Mathematiker - Sa 14.02.15 18:27
Titel: Entropie einer Exe

---

Hallo,
aufgeschreckt durch eine merkwürdige Meldung habe ich heute bei VirusTotal eine Exe online getestet, mit tadellosem Ergebnis: Kein Virus bei 57 dort genutzten Scannern. Es war also Fehlalarm, der beim erneuten Übersetzen auch bei meinem Virensscanner nicht mehr erschien. So weit so gut.

Nun kommt aber wieder mein Unwissen zu Tage. Beim Klicken auf die unterschiedlichen Auswertungen, die ich größtenteils nicht verstehe, bin ich auf diese Auswertungstabelle gestoßen und kann dieser nur wenig entnehmen:

Wenn die Daten aber gezeigt werden, müssen sie auch Bedeutung haben.

Weiß jemand von euch, was ich aus diesen Daten ablesen kann? Vor allem, was bedeutet hier die Entropie? Ist eine Entropie von über 6 hier schlecht oder kann man das einfach ignorieren?
Meine erste Idee, unter http://de.wikipedia.org/wiki/Entropie_(Informationstheorie) nachzulesen, brachte nichts. Irgendwie hat diese Entropie mit der bei Virustotal angezeigten scheinbar nichts zu tun.
Ich habe keine Ahnung. :nixweiss:

Beste Grüße und Danke für Hilfe
Mathematiker

jfheins - Sa 14.02.15 20:32

---

Ich tippe mal, dass ein hohes Maß an Entropie darauf hinweist, dass die Daten verschlüsselt oder komprimiert wurden. Ein Programm, das einen Teil vom Code erst zur Laufzeit entschlüsselt und direkt ausführt ist natürlich gewissermaßen verdächtig.

Zitat:

Wenn die Daten aber gezeigt werden, müssen sie auch Bedeutung haben.

Naja, eine allzu große Bedeutung würde ich da aber auch nicht beimessen.

Ralf Jansen - Sa 14.02.15 20:34

---

Zitat:

Vor allem, was bedeutet hier die Entropie? Ist eine Entropie von über 6 hier schlecht oder kann man das einfach ignorieren?

Ich kann da nur Spekulieren was ein AV mit dieser Info macht. Falls Bullshit einfach ignorieren.

Bei einem AV geht ja viel über Mustererkennung in der Executable und Entropie ist ja ein Ordnungmaß. Der Wert hier wird vermutlich auf ein Byte normiert sein heißt 0 bedeutet totale Ordnung (alles 0en oder 1en) bzw. 8 für totale Unordnung (keine Möglichkeit ein Muster zu erkennen bzw. Informationstechnisch ausgedruckt 0% Chance in einer Folge die nächsten Bits vorherzusagen). Ich könnte mir vorstellen um so höher der Wert ist (gegen 8 läuft) umso geringer die Aussagekraft des AV da in der Unordnung jedes Muster gleich wahrscheinlich ist und ein Virusmuster auch mit gewisser Wahrscheinlichkeit ein False Positive sein könnte. Ob dann ein Wert größer 6 gut oder schlecht ist entzieht sich mir. Ich bin mit aber ziemlich sicher das ein Wert von fast 8 darauf hindeutet das eine Viruserkennung eher ein Glückspiel ist da vermutlich der Inhalt gepackt, verschlüsselt oder sonstwas ist und sich damit dem AV entzieht.

jaenicke - Sa 14.02.15 22:45

---

Wenn eine Anwendung komprimiert oder verschlüsselt wird, sind die Bytes zufälliger verteilt. Es erhöht sich also die Entropie. Das sind wiederum Techniken, die von Virenautoren häufig verwendet werden, weshalb die Entropie für Virenscanner für die Einstufung einer Datei relevant ist.

Mathematiker - Sa 14.02.15 23:12

---

Hallo,
Danke an alle für die Hinweise.

Ich habe spaßeshalber weitere, aber kleinere, meiner Delphi-Programme, aber auch andere, getestet und die Entropie-Werte sind sehr ähnlich. Enthält die Exe/DLL/Datei mehr komprimierte Ressourcen-Daten, geht die Entropie sofort hoch, genau wie ihr es gesagt habt.
Die Aussagekraft dieser Zahlen wird daher für die Antivirenprogramme von Bedeutung sein, für den Programmierer wohl aber weniger.

Nochmals Danke; ich deute wohl immer zu viel in solche Anzeigen hinein.
Beste Grüße
Mathematiker

Delphi-Laie - Mo 16.02.15 11:02

---

Die Entropie der Informationstheorie ist mit der der Physik / Thermodynamik verwandt. Beide haben sogar Überschneidungen, die sich beim Informationsparadoxon bei Schwarzenn Löchern offenbart.

Welche Datei hat allerdings eine Entropie von 0? Besteht die nur aus gleichen Bytes, gar Bits? Oder, was ich eher vermute, ist diese leer?

Edit: Da steht es ja, 0 Bytes!

Moderiert von Narses: Beiträge zusammengefasst

jfheins hat folgendes geschrieben :

Ich tippe mal, dass ein hohes Maß an Entropie darauf hinweist, dass die Daten verschlüsselt oder komprimiert wurden.

Umgekehrt bedeutet ein hohes Maß an Entropie allerdings nicht zwangsläufig, daß eine Datei nicht gut komprimierbar ist.

Sind die - anzahlig möglichst gleichmäßig verteilten - Bytes zufällig angeordnet, ist die Komprimierbarkeit bestenfalls gering, meistens gar nicht vorhanden. Folge: Komprimierte Dateien kann man i.d.R. nicht noch einmal erfolgreich komprimieren, ihre Größe wächst dann vielmehr an.

Ist die Anordnung der - anzahlig möglichst gleichmäßig verteilten - Bytes jedoch gut strukturiert, dann kann ein Komprimationsalgorithmus das erkennen und mit einer guten Komprimierung beantworten.