tihunip

В зависимости от версии компилятора, от флагов оптимизации и используемых библиотек, конечный бинарник может получаться разным, поэтому вы можете сравнить только воспроизведя оригинальную среду, в которой создавался бинарник.
Частным случаем проверки можно считать цифровую подпись, как доказательство того, что текущий бинарник компилировался именно автором (компанией), а не кем-то, кто взял исходники и скомпилировал у себя, добавив что-то лишнее.

А если взять например java, там в .jar файл еще куча timestamp добавляется при сборке, поэтому КАЖДЫЙ раз будет разный хеш у бинарника.

Компилировать исходники и проверять хэш.

Нет, нельзя. Компиляция, строго говоря, необратимый процесс. Однако для этого придумали хеши (md5). Если шифрование является защитой от чтения, то хеши - защитой от подмены. Если хеши совпадают, то должно быть все ок, но это не точно. Сейчас все тупо доверяют офф. стору, ведь "в нем не может быть вредоносных приложений".

Компилировать исходники.