Piszę o wykryciu szkodliwego oprogramowania na podstawie skanowania podpisów. Jak zrozumiałem, głównym pomysłem jest porównanie podpisu zeskanowanego pliku z podpisami na twojej czarnej liście. Here Znalazłem, że ten podpis to jakiś skrót MD5, ale jak mogę go pobrać z pliku? Czy są jeszcze inne rodzaje podpisów?Wykrywanie szkodliwego oprogramowania sygnatur
Skrót MD5 jest skrótem zawartości pliku. Jeśli masz czarną listę skrótów MD5, tak, możesz porównać plik z nimi. Myślę, że byłby to dość uproszczony i kruchy sposób skanowania pod kątem złośliwego oprogramowania, ale na pewno jest to początek. Byłoby to delikatne, ponieważ porównanie skrótów MD5 rozpoznałoby tylko, gdy dwa pliki są dokładnie identyczne. Wszelka przypadkowość wprowadzona do złośliwego pliku sprawiłaby, że ta metoda skanowania byłaby bezużyteczna.
Większość języków ma pewien standardowy sposób generowania skrótu MD5. C#, VB i VC++ można użyć klasy MD5, PHP posiada funkcję hash (używając „MD5” jako pierwszy argument), w java masz MessageDigest itp
Istnieje szereg innych dostępnych hashing algorithms, które mogłyby być używane do tego celu. Wykazano, że MD5 brakuje niektórych aplikacji i jako takie algorytmy SHA stają się bardzo standardowe dla tych aplikacji. W przypadku tej aplikacji, w której nie oczekuje się, że złośliwy atak spróbuje utworzyć dopasowanie, a wręcz przeciwnie, próba zapobieżenia dopasowaniu, każdy standardowy algorytm mieszania, w tym MD5, powinien być wystarczający, aby można było rozsądnie zapewnić, że nie będzie fałszywych alarmów. być widzianym.
Aby zwiększyć liczbę wiadomości w języku Java, można użyć numeru MessageDigest. Zgodnie z jego javadoc obsługuje MD5, SHA-1 i SHA-256.
[Skanowanie podpisów] (http://stackoverflow.com/questions/13152150/signature-scanning/13197718#13197718) –