Antivirus basato su MD5 o SHA1 di Antivirus Engine?

2

Sto cercando di capire di più sugli algoritmi di hash MD5 e SHA1 e sul loro comportamento in un software di sicurezza serio ( trovato questo ma non mi ha aiutato di più ).

Perché ClamAV utilizza tecniche di scansione aggiuntive ( MD5 per una sezione specifica in un file PE, Wildcards, Firme di icone per PE fi les .... ) piuttosto che confrontare MD5 di un malware esistente?

Perché non sta solo calcolando l'hash MD5 dell'intero file? (Come so che le funzioni di hash MD5 e SHA1 sono estremamente accurate)

Non sto parlando di rilevamento euristico, poiché questo può essere fatto connettendosi alla chiamata API dell'eseguibile.

    
posta Marwen Trabelsi 05.12.2012 - 23:47
fonte

4 risposte

4

Virus innesterà copie di se stessi su file eseguibili esistenti. Quindi non esiste un file archetipo one per un virus con tutte le copie bit-to-bit identiche a quel file. Inoltre, anche un pezzo di malware è un file autonomo, gli autori di malware si preoccupano di trasformare automaticamente il loro codice in milioni di varianti (cambiando i bit che sono nel file ma non hanno alcun impatto sulla sua funzionalità), proprio in modo da rendere compito di rilevamento più difficile per il software anti-malware. Il vecchio anti-malware ha funzionato esattamente come suggerito (hash del file, ricerca nel database di "hash brutto" noto), ma gli autori di malware si sono adattati molto tempo fa, costringendo l'anti-malware ad essere più intelligente nel suo rilevamento.

    
risposta data 24.02.2013 - 21:14
fonte
4

Perché il malware può cambiare parti di se stesso con dati casuali e quindi modificare l'hash del file di se stesso oi file che ha infettato. Inoltre, il malware più avanzato oggigiorno è pieno di quella che viene chiamata "crypter FUD", rendendo molto difficile il lavoro dei fornitori di AV.

Ulteriori informazioni su link

Se desideri una protezione migliore di quella fornita da AV, adotta un approccio whitelist per gli eseguibili, consentendo di eseguire solo i file .exe consentiti in modo specifico. Uno di questi esempi è Windows AppLocker.

    
risposta data 06.12.2012 - 00:13
fonte
2

Le altre risposte sono buone, ma un'altra ragione è che con gli hash (ad esclusione dei sistemi di hash a tratti come ssdeep), se il file cambia anche il minimo, l'hash sarà drasticamente diverso. Quindi l'autore del malware può semplicemente digitare:

echo 1 >> malware.exe

E il file avrà un hash diverso.

    
risposta data 24.02.2013 - 23:27
fonte
1

Come è stato menzionato hashing l'intero file è inefficace per diversi motivi.

  1. La sua (leggermente) computazionalmente più intensiva, quindi perché farlo se puoi evitarlo?

  2. Alcuni virus sono polimorfici, quindi qualsiasi piccola modifica può renderli non rilevabili tramite questo metodo "intero file".

  3. In realtà è relativamente raro ottenere individualmente un eseguibile malware. La stragrande maggioranza delle volte sarà associata a un altro eseguibile, intendendo di nuovo che passiamo da un virus specifico a migliaia di varianti a seconda di quale file è legato, rendendolo ancora piuttosto inutile.

  4. Un finale che descriverò è davvero il punto di renderlo (almeno un po 'più) difficile per gli autori di malware. Se avessi un file con un mucchio di spazzatura all'inizio, un mucchio di cianfrusaglie alla fine, ma una parte malevola centrale molto specifica al centro che fa le cose cattive ed è difficile riscrivere in un modo diverso, voglio identificarmi quello in ogni file. Quindi, non importa che spazzatura abbiano messo prima / dopo devono ancora trovare un nuovo modo per riscrivere questa sezione chiave, che potrebbe essere molto più difficile del morphing di alcuni junk.

Pensaci in questo modo, se volessi trovare una frase chiave come "Security StackExchange" su una pagina web - dovrei cercare specificamente quella frase? Oppure trova una pagina che lo contenga e cerchi solo le copie di quella pagina? Questa è essenzialmente la differenza tra la ricerca di una specifica firma virale (frase) e l'hashing del programma (pagina intera).

Vale la pena notare che molte di queste cose sono state grossolanamente semplificate per facilitare la spiegazione.

    
risposta data 25.02.2013 - 03:25
fonte

Leggi altre domande sui tag