Bản chất của một file bất kỳ là một chuỗi s
ố
dài, nên chúng ta có thể coi là một chuỗi string và tiến hành lấy mã hash của file. Do tính chất của mình, mã hash này gần như là duy nhất. Khi chúng ta đã có mẫu của 1 virus chúng ta sẽ có thể lấy được từ mẫu đó một mã hash.Khi đó việc nhận dạng một file có phải là virus hay không chính là việc tạo mã hash file đó rồi so sánh hash đó với hash mẫu virus. Có hai cách lấy nhận dạng theo mã hash là: lấy hash theo toàn file và lấy hash theo một phần thông tin quan trọng.2.1.2.1. Lấy đại diện theo toàn file
Cách đơn giản nhất để tạo bản nhận diện đặc trưng cho một mẫu virus là tính hash đặc trưng cho cho toàn bộ file mẫu. Các thuật toán hash thường được sử dụng trong trường hợp này là MD5, SHA1, SHA256 ... có xác xuất trùng lặp đủ thấp để có thể sử dụng làm bản nhận diện đặc trưng cho một file.
+ Ưu điểm:
Cách thực hiện đơn giản. + Nhược điểm:
Chi phí tính toán cao, thời gian tính hash chậm, nhất là với file có kích thước lớn. Nhược điểm này bộc lộ rõ khi quét virus cho tất cả các file trong hệ thống.
2.1.2.2. Lấy đại diện theo một phần thông tin quan trọng
Để khắc phục nhược điểm trên người ta đã cải tiến bằng cách chỉ tính hash của một phần thông tin quan trọng nào đó của file .Ví dụ đối với file thực thi (.exe, .com, .dll, .sys ….) phần thông tin quan trọng có thể là PE header (Portable executable), vùng nhớ xung quanh Entry Point của chương trình. Việc lựa chọn vùng thông tin nào là quan trọng phụ thuộc vào chiến lược riêng của từng hãng AV
+ Ưu điểm:
Đã cải tiến được tốc độ lấy hash đáng kể so với phương pháp lấy hash toàn file.
+ Nhược điểm:
Cài đặt phức tạp hơn phương pháp lấy hash toàn file.
Không phải tất cả các định dạng file đều có thể lựa chọn được vùng chứa thông tin quan trọng, đặc trưng của nó, chỉ có thể áp dụng với một số định dạng nhất định.
