楼主: xiaogujian
收起左侧

【捍卫真云】云鉴定器,怎么可能只是多引擎扫描?

  [复制链接]
qwe12301
发表于 2011-6-12 19:52:32 | 显示全部楼层
jefffire 发表于 2011-6-12 19:37
我看正好相反。你云端再强大,本地问题多多,云端就是浮云。越模糊越适合宣传而已。

本地一直在加强。主防是这几个月的开发重点。至于查杀要排在主防后面了。
dyhua
发表于 2011-6-12 19:53:03 | 显示全部楼层
jefffire 发表于 2011-6-12 19:46
说句实话,金山涉足安全十几年了,至今没有技术优势拳头产品,实在让人伤心。

本来是有的
你明白的
jefffire
头像被屏蔽
发表于 2011-6-12 19:53:53 | 显示全部楼层
本帖最后由 jefffire 于 2011-6-12 19:58 编辑
leisong 发表于 2011-6-12 19:47
正是我一直所认为的。
本地客户端看不出多NB的技术,却把大家看不到的云端宣传成什么一样,比同时期国产 ...


模糊哈希算法。目前一般的哈希算法,只要有一个字节的变动,其计算结果会发生明显的变化。而fuzzy hash 则不然,较小的变动完全不会影响计算结果,即便是较大的变形也依然能够看出同源性。
比如:这个两个样本仅仅是删去了末尾一些0
1、
MD5   : bb3e8ba3479499a920b0fda7c68e0954
SHA1  : 8ef44c639e9e14ee76519f5eea5c54ee883a55c9
3072:UVkW87P9adM0VindKsFd/0AgKOlRUJqwZ7hdEmD:UVkt71aDidfd8AgQZ7t
2、
MD5   : 6de6e2bc4e1bd4ec40d586a35ff16a6a
SHA1  : 91ab140ecadf1ab9eaa12b1966e55e227d72b5ab
3072:UVkW87P9adM0VindKsFd/0AgKOlRUJqwZ7hdEmD:UVkt71aDidfd8AgQZ7t

你会发现删去了一些0后,MD5和sha1发生了明显变化,但是第三行的模糊哈希却完全没有变化

又比如,这三个程序,是对同一个样本加不同壳后,计算的fuzzy hash值,你会发现,虽然结果不完全一样,但是有明显的相似性
6144:omQ+AZgLyCTOCuDYnQyakJK0DvLhRIBnd6qcZWNR/QgJXjCRsZtqcSZtn:omEOLdDm5Mdv
VDNWNR/Qg1dZtqdZtn

6144:wmQ+AZgLyCTOCuDYnQyakJK0DvLhRIBnd6qcZWNR/QgJXjCRsZtqcSZtY:wmEOLdDm5Mdv
VDNWNR/Qg1dZtqdZtY

6144:ymQ+AZgLyCTOCuDYnQyakJK0DvLhRIBnd6qcZWNR/QgJXjCRsZtqcSZt:ymEOLdDm5MdvV
DNWNR/Qg1dZtqdZt

评分

参与人数 1人气 +1 收起 理由
leisong + 1 感谢科普

查看全部评分

jefffire
头像被屏蔽
发表于 2011-6-12 19:55:27 | 显示全部楼层
dyhua 发表于 2011-6-12 19:53
本来是有的
你明白的

你说网盾??这种属于辅助产品,谈不上拳头。拳头产品至少不是辅助产品才行吧。
qwe12301
发表于 2011-6-12 19:56:45 | 显示全部楼层
本帖最后由 qwe12301 于 2011-6-12 19:57 编辑
jefffire 发表于 2011-6-12 19:46
说句实话,金山涉足安全十几年了,至今没有技术优势拳头产品,实在让人伤心。


它的理念、定位已经决定了一切。很多人难以理解,我也一路“被理解”到现在总算理解了
dyhua
发表于 2011-6-12 20:01:19 | 显示全部楼层
jefffire 发表于 2011-6-12 19:55
你说网盾??这种属于辅助产品,谈不上拳头。拳头产品至少不是辅助产品才行吧。

木有办法金山就是这样小工具做的比主打品还精
qwe12301
发表于 2011-6-12 20:01:28 | 显示全部楼层
leisong 发表于 2011-6-12 19:47
正是我一直所认为的。
本地客户端看不出多NB的技术,却把大家看不到的云端宣传成什么一样,比同时期国产 ...

你没有看到进步的一面。因为你向来就是从某个视角 带着有色眼镜去看的。

如果真正心平气和、如果真正客观公正,那么请关注半年前和今后半年的对比。
leisong
发表于 2011-6-12 20:03:39 | 显示全部楼层
jefffire 发表于 2011-6-12 19:53
模糊哈希算法。目前一般的哈希算法,只要有一个字节的变动,其计算结果会发生明显的变化。而fuzzy hash ...

这个不错,连加壳都可以。确实比传统HASH好太多。
做得好,不是可以做启发么,完全可以启发一些简单的变种啊。但金山的启发怎么连瑞星都不如?
正如你所说,十多年的老牌企业,就拿出了这么一个fuzzy hash算法的特征库
jefffire
头像被屏蔽
发表于 2011-6-12 20:15:54 | 显示全部楼层
leisong 发表于 2011-6-12 20:03
这个不错,连加壳都可以。确实比传统HASH好太多。
做得好,不是可以做启发么,完全可以启发一些简单的变 ...

这个确实可以搞掉不少变形。但是对比起来的相似度阀值的确定是个问题,太低了容易误报,太高了就只能解决简单变形了。这类算法,应用在数字取证上的很多,还有论文反作弊系统上也有应用。
qwe12301
发表于 2011-6-12 20:34:07 | 显示全部楼层
leisong 发表于 2011-6-12 20:03
这个不错,连加壳都可以。确实比传统HASH好太多。
做得好,不是可以做启发么,完全可以启发一些简单的变 ...

本地确实没有启发式。
  1. http://211.157.104.87:8080/sipo/zljs/hyjs-yx-new.jsp?recid=CN200910213641.4&leixin=fmzl&title=对病毒文件自动提取特征的方法和装置&ipc=G06F21/02(2006.01)I#
复制代码
链接全复制

我不知道是否和fuzzy hash有关系,但确确实实是自己的技术。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-5 14:58 , Processed in 0.089433 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表