CN102024112A - 基于静态特征的pe文件加壳检测方法 - Google Patents
基于静态特征的pe文件加壳检测方法 Download PDFInfo
- Publication number
- CN102024112A CN102024112A CN2010105944336A CN201010594433A CN102024112A CN 102024112 A CN102024112 A CN 102024112A CN 2010105944336 A CN2010105944336 A CN 2010105944336A CN 201010594433 A CN201010594433 A CN 201010594433A CN 102024112 A CN102024112 A CN 102024112A
- Authority
- CN
- China
- Prior art keywords
- file
- shell
- sorter
- joint
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种基于静态的PE文件加壳检测方法,在实际执行目标PE文件来对其进行解壳之前,先通过静态分析PE文件特征的方法来检测其是否加壳。只有检测为加了壳的PE文件才有必要交由通用解壳工具进行解壳处理,解壳后的代码再由反病毒软件负责进行病毒检测。由于能避免实际未加壳的PE文件被通用解壳工具处理的过程,并且基于静态特征的PE文件加壳检测过程具有耗时少、误报率低和漏报率低的优点,这样就改进了病毒的检测过程,节省了处理时间。
Description
技术领域
本发明涉及文件安全技术领域,特别是一种新颖而实用的基于静态特征的PE文件加壳检测方法。
背景技术
作为病毒与反病毒程序之间竞争的结果,代码模糊技术被病毒程序普遍采用。多态技术、变形技术、加壳与加密技术已被证明是反抗传统基于签名的反病毒软件的有效技术。在这些技术中,加壳技术使用得最为广泛。加壳是给定一程序P,产生出一个新的程序P′,新程序P′中包含了被加了密的程序P以及一段解密指令。当P′执行时,它首先执行解密指令来对程序P进行解密,然后再执行解密后的程序P。如果程序P含有恶意代码,基于签名的反病毒软件就有可能检测出来。然而,如果程序P加壳后变成了程序P′,基于签名的反病毒软件就很难检测出来。
通用解壳工具能在不预知程序P′所使用的加密算法的情况下将P解壳。通用解壳工具通过在一个隔离的环境中(虚拟机或仿真器)运行程序P′来使P动态解壳。解壳后,再用传统基于签名的反病毒软件扫描解壳后的程序P,这样就能大大提高对病毒的检测准确率。例如Martignoni等用OmniUnpack工具来监测内存中应用程序的执行,并检测是否有尝试执行被动态解密后的代码的行为。如果发现有尝试执行被动态解密后的代码的行为,OmniUnpack就会使用基于签名的反病毒软件来扫描被监测应用程序的代码,如果发现有恶意代码,OmniUnpack工具就会中止该应用程序的执行。OmniUnpack可被集成到操作系统内核中,用来监测每个应用程序的执行。
上述方法面临的主要问题是:由于事先不知道待检测的可执行文件是否加了壳,所以所有待检测的可执行文件在由反病毒软件检测前,都不得不先经通用解壳工具处理。由于通用解壳工具涉及的计算量大,导致处理每个可执行文件所花的时间从几十秒到几分钟不等。这样当对大量可执行文件进行病毒检测时就可能花上几小时甚至几天才能完成。这会极大妨碍对病毒的检测。
传统基于签名的加壳检测工具相对来讲具有低误报率的优点,但缺点是漏报率较高。主要原因是病毒制作者们常通过改写加壳工具来产生新的加壳工具,以此来避开基于签名的加壳检测工具的检测。
Bintropy工具使用基于字节熵的文件加壳检测方法。Bintropy工具把可执行文件分为多个块,每块包含256个字节,然后计算三个值:每个块的熵,所有块的平均熵,以及所有块中最大的熵。给定一组加了壳的可执行文件,分别计算每个可执行文件的块平均熵以及块最大熵。然后,Bintropy工具使用统计的方法,计算出一个块平均熵和一个块最大熵,然后以此二值为文件加壳检测的阈值。测试的时候,如果一个可执行文件的块平均熵和最大熵都分别高于设定的块平均熵阈值和块最大熵阈值,则认为该可执行文件加了壳。该方法的主要缺点是判断指标单一,并且使用统计方法得出的检测规则可能准确度不高。
发明内容
本发明的目的在于提出一种在32位和64位Microsoft Windows操作系统下基于静态特征的PE(Portable Executable)文件加壳检测方法,以使检测过程耗时少、降低误报率和漏报率。
本发明的目的是这样实现的:一种基于静态特征的PE文件加壳检测方法,按以下步骤进行:
针对每一个待检测的PE文件,首先对其进行静态文件分析,提取出该PE文件的9个特征值,然后使用PE文件分类器来进行加壳检测;检测为加壳的PE文件就用通用解壳工具来进行解壳,然后再使用基于签名的反病毒软件来检测其是否为病毒;检测为未加壳的PE文件则跳过通用解壳工具的处理,直接使用基于签名的反病毒软件来进行病毒检测;
上述PE文件的9个特征值定义如下:
1)标准节的个数;
2)非标准节的个数;
3)具有可执行属性的节的个数;
4)同时具有可读/可写/可执行属性的节的个数;
5)IAT表中所含表项的个数;没有IAT表时取值-1;
6)PE文件头的熵;取值0~8;
7)代码节的熵;取值0~8;没有代码节时取值-1;
8)数据节的熵;取值0~8;没有数据节时取值-1;
9)PE文件的熵;取值0~8;
上述分类器选用以下四种之一:
a、贝叶斯分类器;
b、Weka开发的基于C4.5决策树分类算法的J48决策树分类器;
c、Weka开发的基于K最近邻居分类算法的IBk分类器;
d、Multi Layer Perceptron分类器。
上述分类器优选为Multi Layer Perceptron分类器。
分类器应经过如下训练步骤:
以足够多的PE文件为基础,提取每一PE文件的9个特征值,得到一个训练集,该训练集包含未加壳的正常PE文件的特征值,又包含加了壳的PE文件的特征值;然后,使用上述训练集来对分类器进行训练。
相对于传统的检测一个PE文件是否加壳、是否为病毒的方法,本发明方法主要具有如下特色:
1、相对于通用解壳工具通过实际执行目标PE文件来尝试进行解壳的检测方法,本发明通过静态分析PE文件特征的方式先检测一个PE文件是否加壳,只有检测为加了壳的PE文件才交由通用解壳工具进行处理,提高了病毒检测过程的效率,节省了的处理时间。
2、相对于基于签名的PE文件加壳检测方法,本发明采用分析PE文件特征的方式,具有更好的加壳检测能力,具有低的误报率和低的漏报率。
3、本发明具有丰富的用于PE文件加壳检测的文件特征。
4、本发明使用机器学习算法推导出的加壳检测规则具有更高的准确率。
附图说明
图1是本发明的应用模型示意图。
具体实施方式
通用解壳工具在检测恶意软件时,由于事先不知道待检测的PE文件是否加壳,所以所有待检测的PE文件在由反病毒软件检测前,都不得不通过实际执行来尝试对其进行解壳。这样就引入了计算量大、耗时的问题。本发明针对这一问题,提出在实际执行目标PE文件来对其解壳之前,先检测其是否加壳。只有检测为加壳的PE文件才交由通用解壳工具进行解壳处理;而检测为未加壳的PE文件,则直接交由反病毒软件进行检测,而无需经通用解壳工具处理。
病毒制作者们常通过改写加壳工具来产生新的加壳工具,以致传统基于签名的加壳检测工具具有较高漏报率的缺点。本发明针对这一问题,提出基于静态分析PE文件特征的加壳检测方法。在我们的发明中,我们并不像Bintropy工具那样仅限于分析PE文件的熵,我们从PE文件中提取出一系列特征值来进行加壳检测。该方法具有误报率低和漏报率低的优点。
不仅如此,我们基于机器学习算法而非统计学方法,用训练数据来推导出更加准确的PE文件加壳检测规则。
图1展示了本发明的应用模型。针对每一个待检测的PE文件,本发明首先对其进行静态文件分析,提取出该PE文件的一系列特征值,然后使用PE文件分类器来进行加壳检测。检测为加壳的PE文件就用通用解壳工具来进行解壳,然后再使用基于签名的反病毒软件来检测其是否为病毒;检测为未加壳的PE文件则跳过通用解壳工具的处理,直接使用基于签名的反病毒软件来进行病毒检测。由于避免了实际未加壳的PE文件经通用解壳工具处理的过程,并且由于静态分析PE文件的过程计算量小、耗时少,这样就改进了病毒检测过程,节省了处理时间。
本发明具体描述如下:
(1)PE文件格式简介
PE文件格式应用于32位和64位的Microsoft Windows操作系统。PE文件封装了操作系统加载器所需的各类信息,包括输出表,输入表,资源管理数据等等。PE文件格式的一个简单结构:
| PE Header |
| Import Address Table |
| code section 1 |
| code section 2 |
| ... |
| data section 1 |
| data section 2 |
| ... |
PE文件头告诉操作系统如何将PE文件映射到内存中。PE文件中每个代码节和数据节都用一个名称来标识,并标识为可读、可写或可执行等属性。通常,代码节被标识为可读/不可写/可执行属性,这样操作系统就知道代码节对应的内存区包含的是可执行代码,相应的对该内存区的写操作就该被禁止。另一方面,数据节通常被标识为可读/可写/不可执行属性,这样程序计数器(ProgramCounter,PC)就不应该指向数据节所在的内存区。大多数PE文件都包含一个名叫.text的代码节和一个名叫.data的数据节。执行时,当程序需要调用某操作系统API(Application Programming Interface)时,就通过查找导入地址表(Import Address Table,IAT)来得到该操作系统API的地址,然后跳到该地址去执行。
(2)PE文件特征值:
我们从PE文件中提取出9个用于加壳检测的特征值:
1)标准节和非标准节的个数:
未加壳的PE文件通常包含定义良好的标准节。例如,Microsoft Visual C++编译器编译的PE文件通常包含至少一个名叫.text的代码节,以及两个分别名叫.data和.rsrc的数据节。另一方面,加了壳的PE文件的代码节和数据节的命名通常不遵循这些命名标准。例如,UPX加壳程序创建的PE文件通常包含两个名字分别叫.UPX0和UPX1的节,和一个名叫.rsrc的节。.UPX0和.UPX1不是标准节名,因此可以用来帮助检测加壳和未加壳的PE文件。除了UPX,许多其他加壳工具产生的PE文件通常也包含非标准的节名。因此,PE文件中包含的标准节名和非标准节名的个数信息可用来帮助我们检测一个PE文件是否加壳。
2)具有可执行属性的节的个数:
在分析加壳工具的输出时,我们注意到某些加了壳的程序没包含任何具有可执行属性的节,这一点非常反常,因为如果操作系统不允许PC指向不具有可执行属性的节所在的内存区的话,程序就会崩溃,因为Window XP Serivce Pack 2引入了内存保护技术。然而,在老版本的Windows平台上,一个不包含任何具有可执行属性的节的程序仍然可能可以运行。另一方面,未加壳的PE文件的.text节总是标识为可执行的。因此,PE文件中包含的具有可执行属性的节的个数这一信息能帮助我们检测一个PE文件是否加壳。
3)同时具有可读/可写/可执行属性的节的个数:
假设一个加壳后的程序P′内部隐藏了一个被加密的程序P。当执行程序P′时,P′会首先执行一段解密指令来解密程序P,解密之后再执行程序P。要完成这一过程就必须把解密后的程序P的代码写入一个具有可执行属性的节中。这样,程序P′就需要包含至少一个同时具有可读/可写/可执行属性的节。另一方面,未加壳的PE文件的可执行节(通常为.text节)不必要具有可写属性。因此,一个PE文件中同时具有可读/可写/可执行属性的节的个数能帮助检测一个PE文件是否加壳。
4)IAT表中所含表项的个数:
PE文件中的IAT表包含了需要调用的外部函数在内存中的地址。这些外部函数来自于动态链接库(Dynamically Linked Library,DLL)中。在PE文件被加载时,由操作系统加载器负责将每个要调用的外部函数在内存中的地址写入到IAT表中。程序每次要调用一个外部函数时,就通过查找IAT表来得到该外部函数在内存中的地址。
大多数未加壳的程序都会调用许多外部函数,例如,调用Windows API来读/写文件、创建窗口、或管理网络连接等等,所以IAT表中通常含有多条表项。另一方面,加了壳的程序通常很少调用外部函数,主要原因是解壳指令不需要调用外部函数就能完成解壳。例如,不需要创建窗口,也不需要管理网络连接等。这样,一个加了壳的PE文件中的IAT表就包含有很少的表项。
5)PE文件头、代码节、数据节、以及PE文件的熵:
在加壳后的程序P′中,被加密的程序P的代码通常存储在代码节或数据节中(如果一个节具有可执行属性就被认为是代码节,否则,就被认为是数据节)。程序P因为被加了密,所以其代码看起来就会显得很“随机”,缺乏组织性。另一方面,未加密的代码就显得很有组织性,比如,指令会包含操作码和操作数的内存地址。未加密的数据节包含的数据信息也会具有组织性。根据这一观察,我们计算PE文件代码节和数据节的字节熵。如果一个节的熵接近于8比特(字节熵的最大值),那么这个节就很可能包含加了密的代码。
代码节和数据节并不是唯一被用来隐藏加密代码的地方。PE文件头中有些可选字段对于PE文件本身的加载并不必要,因此一些加壳工具就可能会用这些可选字段来隐藏加密代码。因为这个原因,我们也计算PE文件头的熵。考虑到PE文件比较复杂,包含有其他用不上的空间,加密代码可能会被隐藏在多个其它地方。因此,我们也计算整个PE文件的熵。
具体操作:
我们收集了2598个加了壳的病毒PE文件,以及2231个未加壳的正常PE文件;此外,我们用网络上免费的加壳工具来人工产生出669个加了壳的正常PE文件。这样,我们就总共有5498个PE文件用来作试验。由于PEiD工具可能是目前使用得最广泛的基于签名的可执行文件加壳检测工具,因此我们使用PEiD工具来检测3267个加了壳的PE文件中有多少PE文件加了壳。实验结果表明PEiD工具只能检测出其中的2262个PE文件加了壳,剩下的1005个PE文件则未被检测出加了壳。在这1005个PE文件中,有604个PE文件为加了壳的病毒文件,剩下的401个PE文件为人工加壳的正常PE文件。这意味着PEiD工具的漏报率为30.8%。
我们开发了一个PE文件分析工具,用来提取任一PE文件的9个特征值。该9个特征值如表1所示。
表1 PE文件的9个特征值总结
我们用该工具来分别提取试验用的5498个PE文件的特征值,这样得到一个数据集。我们将该数据集分为两部分:1)训练集,包含2231个未加壳的正常PE文件和2262个加了壳的PE文件的特征值;2)测试集,包含1005个PEiD工具未能检测出加了壳的PE文件的特征值。
我们使用Weka开发的免费开源机器自学习工具来进行我们的实验,选取了4种不同的分类器,分别为:
(a)贝叶斯分类器;
(b)Weka开发的基于C4.5决策树分类算法的J48决策树分类器;
(c)Weka开发的基于K最近邻居(k-Nearest Neighbor,KNN)分类算法的IBk分类器;
(d)Multi Layer Perceptron(MLP)分类器。
我们首先使用训练集来训练各个分类器;然后用测试集来对其进行测试,计算各个分类器在测试集上的准确率。相对于PEiD工具,准确率可作为各个分类器的PE文件加壳检测的一般能力的一个评估。
表2给出了4种分类器的测试结果。
表2 4种分类器的测试结果
| 分类器 | 准确率(%) |
| 贝叶斯分类器 | 97.11 |
| C4.5决策树分类器 | 97.01 |
| K最近邻居分类器 | 95.62 |
| MLP分类器 | 98.91 |
结果分析:
从试验结果可以看出,在测试集中包含的1005个未被PEiD工具检测出加了壳的PE文件中,所有分类器都能正确检测出超过95%的PE文件加了壳。其中,MLP分类器的检测结果最高,达到98.91%。
在2GHz双核的AMD Opteron处理器上,提取PE文件9个特征值所花的时间平均大约为每个PE文件2.82秒。我们相信,经过优化后,该时间应该可以变得更少。
Claims (3)
1.一种基于静态特征的PE文件加壳检测方法,其特征是:按以下步骤进行:
针对每一个待检测的PE文件,首先对其进行静态文件分析,提取出该PE文件的9个特征值,然后使用PE文件分类器来进行加壳检测;检测为加壳的PE文件就用通用解壳工具来进行解壳,然后再使用基于签名的反病毒软件来检测其是否为病毒;检测为未加壳的PE文件则跳过通用解壳工具的处理,直接使用基于签名的反病毒软件来进行病毒检测;
上述PE文件的9个特征值定义如下:
1)标准节的个数;
2)非标准节的个数;
3)具有可执行属性的节的个数;
4)同时具有可读/可写/可执行属性的节的个数;
5)IAT表中所含表项的个数;没有IAT表时取值-1;
6)PE文件头的熵;取值0~8;
7)代码节的熵;取值0~8;没有代码节时取值-1;
8)数据节的熵;取值0~8;没有数据节时取值-1;
9)PE文件的熵;取值0~8;
上述分类器选用以下四种之一:
a、贝叶斯分类器;
b、Weka开发的基于C4.5决策树分类算法的J48决策树分类器;
c、Weka开发的基于K最近邻居分类算法的IBk分类器;
d、Multi Layer Perceptron分类器。
2.根据权利要求1所述的基于静态特征的PE文件加壳检测方法,其特征是:所述分类器优选为Multi Layer Perceptron分类器。
3.根据权利要求1或2所述的基于静态特征的PE文件加壳检测方法,其特征是:分类器应经过如下训练步骤:
以足够多的PE文件为基础,提取每一PE文件的9个特征值,得到一个训练集,该训练集包含未加壳的正常PE文件的特征值,又包含加了壳的PE文件的特征值;然后,使用上述训练集来对分类器进行训练。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105944336A CN102024112B (zh) | 2010-12-17 | 2010-12-17 | 基于静态特征的pe文件加壳检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010105944336A CN102024112B (zh) | 2010-12-17 | 2010-12-17 | 基于静态特征的pe文件加壳检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102024112A true CN102024112A (zh) | 2011-04-20 |
| CN102024112B CN102024112B (zh) | 2012-08-01 |
Family
ID=43865398
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010105944336A Active CN102024112B (zh) | 2010-12-17 | 2010-12-17 | 基于静态特征的pe文件加壳检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102024112B (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN102982043A (zh) * | 2011-09-07 | 2013-03-20 | 腾讯科技(深圳)有限公司 | Pe文件的处理方法和装置 |
| CN103136474A (zh) * | 2011-11-29 | 2013-06-05 | 姚纪卫 | 检测文件的方法和装置 |
| CN103279711A (zh) * | 2013-05-03 | 2013-09-04 | 国家电网公司 | 一种静态特征值稳定的pe文件加壳检测方法 |
| CN104680043A (zh) * | 2015-03-16 | 2015-06-03 | 北京深思数盾科技有限公司 | 一种可执行文件的保护方法及装置 |
| WO2015135286A1 (zh) * | 2014-03-10 | 2015-09-17 | 珠海市君天电子科技有限公司 | 提取pe文件特征的方法及装置 |
| CN105046152A (zh) * | 2015-07-24 | 2015-11-11 | 四川大学 | 基于函数调用图指纹的恶意软件检测方法 |
| CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
| CN105814577A (zh) * | 2013-12-27 | 2016-07-27 | 迈克菲公司 | 隔离表现网络活动的可执行文件 |
| CN105809034A (zh) * | 2016-03-07 | 2016-07-27 | 成都驭奔科技有限公司 | 一种恶意软件识别方法 |
| CN106295337A (zh) * | 2015-06-30 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| CN106778226A (zh) * | 2016-11-24 | 2017-05-31 | 四川无声信息技术有限公司 | 文件壳脱壳方法及装置 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN107330329A (zh) * | 2017-06-30 | 2017-11-07 | 北京金山安全管理系统技术有限公司 | 应用文件的鉴定方法及装置 |
| CN108280348A (zh) * | 2018-01-09 | 2018-07-13 | 上海大学 | 基于rgb图像映射的安卓恶意软件识别方法 |
| CN108710800A (zh) * | 2018-05-22 | 2018-10-26 | 国家计算机网络与信息安全管理中心 | 一种安卓应用程序的加壳识别方法 |
| CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
| CN111552970A (zh) * | 2020-04-30 | 2020-08-18 | 北京理工大学 | 基于三位一体综合画像的恶意代码检测及恶意性定位方法 |
| CN112445760A (zh) * | 2020-11-13 | 2021-03-05 | 北京鸿腾智能科技有限公司 | 文件分类方法、设备、存储介质及装置 |
-
2010
- 2010-12-17 CN CN2010105944336A patent/CN102024112B/zh active Active
Non-Patent Citations (3)
| Title |
|---|
| 《电脑开发与应用》 20091231 樊震等 一种基于信息熵的PE文件加壳检测方法 7-8、11 1-3 第22卷, 第3期 * |
| 《计算机应用》 20091231 陈培等 恶意代码行为获取的研究与实现 76-78、82 1-3 第29卷, * |
| 《计算机技术与发展》 20091031 樊震等 基于PE文件结构异常的未知病毒检测 160-163 1-3 第19卷, 第10期 * |
Cited By (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102982043B (zh) * | 2011-09-07 | 2015-12-02 | 腾讯科技(深圳)有限公司 | Pe文件的处理方法和装置 |
| CN102982043A (zh) * | 2011-09-07 | 2013-03-20 | 腾讯科技(深圳)有限公司 | Pe文件的处理方法和装置 |
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN103136474B (zh) * | 2011-11-29 | 2017-07-04 | 姚纪卫 | 检测文件的方法和装置 |
| CN103136474A (zh) * | 2011-11-29 | 2013-06-05 | 姚纪卫 | 检测文件的方法和装置 |
| CN103279711A (zh) * | 2013-05-03 | 2013-09-04 | 国家电网公司 | 一种静态特征值稳定的pe文件加壳检测方法 |
| CN105814577B (zh) * | 2013-12-27 | 2020-07-14 | 迈克菲有限责任公司 | 隔离表现网络活动的可执行文件 |
| CN105814577A (zh) * | 2013-12-27 | 2016-07-27 | 迈克菲公司 | 隔离表现网络活动的可执行文件 |
| US10083300B2 (en) | 2013-12-27 | 2018-09-25 | Mcafee, Llc | Segregating executable files exhibiting network activity |
| US10599846B2 (en) | 2013-12-27 | 2020-03-24 | Mcafee, Llc | Segregating executable files exhibiting network activity |
| WO2015135286A1 (zh) * | 2014-03-10 | 2015-09-17 | 珠海市君天电子科技有限公司 | 提取pe文件特征的方法及装置 |
| CN104680043A (zh) * | 2015-03-16 | 2015-06-03 | 北京深思数盾科技有限公司 | 一种可执行文件的保护方法及装置 |
| CN104680043B (zh) * | 2015-03-16 | 2018-03-02 | 北京深思数盾科技股份有限公司 | 一种可执行文件的保护方法及装置 |
| CN106295337A (zh) * | 2015-06-30 | 2017-01-04 | 安恒通(北京)科技有限公司 | 用于检测恶意漏洞文件的方法、装置及终端 |
| CN105046152A (zh) * | 2015-07-24 | 2015-11-11 | 四川大学 | 基于函数调用图指纹的恶意软件检测方法 |
| CN105046152B (zh) * | 2015-07-24 | 2018-01-26 | 四川大学 | 基于函数调用图指纹的恶意软件检测方法 |
| CN106919811B (zh) * | 2015-12-24 | 2020-08-18 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN106919811A (zh) * | 2015-12-24 | 2017-07-04 | 阿里巴巴集团控股有限公司 | 文件检测方法和装置 |
| CN105740707B (zh) * | 2016-01-20 | 2019-11-05 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
| CN105740707A (zh) * | 2016-01-20 | 2016-07-06 | 北京京东尚科信息技术有限公司 | 恶意文件的识别方法和装置 |
| CN105809034A (zh) * | 2016-03-07 | 2016-07-27 | 成都驭奔科技有限公司 | 一种恶意软件识别方法 |
| CN106778226A (zh) * | 2016-11-24 | 2017-05-31 | 四川无声信息技术有限公司 | 文件壳脱壳方法及装置 |
| CN107330329A (zh) * | 2017-06-30 | 2017-11-07 | 北京金山安全管理系统技术有限公司 | 应用文件的鉴定方法及装置 |
| CN108280348A (zh) * | 2018-01-09 | 2018-07-13 | 上海大学 | 基于rgb图像映射的安卓恶意软件识别方法 |
| CN108280348B (zh) * | 2018-01-09 | 2021-06-22 | 上海大学 | 基于rgb图像映射的安卓恶意软件识别方法 |
| CN108710800A (zh) * | 2018-05-22 | 2018-10-26 | 国家计算机网络与信息安全管理中心 | 一种安卓应用程序的加壳识别方法 |
| CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
| CN111552970A (zh) * | 2020-04-30 | 2020-08-18 | 北京理工大学 | 基于三位一体综合画像的恶意代码检测及恶意性定位方法 |
| CN111552970B (zh) * | 2020-04-30 | 2022-07-01 | 北京理工大学 | 基于三位一体综合画像的恶意代码检测及恶意性定位方法 |
| CN112445760A (zh) * | 2020-11-13 | 2021-03-05 | 北京鸿腾智能科技有限公司 | 文件分类方法、设备、存储介质及装置 |
| CN112445760B (zh) * | 2020-11-13 | 2024-05-14 | 三六零数字安全科技集团有限公司 | 文件分类方法、设备、存储介质及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102024112B (zh) | 2012-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102024112B (zh) | 基于静态特征的pe文件加壳检测方法 | |
| Aslan et al. | A new malware classification framework based on deep learning algorithms | |
| Mosli et al. | Automated malware detection using artifacts in forensic memory images | |
| Galal et al. | Behavior-based features model for malware detection | |
| Li et al. | Large-scale identification of malicious singleton files | |
| EP3614287B1 (en) | Digital dna sequence | |
| US20150172303A1 (en) | Malware Detection and Identification | |
| Shahzad et al. | Detection of spyware by mining executable files | |
| Zakeri et al. | A static heuristic approach to detecting malware targets | |
| Shukla et al. | Stealthy malware detection using rnn-based automated localized feature extraction and classifier | |
| Obaidat et al. | Jadeite: A novel image-behavior-based approach for java malware detection using deep learning | |
| US20210157909A1 (en) | Sample data generation apparatus, sample data generation method, and computer readable medium | |
| CN110362995B (zh) | 一种基于逆向与机器学习的恶意软件检测及分析系统 | |
| CN103279711A (zh) | 一种静态特征值稳定的pe文件加壳检测方法 | |
| EP2988242B1 (en) | Information processing device, and information processing method | |
| Jain et al. | Integrated Malware analysis using machine learning | |
| More et al. | Trust-based voting method for efficient malware detection | |
| Sihag et al. | Opcode n-gram based malware classification in android | |
| Chen et al. | Malware classification using static disassembly and machine learning | |
| Protsenko et al. | Android malware detection based on software complexity metrics | |
| Boot | Applying supervised learning on malware authorship attribution | |
| Mei et al. | CTScopy: hunting cyber threats within enterprise via provenance graph-based analysis | |
| EP4202741A1 (en) | System and method of synthesizing potential malware for predicting a cyberattack | |
| CN114579965A (zh) | 一种恶意代码的检测方法、装置及计算机可读存储介质 | |
| Salah et al. | Android Static Malware Detection using tree-based machine learning approaches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |