CN107169352A - 一种基于加壳文件校验和的恶意软件检测方法及系统 - Google Patents
一种基于加壳文件校验和的恶意软件检测方法及系统 Download PDFInfo
- Publication number
- CN107169352A CN107169352A CN201710175748.9A CN201710175748A CN107169352A CN 107169352 A CN107169352 A CN 107169352A CN 201710175748 A CN201710175748 A CN 201710175748A CN 107169352 A CN107169352 A CN 107169352A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- shell adding
- shelling
- shell
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明公开了一种基于加壳文件校验和的恶意软件检测方法,首先获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;对加壳的待检测文件进行脱壳;计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀这种手段,可以有效的增加未知检测能力。
Description
技术领域
本发明涉及信息安全技术领域,具体为一种基于加壳文件校验和的恶意软件检测方法及系统。
背景技术
对二进制文件加壳已经成为计算机信息安全领域应用比较广泛的一种技术手段,壳大致分为:压缩壳、加密壳、保护壳等种类,主要用于防止商业软件被逆向工程,压缩软件、躲避反病毒软件查杀这些方向上。
现有的反病毒软件为了查杀加壳恶意软件,通常会对加壳恶意软件进行脱壳操作,并对产生的新的脱壳后二进制数据进行特征匹配去查杀,恶意软件作者为了对抗查杀,会对加壳恶意软件进行修改,例如:修改校验和,使反病毒软件脱壳失败,从而达到躲避查杀的目的,本专利所要解决的就是人为修改加壳恶意软件导致反病毒软件无法查杀的问题。
发明内容
为了克服现有技术方案的不足,本发明提供一种基于加壳文件校验和的恶意软件检测方法,能够针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀这种手段,可以有效的增加未知检测能力。
本发明解决其技术问题所采用的技术方案是:一种基于加壳文件校验和的恶意软件检测方法,包括如下步骤:
(S101)获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
(S102)若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
(S103)对加壳的待检测文件进行脱壳;
(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
(S106)若不同且脱壳能够成功,则判定待检测文件为病毒。
作为本发明一种优选的技术方案,所述步骤(S101)中判断待检测文件是否加壳方法包括二进制规则或识别代码。
作为本发明一种优选的技术方案,所述步骤(S103)中对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区:
作为本发明一种优选的技术方案,所述步骤(S104)中计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
另外本发明还设计了一种基于加壳文件校验和的恶意软件检测系统,包括:
判断模块一,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块,用于对加壳的待检测文件进行脱壳;
计算模块,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
与现有技术相比,本发明的有益效果是:本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀的这种手段,创新的利用验证校验和一致性这种启发式的检测方法,可以有效的增加未知检测能力。
附图说明
图1为本发明一种基于加壳文件校验和的恶意软件检测方法流程图;
图2为本发明一种基于加壳文件校验和的恶意软件检测系统结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例:
如图1所示,本发明给出了一种基于加壳文件校验和的恶意软件检测方法实施例,包括如下步骤:
S101、获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
S102、若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
S103、对加壳的待检测文件进行脱壳;
S104、计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
S105、判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
S106、若不同且脱壳能够成功,则判定待检测文件为病毒。
所述判断待检测文件是否加壳方法包括二进制规则或识别代码;所述对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区;所述计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
如图2所示,本发明还给出了一种基于加壳文件校验和的恶意软件检测系统实施例,包括:
判断模块一201,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块202,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块203,用于对加壳的待检测文件进行脱壳;
计算模块204,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二205,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
本说明书中系统的实施例采用递进的方式描述,对于方法的实施例而言,由于其基本相似于系统实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明提出一种基于加壳文件校验和的恶意软件检测方法,包括:获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;对加壳的待检测文件进行脱壳;计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀的这种手段,创新的利用验证校验和一致性这种启发式的检测方法,可以有效的增加未知检测能力。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (5)
1.一种基于加壳文件校验和的恶意软件检测方法,其特征在于:包括如下步骤:
(S101)获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
(S102)若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
(S103)对加壳的待检测文件进行脱壳;
(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;
(S106)若不同且脱壳能够成功,则判定待检测文件为病毒。
2.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S101)中判断待检测文件是否加壳方法包括二进制规则或识别代码。
3.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S103)中对加壳的待检测文件进行脱壳后,保存脱壳后产生的新缓冲区。
4.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法,其特征在于:所述步骤(S104)中计算方法为根据壳的校验和方法,包括对加壳文件和脱壳后产生的新缓冲区计算。
5.一种基于加壳文件校验和的恶意软件检测系统,其特征在于,包括:
判断模块一,用于获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;
提取模块,用于从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;
脱壳模块,用于对加壳的待检测文件进行脱壳;
计算模块,用于计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;
判断模块二,用于判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710175748.9A CN107169352A (zh) | 2017-03-22 | 2017-03-22 | 一种基于加壳文件校验和的恶意软件检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710175748.9A CN107169352A (zh) | 2017-03-22 | 2017-03-22 | 一种基于加壳文件校验和的恶意软件检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107169352A true CN107169352A (zh) | 2017-09-15 |
Family
ID=59849558
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710175748.9A Pending CN107169352A (zh) | 2017-03-22 | 2017-03-22 | 一种基于加壳文件校验和的恶意软件检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107169352A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108090353A (zh) * | 2017-11-03 | 2018-05-29 | 哈尔滨安天科技股份有限公司 | 一种基于知识驱动的加壳代码回归检测方法及系统 |
| CN110874472A (zh) * | 2018-09-04 | 2020-03-10 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
-
2017
- 2017-03-22 CN CN201710175748.9A patent/CN107169352A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108090353A (zh) * | 2017-11-03 | 2018-05-29 | 哈尔滨安天科技股份有限公司 | 一种基于知识驱动的加壳代码回归检测方法及系统 |
| CN110874472A (zh) * | 2018-09-04 | 2020-03-10 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
| CN110874472B (zh) * | 2018-09-04 | 2024-02-13 | 中国信息安全测评中心 | 一种pe病毒逃逸样本的生成方法和系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Nguyen et al. | {FLAME}: Taming backdoors in federated learning | |
| Rathore et al. | XSSClassifier: an efficient XSS attack detection approach based on machine learning classifier on SNSs | |
| Andronio et al. | Heldroid: Dissecting and detecting mobile ransomware | |
| RU2610254C2 (ru) | Система и способ определения измененных веб-страниц | |
| CN105989283B (zh) | 一种识别病毒变种的方法及装置 | |
| Crussell et al. | Scalable semantics-based detection of similar android applications | |
| US20230161880A1 (en) | Cross-architecture automatic detection method and system for third-party components and security risks thereof | |
| CN103577323B (zh) | 基于动态关键指令序列胎记的软件抄袭检测方法 | |
| CN105046152B (zh) | 基于函数调用图指纹的恶意软件检测方法 | |
| CN106326737A (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| CN107463844B (zh) | Web木马检测方法及系统 | |
| CN107368592B (zh) | 一种用于网络安全报告的文本特征模型建模方法及装置 | |
| CN111881446B (zh) | 一种工业互联网恶意代码识别方法及装置 | |
| CN103780614A (zh) | 一种基于模拟攻击扩展的sql注入漏洞挖掘方法 | |
| CN108985061A (zh) | 一种基于模型融合的webshell检测方法 | |
| Hoang | A website defacement detection method based on machine learning techniques | |
| Paturi et al. | Mobile malware visual analytics and similarities of attack toolkits (malware gene analysis) | |
| Kazi et al. | Hidden Markov models for software piracy detection | |
| CN113901465A (zh) | 一种基于异质网络的Android恶意软件检测方法 | |
| Yang et al. | An android malware detection and classification approach based on contrastive lerning | |
| CN107169352A (zh) | 一种基于加壳文件校验和的恶意软件检测方法及系统 | |
| CN102542190B (zh) | 基于机器学习的程序识别方法及装置 | |
| Bai et al. | Dynamic k-gram based software birthmark | |
| Chen et al. | Sherlock on Specs: Building {LTE} Conformance Tests through Automated Reasoning | |
| CN108090364B (zh) | 一种数据泄漏源的定位方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170915 |
|
| WD01 | Invention patent application deemed withdrawn after publication |