+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Malware Lab (https://safegroup.pl/forum-20.html)
+--- Wątek: Hash'e MD5 malware (/thread-7608.html)
Hash'e MD5 malware - chomikos - 23.11.2013
Cześć! Chciałbym was poprosić o jak największą liczbę hashy MD5 złośliwych plików. Dlaczego? Gdyż piszę własne oprogramowanie antywirusowe, działające w real-time, które już jest lepsze od FM, bo ma menu przy minimalizacji do tray''a
A teraz do rzeczy. Gdybyście mogli, proszę dawajcie mi to w ten oto sposób:
hashMD5 | Nazwa zagrożenia
Teraz przykład na Eicarze:
44d88612fea8a8f36de82e1278abb02f|Eicar.AV.TEST
Bez żadnych spacji itd. Proszę
Re: Hash'e MD5 malware - zord - 23.11.2013
Antywirus oparty o MD5 jest bez sensu. Chyba ze masz zamiar zrobić go w chmurze i dodać tam z kilkadziesiąt milionów haszy.
Re: Hash'e MD5 malware - tachion - 24.11.2013
Chomikos wymyślasz i daj sobie spokój z av opartym o hashe,temat stary jak świat i chyba było już u nas to poruszane,lepiej kup silnik bitdefendera
Re: Hash'e MD5 malware - ELWIS1 - 24.11.2013
Chomikos odezwij się na priv.
Z nazwą zagrożenia mam kilkaset tysięcy haszy. Bez nazwy zagrożenia około 100 milionów.
Do większej ilości haszy, potrzebna jest dość dobra chmura. Gdyż, jeśli wpakuje się to na dysk to program zajmowałby kilka giga pamięci RAM.
P.S. Również zbieram hasze, ale z rozmiarem pliku.
Re: Hash'e MD5 malware - tommyklab - 27.11.2013
chomikos napisał(a):A teraz do rzeczy. Gdybyście mogli, proszę dawajcie mi to w ten oto sposób:
hashMD5|Nazwa zagrożenia
Teraz przykład na Eicarze:
44d88612fea8a8f36de82e1278abb02f|Eicar.AV.TEST
Ale z nazwą zagrożenia wg. jakiego producenta? Jednego konkretnego, sprecyzowana grupa z listą - hierarchią (np. jak pierwszy AV nie wykrywa to nazwa pochodzi od następnego AV na liście który wykrywa) czy jak leci?
Po za tym skąd masz pewność, że dany producent AV nie popełnił FP na pliku i dodał nieszkodliwy plik do bazy? , albo dodał FP a potem po np. tygodniu usunął z baz (korekta), a ty np. w miedzy czasie dodałeś taki plik do listy zagrożeń (wtedy twój produkt pousuwa ludziom czyste pliki)
Statyczna baza MD5|zagrożenie i oparty na nim AV nie zda egzaminu.
Musiała by być dynamicznie odświeżana (chmura) jeśli tylko były by zmiany (FP) wg. listy producentów które byś ujął w tym AV. Każdy producent AV w swoich labach podejrzewam, że ma coś takiego
Re: Hash'e MD5 malware - chomikos - 27.11.2013
Dlatego wprowadzam funkcję aktualizacji, tymczasowo nie jest ona jeszcze automatyczna, ale działa.
Re: Hash'e MD5 malware - tommyklab - 05.12.2013
Może tak połączyć siły:
[Aby zobaczyć linki, zarejestruj się tutaj]
Re: Hash'e MD5 malware - chomikos - 05.12.2013
Nie wiem, szczerze z chęcią, lecz sądzę że to mało prawdopodobne, ze względu choćby mojego dosyć młodego wieku (za miesiąc 14 dopiero) i wagi mojego projektu, oraz Crystal''a.
Re: Hash'e MD5 malware - ichito - 06.12.2013
[Aby zobaczyć linki, zarejestruj się tutaj]
...autor Crystal Security...bywał u nas i jest zarejestrowanym użytkownikiem forum. Może spróbuj napisać na PW, poza tym bywa regularnie na Wildersach też. Trzeba jednak pamiętać, że jego program jest już właściwie multiskanenrem porównywanym czasem do HMP, tyle że działa na bieżąco w czasie rzeczywistym.Re: Hash'e MD5 malware - katana1 - 08.12.2013
ELWIS1 napisał(a):Chomikos odezwij się na priv.
Z nazwą zagrożenia mam kilkaset tysięcy haszy. Bez nazwy zagrożenia około 100 milionów.
Do większej ilości haszy, potrzebna jest dość dobra chmura. Gdyż, jeśli wpakuje się to na dysk to program zajmowałby kilka giga pamięci RAM.
P.S. Również zbieram hasze, ale z rozmiarem pliku.
Nie koniecznie, nie trzeba wszystkiego trzymać jak nowy od Microsoftu SQL Server w "in memory", można buforować partiami i stosować różne metody wyszukiwania informacji proste do implementacji jak metoda Doyla, Saltona itd.
Co do tematu, taki antymalware jest bardzo statyczny więc nie podoba mi się, teraz wszystko idzie w stronę AI (algorytmy uczące).
Re: Hash'e MD5 malware - ELWIS1 - 08.12.2013
Katana1
To wszystko zależy jak zaprojektujeszbazę danych. Na początku możesz wyszukiwać liniowo przez hasz czy nazwę indeksu przez hasz. Następnie szukaj wąskiego gardła i optymalizacji.
Z wiedzy empirycznej wiem jak mój współpracownik wpakował kilka milionów haszy z rozmiarem pliku i innymi informacjami na dysk twardy taki antywirus zajmował wtedy 1 czy 2 giga ramu.
Poza tym nie wiem jak chcesz przechować bez chmury np. 500 milionów haszy? (białe listy niektórych producentów mają o wiele więcej). Kto będzie ściągał Tobie taki program na dysk twardy, o wadzę kilku, kilkunastu gigabajtów?
W dzisiejszych czasach wiele antywirusów dodaję głównie hasze (polecam przyjrzeć się szczególnie chińskim AV), gdyż nie wyrabiają się z analizą.
Re: Hash'e MD5 malware - katana1 - 11.12.2013
Tak z ciekawości zapytam autora tematu, fajnie że coś tworzysz ale... po co Tworzyć koło na nowo? Czy rozwiązanie Twoje dorówna tworzonym przez całe grupy projektowe? Nie wydaje mi się. Jest jeszcze tyle do odkrycia... nie koło.
Re: Hash'e MD5 malware - Conor29134 - 13.12.2013
Chomikos widzę że wziąłeś się za pisanie system hashera
Zrób coś lepszego i napisz program do wytwarzania logów systemowych coś typu OTL/FRST.
Re: Hash'e MD5 malware - chomikos - 15.12.2013
katana1 napisał(a):Tak z ciekawości zapytam autora tematu, fajnie że coś tworzysz ale... po co Tworzyć koło na nowo? Czy rozwiązanie Twoje dorówna tworzonym przez całe grupy projektowe? Nie wydaje mi się. Jest jeszcze tyle do odkrycia... nie koło.
Tworze to też, by się podszkolić i sprawdzić swoje umiejętności. Tymczasowo jestem jeszcze dosyć słabym graczem, ale może w przyszłości coś się zmieni
Conor29134 napisał(a):Chomikos widzę że wziąłeś się za pisanie system hashera
Zrób coś lepszego i napisz program do wytwarzania logów systemowych coś typu OTL/FRST.
Wiesz, ciekawa idea. Bardzo ciekawa...