Ich habe festgestellt, dass das Symbol .
nicht die gleiche hexadezimale Zahl darstellt, als ich versuchte, meine YARA-Regeln zu optimieren, die ich unter VirusTotal
ausführe. Als ich versuchte, die falsch positiv generierende Textzeichenfolge .sample.
auszuschließen, würde sie nicht ausgeschlossen werden, da in diesem Fall .
aus der Textdarstellung 2E
konvertiert wurde, während in der Zeichenfolge, die tatsächlich in den falschen Positiven enthalten war, .
dargestellt 00
.Warum scheint es, dass mehrere verschiedene hexadezimale Zahlen als Punkt (".") Dargestellt werden?
Ich gehe davon aus, dass Text, wenn die Dateien übereinstimmen, Text in Hex konvertiert wird, die Hex-Zeichenfolge wird dann in einem Hexdump einer Datei und der gesamte Hexdump wird in Text in der VT-Vorschau konvertiert.
Dann bemerkte ich, dass es tatsächlich mehr hexadezimale Zahlen gab, die als .
in VirusTotal
Textvorschau dargestellt wurden. Zum Beispiel 0A
, 99
, 09
(Screenshot).
Ich habe versucht, die Textdarstellung dieser Hex-Zahlen sehen einen Online-Konverter (http://www.unit-conversion.info/texttools/hexadecimal/) und einige von ihnen wurden als �
oder ein leeres Symbol dargestellt (kein space
Symbol, da die Zahl 20
, aber nur ein Leerzeichen).
Also meine Fragen sind - warum unterschiedliche Zahlen scheinen das gleiche Symbol zu repräsentieren? Was bedeuten die "Leerzeichen" im Hexdump einer Datei?