Un filtro de floración puede incurrir en FP (falsos positivos) pero nunca incurrirá en un FN (falsos negativos).
Si el valor de ssdeep de dos archivos está bastante cerca uno del otro, ¿se garantiza que el contenido del archivo esté bastante cerca uno del otro? ¿O es que cuando ssdeep es completamente diferente, no hay posibilidad de que el contenido del archivo sea similar?
Si el valor de ssdeep de dos archivos está bastante cerca uno del otro, ¿se garantiza que el contenido del archivo esté muy cerca uno del otro?
No está garantizado pero es muy probable. Vea también el original ssdeep paper donde computa la posibilidad de que haya dos archivos aleatorios La misma firma o similar. No es cero pero está cerca de cero.
¿O es que cuando ssdeep es completamente diferente no hay posibilidad de que el contenido del archivo sea similar?
Esto depende de lo que se considera similar. Si uno, por ejemplo, recodifica un archivo UTF-8 a UTF-16, se podría considerar que el contenido sigue siendo similar, ya que está codificado de manera diferente, pero el hash ssdeep será muy diferente.
Si, en cambio, uno trata los datos como octetos sin ninguna semántica específica y ve la similitud como la cantidad de inserciones o eliminaciones, entonces un valor de ssdeep muy diferente significará en la mayoría de los casos un gran número de inserciones o eliminaciones.
Pero probablemente se pueda crear algo de entrada donde un pequeño cambio dará lugar a una gran diferencia ssdeep. Este es el caso en el que el pequeño cambio llevaría a un cambio crítico en la longitud de la firma, de modo que se considera demasiado pequeño con el tamaño del bloque original en las entradas, lo que provocará un nuevo cálculo con el tamaño del bloque reducido a la mitad, lo que llevará a Una firma muy diferente.
Lea otras preguntas en las etiquetas hash