楼主: yjwfdc1
收起左侧

[其他相关] 测试了一下,火绒和360一样,某些病毒是用哈希值入库。

  [复制链接]
cocomail
发表于 2019-4-19 17:38:34 | 显示全部楼层
www-tekeze 发表于 2019-4-19 17:22
?? 标题是“某些病毒”,现在成了“全哈希入库”,请问是火绒官人告诉你的么。。
才发现大佬说 ...

你理解错了他的意思

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 感谢解答: )

查看全部评分

huang1111
发表于 2019-4-19 17:38:36 | 显示全部楼层
dsb2466 发表于 2019-4-19 17:36
其实单纯改MD5,国内的云杀软都还是可以检出的,楼主可以试试

很可惜,火绒和云不沾边。。。。
www-tekeze
发表于 2019-4-19 17:47:25 | 显示全部楼层
cocomail 发表于 2019-4-19 17:38
你理解错了他的意思

他说“本地杀软就更不应该全哈希入库了”,本地杀软指的不就是火绒? 但火绒毒库主要是启发式毒库,虽然存在少量哈希库。。。相信没哪款杀软不存在哈希库的,多点少点而已。。


www-tekeze
发表于 2019-4-19 18:06:08 | 显示全部楼层
諾言敵不過時間 发表于 2019-4-19 17:34
火絨這報法不就是拉黑處理的嗎?
我記得後面會做通殺吧?
好像一星期一次還多久,忘了。

拉黑主要是为了快速响应,但没有多长时间做一次通杀的说法,做不做通杀主要是根据威胁情报系统的反馈情况,如果有出现甚至蔓延苗头,为了防止变种产生无法查杀,就会做通杀,但如果始终无反馈,比如我发的样本集,当中有不少加了UPX或ASPack,只是临时炮制出来给饭友娱乐下,止步于卡饭,现实当中没有的,像这种无价值样本,永远都只是拉黑状态,几年后甚至从库里删了也有可能。。。


yjwfdc
头像被屏蔽
发表于 2019-4-19 18:29:59 | 显示全部楼层
本帖最后由 yjwfdc 于 2019-4-19 18:34 编辑
www-tekeze 发表于 2019-4-19 17:22
?? 标题是“某些病毒”,现在成了“全哈希入库”,请问是火绒官人告诉你的么。。
才发现大佬说 ...

不应该 “整体文件哈希" 入库,"关键位置哈希" 入库也难免杀些。

这样容易理解些吗?
yjwfdc
头像被屏蔽
发表于 2019-4-19 18:41:54 | 显示全部楼层
dsb2466 发表于 2019-4-19 17:36
其实单纯改MD5,国内的云杀软都还是可以检出的,楼主可以试试

金山未试过,360就很多时候都可以过,
以前听说360把文件分一千份来哈希,这样很难简单免杀,最近才试了几次,原来是“整体文件哈希”,随便改一下就过了。

如果我做杀软,最小会分几份来哈希,不太影响查杀和入库速度,也不会这么容易过。
www-tekeze
发表于 2019-4-19 20:14:09 | 显示全部楼层
yjwfdc 发表于 2019-4-19 18:29
不应该 “整体文件哈希" 入库,"关键位置哈希" 入库也难免杀些。

这样容易理解些吗?
金山未试过,360就很多时候都可以过,
以前听说360把文件分一千份来哈希,这样很难简单免杀,最近才试了几次,原来是“整体文件哈希”,随便改一下就过了。

如果我做杀软,最小会分几份来哈希,不太影响查杀和入库速度,也不会这么容易过。


以前在数字论坛混时曾听说过,但相信是种传说,最多也就流行广危害大的会这种处理,但分3、5份,10份不得了了,1000份? 一个样本就有1000条毒码?? 想毒库急剧膨胀? 检索速度也会大为拖慢。。。火绒通杀和ESET一样,提取的是行为特征码,一条毒码可以查杀成千上万个样本,这种将文件大量分割实在不可取,但大数字可能没提取行为码、基因码这方面技术,所以有可能局部采用这种办法。。。

个人猜的,别当真。。


zdlzp
发表于 2019-4-19 21:20:10 | 显示全部楼层
yjwfdc 发表于 2019-4-19 18:41
金山未试过,360就很多时候都可以过,
以前听说360把文件分一千份来哈希,这样很难简单免杀,最近才试了 ...

病毒分析师偷会懒都被你发现啦
yjwfdc
头像被屏蔽
发表于 2019-4-19 22:18:54 | 显示全部楼层
zdlzp 发表于 2019-4-19 21:20
病毒分析师偷会懒都被你发现啦

他偷懒,我们的电脑安全性就降低了。
www-tekeze
发表于 2019-4-19 22:32:39 | 显示全部楼层
yjwfdc 发表于 2019-4-19 22:18
他偷懒,我们的电脑安全性就降低了。

把文件分割成多份然后提取哈希,这种编个小程序就能做到吧,也就是机器就可以入库,不需要病毒师过多参与。。。但带来的特征库膨胀、扫描速度下降、效率低下等,这些负作用如何解决呢。。


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:42 , Processed in 0.099237 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表