CN101441687B - 一种提取病毒文件的病毒特征的方法及其装置 - Google Patents
一种提取病毒文件的病毒特征的方法及其装置 Download PDFInfo
- Publication number
- CN101441687B CN101441687B CN2007100315552A CN200710031555A CN101441687B CN 101441687 B CN101441687 B CN 101441687B CN 2007100315552 A CN2007100315552 A CN 2007100315552A CN 200710031555 A CN200710031555 A CN 200710031555A CN 101441687 B CN101441687 B CN 101441687B
- Authority
- CN
- China
- Prior art keywords
- file
- characteristic
- virus
- compiler
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Abstract
本发明公开了一种提取病毒文件的病毒特征的方法及其装置,所述方法包括以下步骤:步骤一、根据所述病毒文件的文件头查找PE文件;骤二、根据壳的特征代码库识别PE文件的壳代码,并将所述PE文件进行脱壳处理;步骤三、将所述脱壳后的PE文件标识为特征区域和非特征区域;步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。通过对病毒文件进行PE文件查找、脱壳处理、编译器识别、标识非特征区域和标识特征区域等过程实现提取病毒特征,相对于人工提取和半自动提取病毒特征的方法,可缩短提取病毒特征的时间;且根据壳识别处理结果和/或编译器识别过程对病毒文件进行标识非特征区域和特征区域,提高了提取病毒文件的病毒特征的准确度。
Description
技术领域
本发明涉及计算机反病毒领域,特别涉及一种提取病毒文件的病毒特征的方法及其装置。
背景技术
目前互联网中最流行的病毒和木马不再是单个活动,而是一类的大量变种在互联网中活动,并且可频繁升级,所以很容易发生大量的病毒和木马爆发的局面。这对反病毒产品升级的周期提出了更高的要求,反病毒产品的升级速度对是否能有效防杀大量的病毒和木马起到重要的作用。
目前反病毒最成熟的方法之一是特征法。特征法一般包括病毒分析、特征提取、病毒库制作及升级等过程,在这些过程中对病毒特征提取是否快速无误是特征法重要的过程之
目前病毒特征的提取方式主要是手工提取和半自动提取。手工提取病毒特征是病毒分析员使用反汇编工具软件将病毒文件反汇编;通过对反汇编后的文件的详细分析,从病毒文件中提取可以作为这个病毒文件特征的二进制特征串;之后按照引擎要求编写查毒脚本,这个查毒脚本即是病毒特征。半自动提取病毒特征的方法是在编写查毒脚本的时候用辅助工具来编写,其他步骤和手工提取病毒特征一样。
但上述两种提取病毒特征的方法需要人工的参与,降低了提取病毒特征的速度;而且在提取病毒文件的病毒特征的二进制特征串这个过程中,容易错把一些非病毒文件特征的二进制序列串当成病毒文件特征的二进制特征串,造成误报,提取的不是病毒特征。
发明内容
本发明提供了一种提取病毒文件的病毒特征的方法及其装置,其能缩短提取病毒文件的病毒特征的时间,并提高提取病毒文件的病毒特征的准确度。
本发明的技术方案是:第一种提取病毒文件的病毒特征的方法,包括以下步骤:
步骤一、根据所述病毒文件的文件头查找PE文件;
步骤二、根据壳的特征代码库识别PE文件的壳代码,并将所述PE文件进行脱壳处理;所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码,所述脱壳处理是分析出所述PE文件的壳代码的嵌入式二进制代码;所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库;
步骤三、将所述脱壳处理后的PE文件标识为特征区域和非特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。
第二种提取病毒文件的病毒特征的方法,包括以下步骤:
步骤一、根据所述病毒文件的文件头查找PE文件;
步骤二、根据编译器的特征代码库识别所述PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
步骤三、根据识别出的编译器类型对该PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。
相应的本发明的第一种提取病毒文件的病毒特征的装置,包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
壳识别模块,其用于根据壳的特征代码库识别所述PE文件的壳代码,将所述PE文件进行脱壳处理;所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码,所述脱壳处理是分析出所述PE文件的壳代码的嵌入式二进制代码;所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库;
第一标识模块,其用于根据所述脱壳处理后的PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
特征生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
相应的本发明的第二种提取病毒文件的病毒特征的装置,包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
编译器识别模块,其用于根据编译器的特征代码库识别所述PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
第二标识模块,其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
本发明提取病毒文件的病毒特征的方法及其装置,通过对病毒文件进行PE文件查找、脱壳处理、编译器识别、标识非特征区域和标识特征区域等过程实现提取病毒特征,相对于人工提取和半自动提取病毒特征的方法,可缩短提取病毒特征的时间;且根据壳识别处理结果和/或编译器识别过程对病毒文件进行标识非特征区域和特征区域,提高了提取病毒文件的病毒特征的准确度。
附图说明
图1是本发明的提取病毒文件的病毒特征实施例(一)的方法的流程图;
图2是本发明的提取病毒文件的病毒特征实施例(二)的方法的流程图;
图3是本发明的提取病毒文件的病毒特征实施例(三)的方法的流程图;
图4是本发明的提取病毒文件的病毒特征的装置示意图(一);
图5是本发明的提取病毒文件的病毒特征的装置示意图(二);
图6是本发明的提取病毒文件的病毒特征的装置示意图(三)。
具体实施方式
下面根据附图和具体实施例对本发明做一详细的阐述。
本发明是对病毒文件进行提取病毒特征的方法,病毒文件可以来源于病毒文件收集系统,通过可疑文件上报、用户邮箱上报等方式获得。本发明的方法是对病毒文件中的PE文件进行提取病毒特征,所述PE文件是Windows可以识别的程序文件。通过对PE文件进行壳识别分析或编译器识别或先进行壳识别分析再进行编译器识别,再对PE文件标识非特征区域和特征区域,再从所标识的特征区域里提取病毒特征并生成病毒特征文件。所述非特征区域是PE文件中不存在病毒特征的二进制序列串的区域,所述特征区域是PE文件中可能存在病毒特征的二进制代码串的区域。下面分别用实施例对其进行阐述。
实施例一
图1是本发明的提取病毒文件的病毒特征的实施例一的方法的流程图,其包括步骤:
S101、根据病毒文件的文件头查找PE文件。每种文件都有一个文件头,文件头通常是一种数据格式,通过对文件头的分析可以识别出文件类型;文件类型很多,比如:Windows可识别的PE文件、Doc文档文件、Jpg图片文件、Html网页脚本文件等。
S102、根据壳的特征代码壳识别所述PE文件的壳代码;并对有壳代码的PE文件进一步地进行脱壳处理,即分析出所述壳的二进制代码。所述壳是对PE文件进行加密和压缩的一段嵌入式代码,每种壳都有相似或相同的特征代码,对此特征代码提取对比特征,形成一个壳的特征代码库。根据壳的特征代码库,对PE文件的二进制序列串进行分析,可以识别出所述PE文件的壳代码,如果存在壳代码的话要对该PE文件进行脱壳处理,即提取出可以作为壳的二进制代码。
S103、对脱壳处理后的PE文件标识非特征区域和特征区域。所述非特征区域是PE文件中不存折病毒特征的二进制序列串的区域,所述特征区域是PE文件中可能存在病毒特征的区域。所述标识可以是一种结构记录信息,比如:从文件头偏移100的位置,总共有200个字节是非特征区域。
S104、对PE文件中标识特征区域的二进制序列串提取病毒特征,并把该病毒特征生成病毒特征文件。提取病毒特征的时候,在标识特征区域的二进制序列串中根据PE文件的特点和一些病毒公共特征的特征代码串,可以利用相似度匹配和正则表达式等技术来定位病毒特征的代码串在PE文件中的位置。在生成病毒特征文件的时候,要根据病毒特征文件要求,将PE文件中标识特征区域的二进制代码生成病毒特征文件。其中所述病毒特征文件要求对所述特征区域的二进制代码的长度、具体内容、病毒名、描述必要信息都有所要求。所述标识和上述提到的标识类似,在此不赘述。
其中步骤S102中,如果识别不出所述PE文件的壳代码,则把整个PE文件都作为提取病毒特征的区域,则再根据PE文件的特点和一些病毒公共特征的特征代码串,可以利用相似度匹配和正则表达式等技术来定位病毒特征的代码串在PE文件中的位置,即提取出病毒特征的代码串,之后并把该病毒特征的代码串生成病毒特征文件;也可以直接把识别不出壳代码的PE文件抛弃不处理。
实施例二
图2是本发明的提取病毒文件的病毒特征的实施例二的方法的流程图,其包括步骤:
S201、根据病毒文件的文件头查找PE文件。
S202、根据编译器的特征代码库判断所述PE文件的编译器类型。相同的编译器生成的PE文件的二进制代码都有相似的代码区域,可对此代码区域提取对比特征,组成一个编译器的特征代码库,里面是各种编译器的特征代码,把该PE文件中的二进制序列串和编译器的特征代码库进行比对,可以判断出是何种编译器生成的PE文件。
S203、根据识别出的编译器类型对PE文件标识非特征区域和特征区域。对于识别出编译器类型的PE文件,进一步地可以在该PE文件中分析出作为编译器特征的二进制代码,把作为编译器特征的二进制代码标识为非特征区域。对于识别不出编译器类型的PE文件,则整个PE文件都有可能存在病毒特征的二进制代码串,则把整个PE文件标识为特征区域;也可以直接把识别不出编译器类型的PE文件抛弃不处理。
S204、对标识特征区域的PE文件提取病毒特征并生成病毒特征文件。对PE文件中标识特征区域的二进制序列串,根据PE文件的特点和一些病毒公共特征的特征代码串,可以利用相似度匹配和正则表达式等技术来定位病毒特征的代码串在PE文件中的位置,即提取病毒特征的特征代码;之后再把该病毒特征的特征根据病毒特征文件的要求生成病毒特征文件。
实施例三
图3是本发明的提取病毒文件的病毒特征的实施例三的方法的流程图,其包括步骤:
S301、根据病毒文件的文件头查找PE文件。
S302、根据壳的特征代码库识别所述PE文件的壳代码,且对有壳代码的PE文件进而脱壳处理后执行步骤S303;如果识别出PE文件无壳代码,则直接执行步骤S303。
S303、根据编译器的特征代码库判断所述PE文件的编译器类型,进而可以在PE文件中提取出作为编译器特征的二进制代码串。对于无壳代码的PE文件或脱壳处理成功的PE文件都可以识别所述PE文件的编译器类型。
S304、根据识别出的编译器类型和/或脱壳处理后的PE文件标识非特征区域和特征区域。对于识别出编译器类型的、且脱壳处理成功的PE文件,把作为编译器特征的二进制代码串和作为壳代码的二进制代码串都标识为非特征区域;对于无壳代码的识别出编译器类型的PE文件,把编译器的二进制代码串作为非特征区域;对于脱壳处理不成功的PE文件或识别不出编译器类型的PE文件,要把整个PE文件都标识为提取病毒特征的特征区域,也可以直接把该PE文件抛弃不处理。
S305、对标识为特征区域的PE文件中的二进制序列串提取病毒特征,即根据PE文件的特点和一些病毒公共特征的特征代码串,可以利用相似度匹配和正则表达式等技术来定位病毒特征的代码串在PE文件中的位置,之后再把该病毒特征的特征代码串按照病毒特征文件的要求生成病毒特征文件。
对应于实施例一的方法,本发明的一种提取病毒文件的病毒特征的装置,如图4所示,其包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
壳识别模块,其用于根据壳的特征代码库识别所述PE文件的壳代码,且对识别出有壳代码的PE文件进行脱壳处理;
第一标识模块,其用于根据所述脱壳处理后的PE文件标识非特征区域和特征区域;
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
对应于实施例二的方法,本发明的一种提取病毒文件的病毒特征的装置,如图5所示,其包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
编译器识别模块,其用于根据编译器的特征代码库识别所述PE文件的编译器类型;
第二标识模块,其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域。
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
对应于实施例三的方法,本发明的一种提取病毒文件的病毒特征的装置,如图6所示,其包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
壳识别模块,其用于根据壳的特征代码库识别所述PE文件的壳代码,且对识别出有壳代码的PE文件进行脱壳处理;
第一标识模块,其用于根据所述脱壳处理后的PE文件标识非特征区域和特征区域;
编译器识别模块,其用于根据编译器的特征代码库识别所述PE文件的编译器类型;
第二标识模块,其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域;
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
由以上可知,本发明提取病毒文件的病毒特征的方法及其装置,通过对病毒文件进行文件查找、脱壳处理、编译器识别、标识非特征区域和标识特征区域等过程实现提取病毒特征,相对于人工提取和半自动提取病毒特征的方法,可缩短提取病毒特征的时间;且根据脱壳处理和/或编译器识别的结果对病毒文件进行标识非特征区域,提高了提取病毒文件的病毒特征的准度。
以上所述的本发明实施方式,并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明的权利要求保护范围之内。
Claims (11)
1.一种提取病毒文件的病毒特征的方法,其特征在于,包括以下步骤:
步骤一、根据所述病毒文件的文件头查找PE文件;
步骤二、根据壳的特征代码库识别PE文件的壳代码,并将所述PE文件进行脱壳处理,所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码,所述脱壳处理是分析出所述壳代码的嵌入式二进制代码;所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库;步骤三、将所述脱壳处理后的PE文件标识为特征区域和非特征区域,所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。
2.根据权利要求1所述的方法,其特征在于:
步骤三所述的非特征区域为所述PE文件的壳代码。
3.根据权利要求1所述的方法,其特征在于:
步骤二中,如果识别不出PE文件的壳代码,将该PE文件作为特征区域,之后执行步骤四。
4.根据权利要求1所述的方法,其特征在于,所述步骤三之前还包括:
根据编译器的特征代码库识别所述脱壳处理后PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
步骤三所述非特征区域根据所述编译器类型进行标识。
5.根据权利要求4所述的方法,其特征在于:
如果无法识别所述脱壳处理后的PE文件的编译器类型,则将所述脱壳处理后的PE文件作为特征区域。
6.根据权利要求1至5任一项所述的提取病毒文件的病毒特征的方法,其特征在于:所述PE文件是Windows可以识别的程序文件。
7.一种提取病毒文件的病毒特征的方法,其特征在于,包括以下步骤:
步骤一、根据所述病毒文件的文件头查找PE文件;
步骤二、根据编译器的特征代码库识别所述PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
步骤三、根据识别出的编译器类型对该PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。
8.根据权利要求7所述的提取病毒文件的病毒特征的方法,其特征在于:步骤二还包括:如果识别不出所述PE文件的编译器的类型,将该PE文件标识为特征区域,之后执行步骤四。
9.一种提取病毒文件的病毒特征的装置,其特征在于:包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
壳识别模块,其用于根据壳的特征代码库识别所述PE文件的壳代码,且对识别出有壳代码的PE文件进行脱壳处理;所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码,所述脱壳处理是分析出所述PE文件的壳代码的嵌入式二进制代码,所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库;
第一标识模块,其用于根据所述脱壳处理后的PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
10.根据权利要求9所述的提取病毒文件的病毒特征的装置,其特征在于,还包括:
编译器识别模块,其用于根据编译器的特征代码库识别所述脱壳处理后的PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
第二标识模块,其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域;
所述特征提取生成模块提取病毒特征的所述特征区域为所述第一标识模块和/或第二标识模块所标识的特征区域。
11.一种提取病毒文件的病毒特征的装置,其特征在于:包括,
查找模块,其用于根据病毒文件的文件头查找PE文件;
编译器识别模块,其用于根据编译器的特征代码库识别所述PE文件的编译器类型;所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库;
第二标识模块,其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域;所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域,所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域;
特征提取生成模块,其用于在所述特征区域提取病毒特征并生成病毒特征文件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100315552A CN101441687B (zh) | 2007-11-21 | 2007-11-21 | 一种提取病毒文件的病毒特征的方法及其装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100315552A CN101441687B (zh) | 2007-11-21 | 2007-11-21 | 一种提取病毒文件的病毒特征的方法及其装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101441687A CN101441687A (zh) | 2009-05-27 |
| CN101441687B true CN101441687B (zh) | 2010-07-14 |
Family
ID=40726120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100315552A Active CN101441687B (zh) | 2007-11-21 | 2007-11-21 | 一种提取病毒文件的病毒特征的方法及其装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101441687B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN108073793B (zh) * | 2017-08-08 | 2021-07-27 | 哈尔滨安天科技集团股份有限公司 | 一种基于网络检测的快速脱壳方法及系统 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101710375B (zh) * | 2009-12-16 | 2013-01-23 | 珠海市君天电子科技有限公司 | 反病毒软件中的反病毒装置及其反病毒方法 |
| CN105488403A (zh) * | 2014-12-23 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于pe文件中未使用字段的恶意代码检测方法及系统 |
| US20160381051A1 (en) * | 2015-06-27 | 2016-12-29 | Mcafee, Inc. | Detection of malware |
| US20170329966A1 (en) * | 2016-05-13 | 2017-11-16 | Qualcomm Incorporated | Electronic device based security management |
| CN106648676A (zh) * | 2016-12-28 | 2017-05-10 | 哈尔滨安天科技股份有限公司 | 一种利用运行时库识别编译器的方法及系统 |
| CN108171020A (zh) * | 2017-12-26 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 一种基于文件结构的压缩壳识别方法、系统及存储介质 |
| CN108073814B (zh) * | 2017-12-29 | 2021-10-15 | 安天科技集团股份有限公司 | 基于静态结构化脱壳参数的脱壳方法、系统及存储介质 |
| CN112580032B (zh) * | 2019-09-30 | 2023-06-06 | 奇安信安全技术(珠海)有限公司 | 文件外壳的识别方法及装置、存储介质、电子装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310393A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 防止计算机病毒传染的方法 |
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
| US6851057B1 (en) * | 1999-11-30 | 2005-02-01 | Symantec Corporation | Data driven detection of viruses |
-
2007
- 2007-11-21 CN CN2007100315552A patent/CN101441687B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6851057B1 (en) * | 1999-11-30 | 2005-02-01 | Symantec Corporation | Data driven detection of viruses |
| CN1310393A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 防止计算机病毒传染的方法 |
| CN1314638A (zh) * | 2001-04-29 | 2001-09-26 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统和介质 |
Non-Patent Citations (4)
| Title |
|---|
| 李英龙,龚小玲,姚辉.基于典型蠕虫病毒Hezhi的计算机病毒分析.淮阴师范学院学报(自然科学版)4 3.2005,4(3),249-254. |
| 李英龙,龚小玲,姚辉.基于典型蠕虫病毒Hezhi的计算机病毒分析.淮阴师范学院学报(自然科学版)4 3.2005,4(3),249-254. * |
| 赵树升.用重构PE文件结构法防病毒.计算机应用与软件23 9.2006,23(9),48-50. |
| 赵树升.用重构PE文件结构法防病毒.计算机应用与软件23 9.2006,23(9),48-50. * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902901A (zh) * | 2013-09-17 | 2014-07-02 | 北京安天电子设备有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN103902901B (zh) * | 2013-09-17 | 2017-10-31 | 北京安天网络安全技术有限公司 | 一种基于编译器识别的apt检测方法及系统 |
| CN108073793B (zh) * | 2017-08-08 | 2021-07-27 | 哈尔滨安天科技集团股份有限公司 | 一种基于网络检测的快速脱壳方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101441687A (zh) | 2009-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101441687B (zh) | 一种提取病毒文件的病毒特征的方法及其装置 | |
| US10114946B2 (en) | Method and device for detecting malicious code in an intelligent terminal | |
| EP1959367B1 (en) | Automatic extraction of signatures for Malware | |
| CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
| US9454658B2 (en) | Malware detection using feature analysis | |
| WO2015101097A1 (zh) | 特征提取的方法及装置 | |
| CN109190372B (zh) | 一种基于字节码的JavaScript恶意代码检测方法 | |
| CN103902910B (zh) | 检测智能终端中恶意代码的方法及装置 | |
| CN103607413B (zh) | 一种网站后门程序检测的方法及装置 | |
| CN103532944B (zh) | 一种捕获未知攻击的方法和装置 | |
| CN101685483B (zh) | 一种病毒特征码提取的方法和装置 | |
| CN102750482A (zh) | 一种安卓市场中重包装应用的检测方法 | |
| CN101350049A (zh) | 鉴定病毒文件的方法、装置及网络设备 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN107437026B (zh) | 一种基于广告网络拓扑的恶意网页广告检测方法 | |
| CN102819697A (zh) | 一种基于线程反编译的多平台恶意代码检测方法和系统 | |
| CN103679013A (zh) | 系统恶意程序检测方法及装置 | |
| Li et al. | FEPDF: a robust feature extractor for malicious PDF detection | |
| KR101816045B1 (ko) | 악성코드 룰셋을 이용한 악성코드 탐지 시스템 및 방법 | |
| CN104680065A (zh) | 病毒检测方法、装置及设备 | |
| CN102801698A (zh) | 一种基于url请求时序的恶意代码检测方法和系统 | |
| CN104080058A (zh) | 信息处理方法及装置 | |
| CN105205398B (zh) | 一种基于apk加壳软件动态行为的查壳方法 | |
| CN110889045A (zh) | 标签分析方法、装置及计算机可读存储介质 | |
| CN107506503A (zh) | 一种知识产权外观侵权分析管理系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: ZHUHAI KINGSOFT CO., LTD. Free format text: FORMER NAME: ZHUHAI JINSHAN SOFTWARE CO. LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province Patentee after: Zhuhai Kingsoft Software Co.,Ltd. Address before: Jinshan computer Building No. 8 Jingshan Hill Road, Lane 519015 Lianshan Jida Zhuhai city in Guangdong Province Patentee before: Zhuhai Kingsoft Software Co.,Ltd. |
|
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20090527 Assignee: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Assignor: Zhuhai Kingsoft Software Co.,Ltd. Contract record no.: 2014990000718 Denomination of invention: Method and apparatus for extracting virus characteristic of virus document Granted publication date: 20100714 License type: Common License Record date: 20140826 |
|
| LICC | Enforcement, change and cancellation of record of contracts on the licence for exploitation of a patent or utility model |