我在任何地方都没有找到相关信息。病毒签名是否需要最小长度?我在Peter Szor的书中读到,对于16位应用程序,16字节足以避免误报。是否还有32位和64位应用程序的最小平均值?
感谢。
答案 0 :(得分:2)
可能对我有用的经验:
我使用n-gram,操作码和使用menonic生成了十六进制代码签名。我使用了2000多种病毒来分析签名。最小长度为16字节,最大大小为68字节。此外,为恶意软件和良性创建了签名。方法是启发式和数据挖掘 Benign签名的长度小于恶意软件。我认为,这是因为Benign是用高级语言编写的,因此编译器生成的代码和更多的相似性会减少Benign签名的长度。恶意软件以相对较低的级别(汇编)或内联汇编(高级语言中的嵌入式汇编)编写,因此可以比较地生成冗长的签名。
长签名在离线扫描的详细分析中也很有用。