一种SD绕过的思路

账号审核
1

一种SD绕过的思路

分类:安全研究

众所周知,MD5是一种不安全的哈希函数,但是现在还是在广泛运用,而许多Coder也不清楚它的危害在哪。本文将介绍如何利用MD5的弱点来绕过SD的检测。

2004年,王小云教授等人提出了如何通过差分攻击碰撞出相同的MD5值,文章名称为:“Collisions for Hash Functions MD4, MD5, HAVAL-128 and RIPEMD. Xiaoyun Wang,D”,有兴趣的可以读一下原文,我这种数学渣是读不下去。

通过上述文章的算法,可以实现两个相同MD5值,但不同内容的正常程序与恶意程序。某些安全检测软件通过检测结果,得到正常的程序的MD5值,然后将正常程序的MD5值存到白名单内,以便下次扫描时加快扫描速度。

如图所示,这是两个相同MD5值,但不同SHA256值的程序(1为正常程序,test为恶意程序)
1
上传到某安全检测网站,得到1的检测结果

2
21304×364 5.83 KB

然后上传test文件,发现被1覆盖,
2
21304×364 5.83 KB
4
4998×105 5.07 KB

由此发现,test可以利用1的检测结果逃避安全检测软件的查杀。

产生相同MD5值的方法可以参考:https://www.mscs.dal.ca/~selinger/md5collision/

  • 通过
  • 未通过

0 投票者