Метод import hashing (imphash) для обнаружения вредоносного ПО заключается в вычислении хэш-значений на основе имён библиотек и импортируемых функций (API) и их порядка внутри исполняемого файла. 1

Этот хэш помогает идентифицировать и сопоставлять различные образцы вредоносного ПО, которые могут иметь одну и ту же кодовую базу или функциональность, поскольку образцы с похожим поведением часто импортируют схожие наборы функций. 2

Если файлы скомпилированы из одного источника и одинаковым образом, они будут иметь одинаковое значение imphash. 1 При обнаружении образцов с одинаковыми значениями imphash это означает, что у них одинаковая таблица импорта адресов и они, вероятно, связаны. 1

Imphash — ценный инструмент для быстрой группировки и идентификации связанных образцов вредоносного ПО. 2