黄金率0.618在提取特征码中的作用

studycpp

有这样一篇文章描述了 金山等模糊hash算法
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1005272

本人通过对近10000个可执行文件等文件的研究，发现文件的关键执行部分在文件的头部 ，整个位置0.618处，以及1-0.618处 和文件末尾，因此微特征码可以从这几处提取，已经用于UncleAV的研制。文件的起始位置可以定义为PE header
ring3 code

1. ///1 read
   
2.         DWORD realRead=0,filePos=0;
   
3.         DWORD ptrLow;BOOL readRet;
   
4.         ptrLow=SetFilePointer(hFile,filePos,NULL,FILE_BEGIN);
   
5.         if (INVALID_SET_FILE_POINTER==ptrLow &&
   
6.                 (readRet = GetLastError()) != NO_ERROR )
   
7.         {
   
8.                 return ret;
   
9.         }
   
10.         readRet=ReadFile(hFile,calcData,FILE_READ_BUFFER_LEN,&realRead,NULL);
    
11. 
    
12.         if (readRet==FALSE)
    
13.         {
    
14.                 return ret;
    
15.         }
    
16. 
    
17. 
    
18.         if (pfileInfo->dwFileLen<=FILE_HASH_MYHASH_LEN)
    
19.         {
    
20.                 ret=GetHash(CALG_SHA,calcData,FILE_HASH_MYHASH_LEN,pfileInfo->pbMyHash,pfileInfo->myHashLen);
    
21.                 return ret;
    
22.         }
    
23. 
    
24. 
    
25.         ///2 read
    
26.         filePos=(DWORD)(pfileInfo->dwFileLen*0.618);
    
27.         SetFilePointer(hFile,filePos,NULL,FILE_END);       
    
28.         ReadFile(hFile,&calcData[FILE_READ_BUFFER_LEN],FILE_READ_BUFFER_LEN,&realRead,NULL);
    
29. 
    
30.         ///3 read
    
31.         filePos=(DWORD)(pfileInfo->dwFileLen*0.618);
    
32.         SetFilePointer(hFile,filePos,NULL,FILE_BEGIN);       
    
33.         ReadFile(hFile,&calcData[FILE_READ_BUFFER_LEN*2],FILE_READ_BUFFER_LEN,&realRead,NULL);
    
34. 
    
35. 
    
36.         ///4 read
    
37.         filePos=FILE_READ_BUFFER_LEN;
    
38.         ptrLow=SetFilePointer(hFile,filePos,NULL,FILE_END);       
    
39.         if (INVALID_SET_FILE_POINTER==ptrLow &&
    
40.                 (readRet = GetLastError()) != NO_ERROR )
    
41.         {
    
42.                 return ret;
    
43.         }
    
44.        
    
45.         readRet=ReadFile(hFile,&calcData[FILE_READ_BUFFER_LEN*3],FILE_READ_BUFFER_LEN,&realRead,NULL);
    
46. 
    
47.         if (readRet==FALSE)
    
48.         {
    
49.                 return ret;
    
50.         }
    
51. 
    
52.     HASh code。。。。。
    
53. 
    

复制代码

guidanba

黄金分割率无所不能。

690565755

楼主牛人啊，这都发现了，黄金律真的无所不能啊

MagicFuzzX

请问有什么统计学证据可以证明关键代码在这两处？？

zhq445078388

关键执行位置么？
告诉你一个不好的消息
在打花指令时候使用随机位置插入jmp
会让你崩溃的

zhq445078388

当时我记得 我看了大概300个左右的常规的exe
发现了文件头645字节以后 到整个文件一半多的位置是关键执行点
当时也认为可以用这个做点啥。
然后 有朋友跟我说 让我看看网络上出现的木马样本
我去看了下
说句打击人的话 光E语言的“目的代码打乱”就可以让这个理论崩溃

另外还有一点 文件尾在很多时候是无用的
很多人用来放置一些校验码之类的东西
比如crc之类的
一些质量不高的木马 逃杀金山的方式 也就是
每过一段时间前段部分随机插nop
然后文件尾自动插nop

-oAo-

黄金分割率只是个美好的愿望，黑客没那么傻

天原

果然是姐夫那篇…

zhq445078388

天原 发表于 2011-11-28 10:29
果然是姐夫那篇…

JE写的么？。。我想要原文连接去看看~

zhq445078388

天原 发表于 2011-11-28 10:29
果然是姐夫那篇…

je是妹纸 不可能把？？