我正在编写基于签名扫描的恶意软件检测.据我了解,主要想法是将扫描文件的签名与黑名单中的签名进行比较. 在这里,我发现签名是某种MD5哈希,但我如何从文件中获取它?还有其他类型的签名吗?
许多使用基于签名的恶意软件检测的防病毒程序.这是为ClamAV创建签名.我可以理解他们如何创建签名,考虑到整个文件是恶意软件,但我无法理解如何在文件正文中找到恶意软件 - 哈希将是另一个.有人知道吗?
我正在尝试分析已编译的Dalvik代码,但我发现了一个问题.这是.dex格式的规范.我可以获取文件的标题,但我无法理解接下来会发生什么 - 当我使用dexdump时,我在标题旁边有类:
class_defs_off : 61836 (0x00f18c)
data_size : 368612
data_off : 72312 (0x011a78)
Class #0 header:
class_idx : 62
access_flags : 1536 (0x0600)
但是当我查看我的字节码时,还有其他的东西.我无法理解标题旁边的内容.根据规格string_idi's,但我不确定..dex文件的真实结构是什么?