CN107169352A - 一种基于加壳文件校验和的恶意软件检测方法及系统 - Google Patents

一种基于加壳文件校验和的恶意软件检测方法及系统 Download PDF

Info

Publication number
CN107169352A
CN107169352A CN201710175748.9A CN201710175748A CN107169352A CN 107169352 A CN107169352 A CN 107169352A CN 201710175748 A CN201710175748 A CN 201710175748A CN 107169352 A CN107169352 A CN 107169352A
Authority
CN
China
Prior art keywords
file
detected
checksum
unpacking
packing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710175748.9A
Other languages
English (en)
Inventor
卓子寒
何跃鹰
刘中金
方喆君
李海灵
邹潇湘
高昕
侯美佳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National Computer Network and Information Security Management Center
Original Assignee
National Computer Network and Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National Computer Network and Information Security Management Center filed Critical National Computer Network and Information Security Management Center
Priority to CN201710175748.9A priority Critical patent/CN107169352A/zh
Publication of CN107169352A publication Critical patent/CN107169352A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)

Abstract

本发明公开了一种基于加壳文件校验和的恶意软件检测方法,首先获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;对加壳的待检测文件进行脱壳;计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀这种手段,可以有效的增加未知检测能力。

Description

一种基于加壳文件校验和的恶意软件检测方法及系统
技术领域
本发明涉及信息安全技术领域,具体为一种基于加壳文件校验和的恶意软件检测方法及系统。
背景技术
对二进制文件加壳已经成为计算机信息安全领域应用比较广泛的一种技术手段,壳大致分为:压缩壳、加密壳、保护壳等种类,主要用于防止商业软件被逆向工程,压缩软件、躲避反病毒软件查杀这些方向上。
现有的反病毒软件为了查杀加壳恶意软件,通常会对加壳恶意软件进行脱壳操作,并对产生的新的脱壳后二进制数据进行特征匹配去查杀,恶意软件作者为了对抗查杀,会对加壳恶意软件进行修改,例如:修改校验和,使反病毒软件脱壳失败,从而达到躲避查杀的目的,本专利所要解决的就是人为修改加壳恶意软件导致反病毒软件无法查杀的问题。
发明内容
为了克服现有技术方案的不足,本发明提供一种基于加壳文件校验和的恶意软件检测方法,能够针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀这种手段,可以有效的增加未知检测能力。
本发明解决其技术问题所采用的技术方案是:一种基于加壳文件校验和的恶意软件检测方法,包括如下步骤:
(S101)获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
(S102)若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
(S103)对加壳的待检测文件进行脱壳;
(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
(S106)若不同且脱壳能够成功,则判定待检测文件为病毒。
作为本发明一种优选的技术方案,所述步骤(S101)中判断待检测文件是否加壳方法包括二进制规则或识别代码。
作为本发明一种优选的技术方案,所述步骤(S103)中对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区:
作为本发明一种优选的技术方案,所述步骤(S104)中计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
另外本发明还设计了一种基于加壳文件校验和的恶意软件检测系统,包括:
判断模块一,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块,用于对加壳的待检测文件进行脱壳;
计算模块,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
与现有技术相比,本发明的有益效果是:本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀的这种手段,创新的利用验证校验和一致性这种启发式的检测方法,可以有效的增加未知检测能力。
附图说明
图1为本发明一种基于加壳文件校验和的恶意软件检测方法流程图;
图2为本发明一种基于加壳文件校验和的恶意软件检测系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
如图1所示,本发明给出了一种基于加壳文件校验和的恶意软件检测方法实施例,包括如下步骤:
S101、获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
S102、若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
S103、对加壳的待检测文件进行脱壳;
S104、计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
S105、判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
S106、若不同且脱壳能够成功,则判定待检测文件为病毒。
所述判断待检测文件是否加壳方法包括二进制规则或识别代码;所述对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区;所述计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
如图2所示,本发明还给出了一种基于加壳文件校验和的恶意软件检测系统实施例,包括:
判断模块一201,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块202,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块203,用于对加壳的待检测文件进行脱壳;
计算模块204,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二205,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
本说明书中系统的实施例采用递进的方式描述,对于方法的实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出一种基于加壳文件校验和的恶意软件检测方法,包括:获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;对加壳的待检测文件进行脱壳;计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀的这种手段,创新的利用验证校验和一致性这种启发式的检测方法,可以有效的增加未知检测能力。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (5)

1.一种基于加壳文件校验和的恶意软件检测方法,其特征在于:包括如下步骤:
(S101)获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
(S102)若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
(S103)对加壳的待检测文件进行脱壳;
(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
(S106)若不同且脱壳能够成功,则判定待检测文件为病毒。
2.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S101)中判断待检测文件是否加壳方法包括二进制规则或识别代码。
3.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S103)中对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区。
4.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S104)中计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
5.一种基于加壳文件校验和的恶意软件检测系统,其特征在于,包括:
判断模块一,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块,用于对加壳的待检测文件进行脱壳;
计算模块,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
CN201710175748.9A 2017-03-22 2017-03-22 一种基于加壳文件校验和的恶意软件检测方法及系统 Pending CN107169352A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710175748.9A CN107169352A (zh) 2017-03-22 2017-03-22 一种基于加壳文件校验和的恶意软件检测方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710175748.9A CN107169352A (zh) 2017-03-22 2017-03-22 一种基于加壳文件校验和的恶意软件检测方法及系统

Publications (1)

Publication Number Publication Date
CN107169352A true CN107169352A (zh) 2017-09-15

Family

ID=59849558

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710175748.9A Pending CN107169352A (zh) 2017-03-22 2017-03-22 一种基于加壳文件校验和的恶意软件检测方法及系统

Country Status (1)

Country Link
CN (1) CN107169352A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108090353A (zh) * 2017-11-03 2018-05-29 哈尔滨安天科技股份有限公司 一种基于知识驱动的加壳代码回归检测方法及系统
CN110874472A (zh) * 2018-09-04 2020-03-10 中国信息安全测评中心 一种pe病毒逃逸样本的生成方法和系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108090353A (zh) * 2017-11-03 2018-05-29 哈尔滨安天科技股份有限公司 一种基于知识驱动的加壳代码回归检测方法及系统
CN110874472A (zh) * 2018-09-04 2020-03-10 中国信息安全测评中心 一种pe病毒逃逸样本的生成方法和系统
CN110874472B (zh) * 2018-09-04 2024-02-13 中国信息安全测评中心 一种pe病毒逃逸样本的生成方法和系统

Similar Documents

Publication Publication Date Title
CN108280350B (zh) 一种面向Android的移动网络终端恶意软件多特征检测方法
CN102750482B (zh) 一种安卓市场中重包装应用的检测方法
CN103685307B (zh) 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器
CN102664875B (zh) 基于云模式的恶意代码类别检测方法
WO2017190620A1 (zh) 一种病毒检测方法、终端及服务器
WO2015120752A1 (zh) 网络威胁处理方法及设备
CN110135156B (zh) 一种基于沙盒动态行为识别可疑攻击代码的方法
US20170344743A1 (en) Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets
CN102882875B (zh) 主动防御方法及装置
CN102624713B (zh) 网站篡改识别的方法及装置
CN102916937B (zh) 一种拦截网页攻击的方法、装置和客户端设备
JP2012501028A5 (zh)
CN107025407A (zh) 一种office文档文件的恶意代码检测方法及系统
CN103310150A (zh) 一种检测pdf漏洞的方法和装置
CN111385270A (zh) 基于waf的网络攻击检测方法及装置
CN105260654A (zh) 一种软件系统自身完整性的验证方法
CN105224600A (zh) 一种样本相似度的检测方法及装置
CN107463844B (zh) Web木马检测方法及系统
CN105354494A (zh) 网页数据篡改的检测方法及装置
JP2019514119A (ja) ハイブリッドプログラムバイナリ特徴の抽出及び比較
CN107330326A (zh) 一种恶意木马检测处理方法及装置
CN107169352A (zh) 一种基于加壳文件校验和的恶意软件检测方法及系统
CN103152356B (zh) 检测文件样本安全性的方法、服务器和系统
CN114637990A (zh) 文件恶意度的评估方法、装置、电子设备和介质
US20180341770A1 (en) Anomaly detection method and anomaly detection apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20170915