★★★我来告诉你金山提取”微特征的方法”完全分析结果公布,大家可以参考.或者启发

显示全部楼层 · 发表于 2011-3-15 17:45:47

哥只想说要是我的是新样本,网上没有怎么办?
更何况就算网上有,那他怎么比对特征,网上N多资源,他每个比对?一样就下载分析?
根本不可能.想想就知道了.

显示全部楼层 · 发表于 2011-3-15 17:58:33

本帖最后由小紫英于 2011-3-15 17:58 编辑

啊，39MB某AVG小游戏汉化文件上传要1300秒，改个MD5就上传一次，莫非size不够大？

显示全部楼层 · 发表于 2011-3-15 18:06:18

本帖最后由 langsileaa 于 2011-3-15 18:09 编辑

回复 1楼李白vs苏轼的帖子

通过微特征来下载对应文件鉴定，个人有一个疑问：
通过搜索引擎怎么去找完全匹配的文件，如果不能完全匹配，那就意味着“微特征”是可以决定文件性质的。既然“微特征”已经可以决定了，又何必去下载呢？

但MD5这类有个缺点就是如果其中一点点数据变了
,整个MD5就变了这使得这种方法变得近乎不好用了,

个人不认同此观点。文件发生一点点变化，MD5的确发生改变，需要重新分析。但当使用MD5方法所必须的条件满足时，
MD5鉴定相反成了最最准确的。云及时响应、海量MD5名单等，只要条件足够，MD5方法完全不若与其它鉴定方法。
MD5排除意外因素，绝对不会产生误报。相反，其它特征查杀存在产生误报的缺点。

显示全部楼层 · 发表于 2011-3-15 18:07:23

回复 40楼 fzq198776 的帖子

我不知道啊

显示全部楼层 · 发表于 2011-3-15 18:07:56

本帖最后由李白vs苏轼于 2011-3-15 18:12 编辑

回复 42楼小紫英的帖子

我先去测今天的360好了这个问题....

显示全部楼层 · 发表于 2011-3-15 18:08:48

本帖最后由小紫英于 2011-3-15 18:08 编辑

回复 43楼 langsileaa 的帖子

根据文件特征，决定一种去文件块的方法（有几种），取文件块的hash拼接一下=该文件的微特征

显示全部楼层 · 发表于 2011-3-15 18:12:29

回复 43楼 langsileaa 的帖子

感觉md5用在黑名单比较合适如果微特征提取成功鉴定文件安全性后应该可以直接和md5挂钩吧

显示全部楼层 · 发表于 2011-3-15 18:12:54

回复 46楼小紫英的帖子

那归根到底还是和MD5海量名单原理相同了，只是免杀难度比MD5稍微容易点而已。

显示全部楼层 · 发表于 2011-3-15 18:12:59

回复 46楼小紫英的帖子

就这么简单?

显示全部楼层 · 发表于 2011-3-15 18:15:22

回复 47楼李白vs苏轼的帖子

这还是回到原先说的，微特征是和类似MD5库挂钩的。
但是当提取到的微特征通过搜索引擎，并未找到相类似文件下载时，金山的引擎是如何处理的？再进行文件上传？

[金山] ★★★我来告诉你金山提取”微特征的方法”完全分析结果公布,大家可以参考.或者启发