• XSS.stack #1 – первый литературный журнал от юзеров форума

Обсуждение вопросов обнаружения файлов

Отслеживать

TRUE

floppy-диск
Пользователь
Регистрация
04.03.2014
Сообщения
5
Реакции
0
TrueMind
Энтропия не выровнена у всех трех файлов, на выходе средняя ~ 7.5.
Разве высокая энтропия, а значит минимальный размер файла на выходе могут являться минусом при условии, что крипт чистый?
 
Как минимум это может стать признаком для включения углубленного сканирования эвристиком.
Я не утверждают, что энтропия это единственный критичный признак, но по хорошему, !особенно в случае крипта, энтропия должна стремиться к нормальной.
Разве нет?
 
Как минимум это может стать признаком для включения углубленного сканирования эвристиком.
Я не утверждают, что энтропия это единственный критичный признак, но по хорошему, !особенно в случае крипта, энтропия должна стремиться к нормальной.
Разве нет?
Какая разница углублённый он или не углублённый, большая или маленькая энтропия, в случае крипта нужно стремиться к уникальности крипта и продолжительному фуду. Разве не в этом суть крипта? :)
 
Какая разница в (отдельных показателях) уникальности крипта, если по показателям не выровненной энтропии и частотным характеристикам (так называемым "детектам по пятнам") + второстепенным признакам, вся уникальность крипта может быть сведена к стабильному эвристическому признаку и скосить всё поколение будущих криптов?
 
Какая разница в (отдельных показателях) уникальности крипта, если по показателям не выровненной энтропии и частотным характеристикам (так называемым "детектам по пятнам")
"Правильная" энтропия используется как признак с второстепенными показателями для детектирования?
 
Мы так и будем играть в игру слов?
Есть альтернативное мнение? Напишите.
Есть факты в пользу вашего мнения? Предоставьте.
Общаться в режиме: вопрос-ответ я не намерен.
 
Тебе уже написал функтор
как показала наша практика, уход от правила "только стандартные признаки" показывает себя скорее с хорошей стороны. семпл, который будут активно использовать, получит детект вне зависимости от наличия/отсутствия в нем распространенных "белых" признаков, на него просто повесят сигнатуру еще до момента выделения общих признаков в generic-детект. в то же время уход от этого правила позволяет получить большую вариативность и независимость двух соседних семплов из одного апдейта, меньшую вероятность пересечения детектов (задетектили один, а прицепом прибило несколько еще неиспользованных стабов).
Слово "поля" вырезал намеренно, его можно заменить словом энтропия.

Общаться в режиме: вопрос-ответ я не намерен.
Если не намерен, то можешь не отвечать. Непонятно одно, к чему лепить везде эту энтропию. Человек который берет крипт ему важен минимальный размер файла, а не правильная энтропия и как следствие большой размер.
 
Мнений всегда существует больше одного. Ты в праве утверждать одно, я согласно своему опыту придерживаюсь другого мнения.
Функтор может писать всё, что считает нужным и его слова для меня ни есть истина в последней инстанции. Если есть реальные факты (семплы), подтверждающие его (твои?) слова, то с радостью гляну на другую точку зрения, а пока для меня идея "вариативности", не больше чем слова.
(встречал ранее семплы на фасме, где нет четкой структуры секций и весь файл собирался в рандомном порядке по исходникам. Детект аваста Ево-ген косил отклонения от нормы пачками из такого крипотра.)

Энтропия де факто уже давно на этом форуме является показателем качества крипторов, т.к. если человек не осилил собственный алгоритм понижения энтропии, то с большой долей вероятности это фейковый криптор. Для доказательства моих слов достаточно взглянуть на предыдущие, более ранние обзоры крипторов даже не от меня.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх