CN113672920A - 一种样本篡改行为的识别方法、装置及电子设备 - Google Patents

一种样本篡改行为的识别方法、装置及电子设备 Download PDF

Info

Publication number
CN113672920A
CN113672920A CN202110902589.4A CN202110902589A CN113672920A CN 113672920 A CN113672920 A CN 113672920A CN 202110902589 A CN202110902589 A CN 202110902589A CN 113672920 A CN113672920 A CN 113672920A
Authority
CN
China
Prior art keywords
sample
credible
preset
version information
identified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110902589.4A
Other languages
English (en)
Inventor
吕经祥
童志明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN202110902589.4A priority Critical patent/CN113672920A/zh
Publication of CN113672920A publication Critical patent/CN113672920A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请的实施例公开了一种样本篡改行为的识别方法、装置及电子设备,涉及安全技术领域,为提高对样本篡改行为识别的准确率而发明。所述方法,包括:确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改。本申请适用于对样本篡改行为进行识别。

Description

一种样本篡改行为的识别方法、装置及电子设备
技术领域
本申请涉及网络安全技术领域,尤其涉及一种样本篡改行为的识别方法、装置、电子设备及可读存储介质。
背景技术
官方样本是指各个知名厂商发布的正式版本的样本,是依靠官方作为信用背书的可信样本。一些病毒能够通过对官方样本进行篡改后进行病毒传播。
相关技术中,检测(识别)样本被病毒篡改的方法是人工分析调试该病毒,针对病毒的篡改行为模式,提取一段或多段对应的特征(该特征例如可以包括特殊字符串,特殊行为,特定二进制),利用该特征对该样本进行检测,例如,可通过将提取的特征存入反病毒引擎,反病毒引擎利用该提取的特征对样本进行检测。
然而,病毒种类繁多且篡改类型冗杂,容易有所疏漏,这样,即使样本被篡改,也不会将该样本确定为被篡改样本,导致对样本篡改行为进行识别的准确率较低。
发明内容
有鉴于此,本申请实施例提供一种样本篡改行为的识别方法、装置、电子设备及可读存储介质,能够提高对样本篡改行为识别的准确率。
第一方面,本申请实施例提供一种样本篡改行为的识别方法,包括:确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改。
根据本申请实施例的一种具体实现方式,所述确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,包括:获取所述预设的可信样本的版本信息特征;其中,所述预设的可信样本的版本信息特征,包括基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;根据所述预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的字节信息;根据所述字节信息与所述版本特征值是否一致,确定所述待识别样本的版本信息特征与所述预设的可信样本的版本信息特征是否一致。
根据本申请实施例的一种具体实现方式,在确定待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,所述方法还包括:获取所述预设的可信样本;确定所述预设的可信样本的版本信息特征,并计算所述预设的可信样本的哈希值。
根据本申请实施例的一种具体实现方式,所述获取所述预设的可信样本,包括:获取所述预设的可信样本对应的链接;监测所述链接对应的页面;当所述链接对应的页面出现新版本的所述预设的可信样本,则下载所述新版本的所述预设的可信样本。
根据本申请实施例的一种具体实现方式,在获取所述预设的可信样本之前,所述方法还包括:根据可信样本的历史检测信息,统计所述可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本;和/或,将具有数字签名的可信样本确定为预设的可信样本。
根据本申请实施例的一种具体实现方式,所述方法还包括:如果所述待识别样本被篡改,则向分析人员发送与所述待识别样本对应的可信样本,以供所述分析人员参考。
根据本申请实施例的一种具体实现方式,在确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,所述方法还包括:建立可信样本信息库;其中,所述可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;所述确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,包括:按照预设顺序,从所述可信样本信息库中,获取第一可信样本的预设偏移位置信息;根据所述第一可信样本的预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息;根据所述第一字节信息与所述第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致;在确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致之后,所述方法还包括:响应于所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征不一致,按照所述预设顺序,从所述可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征;其中,所述第二可信样本与所述第一可信样本不同。
第二方面,本申请实施例提供样本篡改行为的识别装置,包括:第一确定模块,用于确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;第二确定模块,用于响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;第三确定模块,用于将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改。
根据本申请实施例的一种具体实现方式,所述第一确定模块,具体用于:
获取所述预设的可信样本的版本信息特征;其中,所述预设的可信样本的版本信息特征包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;根据所述预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的字节信息;根据所述字节信息与所述版本特征值是否一致,确定所述待识别样本的版本信息特征与所述预设的可信样本的版本信息特征是否一致。
根据本申请实施例的一种具体实现方式,所述装置还包括:获取模块,用于所述第一确定模块确定待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,获取所述预设的可信样本;计算模块,用于确定所述预设的可信样本的版本信息特征,并计算所述预设的可信样本的哈希值。
根据本申请实施例的一种具体实现方式,所述获取模块,具体用于:获取所述预设的可信样本对应的链接;监测所述链接对应的页面;当所述链接对应的页面出现新版本的所述预设的可信样本,则下载所述新版本的所述预设的可信样本。
根据本申请实施例的一种具体实现方式,所述装置还包括:第四确定模块,用于在所述获取模块获取所述预设的可信样本之前,根据可信样本的历史检测信息,统计所述可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本;和/或,所述第四确定模块,用于将具有数字签名的可信样本确定为预设的可信样本。
根据本申请实施例的一种具体实现方式,所述装置,还包括:发送模块,用于如果所述待识别样本被篡改,则向分析人员发送与所述待识别样本对应的可信样本,以供所述分析人员参考。
根据本申请实施例的一种具体实现方式,所述装置还包括:建立模块,用于在所述第一确定模块确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,建立可信样本信息库;其中,所述可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;所述第一确定模块,具体用于:按照预设顺序,从所述可信样本信息库中,获取预设的第一可信样本的预设偏移位置信息;根据所述第一可信样本的预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息;根据所述第一字节信息与所述第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致;所述第一确定模块,具体还用于:响应于所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征不一致,按照所述预设顺序,从所述可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征;其中,所述第二可信样本与所述第一可信样本不同。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的样本篡改行为的识别的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的样本篡改行为的识别。
本实施例的样本篡改行为的识别方法、装置、电子设备及可读存储介质,通过确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,在待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征的情况下,确定待识别样本的哈希值,将该待识别样本的哈希值与预设的可信样本的哈希值比对,根据比对结果,确定待识别样本是否被篡改,由于无论对可信样本进行任何形式的更改,更改后样本的哈希值与更改前样本的哈希值不同,因此,本实施例中将待识别样本的哈希值与可信样本的哈希值进行比对,一旦待识别样本是被篡改的,那么待识别的样本的哈希值与可信样本的哈希值不同,以此,确定待识别样本是被篡改的,从而,能够提高对样本篡改行为的识别的准确率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的样本篡改行为的识别方法的流程示意图;
图2为本申请又一实施例提供的样本篡改行为的识别方法的流程示意图;
图3为本申请一实施例提供的样本篡改行为的识别装置的结构示意图;
图4为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请一实施例提供的一种样本篡改行为的识别方法,包括:确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;响应于所述待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改,能够提高对样本篡改行为的识别的准确率。
图1为本申请一实施例提供的样本篡改行为的识别方法的流程示意图,如图1所示,本实施例的样本篡改行为的识别方法,可以包括:
S101、确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征。
篡改行为,可以是为了躲避查杀,对可信样本的恶意篡改,包括但不限于对可信样本的删减,用恶意shellcode覆盖原始可信样本代码,添加恶意shellcode,其中,恶意shellcode可为一段用于利用软件漏洞而执行的代码,shellcode为16进制的机器码,因为经常让攻击者获得shell而得名。
待识别样本为需要被确定是否被恶意方篡改的样本。
版本信息特征可为与版本信息相关的特征。在一些例子中,样本的版本信息可作为样本标识信息。
可信样本可为各个知名厂商发布的正式版本的样本,依靠官方作为信用背书的可信样本,也可称为官方样本。
可以理解的是,本实施例的预设的可信样本的版本信息特征,可为在进行本步骤之前,对可信样本进行收集再确定收集的可信样本的版本信息特征,也可直接获取可信样本的版本信息特征。
在可信样本的版本信息特征已知的情况下,确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征。
S102、响应于待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征,确定待识别样本的哈希值。
哈希(Hash),一般又称作散列、杂凑,是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。对待识别样本进行hash计算,得到待识别样本的哈希值。
待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征,即待识别样本的版本与预设的可信样本的版本相同,如果待识别样本没有被篡改,那么该待识别样本为与可信样本一致的样本,也就是说,该待识别样本即为可信样本,此时,待识别样本的哈希值与可信样本的哈希值相同,如果待识别样本被篡改过,待识别样本的哈希值与可信样本的哈希值不同。基于此,为确定待识别样本是否被篡改,则需在待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征的情况下,确定待识别样本的哈希值。
S103、将待识别样本的哈希值与预设的可信样本的哈希值进行比对,确定待识别样本是否被篡改。
将S102中确定的待识别样本的哈希值与预设的可信样本的哈希值进行比对,根据比对结果,确定待识别样本是否是被篡改的样本。
本实施例,通过确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,在待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征的情况下,确定待识别样本的哈希值,将该待识别样本的哈希值与预设的可信样本的哈希值比对,根据比对结果,确定待识别样本是否被篡改,由于无论对可信样本进行任何形式的更改,更改后样本的哈希值与更改前样本的哈希值不同,因此,本实施例中将待识别样本的哈希值与可信样本的哈希值进行比对,一旦待识别样本是被篡改的,那么待识别的样本的哈希值与可信样本的哈希值不同,以此,确定待识别样本是被篡改的,从而,能够提高对样本篡改行为的识别的准确率,避免了因未将某种篡改类型作为检测条件,对样本进行检测时,即使样本被篡改,也不会将该样本确定为被篡改样本而导致的对样本篡改行为进行识别的准确率较低的问题,此外,本实施例的样本篡改行为的识别方法,避免了现有技术中分析人员对于一个官方样本的各种篡改需要一个个分析一个个提取被篡改部分的恶意代码作为特征来识别该被篡改样本,效率低下而且检出率不高的问题。
为了较为简便地确定待识别样本是否存在于预设的可信样本的版本信息特征一致的版本信息特征,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征(S101),包括:
S101a、获取预设的可信样本的版本信息特征。
本实施例的预设的可信样本的版本信息特征,包括:基于预设的可信样本的文件头的预设偏移位置信息以及与预设偏移位置信息对应的版本特征值。
以Advanced Installer官网发布的样本Advanced Installer 18.4为例,该可信样本在基于文件头偏移0x44b528处的版本特征值为:416476616E63656420496E7374616C6C65722031382E3420,对应地,该可信样本的版本信息特征为0x44b528和416476616E63656420496E7374616C6C65722031382E3420。
S101b、根据预设偏移位置信息,从待识别样本中,提取与预设偏移位置信息对应的字节信息。
在待识别样本中,提取在预设偏移位置0x44b528处找到对应的字节信息。
S101c、根据字节信息与版本特征值是否一致,确定待识别样本的版本信息特征与预设的可信样本的版本信息特征是否一致。
将字节信息和预设的可信样本的版本特征值416476616E63656420496E7374616C6C65722031382E3420比较,根据字节信息和版本特征值416476616E63656420496E7374616C6C65722031382E3420是否一致,确定待识别样本的版本信息特征与预设的可信样本的版本信息特征是否一致。
如果待识别样本的版本信息特征值与预设的可信样本的版本信息特征值一致,则待识别样本的版本信息特征与预设的可信样本的版本信息特征一致;如果待识别样本的版本信息特征值与预设的可信样本的版本信息特征值不一致,则待识别样本的版本信息特征与预设的可信样本的版本信息特征不一致。
参见图2,为了便于提高对样本识别的准确率,在确定所述待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征(S101)之前,所述方法,还包括:
S104、获取预设的可信样本。
作为一实现获取预设的可信版本的方式,在一些例子中,获取所述预设的可信样本(S104),包括:
A、获取预设的可信样本对应的链接。
例如对于Advanced Installer,发布样本的官方链接为https://www.advancedinstaller.com/download.html,获取该链接。
B、监测所述链接对应的页面。
可以实时监控该样本链接对应的网页。
C、当链接对应的页面出现新版本的预设的可信样本,则下载新版本的预设的可信样本。
如果该链接对应的页面之前的版本为Advanced Installer18.3,当监测到该页面出现新版本Advanced Installer18.4,则下载Advanced Installer18.4。
S105、确定预设的可信样本的版本信息特征,并计算预设的可信样本的哈希值。
从获取的可信样本中,提取对应的版本信息特征,如Advanced Installer18.4的版本信息特征分别为基于文件头预设偏移位置0x44b528和版本信息特征值416476616E63656420496E7374616C6C65722031382E3420,则提取0x44b528和416476616E63656420496E7374616C6C65722031382E3420。对Advanced Installer18.4的样本进行哈希计算,得到哈希值为80EC40CC7557069C58F69F58DF389916。
确定版本信息特征和哈希值后,以供对待识别样本是否被篡改进行识别。
本实施例,通过获取预设的可信样本,再确定可信样本的版本信息特征以及计算可信样本的哈希值,能够为待识别样本提供较为准确的参考,避免了由于直接从第三方获取的可信样本的版本信息特征以及确定的哈希值不够准确导致的不能为待识别样本提供较为准确的参考,进一步导致识别结果不准确的问题。
为了提高对样本的识别效率,可以将特定的可信样本作为预设的可信样本,将待识别样本与特定的可信样本进行比对,在一些例子中,为了提高安全性,通常将含有重要信息的可信样本进行数字签名,那么这类样本可能作为恶意方的篡改目标,因此,可将具有数字签名的可信样本确定为预设的可信样本。
同样,为了有针对性地识别被篡改的样本,同时提高检出率,在又一些例子中,在获取预设的可信样本(S104)之前,所述方法,还包括:
根据可信样本的历史检测信息,统计可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本。
例如,可从反病毒平台中,获取可信样本的历史检测信息,如virustotal对多种样本进行检测,可以得到对样本进行检测的历史数据,如某可信样本被篡改的次数等,根据可信样本的历史检测信息,能够确定可信样本被篡改的次数。预定次数可为10、20或100次等等。
当某可信样本历史被篡改次数超过预定次数时,可将可信样本确定为预设的可信样本。
在确定待识别样本为被篡改的样本后,为了分析该被篡改的样本的篡改行为,在一些例子中,如果待识别样本被篡改,则向分析人员发送与待识别样本对应的可信样本,以供分析人员参考。
分析人员获得到可信样本,可以用该可信样本作为对比材料,从而了解恶意人员篡改了什么。
为了便于对可信样本信息进行管理,在一些例子中给,在确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征(S101)之前,所述方法,还包括:
S106、建立可信样本信息库。
本实施例的可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值。
在一些例子中,为了便于为分析人员提供可信样本和/或可信样本的官方链接,在可信样本信息库中,除了可信样本的版本信息特征,还对应地存储可信样本和/或可信样本的官方链接。可信样本信息库中还包括对应的哈希值。
为了提高本申请技术方案的适用性,在一些例子中,确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征(S101),包括:
S101d、按照预设顺序,从可信样本信息库中,获取第一可信样本的预设偏移位置信息。
预设顺序可为随机、也可为按照可信样本的名称的首字母在字母顺序表中的顺序对可信样本信息库中的可信样本进行排序,按照从前到后的顺序选取可信样本,对于首字母相同的多个可信样本,可按照第二字母在字母表中的顺序进行排序,以此类推。
按照预设顺序,从可信样本信息库中,确定其中的一个样本作为第一可信样本,并获取第一可信样本的版本信息特征中的预设偏移位置信息。
如可信样本信息库中包括Advanced Installer 18.4的可信样本的版本信息特征:基于文件头预设偏移位置0x44b528,以及该位置处版本信息:Advanced Installer18.4的16进制特征值16476616E63656420496E7374616C6C65722031382E3420。
如按照预设顺序,从可信样本信息库中,获取的Advanced Installer 18.4的预设偏移位置信息为0x44b528。
S101e、根据第一可信样本的预设偏移位置信息,从待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息。
在待识别样本中,提取在预设偏移位置0x44b528处找到对应的第一字节信息。
S101f、根据第一字节信息与第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致。
将第一字节信息和预设的可信样本的版本特征值416476616E63656420496E7374616C6C65722031382E3420比较,根据第一字节信息和版本特征值416476616E63656420496E7374616C6C65722031382E3420是否一致,确定待识别样本的版本信息特征与预设的可信样本的版本信息特征是否一致。
如果待识别样本的版本信息特征值与预设的可信样本的版本信息特征值一致,则待识别样本的版本信息特征与预设的可信样本的版本信息特征一致;如果待识别样本的版本信息特征值与预设的可信样本的版本信息特征值不一致,则待识别样本的版本信息特征与预设的可信样本的版本信息特征不一致。
在确定待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致之后,所述方法,还包括:
S107、响应于待识别样本的版本信息特征与第一可信样本的版本信息特征不一致,按照预设顺序,从可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征。
其中,第二可信样本与第一可信样本不同。
当待识别样本的版本信息特征与第一可信样本的版本信息特征不一致时,从可信样本信息库中,按照预设顺序,获取下一个可信样本即第二可信样本的预设偏移位置信息,若不一致,则在可信样本数据库中再获取下一个可信样本,重复以上步骤,直到待识别样本中存在与可信样本数据库中的一个可信样本的版本信息特征一致的可信样本,则停止上述步骤;如果没找到,则遍历可信样本数据库中的所有可信样板,如果待识别样本不存在与可信样本数据库中的所有样本的版本信息特征均不一致,则结束流程。
本实施例,首先确定待识别样本中是否存在与可信样本信息库中的一个可信样本的版本信息特征一致的版本信息特征,如果待识别样本中不存在与第一可信样本一致的版本信息特征,则确定待识别样本中是否存在与可信样本信息库中第二可信样本的版本信息特征一致的版本信息特征,如果仍不存在,重复上述步骤,当确定待识别样本存在与可信样本信息库中的一个可信样本的版本信息特征一致的版本信息特征,则继续执行S102和S103,如果待识别样本不存在与可信样本信息库中的任何一个可信样本的版本信息特征一致的版本信息特征,则结束流程即不对该待识别样本进行是否被篡改的判断。
下面以一具体实施方式为例,对本申请的技术方案进行详细说明。
以Advanced Installer官网发布的样本Advanced Installer 18.4(hash:80EC40CC7557069C58F69F58DF389916)为例进行说明。
步骤1、收集官方样本链接,实时监控该样本链接,如果该链接发布新版本,下载新版本官方样本,提取版本信息,计算hash。
收集官方样本链接(https://www.advancedinstaller.com/download.html),实时监控该样本链接,如果该链接发布新版本,下载新版本官方样本,提取版本信息特征值,样本基于文件头偏移0x44b528处版本信息:Advanced Installer 18.4的16进制特征值:416476616E63656420496E7374616C6C65722031382E3420,计算hash:80EC40CC7557069C58F69F58DF389916。
步骤2、将固定偏移的版本信息的16进制和官方样本hash作为篡改行为特征,存入篡改行为特征库。
将0x44b528、416476616E63656420496E7374616C6C65722031382E3420及80EC40CC7557069C58F69F58DF389916存入特征库。
步骤3、在待识别样本中扫描篡改行为特征库中储存的版本信息特征。
在待识别样本中扫描位置0x44b528(特征库中Advanced Installer 18.4的特征)处的字节信息。
步骤4、如果扫描到的内容与特征库中的样本的版本信息特征,计算待识别样本的hash。
如果在基于文件头偏移0x44b528处的字节信息与Advanced Installer 18.4特征的16进制特征值:416476616E63656420496E7374616C6C65722031382E3420一致,则计算待识别样本的hash。
步骤5、如果待识别样本hash与篡改行为特征库中版本信息特征关联的官方样本hash不同,则判定该样本是官方样本的篡改,并输出官方样本以供分析人员对比参考。
如果样本hash与篡改行为特征库中版本信息特征关联的官方样本hash:80EC40CC7557069C58F69F58DF389916不同。则判定该样本是官方样本的篡改,并输出官方样本以供分析人员对比参考。
本实施例的样本篡改行为识别方法,不需要分析人员对篡改行为进行分析以及提取特征,就可以对官方样本的各种篡改进行识别,优化了分析人员对于一个官方样本的各种篡改需要一个个分析,一个个提取被篡改部分的恶意代码作为特征来识别该被篡改样本的机制。分析人员着手分析样本时,如果样本是某个官方样本的篡改,该系统可以识别检测篡改行为并反馈官方样本作为对比参考,并且,可以提供官方网站已经下架的历史官方样本。
本实施例的样本篡改行为识别方法,通过确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,在待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征的情况下,确定待识别样本的哈希值,将该待识别样本的哈希值与预设的可信样本的哈希值比对,根据比对结果,确定待识别样本是否被篡改,由于无论对可信样本进行任何形式的更改,更改后样本的哈希值与更改前样本的哈希值不同,因此,本实施例中将待识别样本的哈希值与可信样本的哈希值进行比对,一旦待识别样本是被篡改的,那么待识别的样本的哈希值与可信样本的哈希值不同,从而,能够提高对样本篡改行为的识别的准确率。为了简便地确定待识别样本是否存在于预设的可信样本的版本信息特征一致的版本信息特征,本申请一实施例中,通过获取预设的可信样本的版本信息特征,再根据预设的可信样本的版本信息特征中的预设偏移位置信息,从待识别样本中提取对应的字节信息,将该字节信息与可信样本的版本信息特征值进行比较,根据比较结果,确定待识别样本的版本信息特征与可信样本的版本信息特征是否一致,为了提高对样本识别的准确率,提前获取可信样本,并确定版本信息特征及可信样本的哈希值,以供对待识别样本是否被篡改进行识别,为了有针对性地对特定样本识别被篡改进行识别,可以将具有数字签名的可信样本作为预设的可信样本和/或历史上常被篡改的可信样本作为预设的可信样本,为了便于对可信样本信息进行管理,可以建立可信样本数据库,数据库中包括多个可信样本的版本信息特征,可以按照一定顺序,选取数据库中的一个可信样本的版本信息特征,确定待识别样本中是否存在与这个可信样本的版本信息特征,如果存在则计算待识别样本的哈希值,并进行比对,如果不存在则选取数据库中下一个可信样本的版本信息特征。
本申请一实施例提供的样本篡改行为的识别装置,包括:第一确定模块,用于确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;第二确定模块,用于响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;第三确定模块,用于将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改,能够提高对样本篡改行为的识别的准确率。
图3为本申请一实施例提供的样本篡改行为的识别装置的结构示意图,如图3所示,本实施例的样本篡改行为的识别装置,包括:
第一确定模块11,用于确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;
第二确定模块12,用于响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;
第三确定模块13,用于将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,通过确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,在待识别样本中存在与预设的可信样本的版本信息特征一致的版本信息特征的情况下,确定待识别样本的哈希值,将该待识别样本的哈希值与预设的可信样本的哈希值比对,根据比对结果,确定待识别样本是否被篡改,由于无论对可信样本进行任何形式的更改,更改后样本的哈希值与更改前样本的哈希值不同,因此,本实施例中将待识别样本的哈希值与可信样本的哈希值进行比对,一旦待识别样本是被篡改的,那么待识别的样本的哈希值与可信样本的哈希值不同,以此,确定待识别样本是被篡改的,从而,能够提高对样本篡改行为的识别的准确率,避免了因未将某种篡改类型作为检测条件,对样本进行检测时,即使样本被篡改,也不会将该样本确定为被篡改样本而导致的对样本篡改行为进行识别的准确率较低的问题。
作为一可选实施方式,所述第一确定模块,具体用于:获取所述预设的可信样本的版本信息特征;其中,所述预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;根据所述预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的字节信息;根据所述字节信息与所述版本特征值是否一致,确定所述待识别样本的版本信息特征与所述预设的可信样本的版本信息特征是否一致。
作为一可选实施方式,所述装置还包括:获取模块,用于所述第一确定模块确定待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,获取所述预设的可信样本;计算模块,用于确定所述预设的可信样本的版本信息特征,并计算所述预设的可信样本的哈希值。
作为一可选实施方式,所述获取模块,具体用于:获取所述预设的可信样本对应的链接;监测所述链接对应的页面;当所述链接对应的页面出现新版本的所述预设的可信样本,则下载所述新版本的所述预设的可信样本。
作为一可选实施方式,所述装置还包括:第四确定模块,用于在所述获取模块获取所述预设的可信样本之前,根据可信样本的历史检测信息,统计所述可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本;和/或,所述第四确定模块,用于将具有数字签名的可信样本确定为预设的可信样本。
作为一可选实施方式,所述装置还包括:发送模块,用于如果所述待识别样本被篡改,则向分析人员发送与所述待识别样本对应的可信样本,以供所述分析人员参考。
作为一可选实施方式,所述装置还包括:建立模块,用于在所述第一确定模块确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,建立可信样本信息库;其中,所述可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;所述第一确定模块,具体用于:按照预设顺序,从所述可信样本信息库中,获取预设的第一可信样本的预设偏移位置信息;根据所述第一可信样本的预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息;根据所述第一字节信息与所述第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致;所述第一确定模块,具体还用于:响应于所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征不一致,按照所述预设顺序,从所述可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征;其中,所述第二可信样本与所述第一可信样本不同。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本申请一实施例提供的电子设备的结构示意图,如图4所示,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种样本篡改行为的识别方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种样本篡改行为的识别方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (16)

1.一种样本篡改行为的识别方法,其特征在于,包括:
确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;
响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;
将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改。
2.根据权利要求1所述的方法,其特征在于,所述确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,包括:
获取所述预设的可信样本的版本信息特征;其中,所述预设的可信样本的版本信息特征包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;
根据所述预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的字节信息;
根据所述字节信息与所述版本特征值是否一致,确定所述待识别样本的版本信息特征与所述预设的可信样本的版本信息特征是否一致。
3.根据权利要求1所述的方法,其特征在于,在确定待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,所述方法还包括:
获取所述预设的可信样本;
确定所述预设的可信样本的版本信息特征,并计算所述预设的可信样本的哈希值。
4.根据权利要求3所述的方法,其特征在于,所述获取所述预设的可信样本,包括:
获取所述预设的可信样本对应的链接;
监测所述链接对应的页面;
当所述链接对应的页面出现新版本的所述预设的可信样本,则下载所述新版本的所述预设的可信样本。
5.根据权利要求3所述的方法,其特征在于,在获取所述预设的可信样本之前,所述方法还包括:
根据可信样本的历史检测信息,统计所述可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本;和/或,
将具有数字签名的可信样本确定为预设的可信样本。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果所述待识别样本被篡改,则向分析人员发送与所述待识别样本对应的可信样本,以供所述分析人员参考。
7.根据权利要求1、3-6任一项所述的方法,其特征在于,在确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,所述方法还包括:
建立可信样本信息库;其中,所述可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;
所述确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征,包括:
按照预设顺序,从所述可信样本信息库中,获取第一可信样本的预设偏移位置信息;
根据所述第一可信样本的预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息;
根据所述第一字节信息与所述第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致;
在确定待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致之后,所述方法还包括:
响应于所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征不一致,按照所述预设顺序,从所述可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征;其中,所述第二可信样本与所述第一可信样本不同。
8.一种样本篡改行为的识别装置,其特征在于,包括:
第一确定模块,用于确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征;
第二确定模块,用于响应于所述待识别样本中存在与所述预设的可信样本的版本信息特征一致的版本信息特征,确定所述待识别样本的哈希值;
第三确定模块,用于将所述待识别样本的哈希值与所述预设的可信样本的哈希值进行比对,确定所述待识别样本是否被篡改。
9.根据权利要求8所述的装置,其特征在于,所述第一确定模块,具体用于:
获取所述预设的可信样本的版本信息特征;其中,所述预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;
根据所述预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的字节信息;
根据所述字节信息与所述版本特征值是否一致,确定所述待识别样本的版本信息特征与所述预设的可信样本的版本信息特征是否一致。
10.根据权利要求8所述的装置,其特征在于,所述装置还包括:
获取模块,用于所述第一确定模块确定待识别样本是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,获取所述预设的可信样本;
计算模块,用于确定所述预设的可信样本的版本信息特征,并计算所述预设的可信样本的哈希值。
11.根据权利要求10所述的装置,其特征在于,所述获取模块,具体用于:
获取所述预设的可信样本对应的链接;
监测所述链接对应的页面;
当所述链接对应的页面出现新版本的所述预设的可信样本,则下载所述新版本的所述预设的可信样本。
12.根据权利要求10所述的装置,其特征在于,所述装置还包括:
第四确定模块,用于在所述获取模块获取所述预设的可信样本之前,根据可信样本的历史检测信息,统计所述可信样本被篡改的次数,将被篡改的次数超过预定次数的可信样本确定为预设的可信样本;和/或,
所述第四确定模块,用于将具有数字签名的可信样本确定为预设的可信样本。
13.根据权利要求8所述的装置,其特征在于,所述装置还包括:
发送模块,用于如果所述待识别样本被篡改,则向分析人员发送与所述待识别样本对应的可信样本,以供所述分析人员参考。
14.根据权利要求8、10-13任一项所述的装置,其特征在于,所述装置还包括:
建立模块,用于在所述第一确定模块确定待识别样本中是否存在与预设的可信样本的版本信息特征一致的版本信息特征之前,建立可信样本信息库;其中,所述可信样本信息库包括多个预设的可信样本的版本信息特征;其中,每个预设的可信样本的版本信息特征,包括:基于所述预设的可信样本的文件头的预设偏移位置信息以及与所述预设偏移位置信息对应的版本特征值;
所述第一确定模块,具体用于:
按照预设顺序,从所述可信样本信息库中,获取预设的第一可信样本的预设偏移位置信息;
根据所述第一可信样本的预设偏移位置信息,从所述待识别样本中,提取与所述预设偏移位置信息对应的第一字节信息;
根据所述第一字节信息与所述第一可信样本的版本特征值是否一致,确定所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征是否一致;
所述第一确定模块,具体还用于:响应于所述待识别样本的版本信息特征与所述第一可信样本的版本信息特征不一致,按照所述预设顺序,从所述可信样本信息库中,获取第二可信样本的预设偏移位置信息,以确定所述待识别样本中是否存在与所述第二可信样本的版本信息特征一致的版本信息特征,循环迭代直至确定所述待识别样本中存在与所述可信样本信息库中的可信样本的版本信息特征一致的版本信息特征,或者遍历所述可信样本信息库中的所有可信样本,不存在与所述待识别样本版本信息特征一致的可信样本的版本信息特征;其中,所述第二可信样本与所述第一可信样本不同。
15.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-7任一项所述的样本篡改行为的识别方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-7任一项所述的样本篡改行为的识别方法。
CN202110902589.4A 2021-08-06 2021-08-06 一种样本篡改行为的识别方法、装置及电子设备 Pending CN113672920A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110902589.4A CN113672920A (zh) 2021-08-06 2021-08-06 一种样本篡改行为的识别方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110902589.4A CN113672920A (zh) 2021-08-06 2021-08-06 一种样本篡改行为的识别方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN113672920A true CN113672920A (zh) 2021-11-19

Family

ID=78541981

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110902589.4A Pending CN113672920A (zh) 2021-08-06 2021-08-06 一种样本篡改行为的识别方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN113672920A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101783801A (zh) * 2010-01-29 2010-07-21 福建星网锐捷网络有限公司 一种基于网络的软件保护方法、客户端及服务器
CN105095769A (zh) * 2015-08-28 2015-11-25 中国航天科工集团第二研究院七〇六所 一种信息服务软件漏洞检测方法
CN106327560A (zh) * 2016-08-25 2017-01-11 苏州创意云网络科技有限公司 一种文件版本的识别方法及识别客户端
CN109784058A (zh) * 2019-01-07 2019-05-21 中国银行股份有限公司 版本强一致性校验方法、客户端、服务器及存储介质
CN111062030A (zh) * 2019-12-16 2020-04-24 北京爱奇艺科技有限公司 一种应用程序被篡改的识别方法及装置
CN115203697A (zh) * 2022-07-25 2022-10-18 内蒙古电力(集团)有限责任公司电力营销服务与运营管理分公司 一种文件检测方法、装置、设备及可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101783801A (zh) * 2010-01-29 2010-07-21 福建星网锐捷网络有限公司 一种基于网络的软件保护方法、客户端及服务器
CN105095769A (zh) * 2015-08-28 2015-11-25 中国航天科工集团第二研究院七〇六所 一种信息服务软件漏洞检测方法
CN106327560A (zh) * 2016-08-25 2017-01-11 苏州创意云网络科技有限公司 一种文件版本的识别方法及识别客户端
CN109784058A (zh) * 2019-01-07 2019-05-21 中国银行股份有限公司 版本强一致性校验方法、客户端、服务器及存储介质
CN111062030A (zh) * 2019-12-16 2020-04-24 北京爱奇艺科技有限公司 一种应用程序被篡改的识别方法及装置
CN115203697A (zh) * 2022-07-25 2022-10-18 内蒙古电力(集团)有限责任公司电力营销服务与运营管理分公司 一种文件检测方法、装置、设备及可读存储介质

Similar Documents

Publication Publication Date Title
CN108763928B (zh) 一种开源软件漏洞分析方法、装置和存储介质
CN107659570B (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
CN106572117B (zh) 一种WebShell文件的检测方法和装置
CN111191201B (zh) 基于数据埋点的用户识别方法、装置、设备及存储介质
CN108985057B (zh) 一种webshell检测方法及相关设备
CN112003838B (zh) 网络威胁的检测方法、装置、电子装置和存储介质
KR101582601B1 (ko) 액티비티 문자열 분석에 의한 안드로이드 악성코드 검출 방법
US20160246950A1 (en) Method for plagiarism detection of multithreaded program based on thread slice birthmark
CN110866258B (zh) 快速定位漏洞方法、电子装置及存储介质
CN113014549B (zh) 基于http的恶意流量分类方法及相关设备
CN113032792A (zh) 系统业务漏洞检测方法、系统、设备及存储介质
CN110798488A (zh) Web应用攻击检测方法
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
US11550920B2 (en) Determination apparatus, determination method, and determination program
KR20180079434A (ko) 바이러스 데이터베이스 획득 방법 및 기기, 장비, 서버 그리고 시스템
KR101803888B1 (ko) 유사도 기반 악성 어플리케이션 탐지 방법 및 장치
Korine et al. DAEMON: dataset/platform-agnostic explainable malware classification using multi-stage feature mining
CN111339531A (zh) 恶意代码的检测方法、装置、存储介质及电子设备
CN108171057B (zh) 基于特征匹配的Android平台恶意软件检测方法
CN113364784B (zh) 检测参数生成方法、装置、电子设备及存储介质
CN114266046A (zh) 网络病毒的识别方法、装置、计算机设备及存储介质
CN113704569A (zh) 信息的处理方法、装置及电子设备
CN110691090B (zh) 网站检测方法、装置、设备及存储介质
CN112613893A (zh) 一种用户恶意注册识别方法、系统、设备及介质
CN108268775B (zh) 一种Web漏洞检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination