一、什么是hash情报

hash情报一般指的是文件哈希情报。

Hash文件利用hash存储的方式，将文件转换成一组数列，记录在存储设备上。一个文件的hash值是固定的，一般是不会重复的，所以会用hash来表示文件。

hash算法一般用三种 md5、sha1、sha256，根据不同的情境三种都会使用到。

SHA1或MD5是最常见的hash例子，对应于入侵相关的特定样本/文件。

二、文件hash情报的特点

1.唯一性：文件哈希值是恶意代码的指纹。任何文件的改变，即使是无关紧要的在未使用资源中修改一个bit或者在结束位置添加一个Null。结果就是一个完全不同也不相关的哈希值。

2.便捷性：有时不方便下载文件到本地进行分析，可以尝试计算文件hash，到威胁情报站点进行分析。

三、hash情报的作用？

【精准hash的作用】

1.恶意样本检测：通过哈希值查找恶意样本，分析黑客攻击工具等；

2.文件篡改确认：由于文件哈希值的唯一属性，可以利用哈希值检测文件是否被篡改。

【模糊hash的作用】

* 什么是模糊hash？

特殊的fuzzy hashes，如ssdeep，用于判断两个文件是否近似的hash。如果一个文件比另一个文件多一个空格，普通的hash（md5、sha1、sha256）是会完全不同，而模糊hash 可能会很相似或者完全一样。

再形象一点，够模糊了吧~简直就是一个人！

*模糊hash的作用：

小范围的改动，只要本质不变，并不影响文件的识别。比如化妆的吴彦祖和不化妆的吴彦祖，都可以被小区门禁人脸识别到：

模糊hash最常见的用途是：识别工具及恶意软件的变种，以纠正精准hash值的缺点。

四、实操课：如何在TI平台查询hash情报？

1.打开TI首页：ti.dbappsecurity.com.cn

2.输入已知哈希，查询分析结果

3.多维度分析结果：文件内容、动静态分析、同源样本、可视化、关联域名、IP、文件等一应俱全，还可以跟网友互动评论该哈希情报。

以上就是hsah情报的基本知识点，下期你们想了解什么？

PS：每日更新整理国内外威胁情报快讯，帮助威胁研究人员了解及时跟踪相关威胁事件

关注微信公众号：安恒威胁情报中心

获取一手原创安全分析报告