【发布时间】:2013-06-13 17:38:07
【问题描述】:
我正在用 C 语言编写一个简单的防病毒软件。 我有一些恶意软件样本,我想从中提取签名。 知道如何提取它们吗?
【问题讨论】:
-
你试过什么?愿意展示一些代码吗?如果你没有尝试过任何事情,你在这里很难得到一个好的答案,因为人们会认为你希望他们为你做功课。
标签: security antivirus virus malware
【发布时间】:2013-06-13 17:38:07
【问题描述】:
检索“签名”可能就像通过散列病毒(es)相应的二进制文件生成数字签名一样简单。 MD5 或 SHA。 IE。在您的代码中实现以下功能,我确定您已经开始...:
md5sum virus -> md5hashofvirus |
md5sum virus2 -> md5hashofvirus2
提供完整的 md5sum 档案here。
C 中的 MD5 实现可用here。
但是,对文件的任何修改都会使这种检测方法无效(尽管这是加密病毒的最终目标)。现代 AV 使用的实际“病毒签名”是
“可用于准确识别给定文件或内存范围中是否存在特定病毒的任何位序列。”
由于该级别的分析使恶意软件制造商更难隐藏恶意软件的“身份”。
- www.agusblog.com/wordpress/what-is-a-virus-signature-are-they-still-used-3.htm 是我认为您应该阅读的内容。
- www.labri.fr/perso/ly/publications/viro.pdf 如果您正在寻找更深入的内容。
如果您想了解更多信息,请尝试自己分享更多信息。
【讨论】: