金山微特征的原型——————fuzzy hash（模糊哈希）算法

qwe12301

360Tencent 发表于 2011-6-12 22:18
但是不能排除有大牛能做出免杀的文件，而且几率肯定比以前高不少

不需要这么做。这个理论可行，实际上离实际应用相差十万八千里

jefffire

360Tencent 发表于 2011-6-12 22:18
但是不能排除有大牛能做出免杀的文件，而且几率肯定比以前高不少

很简单，多个哈希算法联用即可，MD5+sha1+sha256+whripool，不可能有人能同时碰撞这么多。美国国防部也将sha256及以上的哈希算法确定是安全的。

yhys

360Tencent 发表于 2011-6-12 22:18
但是不能排除有大牛能做出免杀的文件，而且几率肯定比以前高不少

免杀是可以的，但是靠MD5碰撞免杀目前基本是不可能的，也是不合算的

360Tencent

z13667152750 发表于 2011-6-12 22:17
现有的md5的碰撞对于可执行程序的黑白名单的有效性没有影响

愿闻其详

z13667152750

360Tencent 发表于 2011-6-12 22:23
愿闻其详

因为碰撞是弱碰撞，是随机的，想得到两个md5相同的pe文件非常困难，甚至可以直接说，现有的对md5算法的破解和计算机性能是不可能实现的

360Tencent

qwe12301 发表于 2011-6-12 22:21
不需要这么做。这个理论可行，实际上离实际应用相差十万八千里

理论可行足矣，真要这么干那估计是政府行为了，代价再大也要做

360Tencent

jefffire 发表于 2011-6-12 22:21
很简单，多个哈希算法联用即可，MD5+sha1+sha256+whripool，不可能有人能同时碰撞这么多。美国国防部也将 ...

您觉得金山会连用吗？

yhys

360Tencent 发表于 2011-6-12 22:23
愿闻其详

一个MD5可以有无限的碰撞。
现有的方法在有限的时间里只能找出少数的随机碰撞。

这个随机碰撞正好是一个有效的可执行程序的概率非常小。

jefffire

360Tencent 发表于 2011-6-12 22:28
您觉得金山会连用吗？

会。http://bbs.kafan.cn/thread-1004733-1-1.html
看第一张图

360Tencent

yhys 发表于 2011-6-12 22:28
一个MD5可以有无限的碰撞。
现有的方法在有限的时间里只能找出少数的随机碰撞。

受教了，谢谢