c10 4c750800 00000000 10000000 00000000 Lu.............. │ │ │ │ 0x000a7c20 60d60400 00000000 e85c0800 00000000 `........\...... │ │ │ │ 0x000a7c30 10000000 00000000 40de0400 00000000 ........@....... │ │ │ ├── readelf --wide --decompress --hex-dump=.gnu_debuglink {} │ │ │ │ @@ -1,7 +1,7 @@ │ │ │ │ │ │ │ │ Hex dump of section '.gnu_debuglink': │ │ │ │ - 0x00000000 37323437 30623233 63366638 37336633 72470b23c6f873f3 │ │ │ │ - 0x00000010 32623835 61303961 61336130 61373463 2b85a09aa3a0a74c │ │ │ │ - 0x00000020 66313262 62332e64 65627567 00000000 f12bb3.debug.... │ │ │ │ - 0x00000030 5dd2b2f9 ]... │ │ │ │ + 0x00000000 65316562 33363932 63323866 33623666 e1eb3692c28f3b6f │ │ │ │ + 0x00000010 63333833 37613532 30646365 64623465 c3837a520dcedb4e │ │ │ │ + 0x00000020 66633963 39352e64 65627567 00000000 fc9c95.debug.... │ │ │ │ + 0x00000030 44e5aa30 D..0 │ │ ├── ./usr/share/doc/samhain/examples/redhat_i386.client.spec.gz │ │ │ ├── redhat_i386.client.spec │ │ │ │ @@ -57,15 +57,15 @@ │ │ │ │ '--with-kcheck=/boot/System.map' \ │ │ │ │ '--enable-khide=/boot/System.map' \ │ │ │ │ '--enable-suidcheck' \ │ │ │ │ '--enable-static' \ │ │ │ │ '--enable-login-watch' \ │ │ │ │ '--enable-ptrace' \ │ │ │ │ '--enable-db-reload' \ │ │ │ │ - '--enable-base=812777415,1618141172' \ │ │ │ │ + '--enable-base=277266559,276242453' \ │ │ │ │ '--enable-xml-log' │ │ │ │ │ │ │ │ make │ │ │ │ │ │ │ │ %install │ │ │ │ rm -rf ${RPM_BUILD_ROOT} │ │ │ │ # sstrip shouldn't be used since binaries will be stripped later