ჰეშ-შეჯამება
ჰეშ-შეჯამება PRX-SD-ის გამოვლენის კონვეიერის პირველი და ყველაზე სწრაფი შრეა. ყველა სკანირებული ფაილისთვის PRX-SD კრიპტოგრაფიულ ჰეშს ითვლის და ცნობილ-მავნე ჰეშების ლოკალური მონაცემთა ბაზაში ამოწმებს. შეჯამება ნიშნავს, რომ ფაილი ცნობილი მავნე ნიმუშის ზუსტი, ბაიტ-ბაიტი ასლია.
როგორ მუშაობს
- ჰეშ-გაანგარიშება -- PRX-SD ფაილის SHA-256 ჰეშს ითვლის. VirusShare ძებნისთვის MD5 ჰეშიც ითვლება.
- LMDB ძებნა -- ჰეში LMDB მონაცემთა ბაზაში memory-mapped B+ ხის გამოყენებით მოწმდება. ეს O(1) საშუალო ძებნის დროს იძლევა.
- მეტამონაცემების მიღება -- შეჯამებისას, ასოცირებული მეტამონაცემები (წყარო, მავნე პროგრამის ოჯახი, პირველ-ნახვის თარიღი) ბრუნდება.
- განაჩენი -- ჰეშ-შეჯამება მყისიერ
MALICIOUSგანაჩენს იძლევა, გამოვლენის დარჩენილი შრეები კი გამოტოვდება.
წარმადობა
| ოპერაცია | დრო |
|---|---|
| SHA-256 გაანგარიშება (1 KB ფაილი) | ~2 მიკროწამი |
| SHA-256 გაანგარიშება (10 MB ფაილი) | ~15 მილიწამი |
| LMDB ძებნა | ~0.5 მიკროწამი |
| სულ ფაილზე (მცირე ფაილი, ჰეშ-hit) | ~3 მიკროწამი |
LMDB memory-mapped ფაილებს იყენებს, ამიტომ ოპერაციული სისტემის გვერდ-ქეში მონაცემთა ბაზის ხშირად გამოყენებულ ნაწილებს RAM-ში ინახავს. საკმარისი მეხსიერების მქონე სისტემაზე ძებნა პრაქტიკულად უფასოა.
მხარდაჭერილი ჰეშ-ტიპები
| ჰეშ-ტიპი | ზომა | გამოყენება |
|---|---|---|
| SHA-256 | 256-ბიტი (64 hex სიმბოლო) | ყველა ძებნის პირველადი ჰეში. abuse.ch feed-ებსა და ჩაშენებული blocklist-ის მიერ გამოიყენება. |
| MD5 | 128-ბიტი (32 hex სიმბოლო) | VirusShare მონაცემთა ბაზის თავსებადობისთვის. გამოითვლება მხოლოდ VirusShare მონაცემების არსებობისას. |
MD5-ის შეზღუდვები
MD5 კრიპტოგრაფიულად გატეხილია და კოლიზიური შეტევებისადმი მოწყვლადია. PRX-SD MD5-ს მხოლოდ VirusShare მონაცემთა ბაზასთან უკუთავსებადობისთვის იყენებს. SHA-256 ყველა სხვა წყაროს პირველადი ჰეშია.
მონაცემთა წყაროები
PRX-SD ჰეშ-სიგნატურებს მრავალი საფრთხეთა ინტელექტის feed-დან აგროვებს:
| წყარო | ჰეშ-ტიპი | უფასო | შინაარსი | განახლების სიხშირე |
|---|---|---|---|---|
| abuse.ch MalwareBazaar | SHA-256 | კი | ბოლო 48 საათის მავნე პროგრამის ნიმუშები | ყოველ 5 წუთში |
| abuse.ch URLhaus | SHA-256 | კი | მავნე URL-ებით გავრცელებული ფაილების ჰეშები | ყოველ საათში |
| abuse.ch Feodo Tracker | SHA-256 | კი | საბანკო ტროიანები (Emotet, Dridex, TrickBot) | ყოველ 5 წუთში |
| abuse.ch ThreatFox | SHA-256 | კი | საზოგადოების IOC გაზიარების პლატფორმა | ყოველ საათში |
| VirusShare | MD5 | კი | 20M+ მავნე პროგრამის ჰეში (ისტორიული) | პერიოდულად |
| ჩაშენებული blocklist | SHA-256 | ჩართული | EICAR, WannaCry, NotPetya, Emotet და სხვ. | გამოშვებებთან |
ჰეშ-ს სრული გამოყენება
| განახლების რეჟიმი | ჰეშები | მონაცემთა ბაზის ზომა |
|---|---|---|
სტანდარტული (sd update) | ~28,000 SHA-256 | ~5 MB |
სრული (sd update --full) | ~28,000 SHA-256 + 20M+ MD5 | ~800 MB |
ჰეშ-მონაცემთა ბაზის განახლება
სტანდარტული განახლება
ყველა abuse.ch feed-დან უახლესი SHA-256 ჰეშების მიღება:
sd updateეს PRX-SD-ის პირველი ინსტალაციისას ავტომატურად მუშაობს და cron-ით ან sd service-ით უწყვეტი განახლებისთვის დაგეგმვა შეიძლება.
სრული განახლება
VirusShare MD5 მონაცემთა ბაზის სრული ჩათვლით:
sd update --fullსრული რეჟიმის გამოყენებისას
VirusShare მონაცემთა ბაზა 20M+ ისტორიული MD5 ჰეშს შეიცავს, წლების მანძილზე. ეს სასარგებლოა სასამართლო გამოძიებებისა და სრული სკანირებისთვის, მაგრამ მონაცემთა ბაზას ~800 MB-ს ამატებს. ყოველდღიური დაცვისთვის სტანდარტული განახლება საკმარისია.
ხელით ჰეშ-იმპორტი
ტექსტური ფაილებიდან (სტრიქონზე ერთი ჰეში) მომხმარებლის ჰეშ-სიების იმპორტი:
sd import my_hashes.txtიმპორტის ბრძანება ჰეშ-ტიპს (SHA-256 ან MD5) სტრინგის სიგრძის მიხედვით ავტომატურად ადგენს. მეტამონაცემების მითითებაც შეიძლება:
sd import my_hashes.txt --source "internal-ir" --family "custom-trojan"LMDB მონაცემთა ბაზა
PRX-SD ჰეშებს LMDB-ში (Lightning Memory-Mapped Database) ინახავს, მისი თვისებებისთვის არჩეული:
| თვისება | სარგებელი |
|---|---|
| Memory-mapped I/O | ნულოვანი კოპირების წაკითხვა, სერიალიზაციის overhead-ის გარეშე |
| B+ ხის სტრუქტურა | O(1) ამორტიზებული ძებნა |
| ACID ტრანზაქციები | განახლებების დროს უსაფრთხო კონკურენტული წაკითხვა |
| Crash-resistant | Copy-on-write კორუფციას ხელს უშლის |
| კომპაქტური ზომა | ჰეშ-გასაღებების ეფექტური შენახვა |
მონაცემთა ბაზა ნაგულისხმევად ~/.local/share/prx-sd/signatures.lmdb-ში ინახება. გზის კონფიგურაცია შეიძლება:
# ~/.config/prx-sd/config.toml
[database]
path = "/opt/prx-sd/signatures.lmdb"მონაცემთა ბაზის სტატუსის შემოწმება
მიმდინარე ჰეშ-მონაცემთა ბაზის სტატისტიკის ნახვა:
sd infoPRX-SD Signature Database
=========================
SHA-256 hashes: 28,428
MD5 hashes: 0 (run 'sd update --full' for VirusShare)
YARA rules: 38,800
Database path: /home/user/.local/share/prx-sd/signatures.lmdb
Database size: 4.8 MB
Last updated: 2026-03-21 10:00:00 UTCჰეშ-შეჯამება კონვეიერში
ჰეშ-შეჯამება დაცვის პირველ ხაზად შექმნილია, რადგანაც:
- სიჩქარე -- ~3 მიკროწამი ფაილზე, ეს უმნიშვნელო overhead-ს ამატებს. მილიონი სუფთა ფაილი 3 წამზე ნაკლებ დროში შეიძლება შემოწმდეს.
- ნულოვანი false positive-ები -- SHA-256 შეჯამება კრიპტოგრაფიული გარანტიაა, რომ ფაილი ცნობილი მავნე ნიმუშის იდენტურია.
- Short-circuit -- ჰეშ-შეჯამებისას YARA და ევრისტიკული ანალიზი მთლიანად გამოტოვდება, მნიშვნელოვანი დამუშავების დროის დაზოგვით.
ჰეშ-შეჯამების შეზღუდვა ის არის, რომ ის მხოლოდ ცნობილი ნიმუშების ზუსტ ასლებს ავლენს. ერთი ბაიტის ცვლილება განსხვავებულ ჰეშს წარმოქმნის და ამ შრეს ატყუებს. ამიტომ YARA და ევრისტიკული შრეები შემდეგ დაცვის ხაზად არსებობს.
შემდეგი ნაბიჯები
- YARA წესები -- ვარიანტებისა და ოჯახების შაბლონ-ზე დაფუძნებული გამოვლენა
- ევრისტიკული ანალიზი -- უცნობი საფრთხეების ქცევითი გამოვლენა
- გამოვლენის ძრავის მიმოხილვა -- ყველა შრის ერთობლივი მუშაობა
- ფაილებისა და დირექტორიების სკანირება -- ჰეშ-შეჯამების პრაქტიკაში გამოყენება