CN112580048A - 恶意文件静态判别方法、装置、设备及存储介质 - Google Patents
恶意文件静态判别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN112580048A CN112580048A CN202011542017.1A CN202011542017A CN112580048A CN 112580048 A CN112580048 A CN 112580048A CN 202011542017 A CN202011542017 A CN 202011542017A CN 112580048 A CN112580048 A CN 112580048A
- Authority
- CN
- China
- Prior art keywords
- sample
- file
- malicious
- character string
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003068 static effect Effects 0.000 title claims abstract description 90
- 238000012850 discrimination method Methods 0.000 title claims description 22
- 238000000034 method Methods 0.000 claims abstract description 63
- 238000004891 communication Methods 0.000 description 7
- 230000008520 organization Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002085 persistent effect Effects 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及恶意软件检测技术领域,公开了一种恶意文件静态判别方法、装置、设备及存储介质,该方法包括:对样本文件进行字段解析,以获取字段解析结果;根据所述字段解析结果判断所述样本文件的文件类型;根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。通过静态识别对样本文件进行初步解析,并对样本文件进行反编译以获取样本文件的编译信息,基于恶意样本规则库对编译信息进行匹配,短时间内可以分析大量的样本文件,提升样本文件分析效率。
Description
技术领域
本发明涉及恶意软件检测技术领域,尤其涉及一种恶意文件静态判别方法、装置、设备及存储介质。
背景技术
在目前恶意软件与安全软件激烈对抗中,恶意程序的作者总是可以找到操作系统新的可利用点,以及安全软件没有顾及到的地方,从而绕过安全软件的检测和查杀。用户在安装安全软件时,需要判断原先的系统中是否存在恶意软件,但动态判断效率过低且代价很高,所以采用静态识别不失为一种高效的方法。
厂商拿到样本后,需要通过修改引擎,还需人工进行具体的分析,判断样本是否是恶意软件、所述恶意软件会做什么样的行为以及恢复受损的系统或者文件。但是,在厂商拿到样本、进行人工分析、新版本迭代升级的过程中,恶意程序可能已经散播开来,并造成了不小的影响。因此,厂商拿到样本时就应该直接将所述样本标识为恶意软件,谨防其他用户再次被攻击,将损失降低到最低。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种恶意文件静态判别方法、装置、设备及存储介质,旨在解决快速识别新生恶意软件的技术问题。
为实现上述目的,本发明提供一种恶意文件静态判别方法,所述恶意文件静态判别方法包括以下步骤:
对样本文件进行字段解析,以获取字段解析结果;
根据所述字段解析结果判断所述样本文件的文件类型;
根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
可选地,所述根据所述字段解析结果判断所述样本文件的文件类型的步骤,具体包括:
根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
可选地,所述根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息的步骤,具体包括:
在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
可选地,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤,具体包括:
根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
可选地,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤之后,还包括:
在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
可选地,所述在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志的步骤,具体包括:
在所述判别结果为所述样本文件为恶意文件时,根据匹配结果获取与规则字符串相同的样本字符串;
根据所述样本字符串获取样本文件的特征信息,并根据所述特征信息确定样本文件对应的攻击手法、样本名称及文件状态;
根据所述攻击手法、所述样本名称及所述文件状态生成样本分析日志。
可选地,所述根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配的步骤之后,还包括:
在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配;
接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
可选地,所述接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序的步骤之后,还包括:
获取所述服务器规则字符串,并讲所述服务器规则字符串添加到所述恶意样本规则库,以获得更新后的恶意样本规则库。
可选地,所述根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息的步骤,具体包括:
在所述文件类型为文本时,获取所述文本的文本内容;
根据所述文本内容解析所述文本包含的可疑代码,并根据所述可疑代码对进行反编译,以获得样本编译信息。
可选地,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤,具体包括:
根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
可选地,所述根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配的步骤之后,还包括:
在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配;
接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
可选地,所述字段解析结果至少包含样本家族、样本apt组织及样本种类中的任一项;
所述对样本文件进行字段解析,以获取字段解析结果的步骤,具体包括:
调用虚拟接口对样本文件进行字段解析,以获取字段解析结果。
可选地,所述样本编译信息至少包含样本指令集架构、样本大小端及样本符号表中的任一项。
此外,为实现上述目的,本发明还提出一种恶意文件静态判别装置,所述恶意文件静态判别装置包括:
字段解析模块,用于对样本文件进行字段解析,以获取字段解析结果;
类型分析模块,用于根据所述字段解析结果判断所述样本文件的文件类型;
反编译模块,用于根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
判别模块,用于通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
可选地,所述类型分析模块,还用于根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
可选地,所述反编译模块,还用于在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
可选地,所述判别模块,用于根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
可选地,还包括日志生成模块,用于在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
此外,为实现上述目的,本发明还提出一种恶意文件静态判别设备,所述恶意文件静态判别设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意文件静态判别程序,所述恶意文件静态判别程序配置为实现如上文所述的恶意文件静态判别方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有恶意文件静态判别程序,所述恶意文件静态判别程序被处理器执行时实现如上文所述的恶意文件静态判别方法的步骤。
本发明中,通过对样本文件进行字段解析,以获取字段解析结果;根据所述字段解析结果判断所述样本文件的文件类型;根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。通过静态识别对样本文件进行初步解析,并对样本文件进行反编译以获取样本文件的编译信息,基于恶意样本规则库对编译信息进行匹配,短时间内可以分析大量的样本文件,判断所述样本文件是否为恶意的,并且提出软件内的各种信息,可以帮助分析人员进行快速的了解恶意程序,只需要对恶意样本规则库进行更新,就可识别利用最新漏洞、软件的攻击方式。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的恶意文件静态判别设备的结构示意图;
图2为本发明恶意文件静态判别方法第一实施例的流程示意图;
图3为本发明恶意文件静态判别方法第二实施例的流程示意图;
图4为本发明恶意文件静态判别方法第三实施例的流程示意图;
图5为本发明恶意文件静态判别方法第四实施例的流程示意图;
图6为本发明恶意文件静态判别方法第五实施例的流程示意图;
图7为本发明恶意文件静态判别装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的恶意文件静态判别设备结构示意图。
如图1所示,该恶意文件静态判别设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory,RAM)存储器,也可以是稳定的存储器(Non-volatileMemory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对恶意文件静态判别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及恶意文件静态判别程序。
在图1所示的恶意文件静态判别设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接用户设备;所述恶意文件静态判别设备通过处理器1001调用存储器1005中存储的恶意文件静态判别程序,并执行本发明实施例提供的恶意文件静态判别方法。基于上述硬件结构,提出本发明恶意文件静态判别方法的实施例。
参照图2,图2为本发明恶意文件静态判别方法第一实施例的流程示意图,提出本发明恶意文件静态判别方法第一实施例。
在第一实施例中,所述恶意文件静态判别方法包括以下步骤:
步骤S10:对样本文件进行字段解析,以获取字段解析结果。
需要说明的是,本发明实施例的执行主体为恶意文件静态判别平台,所述平台可以为实体装置也可以为运行在终端中的虚拟装置,所述恶意文件静态判别平台可以基于python3编写。首先获取样本文件,所述样本文件可以为用户上传的,也可以为恶意文件静态判别平台自行获取的。例如:用户在电脑中安装了所述恶意文件静态判别平台,用户上传了一些文件作为样本文件,使所述恶意文件静态判别平台对所述样本文件进行判别;或者,用户在电脑中安装了所述恶意文件静态判别平台,所述恶意文件静态判别平台根据预设周期轮流获取电脑中各磁盘的文件作为样本文件,进行恶意文件判别。
易于理解的是,所述字段解析结果至少包含样本家族、样本apt组织及样本种类中的任一项;所述对样本文件进行字段解析,以获取字段解析结果的步骤,具体包括:调用虚拟接口对样本文件进行字段解析,以获取字段解析结果。所述虚拟接口可以为vt(VirtualTemplate,虚拟接口模板)接口,调用所述vt接口获取vt分析报告,可以取得一些如样本家族、样本种类、样本apt(Advanced Persistent Threat,定向威胁攻击)组织等字段。
步骤S20:根据所述字段解析结果判断所述样本文件的文件类型。
易于理解的是,基于字段解析结果分析样本文件的文件类型,判断样本是可执行程序还是文本,是什么语言编写的。例如,根据字段分析结果得到样本文件为C语言二进制代码串编写,为可执行程序;或根据字段分析结果得到样本文件为恶意文档,具体为PDF格式的恶意文档(恶意文档中包含恶意代码,用户打开文档时就会“中招”)。
步骤S30:根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息。
应当理解的是,在获取到文件类型和样本文件对应的编写语言后,可以根据所述编写语言对样本文件进行反编译,以获取样本编译信息。反编译能够将机器语言转换为汇编语言代码,例如:将样本文件转换为样本文件原边的代码,根据反编译的结果得到样本编译信息。所述样本编译信息至少包含样本指令集架构、样本大小端及样本符号表中的任一项。
步骤S40:通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
应当理解的是,恶意样本规则库中包含基于文本或二进制模式创建的恶意软件家族描述信息,所述恶意软件家族描述信息可以由厂商的特征库进行转换生成,还可以收集网上的恶意软件描述进行聚类汇总得到。将所述样本编译信息与恶意样本规则库中的描述信息进行匹配,存在任一项匹配时,可以判断样本文件为恶意样本。
应当理解的是,所述恶意样本规则库中的恶意样本规则定期进行更新,在所述样本文件未与所述恶意样本规则库中任一信息匹配时,平台可以通过云端获取更多的恶意样本规则,对样本文件进行判断。也可将样本文件发送到服务器端,服务器端中存储有更多的恶意样本规则,进一步地对所述样本文件进行排查,以确定所述样本文件是否是恶意文件。
本实施例中通过静态识别,短时间内可以分析大量的样本文件,判断所述样本文件是否为恶意的,并且提出软件内的各种信息,可以帮助分析人员进行快速的了解恶意程序,只需要对恶意样本规则库进行更新,就可识别利用最新漏洞、软件的攻击方式。
参照图3,图3为本发明恶意文件静态判别方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明恶意文件静态判别方法的第二实施例。本实施例基于第一实施例进行说明。
在第二实施例中,所述步骤S20具体包括:步骤S21:根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
应当理解的是,不同的样本文件可能具有不同的样本家族、样本种类及样本apt组织,由于上述信息的不同,使得样本的种类也不同,所述样本家族、样本种类及样本apt组织都可以视作所述样本种类信息。
进一步地,根据样本种类信息对样本的文件类型进行判断,例如:厂商获取一个样本文件,将所述样本文件上传到恶意文件静态判别平台中,得到所述样本文件的vt报告,根据所述vt报告得到所述样本文件的apt组织等信息,获取判断文件的类型为二进制程序。
所述步骤S30具体包括:步骤S31:在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言。
易于理解的是,所述文件类型可以为可执行程序或恶意文档,可执行程序可以依附某个实际的应用程序、实用程序或者系统程序的程序片段执行,或者被操作系统调度和运行。进一步地需要确认所述可执行程序对应的编译语言,也就是所述可执行程序由何种语言编写的。例如:基于上文,所述文件为C语音二进制编写。
步骤S32:根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
应当理解的是,反编译可以逆行工作,以推导出样本文件的使用思路、原理、结构、算法、处理过程、运行方法等设计要素,某些特定情况下可能推导出源代码。本发明实施例中,例如:可以调用radare2指令反编译二进制文件。radare2是一款开放源代码的逆向工程平台,它可以反汇编、调试、分析和操作二进制文件。得到所述样本编译信息为:PE文件(Portable Executable,可移植可执行文件),64位小端(多个字节值的小端存储在该值的起始地址)等信息。
所述步骤S40具体包括:步骤S41:根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配。
具体实施中,例如,样本文件疑似cve-2019-0708的挖矿蠕虫;恶意样本规则库中存在如下规则,Cve-2019-0708,对应Windows rdp协议,出现远程代码执行漏洞,Rdp(Remote Display Protocol,远程显示协议)协议是windows远程桌面协议用于终端服务器和终端服务器客户端之间的通信,rdp在tcp(Transmission Control Protocol,传输控制协议)内封装和加密。是T-120协议(用于多点数据会议和实时通信)标准的扩展,多渠道支持协议允许单独的虚拟通道携带演示文稿、串行设备通信、授权信息、高度加密数据(键盘、鼠标活动),rdp和核心是T.Share协议的扩展。
步骤S42:在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
进一步地,通过补丁对比,发现TermDD.sys这个模块的IcaBindVirtualChannels函数和IcaRebindVirtualChannels,更改了其中的IcaBindVirtualChannels的调用方式,对信道名称字符串“MS_T120”进行确认,不需要进一步进行详细的分析,判断rdp协议的版本与pe文件中是否在文件偏移,且偏移中是否有字符串“MS_T120”就可判断是否存在漏洞,存在该字符串则存在漏洞,不存在该字符串则没有漏洞。并且不需要十分专业的人士就可进行维护,后续也可以进行添加集成binwalk(路由器固件分析的必备工具)模块,进行固件的判断,获取符号表地址、厂商信息、系统等重要信息。
易于理解的是,存在漏洞,则为恶意程序。不存在漏洞则不为恶意程序。
应当理解的是,分析人员分析一个文件的时候,是需要不少的前期工作的,比如判断是否加壳,比如加vmp等虚拟机壳还要考虑脱壳的成本,所使用的语言、编译器等。静态分析可以快速得到结果,解放劳动,对大量的文件进行快速判断是否为恶意文件,相当于对文件进行初步的加工处理,后续继续处理会提高准确率和效率,并且所需资源很小。还可以获取部分的行为信息,比如ms17-010,就可判断是这个软件主要运行在win7,是msb协议出现问题,然后通过官方文档+windbg(内核态调试工具)符号表很顺利的可以定位到主要逻辑,加快分析速度。
本实施例中,通过对样本文件进行静态分析,进一步地通过反编译得到样本文件中的字符串等信息,基于所述恶意样本规则库中的规则字符串与样本文件的字符串进行匹配,在匹配时判定样本文件为恶意程序。避免重复劳动,加快分析效率。
参照图4,图4为本发明恶意文件静态判别方法第三实施例的流程示意图,基于上述图2所示的第一实施例和上述图3所示的第二实施例,提出本发明恶意文件静态判别方法的第三实施例。本实施例基于第二实施例进行说明。
在第三实施例中,所述步骤40之后还包括:在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
易于理解的是,在判别结果为恶意程序时,需要对样本文件进行进一步的操作,可以生成对应的分析日志,方便记录相关信息。
所述在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志的步骤,具体包括:
步骤S51:在所述判别结果为所述样本文件为恶意文件时,根据匹配结果获取与规则字符串相同的样本字符串。
易于理解的是,基于上述实施例,对样本文件的任一样本字符串与规则字符串相同时,样本文件为恶意程序。可以获取与样本字符串相同的规则字符串,根据所述样本字符串获取恶意程序的特征信息。也即,根据所述样本字符串获取样本字符串对应的所述恶意样本规则库中的信息。
步骤S52:根据所述样本字符串获取样本文件的特征信息,并根据所述特征信息确定样本文件对应的攻击手法、样本名称及文件状态。
应当理解的是,根据所述特征信息获取样本文件对应的恶意样本的几率,或者说判断恶意样本大概率使用了什么攻击手法如加壳、加密等,例如:样本名称cve-2019-0708的挖矿蠕虫,攻击手法未加壳。这方便了分析人员不需要去做重复的劳动,得到的这些信息足以了解程序在做什么行为,也大大方便了下断点调式。
步骤S53:根据所述攻击手法、所述样本名称及所述文件状态生成样本分析日志。
需要说明的是,所述样本分析日志可以为json(JavaScript Object Notation)格式,该格式与开发语言无关,是一种轻量级的数据存储格式,便于提供支持。生成样本分析日志便于开发人员查看,或便于用户查找,节省分析人员时间。
本实施例中,根据判别结果从所述恶意样本规则库中获取样本文件对应的恶意程序的信息,生成对应的分析日志,方便分析人员汇总样本文件信息,便于用户查找,节省分析时间,为处理恶意程序提供了线索。
参照图5,图5为本发明恶意文件静态判别方法第四实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明恶意文件静态判别方法的第四实施例。本实施例基于第一实施例进行说明。
在第四实施例中,所述步骤S41之后还包括:步骤S43:在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配。
应当理解的是,所述恶意样本规则库的内容有限,在所述恶意样本规则库中不存在与样本文件的样本字符串匹配的规则字符串时,所述样本文件仍然有可能为恶意文件,为了确保不会遗漏恶意文件,可以将所述样本文件的样本字符串发送到服务器中进行匹配。所述服务器可以为云端服务器,也可以为实体服务器,存储有更多的所述恶意样本规则,在所述服务器中对所述样本字符串进行进一步的匹配。
步骤S44:接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
易于理解的是,所述服务器规则字符串为存储在所述服务器中的恶意样本规则库对应的规则字符串。任一样本字符串与服务器规则字符串相同时,则可以确定所述样本文件为恶意程序。
步骤S45:获取所述服务器规则字符串,并讲所述服务器规则字符串添加到所述恶意样本规则库,以获得更新后的恶意样本规则库。
应当理解的是,由于本地存储的所述恶意样本规则并未包含上述匹配的规则字符串,则从服务器中下载所述服务器规则字符串,以对本地的恶意样本规则库进行更新,完善本地恶意样本规则库。
具体实施中,例如:可以将恶意文件静态判别平台部署到客户端,判断最新的已知的漏洞,也可以稍加更改,通过实时的判断,一些漏洞攻击检测shellcode(利用软件漏洞而执行的16进制的机器码,因为经常让攻击者获得shell而得名)的常规操作,从而捕获未知的0day(被黑客及少部分人发现或者利用,但官方和大众并未发现或熟悉的漏洞),在客户端得到的判别结果为没有匹配的规则字符串时,则客户端向服务端发送样本文件,使得服务端去判别样本文件,并反馈。恶意文件静态判别平台可以基于python3编写,易于后期维护、跨平台,添加集成新的功能和判断方式。
在本实施例中,通过将本地无法判别的样本文件发送至服务器端进行判别,以扩展恶意文件静态判别平台能够判别的恶意文件类型,由于使用python3无平台和语言限制,恶意文件静态判别平台可以作为一个模块调用,避免重复劳动。
参照图6,图6为本发明恶意文件静态判别方法第六实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明恶意文件静态判别方法的第六实施例。本实施例基于第一实施例进行说明。
在第六实施例中,所述步骤S30具体包括:步骤S33:在所述文件类型为文本时,获取所述文本的文本内容。
易于理解的是,文本文件的格式可以为WORD或PDF,恶意文档为文本内容包含恶意代码,在用户调用函数打开文件的时候,携带的恶意代码运行。因而需要对文本内容进行获取,以判别其中是否包含可疑代码。
步骤S34:根据所述文本内容解析所述文本包含的可疑代码,并根据所述可疑代码对进行反编译,以获得样本编译信息。
进一步地,反编译可以逆行工作,以推导出样本文件的使用思路、原理、结构、算法、处理过程、运行方法等设计要素,某些特定情况下可能推导出源代码。通过对代码进行反编译,得到所述可疑代码的执行目的。
步骤S40具体包括:步骤S401:根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配。
具体实施中,例如样本编译信息中获取到多个样本字符串,将所述样本字符串与所述恶意样本规则库进行匹配。
步骤S402:在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
应当理解的是,所述恶意样本规则库对应的规则字符串为恶意文件的规则字符串,恶意文件的规则字符串与样本文件的样本字符串相同,则样本文件为恶意文档。
步骤S403:在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配。
应当理解的是,所述恶意样本规则库的内容有限,在所述恶意样本规则库中不存在与样本文件的样本字符串匹配的规则字符串时,所述样本文件仍然有可能为恶意文件,为了确保不会遗漏恶意文件,可以将所述样本文件的样本字符串发送到服务器中进行匹配。所述服务器可以为云端服务器,也可以为实体服务器,存储有更多的所述恶意样本规则,在所述服务器中对所述样本字符串进行进一步的匹配。
步骤S404:接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
易于理解的是,所述服务器规则字符串为存储在所述服务器中的恶意样本规则库对应的规则字符串。任一样本字符串与服务器规则字符串相同时,则可以确定所述样本文件为恶意文档。
在本实施例中,通过将本地无法判别的样本文件发送至服务器端进行判别,以扩展恶意文件静态判别平台能够判别的恶意文件类型,由于使用python3无平台和语言限制,恶意文件静态判别平台可以作为一个模块调用,避免重复劳动。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有恶意文件静态判别程序,所述恶意文件静态判别程序被处理器执行时实现如上文所述的恶意文件静态判别方法的步骤。
由于本存储介质采用了上述所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。
此外,参照图7,本发明实施例还提出一种恶意文件静态判别装置,所述恶意文件静态判别装置包括:
字段解析模块10,用于对样本文件进行字段解析,以获取字段解析结果。
需要说明的是,恶意文件静态判别装置可以为恶意文件静态判别平台,所述平台可以为实体装置也可以为运行在终端中的虚拟装置,所述恶意文件静态判别平台可以基于python3编写。首先获取样本文件,所述样本文件可以为用户上传的,也可以为恶意文件静态判别平台自行获取的。例如:用户在电脑中安装了所述恶意文件静态判别平台,用户上传了一些文件作为样本文件,使所述恶意文件静态判别平台对所述样本文件进行判别;或者,用户在电脑中安装了所述恶意文件静态判别平台,所述恶意文件静态判别平台根据预设周期轮流获取电脑中各磁盘的文件作为样本文件,进行恶意文件判别。
易于理解的是,所述字段解析结果至少包含样本家族、样本apt组织及样本种类中的任一项;所述对样本文件进行字段解析,以获取字段解析结果的步骤,具体包括:调用虚拟接口对样本文件进行字段解析,以获取字段解析结果。所述虚拟接口可以为vt(VirtualTemplate,虚拟接口模板)接口,调用所述vt接口获取vt分析报告,可以取得一些如样本家族、样本种类、样本apt(Advanced Persistent Threat,定向威胁攻击)组织等字段。
类型分析模块20,用于根据所述字段解析结果判断所述样本文件的文件类型。
易于理解的是,基于字段解析结果分析样本文件的文件类型,判断样本是可执行程序还是文本,是什么语言编写的。例如,根据字段分析结果得到样本文件为C语言二进制代码串编写,为可执行程序;或根据字段分析结果得到样本文件为恶意文档,具体为PDF格式的恶意文档(恶意文档中包含恶意代码,用户打开文档时就会“中招”)。
反编译模块30,用于根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息。
应当理解的是,在获取到文件类型和样本文件对应的编写语言后,可以根据所述编写语言对样本文件进行反编译,以获取样本编译信息。反编译能够将机器语言转换为汇编语言代码,例如:将样本文件转换为样本文件原边的代码,根据反编译的结果得到样本编译信息。所述样本编译信息至少包含样本指令集架构、样本大小端及样本符号表中的任一项。
判别模块40,用于通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
应当理解的是,恶意样本规则库中包含基于文本或二进制模式创建的恶意软件家族描述信息,所述恶意软件家族描述信息可以由厂商的特征库进行转换生成,还可以收集网上的恶意软件描述进行聚类汇总得到。将所述样本编译信息与恶意样本规则库中的描述信息进行匹配,存在任一项匹配时,可以判断样本文件为恶意样本。
应当理解的是,所述恶意样本规则库中的恶意样本规则定期进行更新,在所述样本文件未与所述恶意样本规则库中任一信息匹配时,平台可以通过云端获取更多的恶意样本规则,对样本文件进行判断。也可将样本文件发送到服务器端,服务器端中存储有更多的恶意样本规则,进一步地对所述样本文件进行排查,以确定所述样本文件是否是恶意文件。
本实施例中通过静态识别,短时间内可以分析大量的样本文件,判断所述样本文件是否为恶意的,并且提出软件内的各种信息,可以帮助分析人员进行快速的了解恶意程序,只需要对恶意样本规则库进行更新,就可识别利用最新漏洞、软件的攻击方式。
进一步地,本发明恶意文件静态判别装置一实施例中,所述类型分析模块,还用于根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
进一步地,本发明恶意文件静态判别装置一实施例中,所述反编译模块,还用于在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
进一步地,本发明恶意文件静态判别装置一实施例中,所述判别模块,用于根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
进一步地,本发明恶意文件静态判别装置一实施例中,还包括日志生成模块,用于在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
本发明所述恶意文件静态判别装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为标识。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器镜像(Read Only Memory image,ROM)/随机存取存储器(Random AccessMemory,RAM)、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
本发明还公开了A1、一种恶意文件静态判别方法,所述恶意文件静态判别方法包括以下步骤:
对样本文件进行字段解析,以获取字段解析结果;
根据所述字段解析结果判断所述样本文件的文件类型;
根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
A2、如A1所述的恶意文件静态判别方法,所述根据所述字段解析结果判断所述样本文件的文件类型的步骤,具体包括:
根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
A3、如A1所述的恶意文件静态判别方法,所述根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息的步骤,具体包括:
在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
A4、如A1所述的恶意文件静态判别方法,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤,具体包括:
根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
A5、如A4所述的恶意文件静态判别方法,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤之后,还包括:
在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
A6、如A5所述的恶意文件静态判别方法,所述在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志的步骤,具体包括:
在所述判别结果为所述样本文件为恶意文件时,根据匹配结果获取与规则字符串相同的样本字符串;
根据所述样本字符串获取样本文件的特征信息,并根据所述特征信息确定样本文件对应的攻击手法、样本名称及文件状态;
根据所述攻击手法、所述样本名称及所述文件状态生成样本分析日志。
A7、如A4所述的恶意文件静态判别方法,所述根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配的步骤之后,还包括:
在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配;
接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
A8、如A7所述的恶意文件静态判别方法,所述接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序的步骤之后,还包括:
获取所述服务器规则字符串,并讲所述服务器规则字符串添加到所述恶意样本规则库,以获得更新后的恶意样本规则库。
A9、如A1所述的恶意文件静态判别方法,所述根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息的步骤,具体包括:
在所述文件类型为文本时,获取所述文本的文本内容;
根据所述文本内容解析所述文本包含的可疑代码,并根据所述可疑代码对进行反编译,以获得样本编译信息。
A10、如A9所述的恶意文件静态判别方法,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤,具体包括:
根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
A11、如A10所述的恶意文件静态判别方法,所述根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配的步骤之后,还包括:
在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配;
接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意文档。
A12、如A1-11任一项所述的恶意文件静态判别方法,所述字段解析结果至少包含样本家族、样本apt组织及样本种类中的任一项;
所述对样本文件进行字段解析,以获取字段解析结果的步骤,具体包括:
调用虚拟接口对样本文件进行字段解析,以获取字段解析结果。
A13、如A12所述的恶意文件静态判别方法,所述样本编译信息至少包含样本指令集架构、样本大小端及样本符号表中的任一项。
B14、一种恶意文件静态判别装置,所述恶意文件静态判别装置包括:
字段解析模块,用于对样本文件进行字段解析,以获取字段解析结果;
类型分析模块,用于根据所述字段解析结果判断所述样本文件的文件类型;
反编译模块,用于根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
判别模块,用于通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
B15、如B14所述的恶意文件静态判别装置,所述类型分析模块,还用于根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
B16、如B15所述的恶意文件静态判别装置,所述反编译模块,还用于在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
B17、如B16所述的恶意文件静态判别装置,所述判别模块,用于根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
B18、如B17所述的恶意文件静态判别装置,还包括日志生成模块,用于在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
C19、一种恶意文件静态判别设备,所述恶意文件静态判别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意文件静态判别程序,所述恶意文件静态判别程序配置有实现如A1至A13中任一项所述的恶意文件静态判别方法的步骤。
D20、一种存储介质,所述存储介质上存储有恶意文件静态判别程序,所述恶意文件静态判别程序被处理器执行时实现如A1至A13中任一项所述的恶意文件静态判别方法的步骤。
Claims (10)
1.一种恶意文件静态判别方法,其特征在于,所述恶意文件静态判别方法包括以下步骤:
对样本文件进行字段解析,以获取字段解析结果;
根据所述字段解析结果判断所述样本文件的文件类型;
根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
2.如权利要求1所述的恶意文件静态判别方法,其特征在于,所述根据所述字段解析结果判断所述样本文件的文件类型的步骤,具体包括:
根据所述字段解析结果获取所述样本文件的样本种类信息,根据所述样本种类信息判断所述样本文件的文件类型。
3.如权利要求1所述的恶意文件静态判别方法,其特征在于,所述根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息的步骤,具体包括:
在所述文件类型为可执行程序时,确定所述可执行程序对应的编译语言;
根据所述编译语言对所述可执行程序进行反编译,以获得样本编译信息。
4.如权利要求1所述的恶意文件静态判别方法,其特征在于,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤,具体包括:
根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配;
在匹配结果为存在至少一个样本字符串与规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
5.如权利要求4所述的恶意文件静态判别方法,其特征在于,所述通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果的步骤之后,还包括:
在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志。
6.如权利要求5所述的恶意文件静态判别方法,其特征在于,所述在所述判别结果为所述样本文件为恶意文件时,获取样本文件的特征信息,并根据所述特征信息生成样本分析日志的步骤,具体包括:
在所述判别结果为所述样本文件为恶意文件时,根据匹配结果获取与规则字符串相同的样本字符串;
根据所述样本字符串获取样本文件的特征信息,并根据所述特征信息确定样本文件对应的攻击手法、样本名称及文件状态;
根据所述攻击手法、所述样本名称及所述文件状态生成样本分析日志。
7.如权利要求4所述的恶意文件静态判别方法,其特征在于,所述根据所述样本编译信息获取样本文件的样本字符串,将所述样本字符串与所述恶意样本规则库对应的规则字符串进行匹配的步骤之后,还包括:
在匹配结果为样本字符串与规则字符串均不相同时,将所述样本字符串发送至服务器,以使所述服务器对所述样本字符串进行字符串匹配;
接收所述服务器反馈的匹配结果,在所述匹配结果为存在至少一个样本字符串与服务器规则字符串相同时,确定判别结果为所述样本文件为恶意程序。
8.一种恶意文件静态判别装置,其特征在于,所述恶意文件静态判别装置包括:
字段解析模块,用于对样本文件进行字段解析,以获取字段解析结果;
类型分析模块,用于根据所述字段解析结果判断所述样本文件的文件类型;
反编译模块,用于根据所述文件类型对所述样本文件进行反编译,以获得样本编译信息;
判别模块,用于通过恶意样本规则库对所述样本编译信息进行匹配,并根据匹配结果确定判别结果。
9.一种恶意文件静态判别设备,其特征在于,所述恶意文件静态判别设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意文件静态判别程序,所述恶意文件静态判别程序配置有实现如权利要求1至7中任一项所述的恶意文件静态判别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有恶意文件静态判别程序,所述恶意文件静态判别程序被处理器执行时实现如权利要求1至7中任一项所述的恶意文件静态判别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011542017.1A CN112580048A (zh) | 2020-12-23 | 2020-12-23 | 恶意文件静态判别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011542017.1A CN112580048A (zh) | 2020-12-23 | 2020-12-23 | 恶意文件静态判别方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112580048A true CN112580048A (zh) | 2021-03-30 |
Family
ID=75139190
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011542017.1A Pending CN112580048A (zh) | 2020-12-23 | 2020-12-23 | 恶意文件静态判别方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112580048A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449301A (zh) * | 2021-06-22 | 2021-09-28 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
| CN118332552A (zh) * | 2024-06-12 | 2024-07-12 | 北京辰信领创信息技术有限公司 | 恶意代码聚类方法、计算机装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090013408A1 (en) * | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Detection of exploits in files |
| CN104751054A (zh) * | 2013-12-31 | 2015-07-01 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的识别方法及装置、移动终端 |
| CN106570398A (zh) * | 2016-09-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种基于结构特性的恶意代码启发式检测方法及系统 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
-
2020
- 2020-12-23 CN CN202011542017.1A patent/CN112580048A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090013408A1 (en) * | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Detection of exploits in files |
| CN104751054A (zh) * | 2013-12-31 | 2015-07-01 | 贝壳网际(北京)安全技术有限公司 | 恶意程序的识别方法及装置、移动终端 |
| CN106570398A (zh) * | 2016-09-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种基于结构特性的恶意代码启发式检测方法及系统 |
| CN106778268A (zh) * | 2016-11-28 | 2017-05-31 | 广东省信息安全测评中心 | 恶意代码检测方法与系统 |
| CN110826064A (zh) * | 2019-10-25 | 2020-02-21 | 腾讯科技(深圳)有限公司 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113449301A (zh) * | 2021-06-22 | 2021-09-28 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
| CN118332552A (zh) * | 2024-06-12 | 2024-07-12 | 北京辰信领创信息技术有限公司 | 恶意代码聚类方法、计算机装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8601451B2 (en) | System, method, and computer program product for determining whether code is unwanted based on the decompilation thereof | |
| EP2853078B1 (en) | Method and system for matching unknown software component to known software component | |
| Vidas et al. | A5: Automated analysis of adversarial android applications | |
| CN112580048A (zh) | 恶意文件静态判别方法、装置、设备及存储介质 | |
| CN112688810B (zh) | 网络资产信息获取方法、设备及可读存储介质 | |
| US10496818B2 (en) | Systems and methods for software security scanning employing a scan quality index | |
| CN110765483A (zh) | 一种配置化的日志脱敏方法、装置和电子设备 | |
| CN108268773B (zh) | Android应用升级包本地存储安全性检测方法 | |
| CN116340939A (zh) | webshell检测方法、装置、设备及存储介质 | |
| CN111368303A (zh) | 一种PowerShell恶意脚本的检测方法及装置 | |
| CN112612502A (zh) | 补丁生成方法、装置、设备及存储介质 | |
| CN115168847A (zh) | 应用补丁生成方法、装置、计算机设备及可读存储介质 | |
| CN114039776B (zh) | 流量检测规则的生成方法、装置、电子设备及存储介质 | |
| CN114996698A (zh) | 病毒文件的确定方法、装置、设备及存储介质 | |
| US11550925B2 (en) | Information security system for identifying potential security threats in software package deployment | |
| US20220309163A1 (en) | Information security system for identifying security threats in deployed software package | |
| CN113282932A (zh) | 一种poc生成方法、装置、电子设备和存储介质 | |
| CN111309311B (zh) | 一种漏洞检测工具生成方法、装置、设备及可读存储介质 | |
| CN113297622A (zh) | 一种日志脱敏方法、系统、电子设备及存储介质 | |
| WO2023101574A1 (en) | Method and system for static analysis of binary executable code | |
| CN115248767A (zh) | 远程代码测试方法、装置、设备及存储介质 | |
| CN112445760B (zh) | 文件分类方法、设备、存储介质及装置 | |
| WO2023105613A1 (ja) | セキュリティ保証装置、セキュリティ保証方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN112328614B (zh) | 病毒库更新方法、设备、存储介质及装置 | |
| CN112434293B (zh) | 文件特征提取方法、设备、存储介质及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210330 |