CN108090358B - 一种防御哈希碰撞躲避反病毒检测的方法及系统 - Google Patents

一种防御哈希碰撞躲避反病毒检测的方法及系统 Download PDF

Info

Publication number
CN108090358B
CN108090358B CN201711461021.3A CN201711461021A CN108090358B CN 108090358 B CN108090358 B CN 108090358B CN 201711461021 A CN201711461021 A CN 201711461021A CN 108090358 B CN108090358 B CN 108090358B
Authority
CN
China
Prior art keywords
file
modified
white list
preset
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711461021.3A
Other languages
English (en)
Other versions
CN108090358A (zh
Inventor
白淳升
李柏松
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Harbin Antian Science And Technology Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antian Science And Technology Group Co ltd filed Critical Harbin Antian Science And Technology Group Co ltd
Priority to CN201711461021.3A priority Critical patent/CN108090358B/zh
Publication of CN108090358A publication Critical patent/CN108090358A/zh
Application granted granted Critical
Publication of CN108090358B publication Critical patent/CN108090358B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种防御哈希碰撞躲避反病毒检测的方法及系统,其中,所述方法包括:选定修改白名单文件和待检测样本的预处理策略;基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;基于选定的预处理策略修改待检测样本并计算哈希值;将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。本发明通过破坏哈希碰撞样本的原本结构,进而有效防御利用哈希碰撞躲避反病毒检测的情况出现。

Description

一种防御哈希碰撞躲避反病毒检测的方法及系统
技术领域
本发明涉及网络安全技术领域,尤其涉及一种防御哈希碰撞躲避反病毒检测的方法及系统。
背景技术
随着互联网技术的飞速发展,CPU的计算能力也突飞猛进,原本需要几十年才能构造的哈希碰撞,通过GPU加速等技术大大缩短了时间,而目前的反病毒软件普遍采用哈希算法来检测已知威胁和排除信任文件,目前已经出现了MD5、SHA1算法的碰撞样本,近几年也发现了利用白名单文件进行哈希碰撞的恶意样本,攻击者通过构造与白名单文件相同哈希值的文件以躲避反病毒软件的检测。随着计算能力和碰撞算法的发展,将会有越来越多的样本利用哈希碰撞白名单躲避检测,会给反病毒检测软件带来很多漏报。
目前对于哈希碰撞样本有一些防御手段,如:双哈希校验,或者换强度高的哈希算法如sha512等,但这些方法都面临一些问题,双哈希校验增加了计算量从而降低效率,高强度哈希算法虽然强壮尚未出现碰撞案例,但无论采用哪种算法,随着技术的进步都将会被逐步攻破。
发明内容
针对上述技术问题,本发明通过破坏哈希碰撞样本的结构,进而有效防御通过哈希碰撞来躲避反病毒检测的情况。
本发明采用如下方法来实现:一种防御哈希碰撞躲避反病毒检测的方法,包括:
选定修改白名单文件和待检测样本的预处理策略;
基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;
基于选定的预处理策略修改待检测样本并计算哈希值;
将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。
进一步地,所述预处理策略,包括:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;
其中,所述待修改文件包括白名单文件和待检测样本。
更进一步地,所述预定倍数和数据块的内容任意选取;所述预定位置为待修改文件的小于等于10%的位置处;所述预定大小根据待修改文件自身大小选取。
本发明可以采用如下系统来实现:一种防御哈希碰撞躲避反病毒检测的系统,包括:
预处理策略选定模块,用于选定修改白名单文件和待检测样本的预处理策略;
白名单文件修改模块,用于基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;
待检测样本修改模块,用于基于选定的预处理策略修改待检测样本并计算哈希值;
白名单匹配模块,用于将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。
进一步地,所述预处理策略,包括:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;
其中,所述待修改文件包括白名单文件和待检测样本。
更进一步地,所述预定倍数和数据块的内容任意选取;所述预定位置为待修改文件的小于等于10%的位置处;所述预定大小根据待修改文件自身大小选取。
本发明同时提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种防御哈希碰撞躲避反病毒检测的方法。
综上,本发明给出一种防御哈希碰撞躲避反病毒检测的方法及系统,通过对哈希碰撞原理的分析,通过在对白名单样本和待检测样本进行匹配前,依据预处理策略同步修改白名单样本和待检测样本,进而改变样本二进制数据从而破坏构造的碰撞结构,使得白名单样本和待检测样本的哈希值都发生改变,最终使得攻击者无法利用哈希碰撞原理使恶意样本的哈希值命中白名单库进而躲避反病毒检测。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种防御哈希碰撞躲避反病毒检测的方法实施例流程图;
图2为本发明提供的一种防御哈希碰撞躲避反病毒检测的系统实施例结构图。
具体实施方式
本发明给出了一种防御哈希碰撞躲避反病毒检测的方法及系统实施例,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了一种防御哈希碰撞躲避反病毒检测的方法实施例,如图1所示,包括:
S101:选定修改白名单文件和待检测样本的预处理策略。
其中,所述预处理策略,包括但不限于:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;其中,所述待修改文件包括白名单文件和待检测样本。
上述的预处理策略可以根据需要任意选择或者组合使用,一旦选定则使用同一预处理策略修改白名单文件和待检测样本。由于预处理策略每更新一次,需要重新生成白名单库,因此无特殊需要无需更新,或者根据实际需要选择更新周期。
其中,所述预定倍数和数据块的内容任意选取;例如:所述预定倍数选择为待修改文件自身的全部数据的2倍或者3倍,并添加到待修改文件的头部或者尾部;
所述预定位置为待修改文件的小于等于10%的位置处;例如:在待修改文件的每10%的位置处作为预定位置进行修改,即在待修改文件中选取10处或者更多的位置进行修改。
所述预定大小根据待修改文件自身大小选取;例如:20字节-100字节之间,可以根据待修改文件自身大小酌情选取。
S102:基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库。
S103:基于选定的预处理策略修改待检测样本并计算哈希值。
S104:将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。
本发明其次提供了一种防御哈希碰撞躲避反病毒检测的系统实施例,如图2所示,包括:
预处理策略选定模块201,用于选定修改白名单文件和待检测样本的预处理策略;
白名单文件修改模块202,用于基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;
待检测样本修改模块203,用于基于选定的预处理策略修改待检测样本并计算哈希值;
白名单匹配模块204,用于将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测。
优选地,所述预处理策略,包括:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;
其中,所述待修改文件包括白名单文件和待检测样本。
更优选地,所述预定倍数和数据块的内容任意选取;所述预定位置为待修改文件的小于等于10%的位置处;所述预定大小根据待修改文件自身大小选取。
本发明同时公开了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的一种防御哈希碰撞躲避反病毒检测的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
如上所述,上述实施例给出了一种防御哈希碰撞躲避反病毒检测的方法及系统实施例,首先根据需要选定用于修改文件的预处理策略并设定各项参数,根据相同的预处理策略和参数对白名单文件和待检测样本进行修改;计算修改后的白名单文件的哈希值并形成新的白名单库;将修改后的待检测样本的哈希值与新生成的白名单库进行匹配,若匹配成功则待检测样本为白名单文件,否则需要对待检测样本进行进一步的检测。利用上述实施例可以比较简单有效地破坏待检测样本的哈希碰撞结构,进而防御攻击者通过哈希碰撞样本的手段躲避反病毒检测的情况发生。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。

Claims (5)

1.一种防御哈希碰撞躲避反病毒检测的方法,其特征在于,包括:
选定修改白名单文件和待检测样本的预处理策略;
基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;
基于选定的预处理策略修改待检测样本并计算哈希值;
将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测;
所述预处理策略,包括:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;
其中,所述待修改文件包括白名单文件和待检测样本。
2.如权利要求1所述的方法,其特征在于,所述预定倍数和数据块的内容任意选取;所述预定位置为待修改文件的小于等于10%的位置处;所述预定大小根据待修改文件自身大小选取。
3.一种防御哈希碰撞躲避反病毒检测的系统,其特征在于,包括:
预处理策略选定模块,用于选定修改白名单文件和待检测样本的预处理策略;
白名单文件修改模块,用于基于选定的预处理策略修改白名单文件并计算哈希值生成白名单库;
待检测样本修改模块,用于基于选定的预处理策略修改待检测样本并计算哈希值;
白名单匹配模块,用于将待检测样本的哈希值与白名单库匹配,若匹配成功,则待检测样本为白名单文件,否则进行后续检测;
所述预处理策略,包括:
以待修改文件自身的全部数据为单位,按预定倍数增添在头部或尾部;
删除待修改文件预定位置的预定大小的数据块;
在待修改文件的除头部和尾部以外的预定位置插入预定大小的数据块;
将待修改文件的预定位置的预定大小的数据块替换成预定的数据块;或者,将待修改文件的两个不同位置、不同内容的数据块交换;
其中,所述待修改文件包括白名单文件和待检测样本。
4.如权利要求3所述的系统,其特征在于,所述预定倍数和数据块的内容任意选取;所述预定位置为待修改文件的小于等于10%的位置处;所述预定大小根据待修改文件自身大小选取。
5.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一所述的一种防御哈希碰撞躲避反病毒检测的方法。
CN201711461021.3A 2017-12-28 2017-12-28 一种防御哈希碰撞躲避反病毒检测的方法及系统 Active CN108090358B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711461021.3A CN108090358B (zh) 2017-12-28 2017-12-28 一种防御哈希碰撞躲避反病毒检测的方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711461021.3A CN108090358B (zh) 2017-12-28 2017-12-28 一种防御哈希碰撞躲避反病毒检测的方法及系统

Publications (2)

Publication Number Publication Date
CN108090358A CN108090358A (zh) 2018-05-29
CN108090358B true CN108090358B (zh) 2021-07-20

Family

ID=62179804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711461021.3A Active CN108090358B (zh) 2017-12-28 2017-12-28 一种防御哈希碰撞躲避反病毒检测的方法及系统

Country Status (1)

Country Link
CN (1) CN108090358B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101236496A (zh) * 2007-01-29 2008-08-06 展讯通信(上海)有限公司 一种软件一致性检测方法和装置
CN101650768A (zh) * 2009-07-10 2010-02-17 深圳市永达电子股份有限公司 基于自动白名单的Windows终端安全保障方法与系统
CN101730886A (zh) * 2008-02-21 2010-06-09 金士顿科技股份有限公司 安全性存储系统及其使用方法
CN102141995A (zh) * 2010-01-29 2011-08-03 国际商业机器公司 简化并行计算系统中的传输的系统与方法
CN102750462A (zh) * 2011-12-13 2012-10-24 北京安天电子设备有限公司 基于环境的日志分析转换方法及装置
CN102811213A (zh) * 2011-11-23 2012-12-05 北京安天电子设备有限公司 基于模糊哈希算法的恶意代码检测系统及方法
CN103761478A (zh) * 2014-01-07 2014-04-30 北京奇虎科技有限公司 恶意文件的判断方法及设备
CN104281794A (zh) * 2014-09-23 2015-01-14 北京奇艺世纪科技有限公司 一种密码存储及验证的方法和装置
CN105631013A (zh) * 2015-12-29 2016-06-01 华为技术有限公司 生成哈希值的装置和方法
CN107357632A (zh) * 2017-07-17 2017-11-17 郑州云海信息技术有限公司 一种命令行解析方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10216966B2 (en) * 2015-02-25 2019-02-26 Netapp, Inc. Perturb key technique

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101236496A (zh) * 2007-01-29 2008-08-06 展讯通信(上海)有限公司 一种软件一致性检测方法和装置
CN101730886A (zh) * 2008-02-21 2010-06-09 金士顿科技股份有限公司 安全性存储系统及其使用方法
CN101650768A (zh) * 2009-07-10 2010-02-17 深圳市永达电子股份有限公司 基于自动白名单的Windows终端安全保障方法与系统
CN102141995A (zh) * 2010-01-29 2011-08-03 国际商业机器公司 简化并行计算系统中的传输的系统与方法
CN102811213A (zh) * 2011-11-23 2012-12-05 北京安天电子设备有限公司 基于模糊哈希算法的恶意代码检测系统及方法
CN102750462A (zh) * 2011-12-13 2012-10-24 北京安天电子设备有限公司 基于环境的日志分析转换方法及装置
CN103761478A (zh) * 2014-01-07 2014-04-30 北京奇虎科技有限公司 恶意文件的判断方法及设备
CN104281794A (zh) * 2014-09-23 2015-01-14 北京奇艺世纪科技有限公司 一种密码存储及验证的方法和装置
CN105631013A (zh) * 2015-12-29 2016-06-01 华为技术有限公司 生成哈希值的装置和方法
CN107357632A (zh) * 2017-07-17 2017-11-17 郑州云海信息技术有限公司 一种命令行解析方法及装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"基于Zend虚拟机的Hash碰撞及DoS攻击分析";刘耀钦 等;《计算机与现代化》;20140630(第6期);第32-35页 *

Also Published As

Publication number Publication date
CN108090358A (zh) 2018-05-29

Similar Documents

Publication Publication Date Title
JP6670907B2 (ja) スクリプトの実行をブロックするシステム及び方法
CN109922075B (zh) 网络安全知识图谱构建方法和装置、计算机设备
US10860715B2 (en) Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets
US9948670B2 (en) Cloud security-based file processing by generating feedback message based on signature information and file features
US10678921B2 (en) Detecting malware with hash-based fingerprints
EP2788912B1 (en) Predictive heap overflow protection
RU2551820C2 (ru) Способ и устройство для проверки файловой системы на наличие вирусов
KR102210627B1 (ko) 악성 프로세스 행동을 검출하기 위한 방법, 장치 및 시스템
US8813234B1 (en) Graph-based approach to deterring persistent security threats
CN107786564B (zh) 基于威胁情报的攻击检测方法、系统及电子设备
US9542683B2 (en) System and method for protecting electronic money transactions
CN110659484B (zh) 生成对于文件信息的请求以执行防病毒扫描的系统和方法
EP3270317B1 (en) Dynamic security module server device and operating method thereof
WO2015109912A1 (zh) 缓冲区溢出攻击检测装置、方法和安全防护系统
Paturi et al. Mobile malware visual analytics and similarities of Attack Toolkits (Malware gene analysis)
Tarao et al. Toward an artificial immune server against cyber attacks: enhancement of protection against DoS attacks
CN108090358B (zh) 一种防御哈希碰撞躲避反病毒检测的方法及系统
CN108256327B (zh) 一种文件检测方法及装置
Panigrahi et al. Malware detection in big data using fast pattern matching: A hadoop based comparison on GPU
Kishore et al. Faster file imaging framework for digital forensics
Lee et al. Ligeroav: A light-weight, signature-based antivirus for mobile environment
US11403427B2 (en) Methods and systems for reinforcement learning of post-attack security hardening passes
EP3012771B1 (en) System and method for protecting electronic money transactions
CN105302851B (zh) 一种基于文件序列化的自动机远程分发和初始化方法
JP6207392B2 (ja) 異常検出装置、異常検出方法、及び異常検出プログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant
CP01 Change in the name or title of a patent holder

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Patentee before: Harbin Antian Science and Technology Group Co.,Ltd.

CP01 Change in the name or title of a patent holder