[讨论]关于提取文件特征的方法/方案-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]关于提取文件特征的方法/方案

发表于: 2010-7-5 23:08 10675

[讨论]关于提取文件特征的方法/方案

skyant

2010-7-5 23:08

10675

小弟最近在写一个应用程序监控程序

要通过匹配规则列表，来决定是否允许用户启动的进程启动，涉及特征码的获取问题。

希望寻求一种有效的，高效的方式

曾尝试：
1。通过取整个文件内容，计算整个文件的MD5值，做文件特征 ---- 缺陷：遇到几十兆，上百兆文件，速度很会慢
2. 从代码段读取一段（从某个位置读取固定长度），算取MD5
3. 从代码段获取：获得代码段起始地址和长度，将其平均分割（如平分5块），从每块中读入一定长度（如：256字节）字节算取提取的MD5，作为每块的特征，最后用他们（5个MD5）来确定一个文件。
上面三个头儿都觉得不够好，希望我重新设计。

今天下班头儿说可以通过设计出某种算法动态来获取一个文件特征，让我再想想。。。。。。
实在是有些想不出来了（：动态获取比如说根据文件的长度不同，提取的特征的个数不同，每个特征的长度也不同。）

所以想请前辈们指点指点。。。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

收藏・2

免费・0

支持

最新回复 (22)
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 2 楼基本上你的问题不在于算法，而在于头儿 2010-7-5 23:43 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 3 楼你的方法基本属于静态分析动态获取,文件长度,特征个数,特征长度...不知道有什么关系,你在凑字吧.. 你的头儿估计是想让你多关注恶意行为时的特征 2010-7-6 02:57 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 4 楼这个是用来监控应用程序的（比如上班的时候，玩游戏，上QQ，是会被拦下的），应该不涉及恶意行为吧... ... 头儿还提到说要能够做的通用些，比如说对QQ的一个版本，取了一个特征，那么下次QQ更新或升级版本了，尽量也能够识别出来，不用每次都重新提取特征。 2010-7-6 09:27 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 5 楼路路早阿 2010-7-6 09:28 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 6 楼 ... ... 2010-7-6 09:31 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 7 楼呵呵也起的这么早呀 ~~~ 快帮我想想 2010-7-6 09:33 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 8 楼 YD的小露露好啊 2010-7-6 09:39 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 9 楼！！！ZG呀你和老汪又在一块了？？竟然同时现身 2010-7-6 09:43 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 10 楼下午和头儿商量了一下暂时就用第三种方法做了以后有好方案再修改 2010-7-6 19:34 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 11 楼嗨！！！要是上面要求这样办！！那用一引起HASH算法就行了。SHA1,MD5就行了！！！我认为这个设计考虑的不全。 2010-7-6 19:56 0
最硬石头雪币： 142 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	最硬石头 12 楼直接杀腾讯的数字签名 2010-7-7 09:30 0
xiaojiuhk 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	xiaojiuhk 13 楼恩，这是一个很好的方案。 2010-7-7 09:57 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 14 楼请指教是哪方面欠考虑了？ 2010-7-7 11:23 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 15 楼这想法不错。那么可以这样对于有数字签名的可以取数字签名直接比对这样各个版本都有了。如果没有数字签名的程序，再用提取到的特征码比较。 2010-7-7 11:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 16 楼 API HIT TRACK大法也许不错~ 或者如此：节特征（节名，属性，大小组成一个数据做HASH）+导入表特征（HASH）+文件大小+文件名(如 QQ.exe)+模糊匹配路径（如 *\QQ\QQ.exe） 2010-7-7 12:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 17 楼请教下监控网络应用是不是属于ips范畴？ 2010-7-7 12:42 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 18 楼 API HIT TRACK 是指的API调用路径追踪么? 2010-7-8 10:06 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 19 楼没搞过IPS，感觉监控网络应用应该是IPS最基本的吧。 2010-7-8 10:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 20 楼一般来说数字签名是最可靠的啦，不过麻烦在于你并非只关心QQ的东西，很多小公司的软件基本都是没有签名的，碰到这样的就悲剧了 2010-7-8 16:08 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 21 楼呵呵是啊这样也就只有乖乖的把每个版本的软件都取一遍了 2010-7-8 23:28 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 22 楼楼主可在，一起讨论，我最近要也做个类似的东西 2010-7-8 23:38 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 23 楼恩在呢晚上加你啊公司不让上Q 2010-7-9 12:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

skyant

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (22)
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 2 楼基本上你的问题不在于算法，而在于头儿 2010-7-5 23:43 0
jskew 雪币： 124 活跃值： (70) 能力值： ( LV4，RANK：50 ) 在线值：发帖 30 回帖 352 粉丝 0 关注私信	jskew 1 3 楼你的方法基本属于静态分析动态获取,文件长度,特征个数,特征长度...不知道有什么关系,你在凑字吧.. 你的头儿估计是想让你多关注恶意行为时的特征 2010-7-6 02:57 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 4 楼这个是用来监控应用程序的（比如上班的时候，玩游戏，上QQ，是会被拦下的），应该不涉及恶意行为吧... ... 头儿还提到说要能够做的通用些，比如说对QQ的一个版本，取了一个特征，那么下次QQ更新或升级版本了，尽量也能够识别出来，不用每次都重新提取特征。 2010-7-6 09:27 0
疯子雪币： 2242 活跃值： (488) 能力值： ( LV9，RANK：200 ) 在线值：发帖 9 回帖 461 粉丝 8 关注私信	疯子 4 5 楼路路早阿 2010-7-6 09:28 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 6 楼 ... ... 2010-7-6 09:31 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 7 楼呵呵也起的这么早呀 ~~~ 快帮我想想 2010-7-6 09:33 0
creakerzgz 雪币： 62 活跃值： (72) 能力值： ( LV5，RANK：70 ) 在线值：发帖 13 回帖 230 粉丝 3 关注私信	creakerzgz 1 8 楼 YD的小露露好啊 2010-7-6 09:39 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 9 楼！！！ZG呀你和老汪又在一块了？？竟然同时现身 2010-7-6 09:43 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 10 楼下午和头儿商量了一下暂时就用第三种方法做了以后有好方案再修改 2010-7-6 19:34 0
笨l笨雪币： 224 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	笨l笨 11 楼嗨！！！要是上面要求这样办！！那用一引起HASH算法就行了。SHA1,MD5就行了！！！我认为这个设计考虑的不全。 2010-7-6 19:56 0
最硬石头雪币： 142 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 67 粉丝 0 关注私信	最硬石头 12 楼直接杀腾讯的数字签名 2010-7-7 09:30 0
xiaojiuhk 雪币： 16 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 35 粉丝 1 关注私信	xiaojiuhk 13 楼恩，这是一个很好的方案。 2010-7-7 09:57 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 14 楼请指教是哪方面欠考虑了？ 2010-7-7 11:23 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 15 楼这想法不错。那么可以这样对于有数字签名的可以取数字签名直接比对这样各个版本都有了。如果没有数字签名的程序，再用提取到的特征码比较。 2010-7-7 11:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 16 楼 API HIT TRACK大法也许不错~ 或者如此：节特征（节名，属性，大小组成一个数据做HASH）+导入表特征（HASH）+文件大小+文件名(如 QQ.exe)+模糊匹配路径（如 *\QQ\QQ.exe） 2010-7-7 12:06 0
boainfall 雪币： 116 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 394 粉丝 0 关注私信	boainfall 17 楼请教下监控网络应用是不是属于ips范畴？ 2010-7-7 12:42 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 18 楼 API HIT TRACK 是指的API调用路径追踪么? 2010-7-8 10:06 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 19 楼没搞过IPS，感觉监控网络应用应该是IPS最基本的吧。 2010-7-8 10:11 0
灰狐雪币： 210 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 68 粉丝 0 关注私信	灰狐 20 楼一般来说数字签名是最可靠的啦，不过麻烦在于你并非只关心QQ的东西，很多小公司的软件基本都是没有签名的，碰到这样的就悲剧了 2010-7-8 16:08 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 21 楼呵呵是啊这样也就只有乖乖的把每个版本的软件都取一遍了 2010-7-8 23:28 0
zyhfut 雪币： 410 活跃值： (214) 能力值： ( LV13，RANK：220 ) 在线值：发帖 14 回帖 86 粉丝 9 关注私信	zyhfut 5 22 楼楼主可在，一起讨论，我最近要也做个类似的东西 2010-7-8 23:38 0
skyant 雪币： 1349 活跃值： (485) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 57 粉丝 0 关注私信	skyant 23 楼恩在呢晚上加你啊公司不让上Q 2010-7-9 12:16 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复