假设有一个反病毒程序,程序的样本 md5 库存在 mysql 中,如果发现与样本 md5 库中相同的样本,则告警。 这个反病毒程序如果要离线部署进客户环境,该怎么保护该样本 md5 库不被窃取
1
VeryZero 2020-09-04 08:56:14 +08:00
自定义哈希逻辑
|
2
VeryZero 2020-09-04 09:00:06 +08:00
比如数据库不直接存原始 md5 值,而是存通过程序内置算法二次哈希或加密后的值。内置算法通过加壳等各种手段保护。
当然这样做会有性能损耗 |
3
ym1ng 2020-09-04 09:49:48 +08:00
样本库本身不是啥核心能力,样本库的运营才是
|
4
nutting 2020-09-04 09:59:37 +08:00
有啥可保护的,针对什么做 md5 是保密的吧
|
5
nutting 2020-09-04 10:00:30 +08:00
莫非是病毒的二进制整个程序?不可能这么 low 吧
|
6
Chenamy2017 2020-09-04 10:04:39 +08:00
是通过病毒的二进制做的 MD5 吧?
|
7
janxin 2020-09-04 10:06:04 +08:00
你可能对杀毒软件完全不了解...杀毒软件哈希检测只是一个基础功能之一,即便是哈希值也不仅仅是 md5 这么简单
另外窃取之后意义也很不大,除非你有别人完全不可能有的样本,这种基本可能性不大。 |
8
c2const 2020-09-04 12:12:44 +08:00 via iPhone
要离线部署,离线程序又能计算哈希和数据库中的比较,那不管怎么保护都没法防止大手子们破解的,只是看值不值得破解。
|
9
systemcall 2020-09-04 13:16:38 +08:00 via Android
在线检测病毒的网站有好多,而且开源的杀软也有
想不通你这样搞有什么意义。而且保存病毒的 md5 有意义吗?加某些壳可以让程序每次的 md5 都不一样。病毒又不用管签名 |
10
RixoLi 2020-09-04 13:39:18 +08:00
使用非对称加密将 md5 加密,同时杀软获取到的样本提取 md5 的时候也是用公钥加密,然后比较加密后的数值,可以防止自己的 md5 泄露。
|