我正在用C编写一个简单的防病毒软件。 我有一些恶意软件样本,我想从它们中提取签名。 知道如何提取它们吗?
答案 0 :(得分:0)
检索“签名”可以像通过对病毒(相应的二进制文件)进行散列来生成数字签名一样简单。 MD5或SHA。 I.E.在您的代码中实现以下功能,我确定您已经开始......:
md5sum virus - > md5hashofvirus |
md5sum virus2 - > md5hashofvirus2
完整的md5sum档案here。
C中的MD5实现可用here。
然而,对文件的任何修改都会使这种检测方法变得无用(尽管这是加密病毒的最终目标)。现代AV使用的实际“病毒签名”是
“任何可用于准确识别给定文件或内存范围内特定病毒存在的位序列。”
由于这种分析水平使恶意软件制造商更难以隐藏恶意软件的“身份”。
如果您想了解更多信息,请尝试自己分享一下。