金山微特征的原型——————fuzzy hash（模糊哈希）算法

z13667152750

悟心之道 发表于 2011-6-13 06:48
金山毒霸现在防是稍差，也没有些人说的差...当然和瑞星的防相比，确实差点

国产安全软件中最差

谁让他的主防现在才起步

帅就是帅

fcerebel 发表于 2011-6-12 22:40
事实上现在可以轻松地生成两个md5相同的pe文件，你也做得到，只要几秒钟

弱碰撞倒是容易，md5的强碰撞存在散列盲区，虽然据说王小云有突破证明其确实可能，但也绝非你说的几秒钟能做到的；
重要的是，即使强碰撞后，你也得按照jason前面楼说的保证其pe，并能有效按照作者的意图，同时还要保证大规模的普遍性和具有短时间实际作用……满足所有条件都能设计出来的人基本都要被天神收去秘密保护了。。。

qwe12301

z13667152750 发表于 2011-6-13 11:39
国产安全软件中最差

谁让他的主防现在才起步

根本没有最差一说吧。只能说各自的价值取向不同了

悟心之道

"简而言之就是：确定分块位置并记录——》分块——》对每个分块计算哈希值——》结果比较"
总结得很好，理论和方法上均可行，当然可行了，都这样干的了。
任何方法都有局限性，只要这种局限性小，小到对解决问题无明显副作用，就是好办法。

悟心之道

“哈希算法依然能够确保它是原始数据的唯一标识，就像人的指纹可以唯一地标识一个人，因此哈希算法还具有精确匹配的特性”在有限文件样本中重复的概率确实很小。
用有限的编码长度，识别无上限的文件增加值（数量），必然带来重复问题，当然说的“模糊哈希”或者“金山标识法”，理论上讲也存在类相似问题。

tokthoo

姐夫。。。你的帖子注定要水了。。。从现在开始

用户名不存在

qwe12301 发表于 2011-6-12 22:02
见我回复。

最后一句和我的签名如出一辙

qwe12301

用户名不存在 发表于 2011-6-13 12:43
最后一句和我的签名如出一辙

握爪

dl123100

prolong 发表于 2011-6-12 22:52
不懂太多，我只是期待楼主能根据fuzzy hash（模糊哈希）算法 弄个专利出来……别太想当然……

这个如果对PE比较了解，而且有大量级的病毒样本分析经验，自己利用fuzzy hash取特征不怎么难吧。
国外很久以前就有一堆数字DNA、数字取证之类的利用了它。今年初国外某数字取证公司还因为前些年利用fuzzy hash弄了一个Digital DNA的专利，结果被很多人申讨。

fcerebel

帅就是帅 发表于 2011-6-13 11:50
弱碰撞倒是容易，md5的强碰撞存在散列盲区，虽然据说王小云有突破证明其确实可能，但也绝非你说的几秒钟能 ...

你把那两个程序运行一下就知道是不是只要几秒了