Comodo是怎么知道不是同一个文件的？

显示全部楼层 · 发表于 2018-10-29 02:23:38

kfk 发表于 2018-10-29 02:10
你把它们从Comodo文件列表导出，关键数据完全一致？
那我就不知道了……

除了两个Sha1，还有相同的version="" flags="22" ，没别的特征项了，所以才问啊

显示全部楼层 · 发表于 2018-10-29 19:47:37

size
sizeOnDisk
created
modified
这些都完全一致？
看你前面说“多精确就不知道了”，我还以为你没检查……

显示全部楼层 · 发表于 2018-10-29 19:56:05

kfk 发表于 2018-10-29 19:47
size
sizeOnDisk
created

你说的是Comodo导出的文件评级列表，还是文件本身的属性？

显示全部楼层 · 发表于 2018-10-29 19:56:19

不过首帖说的无规律现象，我觉得可疑。
程序总是按既定逻辑来的，不可能此一时彼一时。
更可能是人的操作/观察不周严。

显示全部楼层 · 发表于 2018-10-29 19:58:07

随便注册发表于 2018-10-29 19:56
你说的是Comodo导出的文件评级列表，还是文件本身的属性？

导出的，它精确到100ns。

显示全部楼层 · 发表于 2018-10-29 20:12:48

kfk 发表于 2018-10-29 19:58
导出的，它精确到100ns。

没有那些项

<file.rating path="C:\Program Files (x86)\Internet Explorer\iexplore.exe" vendorName="Microsoft Corporation" flags="0" hashSha1="AA7896518659CE25620126437206806DC1FCD541" vendorSha1="A5F085E7F326F3D6CA3BFD6280A3DE8EBC2EA60E" actualVerdict="trust"/>

复制代码

有无校验，其CPU占用、卡顿延时和读盘，区别很明显，再不周也不会分不出来

显示全部楼层 · 发表于 2018-10-29 20:19:38

随便注册发表于 2018-10-29 20:12
没有那些项

所有文件都这样？
难道后续版本简化了？

我以前的记录前面列了，我只去掉了Flag

显示全部楼层 · 发表于 2018-10-29 20:26:27

kfk 发表于 2018-10-29 20:19
所有文件都这样？
难道后续版本简化了？

查了一下，除了有的多个vendorName项，所有都一样

是从这里导出吧？

显示全部楼层 · 发表于 2018-10-30 00:28:04

你的版本也许是把其他特征数据另行存储了（为了更快索引?）
设法监视一下它的读写，也许能找到文件，不过估计Hex都没法看……

显示全部楼层 · 发表于 2018-10-30 00:30:15

kfk 发表于 2018-10-30 00:28
你的版本也许是把其他特征数据另行存储了（为了更快索引?）
设法监视一下它的读写，也许能找到文件，不过 ...

就算找出来我也没办法设置到纳秒，既然以前的版本能存储那么精确，那就是这个原因了

[讨论] Comodo是怎么知道不是同一个文件的？