CN104200163A - 一种病毒检测方法及病毒检测引擎 - Google Patents
一种病毒检测方法及病毒检测引擎 Download PDFInfo
- Publication number
- CN104200163A CN104200163A CN201410428004.XA CN201410428004A CN104200163A CN 104200163 A CN104200163 A CN 104200163A CN 201410428004 A CN201410428004 A CN 201410428004A CN 104200163 A CN104200163 A CN 104200163A
- Authority
- CN
- China
- Prior art keywords
- virus
- certificate
- file
- characteristic information
- application file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
Abstract
本发明实施例公开一种病毒检测方法及病毒检测引擎,应用于病毒检测领域,能够解决现有的病毒检测耗时大效率低的问题。该方法包括:接收应用文件,其中应用文件中包括证书文件;从应用文件的证书文件中抽取证书签名,证书签名和证书文件一一对应,将证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒。本发明的实施例应用于病毒检测。
Description
技术领域
本发明涉及病毒检测领域,尤其涉及一种病毒检测方法及病毒检测引擎。
背景技术
特征码,是一种特征信息,通常是从一种病毒代码中提取的连续的不含空格的字符串,并作为此类病毒的特征记录保存在病毒库中。在病毒发展的早期,特征码技术在对抗病毒方面发挥了巨大的作用,它今天依然是整个反病毒体制的最基本支撑技术。但现在变形技术已经被病毒广泛采用,对病毒库中没有特征码的病毒几乎不能检测。
现有病毒检测引擎通常根据某些病毒的特征信息进行的匹配检测,匹配检测需要对应用可执行文件进行解析,而应用可执行文件的大小一般很大,因此在对可执行文件进行解析与特征抽取时所需的计算量很大,因此耗时比较大,效率较低。
发明内容
本发明实施例提供一种病毒检测方法及病毒检测引擎,以解决现有的病毒检测耗时大效率低的问题。
本发明的第一方面提供一种病毒检测方法,包括:接收应用文件,其中所述应用文件中包括证书文件;从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
根据第一方面,在第一种可能的实现方式中,所述根据匹配结果判断所述应用文件是否为病毒,包括:若所述匹配结果为匹配,则所述应用文件是为病毒;若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
根据第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述根据所述特征信息判断所述应用文件是否为病毒,包括:
提取所述证书文件的特征信息;将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
本发明的第二方面提供一种病毒检测引擎,包括:
接收模块,用于接收应用文件,其中所述应用文件中包括证书文件;
匹配模块,用于从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
根据第一方面,在第一种可能的实现方式中,所述匹配模块包括:
第一判断子模块,用于若所述匹配结果为匹配,则判断所述应用文件是为病毒;
第二判断子模块,用于若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
根据第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述第二判断子模块,包括:
提取子模块,用于提取所述证书文件的特征信息;
格式处理子模块,用于将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;
第三判断子模块,用于将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
本发明实施例提供的病毒检测方法及病毒检测引擎,通过对从证书文件抽取的证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒,极大的减少了耗时,提高了病毒检测效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种病毒引擎检测方法的流程示意图;
图2为本发明实施例提供的一种病毒检测引擎的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。
图1为本发明实施例提供的一种病毒检测方法的流程示意图,该方法通常由病毒检测引擎执行,参考图1,该方法主要包括以下步骤:
10、接收应用文件,其中应用文件中包括证书文件。
其中,应用文件通常为可执行文件、音乐或视频等文件,例如APP。证书文件携带应用开发者的相关信息,包括证书颁发者、证书持有者、证书有效期等信息。证书文件包含在接收到的应用文件中。
20、从应用证书的证书文件中抽取证书签名,证书签名和证书文件一一对应,将证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒。
证书签名可以作为一个证书文件的唯一标识,证书签名包含在一个证书文件所携带的内容信息中。
内容信息是指证书文件的内容信息,将证书文件按照字节流的方式读取,并按照其相应的证书格式提取其中特定的某一部分字节作为该证书的标识(证书内容信息提取一般根据证书格式实现)。
证书文件存在于应用文件包中,具有特定的文件后缀名(如.cert,.crt,RSA,.p12等),证书文件的抽取一般通过读取该特定的文件后缀名。
抽取证书签名可以采用选取标准的摘要算法(如MD5),形成证书信息摘要,作为此证书的唯一标识。另一种方法是对应用文件内容信息的提取,该种方法是根据证书文件的格式,选取证书文件中的某一部分作为该证书文件的唯一标识。
传统的病毒检测引擎需要对应用文件进行解析,而应用文件的大小一般要比证书文件大得多,因此在对应用文件进行解析与特征抽取时所需的计算量要远大于对于证书文件的解析。而且,应用文件的大小也对应于应用功能,一般来说应用功能越强大,那么其可执行文件也就越大。而应用的证书文件具有固定格式,文件大小不会随着应用功能的大小而有很大差别。本实施例,通过对从证书文件抽取的证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒,极大的减少了耗时,提高了病毒检测效率。
具体地,步骤20中,根据匹配结果判断应用文件是否为病毒,包括:
若匹配结果为匹配,则应用文件是为病毒;
若匹配结果为不匹配,则提取证书文件的特征信息,根据特征信息判断应用文件是否为病毒。
可选地,根据特征信息判断应用文件是否为病毒,包括:
201、提取证书文件的特征信息。
202、将特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求。
203、将经过格式化处理的特征信息与病毒库进行匹配;若匹配结果为匹配,则判断应用文件是为病毒。
其中,抽取的内容可以根据需要,对应用文件解析后的信息提取特征区域的字符串作为特征信息,证书所有者、发布者、有效日期、序列号也可以作为特征信息,但是病毒检测匹配中的特征信息必须具有唯一性,需选用证书MD5等信息。
对提取后的应用文件的特征信息进行格式化处理。
格式化处理是依照特定的环境要求,例如,依赖于特征库的存储范式,构造指定程序对提取到的信息进行处理。将所有提取的证书文件格式统一化处理,形成证书文件与特征信息的映射关系,例如建立存储范式如表1:
表1格式化存储范式示意
依照上述格式化处理后的存储格式,特征信息可以是具有标签组成的XML文件,也可以是标准的数据库表。
格式化的核心是对提取到的特征信息进行字符串相关操作,形成系统指定的统一格式(如表1所示),方便系统的存储与检测匹配。
将经过格式化处理的特征信息与病毒库进行匹配,若得到成功匹配则检测结束,判断应用文件是为病毒。
匹配的方法依赖于特征库的存储方式,若特征库以文件方式存储,可以使用高效的字符串匹配算法进行匹配;若特征库以数据库方式存储,则可以使用数据库标准的检索方式进行匹配。若是在病毒特征库中得到匹配,则说明该待检测的应用文件为病毒文件。
另外,还需要对当前病毒特征库进行更新,则查看当前病毒特征库中是否已存在,若不存在,则执行更新将此特征存入病毒特征库中。
图2为本发明实施例提供的一种病毒检测引擎的结构示意图,该病毒检测引擎用于实现上述实施例的病毒检测方法,参考图2所示包括:接收模块21和匹配模块22。
其中,接收模块21,用于接收应用文件,其中应用文件中包括证书文件。
匹配模块22,用于从应用证书的证书文件中抽取证书签名,证书签名和证书文件一一对应,将证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒。
本实施例,通过对从证书文件抽取的证书签名与签名数据库进行匹配,根据匹配结果判断应用文件是否为病毒,极大的减少了耗时,提高了病毒检测效率。
具体地,匹配模块22包括:第一判断子模块221和第二判断子模块222。
第一判断子模块221,用于若匹配结果为匹配,则判断应用文件是为病毒。
第二判断子模块222,用于若匹配结果为不匹配,则提取证书文件的特征信息,根据特征信息判断应用文件是否为病毒。
可选地,第二判断子模块222,包括:提取子模块2221、格式处理子模块2222和第三判断子模块2223。
其中,提取子模块2221,用于提取证书文件的特征信息。
格式处理子模块2222,用于将特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求。
第三判断子模块2223,用于将经过格式化处理的特征信息与病毒库进行匹配;若匹配结果为匹配,则判断应用文件是为病毒。
本实施例的病毒检测引擎用于实现上述病毒检测方法,其原理和有益效果相同,此处不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (6)
1.一种病毒检测方法,其特征在于,包括:
接收应用文件,其中所述应用文件中包括证书文件;
从所述应用文件的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
2.根据权利要求1所述的方法,其特征在于,所述根据匹配结果判断所述应用文件是否为病毒,包括:
若所述匹配结果为匹配,则所述应用文件是为病毒;
若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
3.根据权利要求2所述的方法,其特征在于,所述根据所述特征信息判断所述应用文件是否为病毒,包括:
提取所述证书文件的特征信息;
将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;
将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
4.一种病毒检测引擎,其特征在于,包括:
接收模块,用于接收应用文件,其中所述应用文件中包括证书文件;
匹配模块,用于从所述应用证书的所述证书文件中抽取证书签名,所述证书签名和所述证书文件一一对应,将所述证书签名与签名数据库进行匹配,根据匹配结果判断所述应用文件是否为病毒。
5.根据权利要求4所述的病毒检测引擎,其特征在于,所述匹配模块包括:
第一判断子模块,用于若所述匹配结果为匹配,则判断所述应用文件是为病毒;
第二判断子模块,用于若所述匹配结果为不匹配,则提取所述证书文件的特征信息,根据所述特征信息判断所述应用文件是否为病毒。
6.根据权利要求5所述的病毒检测引擎,其特征在于,所述第二判断子模块,包括:
提取子模块,用于提取所述证书文件的特征信息;
格式处理子模块,用于将所述特征信息进行格式化处理,以便于特征信息的格式符合病毒检测引擎的格式要求;
第三判断子模块,用于将经过格式化处理的特征信息与病毒库进行匹配;若所述匹配结果为匹配,则判断所述应用文件是为病毒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410428004.XA CN104200163A (zh) | 2014-08-27 | 2014-08-27 | 一种病毒检测方法及病毒检测引擎 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410428004.XA CN104200163A (zh) | 2014-08-27 | 2014-08-27 | 一种病毒检测方法及病毒检测引擎 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104200163A true CN104200163A (zh) | 2014-12-10 |
Family
ID=52085454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410428004.XA Pending CN104200163A (zh) | 2014-08-27 | 2014-08-27 | 一种病毒检测方法及病毒检测引擎 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104200163A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105975855A (zh) * | 2015-08-28 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
| CN106161072A (zh) * | 2015-04-20 | 2016-11-23 | 中国移动通信集团重庆有限公司 | 一种特征库的配置方法、特征配置管理平台及特征插件 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855110A (zh) * | 2005-04-19 | 2006-11-01 | 国际商业机器公司 | 用于使文件系统免于恶意程序的增强安全层的系统和方法 |
| CN101369930A (zh) * | 2008-09-01 | 2009-02-18 | 深圳市深信服电子科技有限公司 | 一种网络插件的安全检查方法、系统及安全检查设备 |
| CN102222183A (zh) * | 2011-04-28 | 2011-10-19 | 奇智软件(北京)有限公司 | 移动终端软件包安全检测方法及系统 |
| CN102663281A (zh) * | 2012-03-16 | 2012-09-12 | 成都市华为赛门铁克科技有限公司 | 检测恶意软件的方法和装置 |
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN102799824A (zh) * | 2012-07-13 | 2012-11-28 | 珠海市君天电子科技有限公司 | 一种针对具有数字签名信息的病毒文件的防御方法及系统 |
| CN103034810A (zh) * | 2011-09-29 | 2013-04-10 | 联想(北京)有限公司 | 一种检测方法、装置及电子设备 |
| CN103235918A (zh) * | 2013-04-18 | 2013-08-07 | 北京奇虎科技有限公司 | 可信文件的收集方法及系统 |
| CN103902887A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种通过签名鉴定文件来源的方法和装置 |
-
2014
- 2014-08-27 CN CN201410428004.XA patent/CN104200163A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1855110A (zh) * | 2005-04-19 | 2006-11-01 | 国际商业机器公司 | 用于使文件系统免于恶意程序的增强安全层的系统和方法 |
| CN101369930A (zh) * | 2008-09-01 | 2009-02-18 | 深圳市深信服电子科技有限公司 | 一种网络插件的安全检查方法、系统及安全检查设备 |
| CN102222183A (zh) * | 2011-04-28 | 2011-10-19 | 奇智软件(北京)有限公司 | 移动终端软件包安全检测方法及系统 |
| CN103034810A (zh) * | 2011-09-29 | 2013-04-10 | 联想(北京)有限公司 | 一种检测方法、装置及电子设备 |
| CN102663281A (zh) * | 2012-03-16 | 2012-09-12 | 成都市华为赛门铁克科技有限公司 | 检测恶意软件的方法和装置 |
| CN102779257A (zh) * | 2012-06-28 | 2012-11-14 | 奇智软件(北京)有限公司 | 一种Android应用程序的安全检测方法及系统 |
| CN102799824A (zh) * | 2012-07-13 | 2012-11-28 | 珠海市君天电子科技有限公司 | 一种针对具有数字签名信息的病毒文件的防御方法及系统 |
| CN103902887A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种通过签名鉴定文件来源的方法和装置 |
| CN103235918A (zh) * | 2013-04-18 | 2013-08-07 | 北京奇虎科技有限公司 | 可信文件的收集方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 张岩: "基于Android手机系统的反病毒引擎设计", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161072A (zh) * | 2015-04-20 | 2016-11-23 | 中国移动通信集团重庆有限公司 | 一种特征库的配置方法、特征配置管理平台及特征插件 |
| CN106161072B (zh) * | 2015-04-20 | 2019-11-08 | 中国移动通信集团重庆有限公司 | 一种特征库的配置方法、特征配置管理平台及特征插件 |
| CN105975855A (zh) * | 2015-08-28 | 2016-09-28 | 武汉安天信息技术有限责任公司 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
| CN105975855B (zh) * | 2015-08-28 | 2019-07-23 | 武汉安天信息技术有限责任公司 | 一种基于apk证书相似性的恶意代码检测方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102243699B (zh) | 一种恶意代码检测方法及系统 | |
| KR101337874B1 (ko) | 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템 | |
| CN100353329C (zh) | 恢复fat32分区已删除文件的方法 | |
| EP2693356B1 (en) | Detecting pirated applications | |
| CN103020521B (zh) | 木马扫描方法及系统 | |
| CN105718795B (zh) | Linux下基于特征码的恶意代码取证方法及系统 | |
| CN105975855B (zh) | 一种基于apk证书相似性的恶意代码检测方法及系统 | |
| US20160239467A1 (en) | Method and system for selecting encoding format for reading target document | |
| CN105653949A (zh) | 一种恶意程序检测方法及装置 | |
| KR101228900B1 (ko) | 비 pe파일의 악성 컨텐츠 포함 여부를 판단하는 방법 및 시스템 | |
| CN111159497A (zh) | 正则表达式的生成方法及基于正则表达式的数据提取方法 | |
| WO2020168763A1 (zh) | 应用程序的数据分类存储方法、装置、设备以及存储介质 | |
| CN104200163A (zh) | 一种病毒检测方法及病毒检测引擎 | |
| Abdullah et al. | Carving thumbnail/s and embedded JPEG files using image pattern matching | |
| CN102662981B (zh) | 基于特征扫描的Windows回收站删除记录取证方法 | |
| WO2015055062A1 (zh) | 数据文件写入方法及系统、数据文件读取方法及系统 | |
| CN106657316B (zh) | 一种消息撤回方法及装置 | |
| CN104615948A (zh) | 一种自动识别文件完整性与恢复的方法 | |
| CN108171014B (zh) | 一种rtf可疑文件的检测方法、系统及存储介质 | |
| CN110781160B (zh) | 基于VMware虚拟化文件系统损坏的数据恢复方法 | |
| CN109670337B (zh) | 一种检测方法及装置 | |
| CN103246640A (zh) | 一种检测重复文本的方法及装置 | |
| CN110689133B (zh) | 一种训练机器学习引擎的方法、系统及相关装置 | |
| CN111061699A (zh) | 一种电能表数据库版本更新的方法及装置 | |
| CN103312792A (zh) | 从外接存储设备中读取文件的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| EXSB | Decision made by sipo to initiate substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141210 |
|
| RJ01 | Rejection of invention patent application after publication |