V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
piapia123
V2EX  ›  程序员

反病毒程序的样本库该怎么保护?

  •  
  •   piapia123 · 2020-09-04 08:47:10 +08:00 · 1972 次点击
    这是一个创建于 1520 天前的主题,其中的信息可能已经有所发展或是发生改变。

    假设有一个反病毒程序,程序的样本 md5 库存在 mysql 中,如果发现与样本 md5 库中相同的样本,则告警。 这个反病毒程序如果要离线部署进客户环境,该怎么保护该样本 md5 库不被窃取

    10 条回复    2020-09-04 13:39:18 +08:00
    VeryZero
        1
    VeryZero  
       2020-09-04 08:56:14 +08:00
    自定义哈希逻辑
    VeryZero
        2
    VeryZero  
       2020-09-04 09:00:06 +08:00
    比如数据库不直接存原始 md5 值,而是存通过程序内置算法二次哈希或加密后的值。内置算法通过加壳等各种手段保护。

    当然这样做会有性能损耗
    ym1ng
        3
    ym1ng  
       2020-09-04 09:49:48 +08:00
    样本库本身不是啥核心能力,样本库的运营才是
    nutting
        4
    nutting  
       2020-09-04 09:59:37 +08:00
    有啥可保护的,针对什么做 md5 是保密的吧
    nutting
        5
    nutting  
       2020-09-04 10:00:30 +08:00
    莫非是病毒的二进制整个程序?不可能这么 low 吧
    Chenamy2017
        6
    Chenamy2017  
       2020-09-04 10:04:39 +08:00
    是通过病毒的二进制做的 MD5 吧?
    janxin
        7
    janxin  
       2020-09-04 10:06:04 +08:00
    你可能对杀毒软件完全不了解...杀毒软件哈希检测只是一个基础功能之一,即便是哈希值也不仅仅是 md5 这么简单

    另外窃取之后意义也很不大,除非你有别人完全不可能有的样本,这种基本可能性不大。
    c2const
        8
    c2const  
       2020-09-04 12:12:44 +08:00 via iPhone
    要离线部署,离线程序又能计算哈希和数据库中的比较,那不管怎么保护都没法防止大手子们破解的,只是看值不值得破解。
    systemcall
        9
    systemcall  
       2020-09-04 13:16:38 +08:00 via Android
    在线检测病毒的网站有好多,而且开源的杀软也有
    想不通你这样搞有什么意义。而且保存病毒的 md5 有意义吗?加某些壳可以让程序每次的 md5 都不一样。病毒又不用管签名
    RixoLi
        10
    RixoLi  
       2020-09-04 13:39:18 +08:00
    使用非对称加密将 md5 加密,同时杀软获取到的样本提取 md5 的时候也是用公钥加密,然后比较加密后的数值,可以防止自己的 md5 泄露。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1237 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 18:14 · PVG 02:14 · LAX 11:14 · JFK 14:14
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.