基于模糊哈希的恶意代码检测系统（附源代码）

一个文件也许有意或无意地产生变化。例如，有意的情况有作者改动文本内容、恶意代码自动变化；无意的情况有传输出错、磁盘存储出错等。如何有效判断两个文件是否相似，从而是同源的？这个问题在很多领域都有遇到。Kornblum提出了模糊哈希算法。模糊哈希的主要原理是，使用一个弱哈希计算文件局部内容，在特定条件下对文件进行分片，然后使用一个强哈希对文件每片计算哈希值，取这些值的一部分并连接起来，与分片条件一起构成一个模糊哈希结果。使用一个字符串相似性对比算法判断两个模糊哈希值的相似度有多少，从而判断两个文件的相似程度。随着计算机网络技术的发展，恶意代码的问题也越来越严峻，对于现有的恶意代码产生的变体（包括在多处修改、增加、删除部分内容），使用模糊哈希均能发现与源文件的相