草庐IT

java - Java 中用于文件比较的编程方法

coder 2024-03-03 原文

比较两个十六进制文件签名的相似性的最佳方法是什么。

更具体地说,我想做的是采用 .exe 文件的十六进制表示形式,并将其与一系列病毒签名进行比较。对于这种方法,我计划将文件 (exe) 十六进制表示分解为 N 个字符(即 10 个十六进制字符)的各个组,并对病毒签名执行相同的操作。我的目标是执行某种启发式方法,因此统计检查此 exe 文件是否与已知病毒签名具有 X% 的相似性。

我想到的最简单且可能非常错误的方法是,将 exe[n, n-1] 与病毒 [n, n-1] 进行比较,其中数组中的每个元素都是一个子数组,因此 exe1 [0,9] 对抗病毒 1[0,9]。每个子集都将进行统计评分。

如您所知,将进行大量比较,因此非常非常慢。所以我想问问你们是否可以想出更好的方法来进行这种比较,例如将不同的数据结构一起实现。

这是我为我的理学士学位所做的一个项目,我试图开发一种算法来检测多态恶意软件,这只是整个系统的一部分,另一部分基于遗传算法来进化静态病毒签名。非常欢迎任何建议、评论或一般信息(例如资源)。

定义:多态恶意软件(病毒、蠕虫等)保持与其“原始”版本相同的功能和负载,同时具有明显不同的结构(变体)。他们通过代码混淆来实现这一点,从而改变他们的十六进制签名。一些用于多态性的技术是;格式更改(插入删除空格)、变量重命名、语句重新排列、垃圾代码添加、语句替换(x=1 更改为 x=y/5,其中 y=5)、控制语句交换。就像流感病毒发生变异导致疫苗接种无效一样,多态恶意软件也会发生变异以避免被发现。

更新:在你们给我关于阅读的建议之后;我做到了,但这让我更加困惑。我发现了几种可以应用于我的问题的距离算法,例如;

  • 最长公共(public)子序列
  • 编辑算法
  • Needleman-Wunsch 算法
  • Smith–Waterman 算法
  • 博耶摩尔算法
  • Aho Corasick 算法

但现在我不知道该用哪个,他们似乎都以不同的方式做同样的事情。我会继续做研究,以便更好地理解每一个;但与此同时,您能否给我您对哪个可能更合适的意见,以便我在研究过程中优先考虑它并进行更深入的研究。

更新 2: 我最终使用了 LCSubsequence、LCSubstring 和 Levenshtein Distance 的合并。谢谢大家的建议。

GitHub 上有一份完成的论文副本

最佳答案

对于此类算法,我建议您研究一下生物信息学领域。那里有一个类似的问题设置,因为您有大文件(基因组序列),您在其中寻找某些签名(基因、特殊的众所周知的短碱基序列等)。

此外,考虑到多态性恶意软件,该部门应该可以为您提供很多帮助,因为在生物学中似乎同样难以获得精确匹配。 (不幸的是,我不知道合适的近似搜索/匹配算法可以为您指出。)

这个方向的一个例子是改编类似 Aho Corasick 的东西算法,以便同时搜索多个恶意软件签名。

类似地,像 Boyer Moore 这样的算法算法为您提供出色的搜索运行时间,尤其是对于较长的序列(对于大小为 N 的文本,您在其中寻找大小为 M 的模式,即 O(N/M) 的平均情况,即次线性搜索时间)。

关于java - Java 中用于文件比较的编程方法,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4068218/

于文中用section进制javaalgorithmdata-structuresdistancefile-comparison

有关java - Java 中用于文件比较的编程方法的更多相关文章

  1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

    我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

  2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

    总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

  3. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  4. ruby - Facter::Util::Uptime:Module 的未定义方法 get_uptime (NoMethodError) - 2

    我正在尝试设置一个puppet节点,但ruby​​gems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由ruby​​gems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby

  5. Ruby 方法() 方法 - 2

    我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby​​-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco

  6. ruby-on-rails - Rails 3.2.1 中 ActionMailer 中的未定义方法 'default_content_type=' - 2

    我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer

  7. ruby - Highline 询问方法不会使用同一行 - 2

    设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案

  8. ruby - Ruby 的 Hash 在比较键时使用哪种相等性测试? - 2

    我有一个围绕一些对象的包装类,我想将这些对象用作散列中的键。包装对象和解包装对象应映射到相同的键。一个简单的例子是这样的:classAattr_reader:xdefinitialize(inner)@inner=innerenddefx;@inner.x;enddef==(other)@inner.x==other.xendenda=A.new(o)#oisjustanyobjectthatallowso.xb=A.new(o)h={a=>5}ph[a]#5ph[b]#nil,shouldbe5ph[o]#nil,shouldbe5我试过==、===、eq?并散列所有无济于事。

  9. ruby - 主要 :Object when running build from sublime 的未定义方法 `require_relative' - 2

    我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby​​1.9+ 关于ruby-主要:Objectwhenrun

  10. ruby - 多个属性的 update_column 方法 - 2

    我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2

随机推荐