| Сейчас на форуме: Magister Yoda, rtsgreg1989 (+6 невидимых) |
 |
eXeL@B —› Основной форум —› Энтропия и сигнатуры |
| Посл.ответ | Сообщение |
|
|
Создано: 13 марта 2005 13:41 · Личное сообщение · #1 Может ли такое быть: файл упакован, но подсчет энтропии показывает обратное? Или наоборот, файл ничем не сжат, а подсчет дает положительный результат? 
И вопрос два. Достаточно ли для обнаружения определенного пакера проверка его сигнатуры? Или стоит еще считать ту же энтропию? 
 |
|
|
Создано: 13 марта 2005 13:50 · Личное сообщение · #2 1) Если алгоритм сжатия хилый, то вполне может быть, что энтропия не очень велика... А несжатый файл с высокой энтропией достаточно просто сгенерить (заполняй его значениями рандомными). 2) Конечно недостаточно... Надо смотреть не логику. А чем может помочь подсчет энтропии ваще не представляю. Один и тот же пакер на разных файлах может давать разную энтропию... И вообще - энтропия - мера неупорядоченности и попобчным результатом использования методов анализа неупорядоченности инфы в файле является достаточно правдоподобное обоснование упакованности или неупакованности файла. |
|
|
Создано: 13 марта 2005 13:50 · Личное сообщение · #3 почитай статью by Volodya & NEOx "Об упакощиках в последний раз 2 часть" . Там вроде про энтропию есть. |
|
|
Создано: 13 марта 2005 14:06 · Личное сообщение · #4 MoonShiner пишет: А чем может помочь подсчет энтропии ваще не представляю. Я это к тому, что если например подсчет энтропии показал, что файл упакован _И_ совпали нужные сигнатуры, то можно с большей уверенностью утверждать, что мы имеем дело с нужным пакером. А если совпали только сигнатуры, но не энтропия, то тут уже можно подумать Хотя тоже процент не велик имхо.
Hyper пишет: почитай статью by Volodya & NEOx Ок, посмотрю. |
|
|
Создано: 13 марта 2005 14:20 · Личное сообщение · #5 к тому же, если речь идёт об исполняемых файлах, то файл может быть просто зашифрован, но не сжат. некоторые протекторы, не умеющие сжимать, просто шифруют файл файл в таком случае не похож на оригинал, но и не сжат в прямом смысле слова ----- EnJoy! |
|
|
Создано: 13 марта 2005 16:46 · Личное сообщение · #6 Да, присоединяюсь к Jupiter. Энтропия в зашифрованном тоже может быть очень велика, что может косвенно говорить о криптостойкости шифра. dzen, существуют некие проги, которые на исполняемый файл могут навесить fake сигнатуру... |
|
|
Создано: 13 марта 2005 22:28 · Личное сообщение · #7 MoonShiner пишет: уществуют некие проги, которые на исполняемый файл могут навесить fake сигнатуру... Нет, в моем случае это не так критично. Хотя тоже интересно как это можно обойти и получить достоверную информацию
А существуют ли какие-то способы, которые в большинстве случаев помогают определить тот или иной пакер? Может удасться это использовать в некоторой мере.. =) |
|
|
Создано: 14 марта 2005 01:49 · Личное сообщение · #8 dzen существуют ли какие-то способы, которые в большинстве случаев помогают определить тот или иной пакер если много распаковывал вручную, то хороший способ - загрузить файл в отладчик и потрэйсить - если пакер знакомы - сразу узнаешь, даже если оригинальный пакер пытались замаскировать ----- EnJoy! |
|
|
Создано: 14 марта 2005 10:14 · Личное сообщение · #9 Jupiter пишет: загрузить файл в отладчик и потрэйсить Это ясно, руками можно все сделать Мне интересны способы автоматической распаковки.
|
|
eXeL@B —› Основной форум —› Энтропия и сигнатуры |
Для печати