CN107426201A - 可执行文件的处理方法及装置、存储介质和处理器 - Google Patents
可执行文件的处理方法及装置、存储介质和处理器 Download PDFInfo
- Publication number
- CN107426201A CN107426201A CN201710570604.3A CN201710570604A CN107426201A CN 107426201 A CN107426201 A CN 107426201A CN 201710570604 A CN201710570604 A CN 201710570604A CN 107426201 A CN107426201 A CN 107426201A
- Authority
- CN
- China
- Prior art keywords
- executable file
- executable
- file
- trusted
- analog simulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种可执行文件的处理方法及装置、存储介质和处理器。其中,该方法包括:获取待测试的可执行文件集合,其中,可执行文件集合是当前管控的多个终端待使用的全部可执行文件;对可执行文件集合进行安全性检测,过滤出多个可信任文件;向多个终端提供多个可信任文件。本发明解决了相关技术中所提供的终端侧采取的单机环境的反病毒工具难以适用于防治网络病毒的技术问题。
Description
技术领域
本发明涉及互联网领域,具体而言,涉及一种可执行文件的处理方法及装置、存储介质和处理器。
背景技术
可执行文件(executable file)是指可以由操作系统进行加载执行的文件。在不同的操作系统环境下,可执行程序的呈现方式各不相同。在视窗(windows)操作系统下,可执行程序通常可以包括但不限于:.exe文件、.sys文件、.com文件。
在科学技术飞速发展的当今时代,大量终端应用程序被暴力破解,并进行反编译等操作,从而构建出大量具有风险的应用安装包,影响用户对终端应用的使用;更为重要的是,如果在这些应用安装包中还可能会植入恶意代码,那么将会对用户的数据与财产安全造成严重的安全隐患。
目前,针对终端侧的可执行文件而言,通常存在以下几种类型病毒:
第一类、文件型病毒,在计算机病毒中绝大部分病毒属于文件型。所谓文件型病毒是指此类病毒寄生在可执行文件上,并依靠可执行文件来传播。而解除这种病毒的过程实际上是针对病毒感染过程的逆过程,即通过获取病毒体的全部代码以得到还原病毒的数据,进而恢复可执行文件。
第二类、引导型病毒,其可以占据软盘或硬盘的第一个扇区,并在开机后先于操作系统得到对计算机的控制权,从而影响系统的输入/输出(I/O)存取速度、干扰系统的正常运行;此类病毒可以采用地址法、相对法、逻辑法、覆盖法、特殊法等方式予以解除。
第三类、内存型病毒,考虑到内存中的活病毒体会干扰反病毒工具的检测结果,因此,几乎所有反病毒工具的研发人员均需要内存排毒问题,其通常采用的方式在于:查找到病毒在内存中的存储位置,重构其中部分代码,使其传播功能失效。
第四类、未知病毒,通过对大量病毒的分析,可以掌握病毒的共性,并按照其发展衍生规律进行分类,总结病毒常用代码(这些代码是病毒存在、传播和发作的基础),以文件中包含这些代码的加权统计值作为对未知病毒检测的依据,根据可执行文件格式分析启始代码,并通过一定程度的反汇编和预测跳转,综合结果报告未知病毒。
第五类、包裹文件病毒,包裹程序可以为一些常见的工具软件,其可以包裹可执行文件,减小磁盘占用空间,加快运行速度。但如果将一段病毒代码进行包裹后,那么病毒就会被保护起来,从而使得各种反病毒工具无法正常查找。已被包裹并含有病毒的可执行文件在执行时,病毒会肆意传播,而在使用反病毒工具将病毒清除之后,被包裹的可执行文件中的病毒却被保留下来。因此,通过特有的解包裹组件不但可以查找到被包裹后的病毒,还可以避免破坏被包裹后无病毒的可执行文件。
第六类、压缩类病毒,磁盘上经常会存在部分被压缩工具处理过的文件,由此可以节省磁盘空间,便于保密和携带。但如果将病毒传染的文件使用压缩工具进行压缩处理,那么常用的反病毒软件将无法从压缩文件中查找出病毒,此时,需要借助解压缩算法与相关处理流程来解决压缩类病毒。
相关技术中,对于单机病毒防治而言,通过运用以上技术或使用具有相应功能的反病毒工具能够基本保障计算机系统免受病毒侵扰。然而,相对于单机病毒的防护而言,网络病毒的防治具有更大的难度,其需要与网络管理集成。如果缺乏网络管理功能则难以完成网络防毒的任务,无法确保系统良好、有序地运行。
在通常情况下,计算机病毒的防治在于完善操作系统和应用软件的安全机制,但在网络环境下,应该需要采取新的防范手段。在网络环境下,病毒传播扩散快,仅使用单机反病毒工具已经难以清除网络病毒,必须采取适用于局域网与广域网的全方位防护手段。
由此可见,相关技术中所提供的终端侧采取的单机环境的反病毒工具难以适用于防治网络病毒。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种可执行文件的处理方法及装置、存储介质和处理器,以至少解决相关技术中所提供的终端侧采取的单机环境的反病毒工具难以适用于防治网络病毒的技术问题。
根据本发明实施例的一个方面,提供了一种可执行文件的处理方法,包括:
获取待测试的可执行文件集合,其中,可执行文件集合是当前管控的多个终端待使用的全部可执行文件;对可执行文件集合进行安全性检测,过滤出多个可信任文件;向多个终端提供多个可信任文件。
可选地,对可执行文件集合进行安全性检测,过滤出多个可信任文件包括:对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,可执行脚本与可执行文件集合中每个可执行文件相关联;若模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定可执行脚本对应的可执行文件为可信任文件。
可选地,对可执行文件集合进行安全性检测,过滤出多个可信任文件包括:获取每个可执行文件中全部特定类型代码段对应的特征校验码;若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
可选地,获取每个可执行文件中全部特定类型代码段对应的特征校验码包括:获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;计算与每个待校验数据流对应的特征校验码。
根据本发明实施例的另一方面,还提供了一种可执行文件的处理装置,包括:
获取模块,用于获取待测试的可执行文件集合,其中,可执行文件集合是当前管控的多个终端待使用的全部可执行文件;过滤模块,用于对可执行文件集合进行安全性检测,过滤出多个可信任文件;处理模块,用于向多个终端提供多个可信任文件。
可选地,过滤模块包括:模拟单元,用于对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,可执行脚本与可执行文件集合中每个可执行文件相关联;第一确定单元,用于若模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定可执行脚本对应的可执行文件为可信任文件。
可选地,过滤模块包括:获取单元,用于获取每个可执行文件中全部特定类型代码段对应的特征校验码;第二确定单元,用于若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
可选地,获取单元包括:获取子单元,用于获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;解析子单元,用于对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;计算子单元,用于计算与每个待校验数据流对应的特征校验码。
根据本发明实施例的又一方面,还提供了一种存储介质,该存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述可执行文件的处理方法。
根据本发明实施例的再一方面,还提供了一种处理器,该处理器用于运行程序,其中,程序运行时执行上述可执行文件的处理方法。
在本发明实施例中,采用获取服务端当前管控的多个终端待使用的全部可执行文件的方式,通过对全部可执行文件进行安全性检测,过滤出多个可信任文件以及向多个终端提供多个可信任文件,达到了由服务端对其管控的各个终端所需要使用的全部可执行文件进行统一安全性检测,而只有被确定为可信任文件才能够提供给多个终端的目的,从而提升了联网环境下网络病毒防治能力,增强了可执行文件的使用安全性的技术效果,进而解决了相关技术中所提供的终端侧采取的单机环境的反病毒工具难以适用于防治网络病毒的技术问题。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是根据本发明实施例的可执行文件的处理方法的流程图;
图2是根据本发明优选实施例的可执行文件的处理过程的组网结构示意图;
图3是根据本发明实施例的可执行文件的处理装置的结构框图;
图4是根据本发明优选实施例的可执行文件的处理装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
根据本发明实施例,提供了一种可执行文件的处理方法的实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的可执行文件的处理方法的流程图,如图1所示,该方法包括如下步骤:
步骤S12,获取待测试的可执行文件集合,其中,可执行文件集合是当前管控的多个终端待使用的全部可执行文件;
步骤S14,对可执行文件集合进行安全性检测,过滤出多个可信任文件;
步骤S16,向多个终端提供多个可信任文件。
通过上述步骤,可以采用获取服务端当前管控的多个终端待使用的全部可执行文件的方式,通过对全部可执行文件进行安全性检测,过滤出多个可信任文件以及向多个终端提供多个可信任文件,达到了由服务端对其管控的各个终端所需要使用的全部可执行文件进行统一安全性检测,而只有被确定为可信任文件才能够提供给多个终端的目的,从而提升了联网环境下网络病毒防治能力,增强了可执行文件的使用安全性的技术效果,进而解决了相关技术中所提供的终端侧采取的单机环境的反病毒工具难以适用于防治网络病毒的技术问题。
可选地,在步骤S14中,对可执行文件集合进行安全性检测,过滤出多个可信任文件可以包括以下执行步骤:
步骤S141,对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,可执行脚本与可执行文件集合中每个可执行文件相关联;
步骤S142,若模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定可执行脚本对应的可执行文件为可信任文件。
模拟仿真是用于检测潜在恶意程序的一种较为实用的方式,该检测方式用于分析程序行为,通过创建处理器和存储器注册表的虚拟副本以及处理器指令集的虚拟副本的处理器、存储器和其他设备的基于软件的模仿。基于这种检测方式,程序指令无需实际物理处理器上执行,而是在虚拟副本上执行。在优选实施过程中,可以配置脚本仿真器,其可以包括:解释程序。解释程序可以采用原始脚本代码和伪代码进行编辑,与原始脚本代码相比,伪代码是脚本的简洁表示,其更易于用户分析和理解,并且可以通过反编译获得。从技术上而言,伪代码是从原始脚本代码生成的独立于机器的低级代码,由虚拟机执行,而不由实际处理器执行,其中,该虚拟机可以包括:脚本语言的解释程序(例如:AutoIt编程语言),每个操作代码的长度可以为一个字节,每条指令通常是一个字节操作代码(0-255),其可以具有多个参数,例如:注册表数目或存储器中的地址。伪代码中的单个脚本可由解释程序在不同平台和体系架构上执行。
图2是根据本发明优选实施例的可执行文件的处理过程的组网结构示意图,如图2所示,在检测过程中,首先,需要从可执行文件中提取出可执行脚本;其次,将可执行脚本转化为伪代码,并将转化后的伪代码作为脚本仿真器的输入信息在脚本仿真器中执行模拟仿真操作;然后,将脚本仿真器输出的仿真结果存储在存储区域内配置的模拟仿真日志中,其中,该模拟仿真日志可以包括但不限于:可执行文件所执行的正常行为、可执行文件所执行的可疑行为(例如:强制用户下载特定服务商提供的应用软件)、可执行文件所执行的恶意行为(例如:未经用户允许篡改系统注册表)。如果发现模拟仿真日志中包含恶意行为,则确定该可执行文件需要被滤除;如果发现模拟仿真日志中包含的可疑行为数量超过预设阈值(例如:3个),则确定该可执行文件需要被滤除,否则,将被视为可信任文件。
可选地,在步骤S14中,对可执行文件集合进行安全性检测,过滤出多个可信任文件可以包括以下执行步骤:
步骤S143,获取每个可执行文件中全部特定类型代码段对应的特征校验码;
步骤S144,若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
上述预设的恶意代码特征集合是通过对长期大量实践得到的恶意代码样本进行比对分析,并基于分析报告总结得到的特征集合。
可选地,在步骤S143中,获取每个可执行文件中全部特定类型代码段对应的特征校验码可以包括以下执行步骤:
步骤S1431,获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;
步骤S1432,计算与每个待校验数据流对应的特征校验码。
具体地,如上述图2所示,首先,获取终端待使用的可执行文件,并获取可执行文件中包含的全部功能函数以及每个功能函数对应的特定类型(例如:opcode)代码段内容;其次,可以对opcode代码段内容进行反汇编以获取opcode代码段内容中的待校验数据流;然后,提取待校验数据流中的一个或多个数据片段并利用预设算法(例如:相似性HASH算法)生成对应的校验特征码;最后,检测校验特征码是否存在于预设的恶意代码特征集合中,如果存在,则确定终端待使用的可执行文件中具有恶意代码,由于数据流表示程序执行过程中所涉及到的相关数据的特征与变化,因此,在整个检测过程中,通过从程序数据流的角度对恶意代码进行检测,能够有效地提高检测结果的准确度。
可选地,在步骤S12中,获取可执行文件集合可以包括以下执行步骤:
步骤S121,接收多个终端中每个终端上报的请求消息,其中,请求消息中携带有标识信息,标识信息用于指示待使用的可执行文件;
步骤S122,根据请求消息获取可执行文件集合。
为了便于服务端对其管控的各个终端所需要使用的可执行文件进行统一安全性检测,服务端需要明确检测范围。因此,通过每个终端向服务端上报各自需要使用的可执行文件的标识信息,进而确保服务端获知各个终端所需要使用的可执行文件,以便从外部网络下载相关可执行文件。
可选地,在步骤S16中,向多个终端提供多个可信任文件可以包括以下方式之一:
方式一、将多个可信任文件存储于预设的共享存储区域,并为多个终端中的每个终端分配访问共享存储区域的权限;
即服务端可以在数据库中开辟出一个共享存储区域(例如:共享文件夹),然后将全部通过验证的可信任文件放入该共享存储区域,同时,还会为其管控的每个终端分配访问权限(例如:仅允许执行读取操作而不允许执行写入操作),以使每个终端利用服务端为自身分配的访问权限从该共享存储区域获取自身需要的可执行文件。如果不具备访问权项的终端,则无法对该共享存储区域执行读取操作与写入操作。
方式二、将标识信息对应的可信任文件发送至对应的终端。
服务端还可以根据每个终端上报的标识信息,明确每个终端所需要使用的可执行文件,进而按照每个终端上报的标识信息,将对应的可信任文件下发至对应的终端。
可选地,在步骤S16,向多个终端提供多个可信任文件之后,还可以包括以下执行步骤:
步骤S17,获取每个未通过安全性检测的可执行文件的传播路径;
步骤S18,根据传播路径查找每个未通过安全性检测的可执行文件的源头以及经过的中间设备;
步骤S19,对源头和/或中间设备进行隔离。
为了能够进一步确保由服务端管控的各个终端的系统安全性,防止恶意行为攻击,服务端在确定不属于可信任文件的一个或多个可执行文件之后,还需要对这些可执行文件进行解析,获取每个未通过安全性检测的可执行文件的传播路径,进而判断该可执行文件是在源头发布过程中被注入了恶意代码,还是在中途的特定中间设备处被注入了恶意代码,一旦发现有病毒感染痕迹,便需要对源头和/或中间设备进行隔离,进而防止恶意代码再次扩散。对于被隔离设备,需要分析恶意代码产生的原因,只有待恶意代码清除完毕后,服务端才能重新接收源头发送的数据包。
根据本发明实施例,提供了一种可执行文件的处理装置的实施例,图3是根据本发明实施例的可执行文件的处理装置的结构框图,如图3所示,该装置包括:获取模块10,用于获取待测试的可执行文件集合,其中,可执行文件集合是当前管控的多个终端待使用的全部可执行文件;过滤模块20,用于对可执行文件集合进行安全性检测,过滤出多个可信任文件;处理模块30,用于向多个终端提供多个可信任文件。
可选地,过滤模块20可以包括:模拟单元(图中未示出),用于对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,可执行脚本与可执行文件集合中每个可执行文件相关联;第一确定单元(图中未示出),用于若模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定可执行脚本对应的可执行文件为可信任文件。
可选地,过滤模块20可以包括:获取单元(图中未示出),用于获取每个可执行文件中全部特定类型代码段对应的特征校验码;第二确定单元(图中未示出),用于若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
可选地,获取单元(图中未示出)可以包括:获取子单元(图中未示出),用于获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;解析子单元(图中未示出),用于对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;计算子单元(图中未示出),用于计算与每个待校验数据流对应的特征校验码。
可选地,获取模块10可以包括:接收单元(图中未示出),用于接收多个终端中每个终端上报的请求消息,其中,请求消息中携带有标识信息,标识信息用于指示待使用的可执行文件;获取单元(图中未示出),用于根据请求消息获取可执行文件集合。
可选地,处理模块30,用于将多个可信任文件存储于预设的共享存储区域,并为多个终端中的每个终端分配访问共享存储区域的权限;或者,将标识信息对应的可信任文件发送至对应的终端。
可选地,获取模块10,还用于获取每个未通过安全性检测的可执行文件的传播路径;图4是根据本发明优选实施例的可执行文件的处理装置的结构框图,如图4所示,上述装置还可以包括:查找模块40,用于根据传播路径查找每个未通过安全性检测的可执行文件的源头以及经过的中间设备;处理模块30,还用于对源头和/或中间设备进行隔离。
根据本发明其中一实施例,还提供了一种存储介质,存储介质包括存储的程序,其中,在程序运行时控制存储介质所在设备执行上述补丁的更新方法。上述存储介质可以包括但不限于:U盘、只读存储器(ROM)、随机存取存储器(RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
根据本发明其中一实施例,还提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述补丁的更新方法。上述处理器可以包括但不限于:微处理器(MCU)或可编程逻辑器件(FPGA)等的处理装置。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
在本发明的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (10)
1.一种可执行文件的处理方法,其特征在于,包括:
获取待测试的可执行文件集合,其中,所述可执行文件集合是当前管控的多个终端待使用的全部可执行文件;
对所述可执行文件集合进行安全性检测,过滤出多个可信任文件;
向所述多个终端提供所述多个可信任文件。
2.根据权利要求1所述的方法,其特征在于,对所述可执行文件集合进行所述安全性检测,过滤出所述多个可信任文件包括:
对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,所述可执行脚本与所述可执行文件集合中每个可执行文件相关联;
若所述模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定所述可执行脚本对应的可执行文件为可信任文件。
3.根据权利要求1所述的方法,其特征在于,对所述可执行文件集合进行所述安全性检测,过滤出所述多个可信任文件包括:
获取每个可执行文件中全部特定类型代码段对应的特征校验码;
若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
4.根据权利要求3所述的方法,其特征在于,获取每个可执行文件中全部特定类型代码段对应的特征校验码包括:
获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;
对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;
计算与每个待校验数据流对应的特征校验码。
5.一种可执行文件的处理装置,其特征在于,包括:
获取模块,用于获取待测试的可执行文件集合,其中,所述可执行文件集合是当前管控的多个终端待使用的全部可执行文件;
过滤模块,用于对所述可执行文件集合进行安全性检测,过滤出多个可信任文件;
处理模块,用于向所述多个终端提供所述多个可信任文件。
6.根据权利要求5所述的装置,其特征在于,所述过滤模块包括:
模拟单元,用于对可执行脚本进行模拟仿真运行,并将模拟仿真结果记录在模拟仿真日志中,其中,所述可执行脚本与所述可执行文件集合中每个可执行文件相关联;
第一确定单元,用于若所述模拟仿真日志中未包含恶意行为或可疑行为的数量未超过预设阈值,则确定所述可执行脚本对应的可执行文件为可信任文件。
7.根据权利要求5所述的装置,其特征在于,所述过滤模块包括:
获取单元,用于获取每个可执行文件中全部特定类型代码段对应的特征校验码;
第二确定单元,用于若每个特征校验码均未出现在预设存储区域内的恶意代码特征集合中,则确定已通过特征校验的可执行文件为可信任文件。
8.根据权利要求7所述的装置,其特征在于,所述获取单元包括:
获取子单元,用于获取每个可执行文件中包含的功能函数以及与每个功能函数对应的特定类型代码段;
解析子单元,用于对获取到的每个特定类型代码段进行反汇编解析,得到待校验数据流;
计算子单元,用于计算与每个待校验数据流对应的特征校验码。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,在所述程序运行时控制所述存储介质所在设备执行权利要求1至4中任意一项所述的可执行文件的处理方法。
10.一种处理器,其特征在于,所述处理器用于运行程序,其中,所述程序运行时执行权利要求1至4中任意一项所述的可执行文件的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710570604.3A CN107426201A (zh) | 2017-07-13 | 2017-07-13 | 可执行文件的处理方法及装置、存储介质和处理器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710570604.3A CN107426201A (zh) | 2017-07-13 | 2017-07-13 | 可执行文件的处理方法及装置、存储介质和处理器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107426201A true CN107426201A (zh) | 2017-12-01 |
Family
ID=60427638
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710570604.3A Pending CN107426201A (zh) | 2017-07-13 | 2017-07-13 | 可执行文件的处理方法及装置、存储介质和处理器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107426201A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
| CN108829579A (zh) * | 2018-05-03 | 2018-11-16 | 广州金山安全管理系统技术有限公司 | 可执行文件的分析方法、装置、存储介质和处理器 |
| CN109885990A (zh) * | 2019-03-11 | 2019-06-14 | 腾讯科技(深圳)有限公司 | 脚本管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902915A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的系统 |
| US20160105430A1 (en) * | 2012-09-29 | 2016-04-14 | Intel Corporation | Systems and methods for distributed trust computing and key management |
| CN106295328A (zh) * | 2015-05-20 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
-
2017
- 2017-07-13 CN CN201710570604.3A patent/CN107426201A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102902915A (zh) * | 2012-09-29 | 2013-01-30 | 北京奇虎科技有限公司 | 对文件行为特征进行检测的系统 |
| US20160105430A1 (en) * | 2012-09-29 | 2016-04-14 | Intel Corporation | Systems and methods for distributed trust computing and key management |
| CN106295328A (zh) * | 2015-05-20 | 2017-01-04 | 阿里巴巴集团控股有限公司 | 文件检测方法、装置及系统 |
| CN106611122A (zh) * | 2015-10-27 | 2017-05-03 | 国家电网公司 | 基于虚拟执行的未知恶意程序离线检测系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108052833A (zh) * | 2017-12-11 | 2018-05-18 | 北京明朝万达科技股份有限公司 | 一种可执行文件数据防泄漏扫描方法、系统及网关 |
| CN108829579A (zh) * | 2018-05-03 | 2018-11-16 | 广州金山安全管理系统技术有限公司 | 可执行文件的分析方法、装置、存储介质和处理器 |
| CN109885990A (zh) * | 2019-03-11 | 2019-06-14 | 腾讯科技(深圳)有限公司 | 脚本管理方法 |
| CN109885990B (zh) * | 2019-03-11 | 2021-01-29 | 腾讯科技(深圳)有限公司 | 脚本管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105653956B (zh) | 基于动态行为依赖图的Android恶意软件分类方法 | |
| Wang et al. | Rmvdroid: towards a reliable android malware dataset with app metadata | |
| CN105989283B (zh) | 一种识别病毒变种的方法及装置 | |
| CN104123493B (zh) | 应用程序的安全性检测方法和装置 | |
| US8762948B1 (en) | System and method for establishing rules for filtering insignificant events for analysis of software program | |
| Lin et al. | Identifying android malicious repackaged applications by thread-grained system call sequences | |
| Sikorski et al. | Practical malware analysis: the hands-on guide to dissecting malicious software | |
| Christodorescu et al. | Malware normalization | |
| CN106682505A (zh) | 一种病毒检测方法、终端、服务器及系统 | |
| CN102176224B (zh) | 用于处理恶意软件的方法和装置 | |
| Faruki et al. | Evaluation of android anti-malware techniques against dalvik bytecode obfuscation | |
| CN106326737B (zh) | 用于检测可在虚拟堆栈机上执行的有害文件的系统和方法 | |
| CN102902924B (zh) | 对文件行为特征进行检测的方法及装置 | |
| CN109271780A (zh) | 机器学习恶意软件检测模型的方法、系统和计算机可读介质 | |
| CN102034050A (zh) | 基于虚拟机和敏感Native API调用感知的恶意软件动态检测方法 | |
| CN103678126B (zh) | 用于提高应用仿真加速的效率的系统和方法 | |
| RU91213U1 (ru) | Система автоматического составления описания и кластеризации различных, в том числе и вредоносных, объектов | |
| Sethi et al. | A novel malware analysis framework for malware detection and classification using machine learning approach | |
| CN104318160B (zh) | 查杀恶意程序的方法和装置 | |
| CN108009425A (zh) | 文件检测及威胁等级判定方法、装置及系统 | |
| CN104462962B (zh) | 一种检测未知恶意代码和二进制漏洞的方法 | |
| CN105306467B (zh) | 网页数据篡改的分析方法及装置 | |
| CN107426201A (zh) | 可执行文件的处理方法及装置、存储介质和处理器 | |
| CN112528284A (zh) | 恶意程序的检测方法及装置、存储介质、电子设备 | |
| CN110336835A (zh) | 恶意行为的检测方法、用户设备、存储介质及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171201 |
|
| RJ01 | Rejection of invention patent application after publication |