Un file malware può avere più "valori hash"?
Se si esegue un determinato algoritmo di hash su un determinato file, si otterrà sempre un valore determinato.
L'unico modo per ottenere più valori hash per un dato file è usare un algoritmo diverso (SHA-2 invece di MD5 per esempio)
È normale che il malware tenti di evitare il rilevamento aggiungendo dati arbitrari alla fine delle copie, rendendo unico l'hash di ciascuna copia. Ma nota che in questo caso ogni copia del malware avrà ancora solo un hash.
Per un determinato algoritmo e file hash, un hash è unico. È il contrario: un hash può essere generato da un numero infinito di input di file, ma un singolo file fornisce un singolo hash.
Ha a che fare con il funzionamento dell'hash; niente a che fare con l'essere malware. Un hash è solo una funzione matematica (un input, un output); non è abbastanza intelligente da sapere che l'input è malware.
Quando parli di malware, la maggior parte delle volte ci sono più varianti dello stesso malware. Il funzionamento del malware, l'exploit, il payload / shell sono tutti uguali. Solo poche istruzioni sono state modificate allo scopo di evitare il rilevamento o la comunicazione con un altro centro di comando e controllo. Pertanto, una singola variante di una famiglia di malware avrà sempre un singolo hash (o firma). Se stai parlando di diverse varianti di una singola famiglia di malware, allora ogni singolo avrà un valore hash diverso.
Un file malware può avere un valore hash diverso a intervalli di tempo diversi. Poiché il malware funziona automaticamente, il valore hash del file può cambiare in seguito a qualsiasi modifica del file. Tuttavia, se i dati rimangono protetti da scrittura, non si verificheranno modifiche e il valore hash del file malware rimarrà invariato.