【安全百科】《威胁情报小百科》第6期：几张图搞懂什么是hash情报&模糊hash

天空一声巨响，第6期《威胁情报小百科》闪亮登场，干货满满，每周一点小知识，本期主题是hash情报。

4个维度开启本期百科：1、什么是hash情报？2、hash情报的特点？3、hash情报的作用？4、如何在我们的TI平台查询hsah情报？

一、什么是hash情报

hash情报一般指的是文件哈希情报。

Hash文件利用hash存储的方式，将文件转换成一组数列，记录在存储设备上。一个文件的hash值是固定的，一般是不会重复的，所以会用hash来表示文件。

hash算法一般用三种 md5、sha1、sha256，根据不同的情境三种都会使用到。

SHA1或MD5是最常见的hash例子，对应于入侵相关的特定样本/文件。

二、文件hash情报的特点

1.唯一性：文件哈希值是恶意代码的指纹。任何文件的改变，即使是无关紧要的在未使用资源中修改一个bit或者在结束位置添加一个Null。结果就是一个完全不同也不相关的哈希值。

2.便捷性：有时不方便下载文件到本地进行分析，可以尝试计算文件hash，到威胁情报站点进行分析。

三、hash情报的作用？

【精准hash的作用】

1.恶意样本检测：通过哈希值查找恶意样本，分析黑客攻击工具等；

2.文件篡改确认：由于文件哈希值的唯一属性，可以利用哈希值检测文件是否被篡改。

【模糊hash的作用】

* 什么是模糊hash？

特殊的fuzzy hashes，如ssdeep，用于判断两个文件是否近似的hash。如果一个文件比另一个文件多一个空格，普通的hash（md5、sha1、sha256）是会完全不同，而模糊hash 可能会很相似或者完全一样。

再形象一点，够模糊了吧~简直就是一个人！

*模糊hash的作用：

小范围的改动，只要本质不变，并不影响文件的识别。比如化妆的吴彦祖和不化妆的吴彦祖，都可以被小区门禁人脸识别到：

模糊hash最常见的用途是：识别工具及恶意软件的变种，以纠正精准hash值的缺点。

四、实操课：如何在TI平台查询hash情报？

一、打开TI首页：https://ti.dbappsecurity.com.cn/

二、输入已知哈希，查询分析结果

三、多维度分析结果：文件内容、动静态分析、同源样本、可视化、关联域名、IP、文件等一应俱全，还可以跟网友互动评论该哈希情报。

以上就是hsah情报的基本知识点，下期你们想了解什么？