Fuzzy Hashing 算法工具ssdeep 使用

最新推荐文章于 2023-11-16 18:57:48 发布
最新推荐文章于 2023-11-16 18:57:48 发布
阅读量7.4k 收藏 3
点赞数
分类专栏: 【代码克隆检测】

引言

ssdeep 是一个用来计算context triggered piecewise hashes(CTPH) 基于文本的分片哈希算法 ,同样也可以叫做模糊哈希 Fuzzy hashes。CTPH可以匹配同源文档(相似文档),这样的文档可能有一些顺序相同的字节,尽管这些字节可能在一个序列中长度和内容都不尽相同。

你可以在这里下载到这个算法的详细解释: Identifying almost identical files using context triggered piecewise hashing

这个是 ssdeep 的代码和使用指南链接: ssdeep code

注意,在安装的时候,如果你使用的是默认的安装路径/usr/local/bin.这个时候你必须要获得root权限, 可以使用sudo 来完成

    $ sudo make install

基本操作

一般情况下,ssdeep能对每一个文件产生CTPH,模糊哈希。

产生的方法如下:

C:\temp> ssdeep config.h INSTALL doc\README

得到的结果如下:

ssdeep,1.0--blocksize:hash:hash,filename
96:KQhaGCVZGhr83h3bc0ok3892m12wzgnH5w2pw+sxNEI58:FIVkH4x73h39LH+2w+sxaD,"C:\temp\config.h"
96:MD9fHjsEuddrg31904l8bgx5ROg2MQZHZqpAlycowOsexbHDbk:MJwz/l2PqGqqbr2yk6pVgrwPV,"C:\temp\INSTALL"
96:EQOJvOl4ab3hhiNFXc4wwcweomr0cNJDBoqXjmAHKX8dEt001nfEhVIuX0dDcs:3mzpAsZpprbshfu3oujjdENdp21,"C:\temp\doc\README"

注意得到的结果输出是文件的全路径。我们可以使用ssdeep 来得到文件的相对路径,为了得到相对路径我们可以使用参数 -l ,重复上面的例子,我们使用参数-l来得出我们的结果

C:\temp> ssdeep -l config.h INSTALL doc\README
ssdeep,1.0–blocksize:hash:hash,filename
96:KQhaGCVZGhr83h3bc0ok3892m12wzgnH5w2pw+sxNEI58:FIVkH4x73h39LH+2w+sxaD,”config.h”
96:MD9fHjsEuddrg31904l8bgx5ROg2MQZHZqpAlycowOsexbHDbk:MJwz/l2PqGqqbr2yk6pVgrwPV,”INSTALL”
96:EQOJvOl4ab3hhiNFXc4wwcweomr0cNJDBoqXjmAHKX8dEt001nfEhVIuX0dDcs:3mzpAsZpprbshfu3oujjdENdp21,”doc\README”

如果你只想输出文件名我们可以使用参数 -b ,例子如下:

C:\temp> ssdeep -b config.h INSTALL \doc\README
ssdeep,1.0--blocksize:hash:hash,filename
96:KQhaGCVZGhr83h3bc0ok3892m12wzgnH5w2pw+sxNEI58:FIVkH4x73h39LH+2w+sxaD,"config.h"
96:MD9fHjsEuddrg31904l8bgx5ROg2MQZHZqpAlycowOsexbHDbk:MJwz/l2PqGqqbr2yk6pVgrwPV,"INSTALL"
96:EQOJvOl4ab3hhiNFXc4wwcweomr0cNJDBoqXjmAHKX8dEt001nfEhVIuX0dDcs:3mzpAsZpprbshfu3oujjdENdp21,"README"

错误信息

如果我们没有指定特定的文件,这个时候一个错误信息提示就会出现

C:\temp> ssdeep
ssdeep: No input files

ssdeep 不支持管道操作。如果一个输入文件没有找到,ssdeep将会提示出一个错误的信息,如果想要忽略这个错误的信息,我们可以使用-s这个操作

C:\temp> ssdeep doesnotexist.txt
ssdeep: C:\temp\doesnotexist.txt: No such file or directory
C:\temp> ssdeep -s doesnotexist.txt
C:\temp>

迭代模式(Recursive Mode)

一般情况下如果我们尝试处理一个目录的话那么将会产生一个错误的信息,在迭代模式下,ssdeep 将会哈希该目录下的所有文件,以及这个目录文件下的子目录的所有文件, 迭代模式可以使用 -r参数

C:\temp> ssdeep *
ssdeep: C:\temp\backups Is a directory
ssdeep,1.0--blocksize:hash:hash,filename
96:KQhaGCVZGhr83h3bc0ok3892m12wzgnH5w2pw+sxNEI58:FIVkH4x73h39LH+2w+sxaD,"config.h"
ssdeep: C:\temp\www Is a directory

C:\temp> ssdeep -r *
ssdeep,1.0--blocksize:hash:hash,filename
768:McAQ8tPlH25e85Q2OiYpD08NvHmjJ97UfPMO47sekO:uN9M553OiiN/OJ9MM+e3,"C:\temp\backups\mystuff.zip"
384:bcEKuglk+GUYIk90a1lEF+Wfsy2solvW8mK1enQXP79:bmlFGUNk9L1roy4K1enQ,"C:\temp\backups\ssdeep.exe"
96:CFzROqsgconvv7uUo6jTcEGEvpVCN116S:CNVnqj8cMVCv16,"C:\temp\backups\foo.doc"
96:KQhaGCVZGhr83h3bc0ok3892m12wzgnH5w2pw+sxNEI58:FIVkH4x73h39LH+2w+sxaD,"config.h"
96:aN0jOc0WlWW+LWQnjv7ufGcE5ESr5YaZ6uicEDEO9VCN116Sb5EutkB:aSeoF+L/zqfGtfr5YiWcsVCv16W5htk,"C:temp\www\index.html"

匹配模式

在ssdeep 中最强大的功能就是匹配输入文件的哈希和一系列已知的hash值做比较,由于模糊哈希的不严格性,注意这里指的是ssdeep能够指示两个文件是匹配,但是这不以为着这些文件是相关的。你应该独立的检测每一对文件的相似性,看他们是怎么相关的。

我们创建一个文件叫做foo.txt 这个时候我们复制foo.txt 到文件bar.txt中

$ ls -l foo.txt
-rw-r--r--   1 jessekor  jessekor  240 Oct 25 08:01 foo.txt

$ cp foo.txt bar.txt
$ echo 1 >> bar.txt

这个时候我们用传统的加密hash算法MD5他并不能匹配这两个hash, 因为只要一个字节的轻微变动都会使得他们的hash产生巨大的变化。

$ md5deep foo.txt bar.txt
7b3e9e08ecc391f2da684dd784c5af7c /Users/jessekornblum/foo.txt
32436c952f0f4c53bea1dc955a081de4 /Users/jessekornblum/bar.txt

但是对于这种情况,fuzzy hashing却可以做到,我们首先计算foo.txt的hash值,然后把它保存到hashes.txt这个文件中,这个时候我们比较foo.txt文件的hash值,和bar.txt的hash值看它们之间的相似程度

在这里我们使用参数-m ,-m 需要后面接两个参数,一个是一个已知的文件的hash值,另一个是输入的文件(需要比较的文件)

$ ssdeep -b foo.txt > hashes.txt
$ ssdeep -bm hashes.txt bar.txt
bar.txt matches foo.txt (64)

在括号里面的值是相似度得分,这个分数越高就说明这两个文件越相似

源代码复用检测

ssdeep 最实用的功能就是匹配功能,你可以使用ssdeep 的匹配模式来找出源码的复用。假设有两个文件夹,在这些文件夹中包含了一堆代码,我们可以先计算出一个文件夹下的树结构上的所有文件的hash值在和另外的一个文件夹下的所有文件进行一一比对,找出相似代码。

假设一个文件夹叫做md5deep-1.12 和一个文件夹叫做ssdeep-1.1,我们比较这两个文件夹下的代码复用情况

C:\> ssdeep -lr md5deep-1.12 > md5deep-hashes.txt

C:\>ssdeep -lrm md5deep-hashes.txt ssdeep-1.1
ssdeep-1.1\cycles.c matches md5deep-1.12\cycles.c (94)
ssdeep-1.1\dig.c matches md5deep-1.12\dig.c (35)
ssdeep-1.1\helpers.c matches md5deep-1.12\helpers.c (57)

这里写图片描述

君的名字
关注
专栏目录
使用R语言中的Fuzzy C-Means算法对iris数据集进行模糊聚类分析
09-03
在这项分析中,我们使用R语言对经典的iris数据集进行了模糊聚类分析,采用了Fuzzy C-Means(FCM)算法Fuzzy C-Means是一种改进的聚类算法,允许每个数据点以不同的隶属度(概率)属于多个簇,而不仅仅是硬性分配到...
Go-基于libmagic和ssdeep检测文件类型和模糊哈希
08-14
基于libmagic和ssdeep检测文件类型和模糊哈希
总结:二进制安全阅读论文总结
围城
06-09 1419
2020/06/09 - 引言 关于本部分二进制安全相关的东西,一开始我没有准备看论文,主要是想找一些相关的工具来实现自己的目的。起初,我是希望寻找一个工具能够对比二进制文件的相似度,通过搜索之后,定位到了ssdeep这个工具,对这个工具进行了实践,能够得到一些相应的结果。但在这个过程中发现了一个博客复现了大致是17/18年左右一篇顶会(代码相似度)的论文(后面具体介绍),在阅读了这篇论文之后,萌...
fuzzy hash(模糊哈希)算法
mznewfacer的专栏
06-07 8421
最近看一篇paper,无意中看见了一种模糊哈希算法——fuzzy hash算法。于是立刻去翻阅相关资料,整理出如下文章。   首先说说哈希算法。      大家都知道函数实际上就是一种映射,本质是将一个集合通过对应法则f映射到另一个集合。 而哈希算法是一个特殊的函数,他具有的特点是,定义域是一个不确定的无限集合而值域是一个有限集合。简单来说,哈希算法就是将一个任意大的数据项(如计算机文
SSDEEP分析二进制文件的相似性
shutdown -s -t
05-04 1362
本文讨论内容涉及如何使用SSDEEP、python调用SSDEEPSSDEEP的计算块最大的大小。 背景 安全分析里经常会遇到一个场景,当一个文件被人为有意或无意地操作变化变成了一个新的文件,例如,有意的情况有作者改动文本内容、恶意代码自动填充垃圾字节等变化;无意的情况有传输出错、磁盘存储出错等。如何衡量这些文件的是否发生变化,如何有效比较两个文件是否有差异是否相似,成了取证分析和病毒分析里经常要面对的问题。 针对上面的场景,业内比较程序办法是采用模糊哈希进行比较,模糊哈希算法又叫基于内容分割的分片哈希算
模糊哈希平均哈希,差异哈希,小波哈希,基于ssdeep工具的图像模糊哈希相似度比较诊断分析系统
04-26
基于pyqt5建立系统,然后调用ssdeep工具,实现图像之间的模糊哈希数值计算,并实现相似度的计算。具体过程见: https://blog.csdn.net/m0_68894275/article/details/124317203
聊聊模糊测试,以及几种模糊测试工具的介绍!
最新发布
11-16 1441
在当今的数字环境中,漏洞成为攻击者利用系统漏洞的通道,对网络安全构成重大威胁。这些漏洞可能存在于硬件、软件、协议实施或系统安全策略中,允许未经授权的访问并破坏系统的完整性。根据 "常见漏洞与暴露"(Common Vulnerabilities and Exposures,CVE)的跟踪,漏洞披露的激增令人震惊......就连。
模糊hash算法判断两个文件是否相似 ------ ssdeep
weixin_30266885的博客
03-22 311
http://blog.csdn.net/cwqbuptcwqbupt/article/details/7591818 转载于:https://www.cnblogs.com/whoiskevin/archive/2013/03/22/2974850.html
ssdeep命令行参数说明
超然于物外 烟火于一瞬
10-16 3817
ssdeep 下载地址:http://ssdeep.sourceforge.net/ ssdeep 中文介绍:http://blog.claudxiao.net/2012/02/fuzzy_hashing/#comment-489 参数分为三种: 一 生成fuzzy hash值的。 二 比较hash值的。 三 其他方面的控制。 一 生成fuzzy hash
Fuzzy-FLA-1.rar_fuzzy c语言_智能算法 C语言_混合智能算法
09-21
本文将探讨一种基于C语言实现的模糊逻辑(Fuzzy Logic)与混合智能算法的实现方法。该程序源码以"Fuzzy-FLA-1.cpp"为文件名,由Visual C++编译器开发,具有完善的注释,旨在帮助开发者理解并应用这些技术。 首先,...
基于Matlab实现fuzzy算法实现路径规划仿真(源码+图片).rar
05-08
1、资源内容:基于Matlab实现fuzzy算法实现路径规划仿真(源码+图片).rar 2、适用人群:计算机,电子信息工程、数学等专业的学习者,作为“参考资料”参考学习使用。 3、解压说明:本资源需要电脑端使用WinRAR、7...
fuzzy-sys:交互使用systemctl的实用工具
05-11
通过交互使用systemctl的实用程序。 :package: 安装 确保已安装 # for zplug zplug ' NullSense/fuzzy-sys ' # for zgen zgen load ' NullSense/fuzzy-sys ' # for antigen antigen bundle ' NullSense/fuzzy-sys ...
数据挖掘中FUZZY_K均值算法实现.rar_Data mining_fuzzy k_数据挖掘 matlab_数据挖掘算法
09-23
MATLAB是实现FUZZY_K均值算法的一个理想平台,因为它提供了丰富的数学函数和可视化工具。以下是一些在MATLAB中实现FUZZY_K均值算法的关键步骤: 1. 初始化:首先,需要随机选择K个初始簇中心,这可以是数据集中的K...
模糊哈希算法ssdeep替代模块
LztCode
03-13 223
使用pyssdeep替代ssdeep win的cl.exe老是出问题,有些包作者又不用win 经过测试**pyssdeep.get_hash_buffer()和ssdeep.hash()**功能相同,**pyssdeep.compare()和ssdeep.compare()**功能相同,直接替代完事。 gitgot改一改就可以直接在win上使用了 模糊哈希算法常用与计算相似度 ...
模糊哈希算法原理与应用
热门推荐
椰子的专栏
05-22 1万+
模糊哈希算法原理与应用 Posted on 2012 年 02 月 06 日 关于模糊哈希(Fuzzy Hashing算法,目前网上有几篇中文资料介绍,但均不准确。写这篇文章以纠正,并对其原理和应用作详细的介绍。 一、概述 模糊哈希算法又叫基于内容分割的分片分片哈希算法(context triggered piecewise hashing, CTPH),主要用于文件的相似性比
windows下安装ssdeep
tiantushuai8766的博客
05-10 277
在网上找了很久的教程,只看到在linux下安装ssdeep,没看到windows怎么安装,于是自己研究了一下。
哈希算法总结
weixin_52095645的博客
07-10 382
哈希是一个不可逆的单向映射,将任意长度的输入消息映射成为一个较短的定长哈希值,也叫散列值、杂凑值和消息摘要。哈希算法是一种单向密码体制,只有加密过程,没有解密过程。
模糊散列帮助研究人员识别变形恶意软件
Purpleendurer@CSDN
05-03 4081
反恶意软件仍然依靠特征码来识别恶意软件。因此,恶意软件作者只需持续改变恶意软件代码。迈克尔.卡斯纳介绍了一个可能有效的防范手段:模糊散列。
fuzzy clustering算法
07-19
fuzzy clustering算法是一种聚类算法,与传统的硬聚类算法不同,它可以将各个对象在不同聚类中的隶属度以模糊的方式进行度量。 在传统的硬聚类算法中,每个对象只能属于一个聚类,而在fuzzy clustering算法中,每个对象可以部分地属于不同的聚类。这是通过给每个对象分配一个隶属度值来表示的,该隶属度值介于0和1之间。隶属度值越接近1,表示对象属于该聚类的隶属度越高;反之,越接近0表示隶属度越低。 fuzzy clustering算法的核心是计算每个对象到各个聚类中心的距离,并根据这些距离值来确定每个对象的隶属度。其中一个常用的计算距离的方法是欧氏距离。在计算过程中,除了需要计算当前对象与各个聚类中心的距离外,还需要考虑其他对象的隶属度对最终结果的影响。 fuzzy clustering算法的优点是它能够更好地处理数据的模糊性和不确定性。它适用于那些不太适合硬聚类的情况,如数据存在交叉类别、噪声干扰较大、数据分布不均匀等情况下的聚类分析。此外,fuzzy clustering算法还能为聚类结果提供更丰富的信息,同时将数据按照隶属度进行分类,实现了更多细粒度的划分。 然而,fuzzy clustering算法也存在一些挑战和限制。首先,计算复杂度较高,随着数据量的增加,算法的运行时间也会大幅增加。其次,隶属度的确定需要一定的经验,对初始值的选取和迭代次数的设定有一定要求。此外,fuzzy clustering算法对于数据的选择性和不稳定性较为敏感,不同的数据集可能会导致不同的聚类结果。 总的来说,fuzzy clustering算法在一些特定的数据分析问题中具有一定的优势,但在应用中需要综合考虑其特点和限制,选择合适的算法和参数来得到有效的聚类结果。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值