CN104991893A - 一种启发式自解压包和安装包检测方法及系统 - Google Patents
一种启发式自解压包和安装包检测方法及系统 Download PDFInfo
- Publication number
- CN104991893A CN104991893A CN201410618832.XA CN201410618832A CN104991893A CN 104991893 A CN104991893 A CN 104991893A CN 201410618832 A CN201410618832 A CN 201410618832A CN 104991893 A CN104991893 A CN 104991893A
- Authority
- CN
- China
- Prior art keywords
- extracting
- detected
- self
- file
- installation kit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- User Interface Of Digital Computer (AREA)
Abstract
本发明公开了一种启发式自解压包和安装包检测方法及系统,首先,收集已知自解压包和/或安装包,并获取基本信息;解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息,并进一步提取匹配特征;获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;基于待检测PE文件的图标相关信息提取特征;将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则反馈与所述匹配特征相应的基本信息。本发明所述的方法及系统,能够有效检测自解压包和安装包,并克服了传统方法中对于未知的或者更新过的自解压包和安装包无法有效识别的问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种启发式自解压包和安装包检测方法及系统。
背景技术
通常自解压包或安装包是由负责解压目标数据的通用程序和待解压数据组成,所述通用程序为由压缩软件或安装包制作程序提供,可以称之为“自解压头”。对于这些自解压头,需要先通过各种方法获取其程序或者收集其制作好的文件,然后提取特征码,最后进行检测。
传统检测方法主要的问题在于,只能针对已知或者已捕获的样本有效,对于未知的或者已知但版本更新的自解压头无能为力。
发明内容
本发明提供了一种启发式自解压包和安装包检测方法及系统,该方法通过对已知自解压包和/或安装包进行图标相关信息获取,并基于图标相关信息提取匹配特征,基于同样的方法获取待检测PE文件的特征,通过将所述特征与所述匹配特征进行相似度匹配,从而确定待检测PE文件是否是自解压包和/或安装包。该方法对于未知的或者已更新升级后的自解压包和/或安装包有很好的识别能力。
本发明采用如下方法来实现:一种启发式自解压包和安装包检测方法,包括:
收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;
基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
基于待检测PE文件的图标相关信息提取特征;所述匹配特征与所述特征的提取方法相同;
将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息。
进一步地,所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
一种启发式自解压包和安装包检测系统,包括:
特征库准备模块,用于收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
特征库解析模块,用于解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
特征库,用于存储特征库解析模块提取的匹配特征;
待检测文件获取模块,用于获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
待检测特征提取模块,用于基于待检测PE文件的图标相关信息提取特征;
特征匹配模块,用于将待检测特征提取模块提取的特征与特征库中存储的匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息;
所述匹配特征与所述特征的提取方法相同。
进一步地,特征库解析模块和待检测文件获取模块中的所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
综上所述,本发明提供了一种启发式自解压包和安装包检测方法及系统,本发明所提供的技术方案首先收集已知的自解压包和/或安装包,并对已知的自解压包和/或安装包进行PE文件格式解析,从而获取图标相关信息,并进一步基于设定方式提取匹配特征。获取待检测PE文件的图标相关信息,并基于相同的设定方式提取特征,将所述特征与之前所有的已知自解压包和/或安装包的匹配特征进行相似度匹配,若存在相似度达到指定阈值的匹配特征,则将所述匹配特征对应的已知自解压包或者、安装包的基本信息反馈给用户。从而可以知道待检测PE文件所属的自解压包或安装包的类型和其他基本信息。从而,基于版本的更新等虽然会导致自解压头变化,但是其图标相关信息通常不会改变的事实,对于未知的自解压包或者安装包,或者是已知自解压包或者安装包的升级版本,本发明所述的技术方案都能够高效并准确地识别出来。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的启发式自解压包和安装包检测方法中匹配特征获取流程图;
图2为本发明提供的启发式自解压包和安装包检测方法流程图;
图3为本发明提供的启发式自解压包和安装包检测系统结构图。
具体实施方式
本发明给出了一种启发式自解压包和安装包检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了启发式自解压包和安装包检测方法匹配特征获取实施例,如图1所示,包括:
S101收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;其中,已知自解压包和/或安装包包括:RAR、NSIS或者Zip等;
S102解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;
S103基于已知自解压包和/或安装包的图标相关信息提取匹配特征。
本发明其次提供了启发式自解压包和安装包检测方法实施例,如图2所示,包括:
S201获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;所述资源节即PE文件结构中的rsrc部分;
S202基于待检测PE文件的图标相关信息提取特征;所述匹配特征与所述特征的提取方法相同;其中,提取方法可以为哈希或者模糊哈希等;
S203将所述特征与匹配特征进行相似性匹配,并判断是否存在相似度达到指定阈值的匹配特征,若是,则匹配成功,并反馈与所述匹配特征相应的基本信息,否则匹配失败。
其中,指定阈值为根据需要和经验进行设置;
例如:若存在相似度达到指定阈值的匹配特征,而该匹配特征是在WinZip Self-Extractor上提取的,因此,可以认定待检测PE文件为新版本的WinZip Self-Extractor。
优选地,所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。每个PE文件中都包括一组用于不同环境中的不同尺寸的图标信息,包括:16×16、32×32、48×48等尺寸下的图标信息;
本发明还提供了启发式自解压包和安装包检测系统实施例,如图3所示,包括:
特征库准备模块301,用于收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
特征库解析模块302,用于解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
特征库303,用于存储特征库解析模块302提取的匹配特征;
待检测文件获取模块304,用于获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
待检测特征提取模块305,用于基于待检测PE文件的图标相关信息提取特征;
特征匹配模块306,用于将待检测特征提取模块305提取的特征与特征库303中存储的匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息;
所述匹配特征与所述特征的提取方法相同。
优选地,特征库解析模块和待检测文件获取模块中的所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
如上所述,本发明给出了一种启发式自解压包和安装包检测方法及系统实施例,对于现有的自解压包和/或安装包检测方法来说,通常需要获取自解压头,然后提取特征码进行检测。但是,传统方法只能对已知的样本有效,对于未知的自解压包和安装包,或者是升级更新过的自解压包和安装包由于其自解压头也会随之更新而发生变化,从而将导致检测失败。本发明所述的技术方案通过对PE文件结构的解析发现,不同版本的自解压包和安装包其图标几乎不变,因此,对待检测PE文件进行结构解析,查询资源节获取图标相关信息,并利用设定方法提取特征,将所述特征与预先获取的已知自解压包和/或安装包基于同样的方法获取的匹配特征进行相似性匹配,若相似度达到指定阈值,则匹配成功,并成功获取待检测PE文件的基本信息,例如所属自解压包或者安装包的类型和版本相关信息等。因此,通过本发明所提供的技术方案可以有效克服传统技术方法的不足,能够对于未知的或者是升级的自解压包和安装包达到更准确的检出效果。
以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换,均应涵盖在本发明的权利要求范围当中。
Claims (4)
1.一种启发式自解压包和安装包检测方法,其特征在于,包括:
收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;
基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
基于待检测PE文件的图标相关信息提取特征;所述匹配特征与所述特征的提取方法相同;
将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息。
2.如权利要求1所述的方法,其特征在于,所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
3.一种启发式自解压包和安装包检测系统,其特征在于,包括:
特征库准备模块,用于收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
特征库解析模块,用于解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
特征库,用于存储特征库解析模块提取的匹配特征;
待检测文件获取模块,用于获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
待检测特征提取模块,用于基于待检测PE文件的图标相关信息提取特征;
特征匹配模块,用于将待检测特征提取模块提取的特征与特征库中存储的匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息;
所述匹配特征与所述特征的提取方法相同。
4.如权利要求3所述的系统,其特征在于,特征库解析模块和待检测文件获取模块中的所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410618832.XA CN104991893A (zh) | 2014-11-06 | 2014-11-06 | 一种启发式自解压包和安装包检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410618832.XA CN104991893A (zh) | 2014-11-06 | 2014-11-06 | 一种启发式自解压包和安装包检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104991893A true CN104991893A (zh) | 2015-10-21 |
Family
ID=54303709
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410618832.XA Pending CN104991893A (zh) | 2014-11-06 | 2014-11-06 | 一种启发式自解压包和安装包检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104991893A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106599017A (zh) * | 2016-10-20 | 2017-04-26 | 广州优视网络科技有限公司 | 安装包的扫描解析方法、装置及移动终端 |
CN109726294A (zh) * | 2018-12-04 | 2019-05-07 | 北京奇艺世纪科技有限公司 | 一种App实体对齐方法、装置及电子设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103761483A (zh) * | 2014-01-27 | 2014-04-30 | 百度在线网络技术(北京)有限公司 | 恶意代码的检测方法及装置 |
CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
CN103902906A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 基于应用图标的移动终端恶意代码检测方法及系统 |
-
2014
- 2014-11-06 CN CN201410618832.XA patent/CN104991893A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103902906A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 基于应用图标的移动终端恶意代码检测方法及系统 |
CN103761483A (zh) * | 2014-01-27 | 2014-04-30 | 百度在线网络技术(北京)有限公司 | 恶意代码的检测方法及装置 |
CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106599017A (zh) * | 2016-10-20 | 2017-04-26 | 广州优视网络科技有限公司 | 安装包的扫描解析方法、装置及移动终端 |
CN109726294A (zh) * | 2018-12-04 | 2019-05-07 | 北京奇艺世纪科技有限公司 | 一种App实体对齐方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103914546A (zh) | 数据更新方法及其装置 | |
CN105303176A (zh) | 指纹模板更新方法及装置 | |
CN104199749A (zh) | 一种崩溃信息的处理方法及装置 | |
CN106095432B (zh) | 一种识别应用类型的方法 | |
US20160253577A1 (en) | Image Clustering Method, Image Clustering System, And Image Clustering Server | |
CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
CN105095330A (zh) | 一种基于压缩包内容的文件格式识别方法及系统 | |
WO2015110041A1 (en) | Route information acquiring method and terminal | |
CN106021301B (zh) | 一种不同文件格式的数据比对系统及方法 | |
CN105701195A (zh) | 一种根据文件类型自动分类存储的实现方法及系统 | |
US20150379572A1 (en) | Method for identifying bundled software and apparatus therefor | |
CN104469832A (zh) | 移动通信网络故障分析定位辅助系统 | |
CN105808619A (zh) | 基于影响分析的任务重做的方法、影响分析计算装置及一键重置装置 | |
CN103218238A (zh) | 一种基于操作系统对应用程序分类的方法 | |
CN102799804A (zh) | 未知文件安全性综合鉴定方法及系统 | |
WO2016013280A1 (ja) | データ分析方法、及びデータ分析システム | |
CN112269588A (zh) | 算法的升级方法、装置、终端和计算机可读存储介质 | |
CN104991893A (zh) | 一种启发式自解压包和安装包检测方法及系统 | |
CN105426544B (zh) | 监控数据库状态的方法及装置 | |
CN105653475A (zh) | 一种usb设备的识别方法及系统 | |
CN110738184A (zh) | 纸质凭证的预警信息生成方法及装置 | |
CN105205123A (zh) | 一种数据库间数据交互方法和装置 | |
CN103440455A (zh) | 一种移动终端软件包安全检测方法及系统 | |
US20190295065A1 (en) | Affiliated store labeling method, affiliated store labeling device, and affiliated store labeling system for wireless lan fingerprint | |
CN111917848A (zh) | 基于边缘计算和云计算协同的数据处理方法及云服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151021 |
|
RJ01 | Rejection of invention patent application after publication |