CN102902918B - 一种基于复合特征码的恶意文件检测方法 - Google Patents
一种基于复合特征码的恶意文件检测方法 Download PDFInfo
- Publication number
- CN102902918B CN102902918B CN201210277275.0A CN201210277275A CN102902918B CN 102902918 B CN102902918 B CN 102902918B CN 201210277275 A CN201210277275 A CN 201210277275A CN 102902918 B CN102902918 B CN 102902918B
- Authority
- CN
- China
- Prior art keywords
- condition code
- file
- main condition
- detected
- main
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供一种基于复合特征码的恶意文件检测方法,该方法首先预先设置主特征码集合,并为每个主特征码设置与其对应的非特征码;随后采用所述主特征码集合扫描匹配待检测文件,当且仅当待检测文件中能够匹配到所述主特征码集合的任意一个主特征码且待检测文件中不能匹配到该主特征码所对应任意一个非特征码时,才判断待检测文件是恶意文件。本发明提供的方法在保证匹配效率的前提下有效的实现了对漏报、误报情况的控制,并增加了特征码定位软件逆向的难度,实用性强。
Description
技术领域
本发明涉及计算机领域,尤其涉及一种基于复合特征码的恶意文件检测方法。
背景技术
从1986年第一个计算机木马PC-Write开始,恶意文件的检测与反检测技术在竞争中不断得到发展。传统的恶意文件检测主要使用特征码技术,特征码提取是这种检测方法的核心,特征码是通过对己知的恶意文件进行逆向分析,提取具有恶意文件特征的代码段的方法获得。特征码检测方法的检测效率高,能精确地检测出恶意文件的类型甚至是恶意文件的具体名称。
在2004年以前,使用成熟的特征码杀毒技术仍然可以取得不错的查杀效果,但误报一直是一个令人头疼的问题。例如:假设特征码为“马”,现在待检测的文件有文件A和文件B,文件A的内容为“木马”,文件B的内容为“马克思”,显然,采用传统的特征码检测技术对文件A和文件B进行检测时,文件A和文件B都将被识别为恶意文件,事实上,文件B的内容是正常的而非恶意文件。可见,现有的特征码检测方法存在误报的问题,恶意文件检测的准确率不够高。
发明内容
本发明提供一种基于复合特征码的恶意文件检测方法,用于解决现有的特征码检测方法存在误报而导致检测准确率不高的问题,本发明提供的基于复合特征码的恶意文件检测方法能够有效控制恶意文件检测时的误报现象,检测准确率高,且检测效率不低于现有的特征码检测方法。
本发明提供的一种基于复合特征码的恶意文件检测方法,该方法包括:
步骤1:预先设置主特征码集合,并为所述主特征码集合中的每个主特征码设置与其对应的从特征码和非特征码;
步骤2:采用所述主特征码集合扫描待检测文件,当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码、能匹配到该主特征码所对应的全部从特征码且不能匹配到该主特征码所对应任意一个非特征码时,所述待检测文件为恶意文件。
优选地,上述基于复合特征码的恶意文件检测方法中,所述步骤2包括:
S21:采用所述主特征码集合扫描待检测文件开头的预定长度的代码段;
S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23;否则,执行S27;
S23:判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24;否则,输出待检测文件为恶意文件的检测结果,结束检测流程;
S24:判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25;
S25:将当前匹配到的主特征码从所述主特征码集合中删除;
S26:采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22;
S27:判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26;
其中,所述步骤S22和S23之间还包括步骤:
判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若是,则继续执行S23,否则,跳至执行S24。
优选地,上述基于复合特征码的恶意文件检测方法中,所述步骤2包括:S21:采用所述主特征码集合扫描待检测文件开头的预定长度的代码段;S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23;否则,执行S27;S23:判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24;否则,输出待检测文件为恶意文件的检测结果,结束检测流程;S24:判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25;S25:将当前匹配到的主特征码从所述主特征码集合中删除;S26:采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22;S27:判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26;其中,当所述步骤S23的判断结果为否时,所述步骤S23之后还包括步骤:判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若否,则继续执行步骤S24;若是,则输出待检测文件为恶意文件的检测结果,结束检测流程。
优选地,上述基于复合特征码的恶意文件检测方法中,所述步骤1包括:预先设置并在数据库中存储由n个主特征码组成的主特征码集合;其中,n为大于等于0的整数;预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码,得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中;将所述数据库中的所有数据读入内存,并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系;所述将所述数据库中的所有数据读入内存之前,还包括:预先为所述主特征码集合中的每个主特征码设置与其对应的若干个从特征码,得到对应于每个主特征码的从特征码集合并将所述从特征码集合存储于所述数据库中;所述将所述数据库中的所有数据读入内存之后,还包括:将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间建立映射关系。
优选地,步骤S23所述判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码,包括:获取所述当前匹配到的主特征码在内存中的地址;根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的非特征码集合;判断所述待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码?
优选地,上述基于复合特征码的恶意文件检测方法中,所述判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码,包括:获取所述当前匹配到的主特征码在内存中的地址;根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的从特征码集合;判断所述待检测文件中是否能匹配到当前获取的从特征码集合中的全部特征码?
本发明提供的基于复合特征码的恶意文件检测方法通过将特征码分解为主、从、非三个部分,可以将误报的范围控制在一个很小的范围以内,有效解决了传统复合特征码难以控制误报率的缺陷。此外,该方法的计算机匹配算法的时间复杂度能达到o(N)的水平(N为目标文件的长度),与传统的复合特征码匹配算法相同,后续特征码的添加并不会减慢检测的效率,因此本发明提供的方法在保证特征码匹配效率的前提下有效的实现了对漏报、误报情况的控制,并增加了特征码定位软件(如MYCCL)逆向的难度。该方法广泛适用于关键字过滤,网页木马查杀等需要精确匹配的场合,具有很大的应用价值。
附图说明
图1是本发明实施例提供的第一种基于复合特征码的恶意文件检测方法流程图;
图2是图1中S11的详细流程图;
图3是图1中S14的详细流程图;
图4是预先设置主、从、非特征码的详细流程图;
图5是本发明实施例提供的第二种基于复合特征码的恶意文件检测方法流程图;
图6是本发明实施例提供的第三种基于复合特征码的恶意文件检测方法流程图。
具体实施方式
本发明实施例提供一种基于复合特征码的恶意文件检测方法,该方法包括:
步骤1:预先设置主特征码集合,并为主特征码集合中的每个主特征码设置与其对应的非特征码;
步骤2:采用所述主特征码集合扫描待检测文件,当且仅当待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时,待检测文件才被判断为恶意文件。
以下结合附图,具体说明本发明实施例。
图1为本发明实施例提供的第一种基于复合特征码的恶意文件检测方法流程图,该方法包括以下步骤:
S11:预先设置主特征码集合M,并为主特征码集合M中的每个主特征码设置与其对应的非特征码。其中,所述主特征码为恶意文件所具有的主要特征码,用于在检测时首先去掉那些明显不是恶意文件的检测对象,以进一步缩小恶意文件的排查范围。
S12:采用主特征码集合M扫描待检测文件开头的预定长度的代码段。
S13:判断当前扫描的待检测文件的代码段是否能够与主特征码集合M中的任意一个主特征码相匹配?若是,则继续S14;否则,跳至执行S18。
S14:在待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S15;否则,执行S20。其中,非特征码为当前主特征码所对应的恶意文件肯定不具备的特征码。
S15:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若否,则继续执行S16;若是,则跳至执行S19。
S16:将当前匹配到的主特征码从所述主特征码集合M中删除。
S17:是否已经采用主特征码集合M扫描待检测文件的下一个预定长度的代码段,并返回执行S13。
S18:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若是,则执行S19,否则,执行S17。
S19:认为待检测文件为非恶意文件,结束检测流程。
S20:输出待检测文件为恶意文件的检测结果,结束检测流程。
图2为图1中S11的详细流程图,即主特征码和非特征码的预设置过程,具体包括:
S111:预先设置并在数据库中存储由n个主特征码组成的主特征码集合M。其中,n为大于等于0的整数。
S112:预先为主特征码集合M中的每个主特征码Mi设置与其对应的若干个非特征码,得到对应于每个主特征码Mi的非特征码集合Ei,并在所述数据库中存储非特征码集合Ei。其中,i=1,…,n,n为主特征码集合M中的主特征码个数。
S113:将所述数据库中的所有数据读入内存,并将主特征码集合M中的每个主特征码Mi在内存中的地址与该主特征码Mi所对应的非特征码集合Ei在内存中的地址之间建立映射关系。
图3为图1中S14的详细流程图:
S141:获取当前匹配到的主特征码在内存中的地址;
S142:根据预先配置的每个主特征码在内存中的地址与该主特征码所对应的非特征码集合在内存中的地址之间的映射关系,获取当前匹配到的主特征码所对应的非特征码集合;
S143:判断待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码?若是,则继续执行S15;否则,执行S20。
例如,假设预先设置的主特征码集合M有一主特征码Mi为“马”,该主特征码Mi所对应的非特征码集合Ei中预先设置的非特征码为“马克思”,当前待检测的文件有文件A和文件B,文件A的内容为“木马”,文件B的内容为“马克思”,采用本发明实施例提供的上述方法时:首先通过S12-S13检测到文件A和文件B中均能够匹配到预先设置的主特征码“马”;随后执行S14:通过主特征码“马”在内存中的地址与该主特征码所对应的非特征码集合Ei在内存中的地址之间的映射关系找到非特征码集合Ei,并使用非特征码集合Ei对文件A和文件B进行匹配检测,结果在非特征码集合Ei中匹配到文件B的内容而没有匹配到文件A的内容,此时若采用主特征码集合M已经扫描到待检测文件的结尾,则最终文件A被认为是恶意文件而被检测出来,文件B由于不是恶意文件而被放过。
优选地,本发明实施例还提供另一种基于复合特征码的恶意文件检测方法,该方法在上述恶意文件检测方法的基础上,进一步采用了对对应于每一个主特征码的从特征码的匹配检测。所述从特征码为当前主特征码所对应的恶意文件所具有的特征码,该类特征码的显著性及重要性较低于主特征码,用于排除那些具有主特征码特征但不具有非特征码特征的非恶意文件。以下详细说明采用主、从、非三种特征码组成的复合特征码进行恶意文件检测的实施方式。
类似于上述采用主特征码和非特征码的恶意文件检测方法,采用主特征码、从特征码和非特征码三种特征码结合的恶意文件检测方法也需要预先设置至少一个主特征码和对应于主特征码集合M中的每个主特征码的若干个从特征码和若干个非特征码,图4为预先设置主、从、非特征码的详细流程图,包括:
S41:预先设置并在数据库中存储由n个主特征码组成的主特征码集合M。其中,n为大于等于0的整数。
S42:预先为主特征码集合M中的每个主特征码Mi设置与其对应的若干个从特征码和若干个非特征码,得到对应于每个主特征码Mi的从特征码集合Ii和非特征码集合Ei,并将Ii和Ei存储于所述数据库中。
S43:将所述数据库中的所有数据读入内存,并将主特征码集合M中的每个主特征码Mi在内存中的地址与该主特征码Mi所对应的从特征码集合Ii在内存中的地址之间建立映射关系,同时将每个主特征码Mi在内存中的地址与该主特征码Mi所对应的非特征码集合Ei在内存中的地址之间建立映射关系。
本发明实施例提供的采用主、从、非复合特征码的恶意文件检测方法类似于图1所示方法,区别在于:当判断出当前扫描的待检测文件的代码段能与主特征码集合M中的任意一个主特征码相匹配时,步骤S14中不仅需要判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码,还需要判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码,即本发明实施例提供的采用主、从、非复合特征码的恶意文件检测方法中,只有在待检测文件中能匹配到当前匹配到的主特征码所对应的全部从特征码且不能匹配到当前匹配到的主特征码所对应的任意一个非特征码时才认为待检测文本为恶意文件。其中,当前匹配到的主特征码所对应的从特征码的判断过程可以和当前匹配到的主特征码所对应的非特征码的判断过程并行进行,也可以前后进行。
若当前匹配到的主特征码所对应的从特征码的判断过程和当前匹配到的主特征码所对应的非特征码的判断过程并行进行,则图1中的步骤S14应改为:判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码且不能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则执行S20——输出待检测文件为恶意文件的检测结果,结束检测流程;否则,继续执行S15。其他步骤类似于图1所示流程,此处不再多做描述。
以下对将当前匹配到的主特征码所对应的从特征码的判断过程和当前匹配到的主特征码所对应的非特征码的判断过程分前后进行的基于主、从、非的复合特征码的恶意文件检测方法进行详细说明。
图5所示为本发明实施例提供的第二种基于复合特征码的恶意文件检测方法流程图,该方法包括:
S501:预先设置主特征码集合M,并为主特征码集合M中的每个主特征码设置与其对应的从特征码和非特征码。此步骤详细流程如图4所示,此处不再多做说明。
S502:采用主特征码集合M扫描待检测文件开头的预定长度的代码段。
S503:判断当前扫描的待检测文件的代码段是否能够与主特征码集合M中的任意一个主特征码相匹配?若是,则继续S504;否则,跳至执行S509。
S504:在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若是,则继续执行S505;否则,跳至执行S506;。
S505:在待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则执行S506;否则,跳至执行S511。
S506:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若否,则继续执行S507;若是,则跳至执行S510。
S507:将当前匹配到的主特征码从所述主特征码集合M中删除,继续执行S508。
S508:采用主特征码集合M扫描待检测文件的下一个预定长度的代码段,并返回执行S503。
S509:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若是,则执行S510,否则,跳至S508。
S510:认为待检测文件为非恶意文件,结束检测流程。
S511:输出待检测文件为恶意文件的检测结果,结束检测流程。
图5所示检测方法中,从特征码和非特征码的检测步骤可以互换或同时进行。具体如图6所示。
图6所示为本发明实施例提供的第三种基于复合特征码的恶意文件检测方法流程图,该方法包括:
S601:预先设置主特征码集合M,并为主特征码集合M中的每个主特征码设置与其对应的从特征码和非特征码。此步骤详细流程如图4所示,此处不再多做说明。
S602:采用主特征码集合M扫描待检测文件开头的预定长度的代码段。
S603:判断当前扫描的待检测文件的代码段是否能够与主特征码集合M中的任意一个主特征码相匹配?若是,则继续S604;否则,跳至执行S609。
S604:在待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若否,则执行S605;若是,则执行S606。
S605:在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若是,执行S611;否则,执行S606。
S606:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若否,则继续执行S607;若是,则跳至执行S610。
S607:将当前匹配到的主特征码从所述主特征码集合M中删除,继续执行S608。
S608:采用主特征码集合M扫描待检测文件的下一个预定长度的代码段,并返回执行S603。
S609:判断是否已经采用主特征码集合M扫描到待检测文件的结尾?若是,则执行S610,否则,跳至S608。
S610:认为待检测文件为非恶意文件,结束检测流程。
S611:输出待检测文件为恶意文件的检测结果,结束检测流程。
图5和图6中,步骤S504、S605中所述的判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码的方法类似于上述图3所示的判断待检测文件中是否能匹配到当前匹配到的主特征码所对应的非特征码的方法,即:(1)首先获取当前匹配到的主特征码在内存中的地址;(2)随后根据预先配置的每个主特征码在内存中的地址与该主特征码所对应的从特征码集合在内存中的地址之间的映射关系,获取当前匹配到的主特征码所对应的从特征码集合;(3)最后判断待检测文件中是否能匹配到当前获取的从特征码集合中的全部从特征码。
本发明实施例提供的基于复合特征码的恶意文件检测方法通过将特征码分解为主、从、非三个部分,可以将误报的范围控制在一个很小的范围以内,有效解决了传统复合特征码难以控制误报率的缺陷。此外,该方法的计算机匹配算法的时间复杂度能达到o(N)的水平(N为目标文件的长度),与传统的复合特征码匹配算法相同,后续特征码的添加并不会减慢检测的效率,因此本发明提供的方法在保证特征码匹配效率的前提下有效的实现了对漏报、误报情况的控制,并增加了特征码定位软件(如MYCCL)逆向的难度。该方法广泛适用于关键字过滤,网页木马查杀等需要精确匹配的场合,具有很大的应用价值。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种基于复合特征码的恶意文件检测方法,其特征在于,包括:
步骤1:预先设置主特征码集合,并为所述主特征码集合中的每个主特征码设置与其对应的从特征码和非特征码;
步骤2:采用所述主特征码集合扫描待检测文件,当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码、能匹配到该主特征码所对应的全部从特征码且不能匹配到该主特征码所对应任意一个非特征码时,所述待检测文件为恶意文件。
2.如权利要求1所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述步骤2包括:
S21:采用所述主特征码集合扫描待检测文件开头的预定长度的代码段;
S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23;否则,执行S27;
S23:判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24;否则,输出待检测文件为恶意文件的检测结果,结束检测流程;
S24:判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25;
S25:将当前匹配到的主特征码从所述主特征码集合中删除;
S26:采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22;
S27:判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26;
其中,所述步骤S22和S23之间还包括步骤:
判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若是,则继续执行S23,否则,跳至执行S24。
3.如权利要求1所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述步骤2包括:
S21:采用所述主特征码集合扫描待检测文件开头的预定长度的代码段;
S22:判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配?若是,则继续S23;否则,执行S27;
S23:判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码?若是,则继续执行S24;否则,输出待检测文件为恶意文件的检测结果,结束检测流程;
S24:判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾?若是,则认为待检测文件为非恶意文件;否则,继续执行S25;
S25:将当前匹配到的主特征码从所述主特征码集合中删除;
S26:采用主特征码集合扫描待检测文件的下一个预定长度的代码段,并返回执行S22;
S27:判断是否已经采用所述主特征码集合扫描到待检测文件的结尾?若是,则认为待检测文件为非恶意文件,否则,跳至执行S26;
其中,当所述步骤S23的判断结果为否时,所述步骤S23之后还包括步骤:
判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码?若否,则继续执行步骤S24;若是,则输出待检测文件为恶意文件的检测结果,结束检测流程。
4.如权利要求2或3所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述步骤1包括:
预先设置并在数据库中存储由n个主特征码组成的主特征码集合;其中,n为大于等于0的整数;
预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码,得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中;
将所述数据库中的所有数据读入内存,并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系;
所述将所述数据库中的所有数据读入内存之前,还包括:预先为所述主特征码集合中的每个主特征码设置与其对应的若干个从特征码,得到对应于每个主特征码的从特征码集合并将所述从特征码集合存储于所述数据库中;
所述将所述数据库中的所有数据读入内存之后,还包括:将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间建立映射关系。
5.如权利要求4所述的一种基于复合特征码的恶意文件检测方法,其特征在于,步骤S23所述判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码,包括:
获取所述当前匹配到的主特征码在内存中的地址;
根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的非特征码集合;
判断所述待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码。
6.如权利要求5所述的一种基于复合特征码的恶意文件检测方法,其特征在于,所述判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码,包括:
获取所述当前匹配到的主特征码在内存中的地址;
根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间的映射关系,获取所述当前匹配到的主特征码所对应的从特征码集合;
判断所述待检测文件中是否能匹配到当前获取的从特征码集合中的全部特征码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210277275.0A CN102902918B (zh) | 2012-08-06 | 2012-08-06 | 一种基于复合特征码的恶意文件检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210277275.0A CN102902918B (zh) | 2012-08-06 | 2012-08-06 | 一种基于复合特征码的恶意文件检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102902918A CN102902918A (zh) | 2013-01-30 |
| CN102902918B true CN102902918B (zh) | 2015-08-19 |
Family
ID=47575145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210277275.0A Active CN102902918B (zh) | 2012-08-06 | 2012-08-06 | 一种基于复合特征码的恶意文件检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102902918B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348795B (zh) * | 2013-07-30 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 通用网关接口业务入侵防护的方法及装置 |
| CN104504333B (zh) * | 2014-11-25 | 2018-03-06 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
| CN108334778B (zh) * | 2017-12-20 | 2021-12-31 | 北京金山安全管理系统技术有限公司 | 病毒检测方法、装置、存储介质及处理器 |
| CN108229168B (zh) * | 2017-12-29 | 2021-07-20 | 哈尔滨安天科技集团股份有限公司 | 一种嵌套类文件的启发式检测方法、系统及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414914A (zh) * | 2008-11-26 | 2009-04-22 | 北京星网锐捷网络技术有限公司 | 数据内容过滤方法与装置、有限状态自动机及其构造装置 |
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102073815A (zh) * | 2010-12-27 | 2011-05-25 | 奇瑞汽车股份有限公司 | 一种车载杀毒系统及其杀毒方法 |
| CN102609653A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
-
2012
- 2012-08-06 CN CN201210277275.0A patent/CN102902918B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101599947A (zh) * | 2008-06-06 | 2009-12-09 | 盛大计算机(上海)有限公司 | 基于web网页的木马病毒扫描方法 |
| CN101414914A (zh) * | 2008-11-26 | 2009-04-22 | 北京星网锐捷网络技术有限公司 | 数据内容过滤方法与装置、有限状态自动机及其构造装置 |
| CN101924761A (zh) * | 2010-08-18 | 2010-12-22 | 奇智软件(北京)有限公司 | 一种依据白名单进行恶意程序检测的方法 |
| CN102073815A (zh) * | 2010-12-27 | 2011-05-25 | 奇瑞汽车股份有限公司 | 一种车载杀毒系统及其杀毒方法 |
| CN102609653A (zh) * | 2012-02-07 | 2012-07-25 | 奇智软件(北京)有限公司 | 一种文件快速扫描方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102902918A (zh) | 2013-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9954895B2 (en) | System and method for identifying phishing website | |
| US10705748B2 (en) | Method and device for file name identification and file cleaning | |
| CN103164698B (zh) | 文本指纹库生成方法及装置、文本指纹匹配方法及装置 | |
| US10133622B2 (en) | Enhanced error detection in data synchronization operations | |
| CN108062202A (zh) | 一种文件分块存储方法及系统 | |
| CN102902918B (zh) | 一种基于复合特征码的恶意文件检测方法 | |
| CN102647414B (zh) | 协议解析方法、设备及系统 | |
| CN108108127A (zh) | 一种文件读取方法及系统 | |
| JP6955676B2 (ja) | ログ分析方法、システムおよび記録媒体 | |
| US20150135018A1 (en) | Analysis method, analysis apparatus, computer-readable storage medium storing analysis program | |
| CN107844409A (zh) | 测试用例执行方法和装置 | |
| JP6810352B2 (ja) | 障害解析プログラム、障害解析装置及び障害解析方法 | |
| CN104899219A (zh) | 伪静态url的筛除方法、系统及网页爬取方法、系统 | |
| KR20150137388A (ko) | 데이터 처리 시스템 및 방법 | |
| KR20180079434A (ko) | 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템 | |
| CN110928793A (zh) | 一种正则表达式检测方法、装置及计算机可读存储介质 | |
| CN104268289A (zh) | 链接url的失效检测方法和装置 | |
| CN113918437B (zh) | 用户行为数据分析方法、装置、计算机设备和存储介质 | |
| US10339297B2 (en) | Determining whether continuous byte data of inputted data includes credential | |
| US20150088958A1 (en) | Information Processing System and Distributed Processing Method | |
| CN107273285A (zh) | 测试项目的生成方法和装置 | |
| CN105847516A (zh) | 一种联系人信息管理方法及装置 | |
| JP5932721B2 (ja) | 障害情報管理方法、障害情報管理装置及びプログラム | |
| CN113779030B (zh) | 枚举值查询方法、可读存储介质及计算机程序产品 | |
| CN108574585B (zh) | 一种系统故障解决方案获取方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: HANGZHOU CHUANGJU TECHNOLOGY CO., LTD. Free format text: FORMER OWNER: XIAMEN MEIYA PICO INFORMATION CO., LTD. Effective date: 20130726 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 361008 XIAMEN, FUJIAN PROVINCE TO: 310012 HANGZHOU, ZHEJIANG PROVINCE |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20130726 Address after: Hangzhou City, Zhejiang province Binjiang District 310012 shore road 1197 building 3 room 506 Applicant after: Hangzhou Chuangju Technology Co., Ltd. Address before: 361008 Fujian province Xiamen software park two sunrise Road No. 12 102-402 unit Applicant before: Xiamen Meiya Pico Information Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 361000 Fujian province Xiamen software park two sunrise Road No. 12 unit 403 Patentee after: Xiamen service cloud Mdt InfoTech Ltd Address before: Hangzhou City, Zhejiang province Binjiang District 310012 shore road 1197 building 3 room 506 Patentee before: Hangzhou Chuangju Technology Co., Ltd. |