В чём заключается метод import hashing для обнаружения вредоносного ПО?

Метод import hashing (imphash) для обнаружения вредоносного ПО заключается в вычислении хэш-значений на основе имён библиотек и импортируемых функций (API) и их порядка внутри исполняемого файла. www.oreilly.com

Этот хэш помогает идентифицировать и сопоставлять различные образцы вредоносного ПО, которые могут иметь одну и ту же кодовую базу или функциональность, поскольку образцы с похожим поведением часто импортируют схожие наборы функций. your-scorpion.ru

Если файлы скомпилированы из одного источника и одинаковым образом, они будут иметь одинаковое значение imphash. www.oreilly.com При обнаружении образцов с одинаковыми значениями imphash это означает, что у них одинаковая таблица импорта адресов и они, вероятно, связаны. www.oreilly.com

Imphash — ценный инструмент для быстрой группировки и идентификации связанных образцов вредоносного ПО. your-scorpion.ru