در پزشکی قانونی بدافزار مشغول خواندن مقاله ای در مورد IOCs (شاخص های سازش) هستم و با این مانع جالب روبرو شدم:
کدهای پلی مورفیک و دگردیسی (Paxson، 2011) منجر به چندین مورد شد.
هویت هش برای همان کلاس بدافزارها
اکنون من می دانم که IOCs و چارچوبها (مانند OpenIOC) هدف این است که این عیب را در استفاده از هشی به عنوان راهی برای شناسایی به حساب آوریم. اما من سعی می کنم کمی عمیق تر به روشی که از هش استفاده می کنیم ، حفر کنم و شاید یک راه حل ایجاد کنم. مگر اینکه در این صورت راه حل وجود داشته باشد که می تواند پاسخ این سؤال باشد
آیا جایگزینی برای استفاده از هش برای شناسایی بدافزارها وجود دارد؟
ایده من ایجاد راهی برای هش کردن چیزی است که سطح تفاوت را بیان می کند؟ بین این دو ، شاید این را "هش اندازه گیری شده" بنامیم که قسمت اول ، میانه یا آخرین قسمت هش از طول x ، مقادیر یکسانی را برای باینری ها با همان مقادیر نشان می دهد. شاید به طور تعریف ، آنچه من توصیف می کنم دیگر یک هشدار نبوده باشد ، اما هنوز یک برنامه یا عملکردی است که یک باینری را در پیش می گیرد و یک بازه طول ثابت از آن را برای اهداف شناسایی تولید می کند. بنابراین اگر تنها یک عنصر کوچک باینری متفاوت باشد ، می خواهیم به هشی که بسیار شبیه به هش اصلی است نگاه کنیم.
استفاده از هش sha1 به عنوان نمونه:
CA422BBF6E52040FF0580F7C209F399897020A7A
نتیجه این جمله است:
من با استفاده از این باینری تمام پرونده های شما را می دزدم اما بعد از اضافه کردن یا تفریق چند کد 3 حال اگر سه کلمه آخر این جمله را تغییر دهم عبارتم از:
F5BB055C7F7E76275C6F0528D2ACD6F288CE7496که برای کسی که هوس 101 را می داند جای تعجب ندارد.
CA422BBF6E52040FF0580F7C209F399897020A7Aو این برای پس از آن:
CA422BBF6E52040FF0580F7C209F399897029B10زیرا ، به هر حال ، تنها سه کلمه حذف و با یک کلمه واحد جایگزین شدند.آنچه در جستجوی پاسخ نیستم ، لیستی از مصنوعات یا چارچوب هایی است که قبلاً برای شناسایی بدافزارها استفاده می شوند. چیزی که من می خواهم بدانم این است که اگر چنین ابزاری از قبل وجود داشته باشد یا اگر ایده من ظالمانه است و برای محققان پزشکی قانونی که به دنبال به اشتراک گذاری اطلاعات تحقیقات خود هستند ، ارزش ندارد.
