金山微特征的原型——————fuzzy hash（模糊哈希）算法

z13667152750

yhys 发表于 2011-6-12 23:00
我说的是理论上。上面有人说理论可行足矣。

RSA算法的一些组合不是已经破解了吗？

不是破解

是被入侵

yhys

z13667152750 发表于 2011-6-12 23:01
不是破解

是被入侵

是破解，不是入侵。

z13667152750

yhys 发表于 2011-6-12 23:02
是破解，不是入侵。

又去看了下

是768位的被破解了

现在使用1024位的还未破解，位数越高，破解难度的递增也越多

小紫英

微特征，传统hash，包括传统特征引擎的特征+偏移定位，如果只针对一个样本，且样本不大的化，优劣性体现不明显。但根据工作流程的不同，使用的取舍是不一样的。

特征+偏移的传统特征的所谓广谱性，是一个错误认知，因为提取特征是针对一类病毒做的，提取的本身就是共有特征，所有表现上是广谱的，能够对一些所谓的未知样本进行检出。但从免杀角度说，只要定位到提取特征的未知和方法，改变一下立马就歇菜了，这也是为什么后面要引申出备用特征，隐藏特征，甚至使用基于特征值算法但是和针对性的样本关系不大的启发式算法。由于这种方式是采用先行捕获样本的方法，经过分析后人工处理（当然现在已经基本实现自动化）后下放的方式，所有用这种特征可以大大减小记录数量，优化性能，缺点就是由于提前的特征具有共用性，和可能造成误杀

而基于云的查杀方式讲究的是精确识别，由于摆脱了本地匹配的性能限制，引擎会尽量要求对样本进行一对一的识别，因为不仅仅是查黑文件，而是要识别每一个文件。试想，传统引擎对白文件是无法定义的，因为必须保证原文件的任何特征都是白的（这个表述不正确，但是我无法描述清楚了）。简单说，所有特征都匹配不上的文件未必就是白的，因为可能这个特征你还没有添加记录，所有传统引擎的算法在云安全时代很多都只能作为辅助，下放到本地进行流行样本的识别，流行感染的识别和清除。

微特征解决的问题主要是优化io操作，和hash相比，微特征的读取效率相对来说高很多，至于对抗免杀，本身这只是一个识别码，如果针对它做免杀，同样没有难度，至于制造白文件的问题，和hash是一样的，基于这种算法的识别，都可以构造碰撞，只是难度和价值问题。

另外卡饭一直有人认为传统引擎必不可少，我同意这个观点，但是在现在的安全对抗中，这个东西的重要性在降低。首先他不具有前涉性，这和QVM这种模糊识别是不一样的，基本的方式还是“像黑的才是黑”，哪怕它其他地方看起来非常白，如果没见过，基本歇菜。所以大量的传统杀毒软件其实都有一个快速特征的方式，就是类似微特征取块入库，基本只能做到1对1，等样本积累到一定数量，比如几个，然后提一个固定的特征记录给引擎去匹配。

所以我们能看到，并不是传统引擎的地位不可取代，而是识别样本的功能在这个环节中的作用不可取代，只要能够对样本进行识别和处理，各个算法都有其独到而优势的地方

这三者方式是大部分云安全软件都会用到的，只是使用的比例和主导不同而已

samtogo

看来要数学好的适合做这个。。。。- -

insight

小紫英 发表于 2011-6-12 23:09
微特征，传统hash，包括传统特征引擎的特征+偏移定位，如果只针对一个样本，且样本不大的化，优劣性体现不明 ...

学习了！

yjwfdc

我觉得哈希值碰撞出个白文件没有什么难度，只要先写好程序，再在后面加乱码，加一次计算一次哈希值，直到和海量白文件哈希值中的一个相同就可以了。

insight

yjwfdc 发表于 2011-6-12 23:27
我觉得哈希值碰撞出个白文件没有什么难度，只要先写好程序，再在后面加乱码，加一次计算一次哈希值，直到和 ...

欢迎你做个试试

小紫英

samtogo 发表于 2011-6-12 23:09
看来要数学好的适合做这个。。。。- -

hash算法都是现成的，稍微改改就可以了，这个东西的难点不在算法上，而是需要多年病毒分析的经验，考虑取特征的文件块的位置和方式

yjwfdc

insight 发表于 2011-6-12 23:29
欢迎你做个试试

有人提供海量白文件哈希值的话，(比如10g 白文件哈希值)我可以试试。