金山微特征的原型——————fuzzy hash（模糊哈希）算法

帅就是帅

fcerebel 发表于 2011-6-13 17:09
你把那两个程序运行一下就知道是不是只要几秒了

我是指强碰撞

比如你给我找一个下面附件xuetr.exe同md5的非同一文件。。。。。

文 件 名： XueTr.exe
文件大小： 1961984 字节
MD5值：13f78c51e6f2f7c52f4bbeec4f413eee

看看需要几秒钟

李白vs苏轼

云 “启发” 2.0

时光鸟

也叫做微哈希吧，金山这个，我觉得做得不错，比MD5要强一点点

andylau

帅就是帅 发表于 2011-6-13 17:18
我是指强碰撞

比如你给我找一个下面附件xuetr.exe同md5的非同一文件。。。。。

用gpgpu來撞就快很多

z13667152750

andylau 发表于 2011-6-13 18:29
用gpgpu來撞就快很多

即使gpu浮点性能比cpu搞一万倍，也是在数据破解难度的允许范围内╮〔╯ε╰〕╭

单靠暴力破解，性能需要至少提升10的20次方倍才有破解意义


算法的破解只有依靠对算法本身的破解，大幅降低破解难度才有意义，暴力没什么意义

对于位数高的算法，字典也没什么意义了

时光鸟

qwe12301 发表于 2011-6-12 21:56
这种做法的实现形式还是很严谨的。已经经历了1年多的打击，看的出还是有非常强的强度。
你最多制造出未知文 ...

这个方式还是很科学的，维特征和MD5结合

时光鸟

qwe12301 发表于 2011-6-12 22:12
对，正在做。防御是近几个月的重点项目

这个论坛看来各大杀毒厂商里官方的人员较多，难怪国内区那么“热闹”

ibc

感谢科普 虽说是阐述原型

fcerebel

帅就是帅 发表于 2011-6-13 17:18
我是指强碰撞

比如你给我找一个下面附件xuetr.exe同md5的非同一文件。。。。。

大概花了一分钟或者是两分钟吧


---------------------------------------
里面两个XueTr使用前面的软件构造出来的，MD5是相同的


---------------------------------------

文件: E:\XueTr_msg1.exe
大小: 1895040 字节
文件版本: 1, 0, 2, 8
修改时间: 2011年6月13日, 20:38:52
MD5: A8B51299CB1C9CB6395B6340FA3D3BFA
SHA1: 5DC5ED30BA900F33FFD0D60BD35DD9B75DDC38DD
CRC32: 1054486A

文件: E:\XueTr_msg2.exe
大小: 1895040 字节
文件版本: 1, 0, 2, 8
修改时间: 2011年6月13日, 20:38:52
MD5: A8B51299CB1C9CB6395B6340FA3D3BFA
SHA1: 0F7C46D0014A62324D4502165FE17CF3DF141B78
CRC32: 195655B7

帅就是帅

andylau 发表于 2011-6-13 18:29
用gpgpu來撞就快很多

基本没用，这就好像要去火星，坐火车和坐飞机一样
虽然md5也确实可以通过穷举攻击，对抗差分密码分析较弱，但由于散列不可逆，按照本文的实际应用中基本还是无意义。稍微了解下算法应该知道md5的正向过程必然丢失数据，逆向弥补什么超级计算机都不可能。
王小云攻击md5说小了是归档原理的开拓，对病毒制造者免杀来说基本没法应用，且不说强碰撞，就算是弱碰撞想要应用，两个文件md5相同，一个加白很容易，另一个再按照作者的意图成为具有攻击性的malware，基本无解，其实这个应用过程已经成了强碰撞了。。。有这本事的人白宫都巴不得收起来做宇宙超强级星球谍战木马了。。。
不过倒不是没有这种在病毒领域出现，上面勾叔那个office和panda就出现过。。。。。只能算巧合

顺便送上王小云攻击资料：http://eprint.iacr.org/2004/199