一个文件出现多个md5、sha1值。。杀软云检测的时候用的是哈希校验吗？

显示全部楼层 · 发表于 2015-4-11 23:46:47

版主见谅，国外区人多发在这儿了，不妥请删。
=================================================
一直用本本原装oem的win7，今天想试试win8.1，去了远景的置顶帖，用迅雷下载了iso镜像。
远景地址：http://bbs.pcbeta.com/viewthread-1568619-1-1.html
本来想在msdn下的，但没有权限下8.1with uptada3，只能下8.1win updata1，所以才到远景。
本来应该只从原始地址下载，但慢死了，所以。。。
然后肯定就要校验md5之类的了。原帖只给了sha1值，所以校验sha1。
===================================================
然后，出问题了。
一校验，发现sha1和原帖的不一样，我勒个去，白下载了，等了我这么久。实在是不甘心，换了工具再校验，还是不一样。但是发现问题，两次校验结果不同！再换一个工具，居然sha1值和原帖一样了。。。。。我下载的iso到底有没有问题啊。。。。
===================================================
然后决定搞清楚。翻箱倒柜在硬盘里面找了好几个哈希校验工具，一个个上。
结果如下：
hash1.04 结果与原帖一样，正常。校验速度非常慢。
hashcal 结果与原帖一样，与上面工具的结果一样（md5，crc32都一样），正常。校验速度非常慢。
hashghost 结果与原帖不一样，且与所有工具结果不一样。校验速度慢。
alternate hash generator结果与原帖不一样，与所有工具不一样。校验速度很快。
贝壳md5校验工具报错，无法校验。
file-md5 报错，无法校验。
截图如下：
====================================================
另外，楼主还校验了十几个文件，从几十字节的txt到几十兆的安装包，这一大堆工具的所有结果全部一样，证明这些工具是有效的。
又担心是不是磁盘有坏道之类的，将iso文件从C盘复制到d盘，复制到外置移动硬盘，U盘，结果一样。证明不是磁盘问题。
所以楼主猜想如下：

下载的iso文件是正常的，hashcal和hash1.04两款工具校验的sha1均与原帖一致，且md5和crc32值也一样，这两个工具可靠。

file-md5和贝壳md5两款工具报错，因为iso超过4G大小，这两个工具不支持如此大的文件。

altenate hash generator 校验速度极快，而且结果与所有工具不同。而且，居然有位网友发帖，他下的win7的镜像校验结果与这个工具校验的我的win8.1的结果一样！sha1和md5都一样！而且这位朋友校验的时候文件没下完，大小是0字节！
地址：http://bbs.ithome.com/thread-558909-1-1.html
目前不清楚这位朋友是不是用的这个工具校验，但这个工具可能实际上不支持4G大小的iso，但因为软件机制没有报错，而是得出错误结果！
楼主第一次校验就用的这个，差点就删了辛苦下的iso。。。。。

hashghost是算了一会儿才出结果的，结果与所有工具不一样。出了什么问题未知。。。
我的情况也有网友遇到过。。。地址：http://bbs.pcbeta.com/viewthread-1583035-1-2.html
========================================================================
目前就这么个情况，file-md5、贝壳两款工具记不清来源，可能前者来自吾爱破解论坛，后者来自多年前的《黑客x档案》附送光盘。
altenate hash generator 来自卡饭软件区，th_sjy汉化的。当初保存此工具是因为支持几个独特的，入围sha3候选的hash算法。
hash1.04似乎来自msdn网站，如今去看好想没了。剩余工具记不清了，似乎都是卡饭下的。

杀软进行云检测的时候，提取文件指纹，使用自己的内建工具提取hash值吗？
另，楼主今日把硬盘里Universal Extractor 解压到桌面，然后发现不是绿色版，到控制面板卸载。这货的卸载程序居然删除安装目录所有内容，导致楼主桌面文件全部被删，在pe下用easyrecovery，R-studio，diskgenius等扫了两小时，只恢复了少量文件，郁闷死了。。。

显示全部楼层 · 发表于 2015-4-15 09:13:58

不懂帮顶。我觉得对于一个特定文件，按照一种特定算法得到的文件指纹应该只有一个

显示全部楼层 · 发表于 2015-4-15 09:17:49

有些特定检测引擎为了迅速响应，会看md5的

显示全部楼层 · 发表于 2015-4-15 12:57:08

天蓝色的忧伤发表于 2015-4-15 09:13
不懂帮顶。我觉得对于一个特定文件，按照一种特定算法得到的文件指纹应该只有一个

thanks！就算碰撞也只会遇到多个文件一个指纹，但不会出现一个文件几个指纹。。应该是工具的bug，说明这些多如牛毛的哈希计算工具也不太靠靠谱。。。

显示全部楼层 · 发表于 2015-4-15 12:58:57

欧阳宣发表于 2015-4-15 09:17
有些特定检测引擎为了迅速响应，会看md5的

thanks！我还以为杀软有自己的算法呢。。。md5算几个G大的文件也要算一会儿。。那杀软目前是不考虑碰撞的情况喽？

[讨论] 一个文件出现多个md5、sha1值。。杀软云检测的时候用的是哈希校验吗？

本帖子中包含更多资源

浏览过的版块