微特征分析--通过分析专利证书

zhq445078388

。。确实是原创贴。。刚那个也是。。但是不清楚为什么说不许乱用原创标签。。

下面正文：
首先我们把金山“微特征”的专利截过来
----------------------------------------------------------------------------------------------------
申    请    号：  200910213641.4 申   请   日：   2009.12.07
名          称：   对病毒文件自动提取特征的方法和装置  
公 开 (公告) 号：  CN101719208A  公开(公告)日：   2010.06.02  
主  分  类  号：   G06F21/02(2006.01)I 分案原申请号：   
分    类    号：   G06F21/02(2006.01)I  
颁   证     日：    优   先   权：   
申请(专利权)人：   珠海市君天电子科技有限公司  
地          址：  519015 广东省珠海市珠海吉大景山路莲山巷8号金山电脑大厦
发 明 (设计)人：  彭宁;梅银明;包德荣;刘海峰  国  际 申 请：   
国  际  公  布：   进入国家日期：   
专利 代{过}{滤}理 机构：   广州新诺专利商标事务所有限公司 44100  代   理   人：  华辉
  
  摘要　  
本发明涉及计算机杀毒软件领域，尤其涉及一种对病毒文件自动提取特征的方法和装置。对病毒文件自动提取特征的方法，在病毒文件中选取N个适合提取病毒特征的固定位置，每个固定位置分配一个位置ID号，以其中M个固定位置的位置ID号和这M个固定位置所对应的特征值作为病毒特征；所述特征值是指以某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值；其中N≥2，M≥2且M≤N，L＞0。本发明方法和装置所提取的病毒特征大大提高了文件扫描的速度；而且可以用一个病毒特征匹配大量的相似或者相同的病毒文件。
------------------------------------------------------------------------------------------------------


我们可以看到：
在病毒文件中选取N个适合提取病毒特征的固定位置
固定位置分配一个位置ID号
M个固定位置的位置ID号和这M个固定位置所对应的特征值作为病毒特征
某个所述固定位置为起点，取长度为L的一段二进制数据来计算的HASH值

好的 然后反过头来看md5
先拿一个文件特征：
婥 ?@婦$;
12个字节。。
md5:
77bd2ea60d71a5f40e4d1fe1e5666df2
16个字节。。。

然后md5匹配模式：
校对数据为16个字节。。
看金山微特征：
http://bbs.kafan.cn/thread-1033436-1-1.html
铁军大叔说是200字节。。。


然后我们看微特征。。
读了读发现。。。其实就是固定的多段位置取md5。。
也就是说 如果特征长度小于16字节。。
微特征就没意义
特征长度大于16字节
微特征就=特征码扫描。。
不同的是把特征算了下md5给上传了。。

搞不懂这么做是为什么- -
看了好几遍。。感觉唯一的好处就是少传了点东西。。

。。但是？ 少传？
一个md5是16字节。。你200字节。。

铁军大叔。。。求科普

查理弗朗西斯

就这样
发明人那我没看到铁军哥的名字........

查理弗朗西斯

我的理解是微特征是特征码和MD5的结合体

hikehiking

卡饭的“原创帖”有其特殊的定义，不是说非转载就是原创，这一点真的很囧。。。
其实我真的建议把这个“原创”帖改名叫“技术”贴，以免大量不明真相的群众误用而被管理员误伤。。。

lxilikepal

其实就是把一个大文件分块，然后每一块做1次MD5
我个人的理解如下：
对每一个文件做一次MD5，那么这个文件稍微改动一下，就得重新做一次MD5（个别MD5冲突的例子例外）

如果把一个文件分成n块，对每一块做一次MD5，那么，如同面部识别，把人脸划分为n个区域那样
如果相同的区域（MD5）大于x个（1<x<n)，那么就可以认定是同一个人，在病毒判定上就可以认定为同一个病毒或者是其稍加修改的变种。
这样，一个MD5集合的特征，可以对应多个病毒（也可以说是一个病毒和其衍生的一系列变种），对查杀来说提高了效率。

tokthoo

微特征用的只是md5吗。。。。？

zhq445078388

lxilikepal 发表于 2011-7-22 13:00
其实就是把一个大文件分块，然后每一块做1次MD5
我个人的理解如下：
对每一个文件做一次MD5，那么这个文件 ...

花指令
压缩壳
加密壳

都是全局变动、、、你认为呢?

jefffire

小红伞的特征快速发布也是类似的原理。
在熟悉PE结构的基础上，结合fuzzy hash的基本原理，做出一个特征码快速提取系统并非难事。
局限性较强，分块的大小，位置，数量都十分考验作者水平。举个例子，假如我对文件每1000个字节作为一块，计算哈希值。这样得出的哈希值数量极为庞大，而且由于哈希值的随机性，不能用压缩算法进行压缩。而且这样的分块方法，碰到错位攻击就彻底失效了。也就是我在文件的开头添加一个或几个字符，这样所有的数据全部都以此往后挪动了一个或几个字符。这样固定长度分块就毫无用处了。

悟心之道

不能和铁军，正奇过于认真，伤不起

lxilikepal

zhq445078388 发表于 2011-7-22 15:21
花指令
压缩壳
加密壳

那啥，我是说的我看了那个专利里的那些东西后我自己的理解
具体怎么处理你说的那些东西，我就不知道专利所有人是怎么想的了