获取文件哈希值_病毒库的秘密:杀毒软件百万特征码,为什么扫描文件那么快?...

最新推荐文章于 2024-01-22 23:21:40 发布
最新推荐文章于 2024-01-22 23:21:40 发布
阅读量645 收藏 1
点赞数
文章标签: 获取文件哈希值

3bf1625b851531d40b30d80cf7790e4a.png

今天分享的知识,是关于杀毒软件,关于病毒库、特征码技术。

53925293806b64bbab3e1fe32aec50f8.png

Ty2y杀毒
要研究的杀毒软件是:Ty2y杀毒,这是一款小众的、功能不错的、而且开源的国产杀毒软件。

506c70fed6f9ed81e889899e86b23d35.png

在使用它进行文件病毒扫描时,会发现扫描速度是很快的。

1f0f55920d08437d5433cc0b37ac2368.png

软件是开源的,那么我们可以很方便的从源码中了解杀毒软件的各种功能。
病毒扫描原理
Ty2y杀毒的特征码规则是:
哈希值(PE文件的节大小+节的哈希值)+病毒名。
注:哈希值类似于MD5。

4eb5d0e42933855ef48c39aaec07529d.png

杀毒扫描的原理是:打开文件,获取文件的所有节,并逐一匹配所有特征码,以检测病毒。
Ty2y这款软件病毒库特征码量达200多万。
百万级的特征码,是如何做到快速匹配检测的呢?
从源码分析可以知道:
1、特征码分别存放在16个病毒库中(1-9、a-f).sig。

398aecb4e0449876597adf3d41965af3.png

打开这些文件,会发现一个特点,即:文件名,与病毒库中特征码首字母是一致的:

939bc6b7d6c2adc687b885a732cbe360.png

再结合软件源码:

62bd1988f1f372d932ef481b475e84a9.png

1f68c6933c25570ad55bddce9149ca1a.png


两者结合可以发现关键信息:
1、扫描时,先获取文件每个节的特征(节大小+节的哈希值),再进行一次哈希,即得到一个类似MD5的字符串。
2、对比此哈希值字符串首字母,首字母范围是0-9,A-F。根据首字母,分别与分隔开的病毒库去匹配。为什么这样做?就是为了提高扫描速度。原本200万的特征码,需要匹配200万次。进行首字母分隔后,只需要匹配200/16,大约12万次。相当于效率提高了16倍,这是个非常不错、很值得借鉴的提效思路。
这就是Ty2y杀毒扫描速度很快的秘密。
其实,依据这个思路,还可以更进一步,将16个文件再次分隔,匹配时,先对比前两个字母。这样扫描效率还可以进一步大幅提升。原创文章,不限转载。欢迎分享学习,大家一起进步。

weixin_39628041
关注
构建属于自己的恶意软件特征
weixin_30297281的博客
10-19 858
引自http://blog.sina.com.cn/s/blog_e8e60bc00102vjz9.html 感谢阿里云安全 的分享 0x00简介 最近研究了一些开源的杀毒引擎,总结了一下利用ClamAV(www.clamav.net)来打造属于自己的恶意软件分析特征库。特征库主要包括HASH匹配、文件内容特征库、逻辑特征库、二进制特征(SHELLCODE)、ASCII特...
文件hash
猛禽的编程艺术
10-31 5161
最近打算把家里服务器上的文件理一下,想把重复的文件找出来,虽然我已经用了ZFS的dedup,实际占用空间并不会重复,但是还是觉得有必要理一下……写个程序扫描一遍并不复杂,但是要判断文件是不是重复就比较麻烦,可靠的方法当然是做全文件HASH,但是对于T级的硬盘来说,这样效率太低了,所以写了一段小代来做一个速的HASH。def get_filemd5(fullpath, filename):
从头到尾彻底解析Hash表算法
weixin_30698527的博客
10-07 459
转自:http://kb.cnblogs.com/page/189480/ 作者:July、wuliming、pkuoliver   说明:本文分为三部分内容,第一部分为一道百度面试题Top K算法的详解;第二部分为关于Hash表算法的详细阐述;第三部分为打造一个最的Hash表算法。   第一部分:Top K 算法详解   问题描述(百度面试题):   搜索引擎会通过日志文件把用户每...
文件特征提取工具
06-13
该工具考虑到的情况比较全面。它有强大的文件筛选能力和强大的定位提取特征位置的能力,而且能够根据您的需要连续提取特征文件筛选点通过基址 + 偏移 + 变址的方式定位。基址 = 文件起始(文件结束位置,特殊文件起点, 前一文件过滤点);偏移 = 固定偏移。 变址 = 在相对基址偏移某一固定值处取一个双字(单字、字节、或不取)。 特征提取点有四种选择:文件起始,文件结束位置,特殊文件起点, 前一文件过滤点。
linux系统特征,linux基础入门--文件特征获取方式
weixin_34229622的博客
05-01 284
md5sum,sha1sum,sha224sum_tab提取文件特征单向加密:不可逆,提取数据指纹()md5:message digest ,128bitssha1:sercure hash algorithm ,160bitssha224sha256sha384sha512雪崩效应:初始的条件微小改变,将会引起结果的巨大改变定长输出:【实例1】[root@Cody ~]# cp/etc/f...
文件CRC32特征.rar
04-07
文件CRC32特征.rar
360杀毒隔离内网病毒库升级更新处理脚本
09-14
病毒库杀毒软件的核心组成部分,它包含了已知病毒、木马和其他恶意软件的特征。定期更新病毒库可以确保软件能够检测并清除最新的威胁。然而,在内网环境中,由于网络限制或安全策略,外部更新可能会受到阻碍。...
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
墨鱼菜鸡
11-25 395
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木...
防病毒Clamav使用及API调用测试
windStudyer的专栏
04-26 4402
1、Clamav介绍 (1)clamav是什么? ClamAV 是一个C语言开发的开源 (GPLv2) 反病毒工具包,专为邮件网关上的电子邮件扫描而设计。它提供了许多实用程序,包括灵活且可扩展的多线程守护程序、命令行扫描程序和用于自动数据库更新的高级工具。该软件包的核心是一个以共享库形式提供的反病毒引擎。 (2)clamav有哪些特性? a)、ClamAV 可检测数百万种病毒、蠕虫、特洛伊木马和其他恶意软件,包括宏病毒、移动恶意软件。 b)、内置支持流行的文档格式,包括MS Office和MacOffi
Python文件遍历实战案例:从入门到精通,实战演练提升技能
文件遍历是Python中一项基本且强大的操作,允许程序员以结构化方式访问和处理文件系统中的文件和目录。本章将介绍Python文件遍历的基础知识,包括: - **文件遍历的概念:**了解文件遍历的含义、目的和基本原理。 -...
检索速度最的哈希算法和map
02-05
谁与争锋 对于c++程序来说 map的使用无处不在。影响程序性能的瓶颈也往往是map的性能。尤其在大数据情况下,以及业务关联紧密而无法实现数据分发和并行处理的情况。map的性能就成了最关键的技术。 比如:ip表、mac表,电话号表、身份证号表的查询、等等。 stl库的map采用二分查找,性能最差。Google的哈希map性能和内存目前是最优的。 我在电信行业和信息安全行业里的工作经历发现,目前网络上的哈希算法都在查询速度上远远无法满足日趋增长的网络大数据要求。因此产生了自己写算法的想法。 现在我把自己的算法初稿发布出来,用我在一家信息安全的公司打工时的应用场景进行测试。就是病毒库特征的检索。
关于判断文件唯一性,怎么提取特征
aibi9196的博客
04-08 725
关于判断文件唯一性,怎么提取特征 Delphi / Windows SDK/APIhttp://www.delphi2007.net/DelphiAPI/html/delphi_20061108132642280.html 困惑,用什么来判断文件的唯一性,用findwindow判断程序,误报可能太大,有哪位大大能提供delphi的判断文件特征的好例子,麻烦写出来,指点一二。分不...
下载的文件不完整甚至是病毒?Hash文件一定要学!
Linuxprobe18的博客
08-07 441
7-Zip的大名相信很多人都听说过,这是目前世界上最流行的开源压缩软件之一,影响力巨大,很多压缩软件尤其是国产压缩软件,都使用了7-Zip的源代。切换到“7-Zip”,勾选“添加7-Zip到右键菜单”,并勾选下面“CRCSHA”的选项,之后用右键点击文件,就可以看到7-Zip提供的Hash功能了。其实说Windows默认没有Hash文件的功能,是不准确的,Windows系统其实带有Hash文件功能,只不过并不直接在图形界面提供给用户,通过命令行就可以执行Hash命令。接着,运行Power。......
rust语言实现超级简单的杀毒软件,通过哈希扫描病毒。
qq_35827483的博客
02-23 635
rust便利扫描病毒
病毒库秘密杀毒软件百万特征,为什么扫描文件那么
w2sft的博客
04-23 908
今天分享的知识,是关于杀毒软件,关于病毒库特征技术。 Ty2y杀毒 要研究的杀毒软件是:Ty2y杀毒,这是一款小众的、功能不错的、而且开源的国产杀毒软件。 在使用它进行文件病毒扫描时,会发现扫描速度是很的。 软件是开源的,那么我们可以很方便的从源中了解杀毒软件的各种功能。 病毒扫描原理 Ty2y杀毒的特征规则是: 哈希值(PE文件的节大小+节的...
程序免杀技术之——特征
热门推荐
人生代码,代码人生。。。
11-19 1万+
特征(attribute code )是能识别一个程序是一个病毒的一段不大于64字节的特征串。为了减少误报率,一般杀毒软件会提取多段特征串,这时,我们往往改一处就可达到 免杀效果,当然有些杀毒软件要同时改几处才能免杀。 目前的核心免杀技术几乎都是围绕着特征的修改,然后辅助之以花指令、压缩加密壳等手段。关于花指令的使用方法,我在上一篇文章中已经讲过了(http://bbs.honker.
恶意软件与反病毒
weixin_63750160的博客
08-01 76
恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误)。恶意软件存在各种各样的类型,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件等。
文件头、文件尾、特征、常见文件特征
m0_59856804的博客
11-15 1759
文件头、文件尾、特征、常见文件特征
Windows 程序文件特征识别定位方法
最新发布
溡漪幽博客
01-22 1659
常见的文件特征识别定位是基于硬编指令定位、逻辑偏移量等方法,这种方法对于定位字符串等相对固定的数据非常友好。但是,对于编译程序中经常更新的组件,定位其中的指令代就会因为版本更新而需要同步更新定位方法。文本介绍一种基于控制流程和函数调用链导向的特征匹配定位方法,同时也从个人有限的角度去分析如何更好地选择特征特征是一串二进制字符串,可以用来定位数据、判断字段、识别病毒等。特征通常是从文件或汇编代中提取。特征可以被杀毒软件用来扫描病毒,也可以被病毒用来修改或掩,实现免杀。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值