• Save
Fuzzy hash   entropy
Upcoming SlideShare
Loading in...5
×
 

Fuzzy hash entropy

on

  • 481 views

 

Statistics

Views

Total Views
481
Views on SlideShare
481
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Fuzzy hash   entropy Fuzzy hash entropy Presentation Transcript

  • Hash, Fuzzy Hash e Entropy Luiz Sales Rabelo – Consultor Forense Computacional http://www.luizrabelo.com.br [email_address]
  • Análise de Hash baseado em proximidade
  • Hashing Algoritmos de Hash leem um número ilimitado de bytes de um arquivo para produzir um número de tamanho fixo, chamado de Hash. Se até mesmo um único byte de um arquivo muda, o valor do Hash é completamente alterado. Não importa o algoritmo utilizado: MD5, SHA1 ou SHA256, algoritmos de Hash são projetados para mudar cerca de 50% dos seus dígitos em resposta a cada byte alterado em um arquivo.
  • Hashing File01.txt - 70bc1de8a077e52493d9c41ffaa3c051 File02.txt - 8cbd72cbd9f5387818054ffa5ae241fb File02.txt Olá Mundo File01.txt Ola Mundo
  • Fuzzy-Hash Às vezes chamado de Context Triggered Piecewise Hashing (CTPH) , fuzzy hashing descreve uma aplicação baseada em processo de hash tradicionais. O processo envolve a análise de um arquivo em várias partes menores. A premissa é que uma pessoa poderia usar esses múltiplos valores de hash para verificar alguma probabilidade de que ele é semelhante à partes hash de outros arquivos. Esta probabilidade é geralmente expressa como uma porcentagem.
  • Fuzzy-Hash 96% Similaridade Arq001.doc – MD5: 70bc1de8a077e52493d9c41ffaa3c051 Arq002.doc – MD5: 8cbd72cbd9f5387818054ffa5ae241fb
  • Entropy A origem do conceito de entropia vem da ciência da termodinâmica. Entropia é uma medida de quantidade de desordem em um sistema fechado. Por exemplo, um cubo de gelo é uma matriz ordenada de moléculas e tem relativamente baixa entropia. À medida que o gelo derrete, há um maior grau de liberdade entre as moléculas de água e, portanto, maior a entropia. Quando a água evapora, as moléculas estão livres para se mover no ar, a entropia é ainda maior.
  • Entropy A diferença fundamental entre a teoria da entropia termodinâmica e a teoria da entropia de informação é que, em termodinâmica, não é possível conhecer todos os estados possíveis da matéria, então para os métodos estatísticos são utilizados uma aproximação. Em teoria, a entropia de informação digital, o número de probabilidade de cada estado é conhecido com precisão, já que o conteúdo exato do arquivo é conhecido.
  • Entropy Na análise de informações, estamos preocupados com bytes de dados (cada um com 256 valores possíveis), e gostaríamos que os nossos resultados fossem expressos em bits por byte. Portanto o valor da entropia de um determinado arquivo virá a ser um valor entre 0 e 8, com os extremos valor expresso como:
  • Análise de proximidade da Guidance Software
  • Entropy Near-Match Analyzer Chamado de Entropy Near-Match Analyzer, a implementação do algorítimo de entropia da Guidance aproveita os melhores recursos da entropia e do fuzzy hashing, garantindo um resultado muito rápido e acertivo. Este algorítimo leva em consideração algumas características importantes, como o tamanho ou o tipo do arquivo (como regra geral, tipos de arquivo específico terão valores de entropia dentro das faixas de menor valor entre 0 e 8. Por exemplo, um arquivo de texto ASCII, normalmente tem um valor de entropia entre 2 e 4, onde os arquivos zip geralmente terá um valor entre 7 e 8).
  • Entropy Near-Match Analyzer