瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 建议改进云查杀数据库的 算法
shulun743 - 2016-6-17 16:04:00
现在 似乎 大部分的 云引擎都是 md5查杀

很容易 被修改 md5 ,来免杀对抗云引擎 !!!


建议






建议 采用 md5  +  sha1  ,类似的 技术 来 对抗云引擎


就是 一个 新样本 在提取 md5的 时候 ,同时提取 sha1 , 并一同保存到数据库


而 云引擎 在扫描时 ,能 同时 获取 md5  和  sha1  ,这样若 md5被修改了 ,可能sha1 还有效 ,所以就增加了 免杀难度和成本


当然 请酌情考虑啊

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/48.0.2564.116 UBrowser/5.6.13381.205 Safari/537.36
瑞星工程师20 - 2016-6-17 17:01:00
建议已收集。
524186683@qq.com - 2016-6-18 10:13:00
MD5和SHA1都属于信息摘要算法,说白了都是算个文件Hash,文件的修改最终都会导致这两个值的修改(理论上)
还不如算SSDeep呢,只不过怎么去分片这又是工程师需要考虑的问题了,不同的分片方法会得出截然不同的结果,效果也不同。
leifeng_FD - 2016-6-18 10:39:00
瑞星工程师你好,我同意3楼的观点,请你先阅读3楼看看!
小猪贝贝啊1 - 2016-6-18 10:47:00
哎呀呀,三L这是谁呀~~
shulun743 - 2016-6-18 15:47:00
或许 可以 考虑 模糊哈希算法 ,增加 免杀难度

并且 就是 免杀了一个 已经入云库的文件 ,建议开发 云启发 引擎 ,若 两个文件的 哈希值 近似

就上传 分析
http://blog.csdn.net/cwqbuptcwqbupt/article/details/7591818
瑞星工程师20 - 2016-6-20 13:51:00
已收集。
1
查看完整版本: 建议改进云查杀数据库的 算法