CN103886042B - 一种识别动态链接库的方法及装置 - Google Patents

一种识别动态链接库的方法及装置 Download PDF

Info

Publication number
CN103886042B
CN103886042B CN201410086815.6A CN201410086815A CN103886042B CN 103886042 B CN103886042 B CN 103886042B CN 201410086815 A CN201410086815 A CN 201410086815A CN 103886042 B CN103886042 B CN 103886042B
Authority
CN
China
Prior art keywords
dynamic link
link library
identified
sample
characteristic value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410086815.6A
Other languages
English (en)
Other versions
CN103886042A (zh
Inventor
李敏怡
姚辉
刘桂峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhuhai Seal Interest Technology Co Ltd
Original Assignee
Zhuhai Juntian Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhuhai Juntian Electronic Technology Co Ltd filed Critical Zhuhai Juntian Electronic Technology Co Ltd
Priority to CN201410086815.6A priority Critical patent/CN103886042B/zh
Publication of CN103886042A publication Critical patent/CN103886042A/zh
Application granted granted Critical
Publication of CN103886042B publication Critical patent/CN103886042B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/16File or folder operations, e.g. details of user interfaces specifically adapted to file systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明实施例公开了一种识别动态链接库的方法及装置,一种识别动态链接库的方法,包括:提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;将待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断待识别动态链接库与样本动态链接库是否一致,其中,待识别动态链接库的文件特征值为待识别动态链接库的文件大小与待识别动态链接库的文件信息熵的乘积值,样本动态链接库的文件特征值为样本动态链接库的文件大小与样本动态链接库的文件信息熵的乘积值。与现有技术相比,用户修改待识别动态链接库的一个字符,本发明方法仍能识别出修改后的待识别动态链接库的类型。

Description

一种识别动态链接库的方法及装置
技术领域
本发明涉及计算机安全技术领域,特别涉及一种识别动态链接库的方法及装置。
背景技术
动态链接库是微软公司在微软视窗操作系统(即Windows操作系统)中实现共享函数库的一种方式。动态链接库包含一定数目的代码和数据,多个程序可以同时使用动态链接库中的代码和数据,以实现其相应的功能。例如,一些大型网页游戏在运行时,需要通过加载动态链接库来实现背景音乐播放等功能。有时,在程序加载动态链接库之前,用户希望确定这个动态链接库是否为该程序需要加载的目标动态链接库,以避免加载恶意动态链接库。
目前,已经存在一种识别动态链接库的方法,该方法具体为:提取待识别动态链接库的特征码,将该特征码与样本动态链接库的特征码进行比较,依据比较结果,确定待识别动态链接库的类型,其中,样本动态链接库可以为官方动态链接库或恶意动态链接库。例如,当样本动态链接库为恶意动态链接库时,首先,通过hash算法提取待识别动态链接库的hash值,然后,将该hash值与恶意动态链接库的hash值进行比较,如果待识别动态链接库的hash值与恶意动态链接库的hash值相同,则判断该待识别动态链接库为恶意动态链接库。
然而,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的特征码就会发生改变,因此很容易地绕过现有方法的识别。
发明内容
为解决上述问题,本发明实施例公开了一种识别动态链接库的方法及装置,以达到有效识别动态链接库类型的目的。具体技术方案如下:
一种识别动态链接库的方法,该方法包括:
提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
优选的,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;
若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则判断所述待识别动态链接库与所述样本动态链接库一致。
优选的,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则判断所述待识别动态链接库与所述样本动态链接库一致。
优选的,所述样本动态链接库为恶意动态链接库。
优选的,所述样本动态链接库为官方动态链接库。
优选的,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该方法还包括:
判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
一种识别动态链接库的装置,该装置包括:
信息提取模块,用于提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
判断模块,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
优选的,所述判断模块,包括:
第一比较子模块,用于将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;
第二比较子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
第一判断子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
优选的,所述判断模块,包括:
第三比较子模块,用于将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
第四比较子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
第二判断子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
优选的,所述样本动态链接库为恶意动态链接库。
优选的,所述样本动态链接库为官方动态链接库。
优选的,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该装置还包括:
推送模块,用于在所述判断模块判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
上述技术方案中,通过将待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,以达到判断所述待识别动态链接库与所述样本动态链接库是否一致的目的。
与现有技术相比,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的导出函数名,以及文件特征值并不会同时改变,本发明方法仍能识别出修改后的待识别动态链接库的类型。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的识别动态链接库的方法的第一种流程图;
图2为本发明实施例提供的识别动态链接库的方法的第二种流程图;
图3为本发明实施例提供的识别动态链接库的方法的第三种流程图;
图4为本发明实施例提供的识别动态链接库的方法的第四种流程图;
图5为本发明实施例提供的一种识别动态链接库的装置的结构示意图;
图6为本发明实施例提供的判断模块的一种结构示意图;
图7为本发明实施例提供的判断模块的另一种结构示意图;
图8为本发明实施例提供的另一种识别动态链接库的装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有技术中,识别动态链接库的方法为:提取待识别动态链接库的特征码,将该特征码与样本动态链接库的特征码进行比较,依据比较结果,确定待识别动态链接库的类型。然而,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的特征码就会发生改变,该修改后的待识别动态链接库就能很容易地绕过现有方法的检测。为此,本发明提出了一种识别动态链接库的方法及装置。
下面通过具体实施例,对本发明进行详细说明。
图1为本发明实施例提供的识别动态链接库的方法的第一种流程图,该方法包括以下步骤:
S101:提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
其中,动态链接库是一个包含一定数目的代码和数据的库,多个程序可以同时使用该库中的代码和数据;它是实现代码和数据共享的一种方式;
导出函数是目标动态链接库的执行入口标识,程序可以根据该标识获取该目标动态链接库内的代码和数据;
文件信息熵表征文件的字节码的混乱程度或者文件可被压缩的压缩比,文件信息熵的数值越大,表明文件的字节越混乱,或者文件能被压缩的程度越低;文件信息熵是0-1之间的数字,不能为0或1,它是一个没有单位的数值。
可以理解的是,不同类型的动态链接库具有不同的导出函数、文件大小以及文件信息熵,例如,动态链接库0000D260NetDll.dll含有导出函数名为GetVTable、GetDllVersion、DestroyNetFactory、CreateNetFactory的4个导出函数,该动态链接库的文件大小为80.0KB(81.931bytes),该动态链接库的文件信息熵为0.618211。
另外需要说明的是,本发明实施例可以采用现有技术中任意一种能达到提取动态链接库的导出函数名、文件大小以及文件信息熵的目的的方法,本发明实施例对此不进行具体限制。
S102:将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致;
其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
可以理解的是,由于动态链接库的文件信息熵是一个没有单位的数值,文件信息熵与文件大小的乘积值也没有数值单位上的意义。
在本实施例中,仍以动态链接库0000D260NetDll.dll为例进行说明,已知它的导出函数有GetVTable、GetDllVersion、DestroyNetFactory、CreateNetFactory,文件大小为80.0KB(81,931bytes),文件信息熵为0.618211,文件特征值50650.645441(81931乘以0.618211)。
本发明实施例提供的判断模块,根据待识别动态链接库中的导出函数是否也为GetVTable、GetDllVersion、DestroyNetFactory、CreateNetFactory,文件特征值是否也为50650.645441,来判断待识别的动态链接库与动态链接库0000D260NetDll.dll是不是同一类型。
可以理解的是,在本发明实施例中,样本动态链接库可以为官方动态链接库,也可以为恶意动态链接库,本发明实施例对此不做具体限制。其中,官方动态链接库是从目标软件的官方网站上获取到的文件,恶意动态链接库是被恶意利用的、与官方动态链接库名相同的、但没有官方动态链接库的功能的文件。
上述实施例的方案并没有对导出函数名、文件特征值的比较顺序做出具体限制。在实际应用中,可以对比较顺序进行细化,鉴于此,本发明实施例提供了另一种识别动态链接库的方法,如图2所示,该方法可以包括以下步骤:
S201,提取待识别动态链接库的导出函数名、文件大小以及文件信息熵。
S202,比较待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度是否符合预设范围;
如果是,则转到S203;否则,转到S205。
S203,比较待识别动态链接库导出函数名与样本动态链接库导出函数名是否相同;
如果是,则转到S204;否则,转到S205。
S204,判断待识别动态链接库与样本动态链接库一致。
S205,判断待识别动态链接库与样本动态链接库不一致。
本实施例中的S201与前一实施例中的S101相同,在这里,不再赘述。本实施例对导出函数名、文件特征值的比较顺序做了具体限制,即先比较文件特征值,再比较导出函数名。
可以理解的是,文件特征值和导出函数名只要有一项不一致,则待识别动态链接库与样本动态链接库的类型就不一致。
另外需要说明的是,所述待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度可以通过计算两者的差值或比值来获得;通常情况下,依据经验值,预设范围设置为低于或高于对比文件的10%的范围;另外还可以根据实际需要,对预设范围进行设定,本发明实施例对此不进行具体限制。
然而在实际应用中,考虑到识别效率的问题,本发明实施例提供了另一种识别动态链接库的方法,如图3所示,该方法可以包括以下步骤:
S301,提取待识别动态链接库的导出函数名、文件大小以及文件信息熵。
S302,比较待识别动态链接库导出函数名与样本动态链接库导出函数名是否相同;
如果是,则转到S303;否则,转到S305。
S303,比较待识别动态链接库文件特征值与样本动态链接库文件特征值的近似值是否符合预设范围;
如果是,则转到S304;否则,转到S305。
S304,判断待识别动态链接库与样本动态链接库一致。
S305,判断待识别动态链接库与样本动态链接库不一致。
本实施例中的S301与前一实施例中的S201相同,在这里不再赘述。本实施例对导出函数名、文件特征值的比较顺序做了具体限制,即先比较导出函数名,再比较文件特征值。
可以理解的是,相比于从动态链接库中提取文件信息熵的繁琐,对导出函数名的提取更容易,导出函数名的比较也更为直观,如果导出函数名不一致,则直接可以判断待识别的动态链接库与样本动态链接库不一致,省去了提取文件信息熵的繁琐步骤。
在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,本发明实施例提供了另一种识别动态链接库的方法,如图4所示,该方法可以包括:
S401,提取待识别动态链接库的导出函数名、文件大小及文件信息熵。
S402,比较待识别动态链接库导出函数名与官方动态链接库导出函数名是否相同,两库文件特征值的近似度是否符合预设范围;
如果待识别动态链接库导出函数名与官方动态链接库导出函数名是相同,且两库文件特征值的近似度是符合预设范围,则转到S404;否则,转到S403。
S403,向用户提供获取该官方动态链接库的快捷方式。
S404,判断待识别动态链接库与样本动态链接库一致。
本实施例中的S401与前面实施例中的S101相同,在这里不再赘述。在S402中,待识别动态链接库导出函数名、文件特征值与官方动态链接库导出函数名、文件特征值的比较,可以按照前面实施例中的S202、S203的顺序进行比较,也可以按照前面实施例中的S302、S303的顺序进行比较。在新增的S403中,在用户提交的动态链接库与官方动态链接库不一致之后,可以提供给用户获取该官方动态链接库的快捷方式,用户可以根据实际需要选择是否获取该库。需要说明的是,这里的快捷方式可以是网址链接,也可以是该官方链接库文件,本实施例对此不做具体限制。
可以理解的是,官方动态链接库是安全的,当待识别的动态链接库与官方动态链接库不同时,该待识别的动态链接库可能存在安全隐患,考虑到安全性,可以向用户提供获取官方动态链接库的快捷方式。
由此可见,本实施例中,在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,当待识别的动态链接库与官方动态链接库不一致后,向用户提供获取官方动态链接库的快捷方式,用户可以根据该快捷方式获取安全的动态链接库,提高了安全性。
相应于上面的方法实施例,本发明还提供一种识别动态链接库的装置,参见图5所示,该装置可以包括:
信息提取模块501,用于提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
判断模块502,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致;
其中,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
本发明实施例提供的另一种识别动态链接库的装置,如图6所示,所述识别模块502可以包括:
第一比较子模块502a,用于将所述待识别动态链接库导出函数名与样本动态链接库的导出函数名进行比较;
第二比较子模块502b,用于在所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
第一判断子模块502c,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
需要说明的是,所述待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度可以通过计算两者的差值或比值来获得;通常情况下,依据经验值,预设范围设置为低于或高于对比文件的10%的范围;另外还可以根据实际需要,对预设范围进行设定,本发明实施例对此不进行具体限制。
本发明实施例还提供了另一种识别动态链接库的装置,如图7所示,所述识别模块502可以包括:
第三比较子模块502d,用于将所述待识别动态链接库的文件特征值,与样本动态链接库的文件特征值进行比较;
第四比较子模块502e,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
第二判断子模块502f,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,本发明实施例还提供了另一种识别动态链接库的装置,如图8所示,该装置可以包括:
信息提取模块501、判断模块502,以及推送模块503;
其中,推送模块503,用于在判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
本实施例中的信息提取模块501、判断模块502与第一个装置实施例中的信息提取模块501、判断模块502相同,这里不再赘述。
本实施例中,在待识别动态链接库为用户提交的动态链接库、样本动态链接库为官方动态链接库的情况下,当判断待识别动态链接库与官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式,用户可以根据该快捷方式获取安全的动态链接库,提高了安全性。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (12)

1.一种识别动态链接库的方法,其特征在于,该方法包括:
提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
2.根据权利要求1所述的方法,其特征在于,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;
若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则判断所述待识别动态链接库与所述样本动态链接库一致。
3.根据权利要求1所述的方法,其特征在于,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则判断所述待识别动态链接库与所述样本动态链接库一致。
4.根据权利要求1所述的方法,其特征在于,所述样本动态链接库为恶意动态链接库。
5.根据权利要求1所述的方法,其特征在于,所述样本动态链接库为官方动态链接库。
6.根据权利要求5所述的方法,其特征在于,所述待识别动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该方法还包括:
判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
7.一种识别动态链接库的装置,其特征在于,该装置包括:
信息提取模块,用于提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
判断模块,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
8.根据权利要求7所述的装置,其特征在于,所述判断模块,包括:
第一比较子模块,用于将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;
第二比较子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
第一判断子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
9.根据权利要求7所述的装置,其特征在于,所述判断模块,包括:
第三比较子模块,用于将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
第四比较子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
第二判断子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
10.根据权利要求7所述的装置,其特征在于,所述样本动态链接库为恶意动态链接库。
11.根据权利要求7所述的装置,其特征在于,所述样本动态链接库为官方动态链接库。
12.根据权利要求11所述的装置,其特征在于,所述待识别动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该装置还包括:
推送模块,用于在所述判断模块判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
CN201410086815.6A 2014-03-10 2014-03-10 一种识别动态链接库的方法及装置 Active CN103886042B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410086815.6A CN103886042B (zh) 2014-03-10 2014-03-10 一种识别动态链接库的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410086815.6A CN103886042B (zh) 2014-03-10 2014-03-10 一种识别动态链接库的方法及装置

Publications (2)

Publication Number Publication Date
CN103886042A CN103886042A (zh) 2014-06-25
CN103886042B true CN103886042B (zh) 2017-07-21

Family

ID=50954934

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410086815.6A Active CN103886042B (zh) 2014-03-10 2014-03-10 一种识别动态链接库的方法及装置

Country Status (1)

Country Link
CN (1) CN103886042B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105117644B (zh) * 2015-08-26 2018-08-28 福建天晴数码有限公司 采集Android外挂程序方法及系统
CN108491736B (zh) * 2018-04-02 2020-09-22 北京顶象技术有限公司 篡改监测方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004884A (zh) * 2009-08-28 2011-04-06 华为技术有限公司 一种获取可执行文件输入表的方法及装置
CN102982281A (zh) * 2012-11-09 2013-03-20 北京奇虎科技有限公司 程序状况检测方法和系统
US8572739B1 (en) * 2009-10-27 2013-10-29 Trend Micro Incorporated Detection of malicious modules injected on legitimate processes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102004884A (zh) * 2009-08-28 2011-04-06 华为技术有限公司 一种获取可执行文件输入表的方法及装置
US8572739B1 (en) * 2009-10-27 2013-10-29 Trend Micro Incorporated Detection of malicious modules injected on legitimate processes
CN102982281A (zh) * 2012-11-09 2013-03-20 北京奇虎科技有限公司 程序状况检测方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
决策树方法在恶意DLL文件检测中的应用;夏丽,袁津生;《计算机系统应用》;20090331(第3期);第121-125页 *

Also Published As

Publication number Publication date
CN103886042A (zh) 2014-06-25

Similar Documents

Publication Publication Date Title
US10705748B2 (en) Method and device for file name identification and file cleaning
US10621349B2 (en) Detection of malware using feature hashing
WO2005101292A3 (fr) Procédé de recherche de contenu, notamment d'extraits communs entre deux fichiers informatiques
JP2015053735A5 (zh)
US8256000B1 (en) Method and system for identifying icons
US10243977B1 (en) Automatically detecting a malicious file using name mangling strings
KR101851233B1 (ko) 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR20160140316A (ko) 악성코드를 검출하는 방법 및 시스템
CN111488556A (zh) 一种嵌套文档提取方法、装置及电子设备和存储介质
CN106845222A (zh) 一种勒索者病毒的检测方法及系统
CN103885772A (zh) 解锁方法及电子设备
CN103886042B (zh) 一种识别动态链接库的方法及装置
CN105975855A (zh) 一种基于apk证书相似性的恶意代码检测方法及系统
CN107967415A (zh) 资源混淆保护方法、系统及终端装置
CN103268449A (zh) 一种手机恶意代码的高速检测方法和系统
CN105653949A (zh) 一种恶意程序检测方法及装置
CN104915596B (zh) apk病毒特征库构建方法、装置及apk病毒检测系统
CN104484603A (zh) 网站后门的检测方法及装置
CN106650453A (zh) 一种检测方法和装置
CN106250730A (zh) 一种智能手表解锁方法和装置
Drew et al. Strand: fast sequence comparison using mapreduce and locality sensitive hashing
CN105243327A (zh) 一种文件安全处理方法
CN106911635A (zh) 一种检测网站是否存在后门程序的方法及装置
US10579794B1 (en) Securing a network device by automatically identifying files belonging to an application
CN201233601Y (zh) 一种基于usb设备的文件隐藏系统及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20181217

Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province

Patentee after: Zhuhai Seal Interest Technology Co., Ltd.

Address before: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong.

Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd.