CN1838136A - 在计算机存储设备上查找有害程序的方法 - Google Patents
在计算机存储设备上查找有害程序的方法 Download PDFInfo
- Publication number
- CN1838136A CN1838136A CNA2006100398457A CN200610039845A CN1838136A CN 1838136 A CN1838136 A CN 1838136A CN A2006100398457 A CNA2006100398457 A CN A2006100398457A CN 200610039845 A CN200610039845 A CN 200610039845A CN 1838136 A CN1838136 A CN 1838136A
- Authority
- CN
- China
- Prior art keywords
- program
- feature
- harmful
- harmful program
- searching
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
在计算机存储设备上查找有害程序的方法,至少包含以下步骤:有害程序分析:提取通用或专有的有害程序相关信息生成特征库;查找前预处理:如果需要,提供与本次查找相关的信息,并准备必要的软硬件环境;有害程序查找:使用专用查找程序,遍历文件系统,分析每个可执行程序或包含可执行文件的压缩包的特征,并依据上述特征库来判断该程序是否是有害程序;结果显示:将查找到的有害程序及相关信息汇总形成列表;备份输出:如果需要,可将确定的或可疑的可执行程序备份,供进一步分析与更新特征库之用。本发明适合在计算机中查找各种违法违规程序,优点是准确率好,效率高。
Description
技术领域
本发明涉及一种计算机有害程序查找的实现技术,更具体的说,涉及一种在计算机存储设备中,查找某类或某个特定可执行程序的方法。
背景技术
随着计算机应用的日益普及,各种各样的计算机程序存在于计算机存储设备中。对于网吧等公用计算机、或单位中的办公用机等,违法或违反本单位规定的程序很容易被存放在其存储设备中,而且难于被发现。
对于这种情况,管理人员经常感到束手无策,因为单凭人力,甄别每个程序是否为有害程序是一件工作量庞大的事情,而部分软件,不需要安装,复制后就可直接使用,使用windows的用户权限管理也不能很好的解决该类程序扩散的问题。
因此,使用专用软件,对有害程序的特征进行提取,并基于生成的特征库,在计算机中自动进行查找,为解决这个问题提供了一种简单快捷的方法。
发明内容
本发明的目的在于,提供一种快速扫描存储设备中可能存在的有害程序的方法,并且在使用上简单易用,方便快捷。
在计算机存储设备上查找有害程序的方法,至少包含以下几个步骤:
步骤1:有害程序分析:提取有害程序相关(通用或专有的)信息生成特征库;
步骤2:查找前预处理:如果需要,提供与本次查找相关的信息,并准备必要的软硬件环境;
步骤3:有害程序查找:使用专用查找程序,遍历文件系统,分析每个可执行程序(或包含可执行文件的压缩包)的特征,并依据上述特征库来判断该程序是否是有害程序;
步骤4:结果显示:将查找到的有害程序及相关信息汇总形成列表;
步骤5:备份输出:如果需要,可将确定的或可疑的可执行程序备份,供进一步分析与更新特征库之用。
本发明的主要特点在于,在特征提取时,区分了有害程序的通用特征和专有特征。其通用特征,包含该类别程序代码段的共有部分、可预知的程序行为(如硬件访问、网络使用等等)、所执行的系统API调用以及这些调用的次序关系、与其它文件(动态链接库文件、配置文件、媒体文件等等)之间的关系等,以及其他通过分析该类别程序的类似性可提取的特征;其专有特征,包含该程序的长度、PE结构、代码段内容、资源段内容等等,以及其他通过分析该可执行文件本身的数据内容可提取的特征。通过通用特征,可以判断某程序是否可能为某类有害程序,并根据分析计算,提供它是有害程序的确信度;通过专用特征,则可判断某程序是否为某个确定的有害程序。
本发明的另一个主要特点在于,查找过程包括快速特征匹配、确定特征匹配、模糊特征匹配三个阶段。在分析初期利用某些快速特征进行预判,可以大大提高分析的效率,利用模糊特征进行扩展分析,可以增加有害程序被发现的几率,并提供一种自我完善系统专有特征库的方法。
附图说明
图1为本发明的一个特征提取流程。
图2为本发明分析某文件是否为有害程序的流程图。
图3为本发明软件结构框图
具体实施方式
下面结合附图和具体实施方式对本发明做进一步的详细说明:
参见图1,在本发明的一个实现中,进行特征提取的流程,用户将需要查找的有害程序以及相关文件打包,通过专用库管理程序按固定格式存入原始程序库中,除了添加外,使用库管理程序还可以对这些原始程序修改或进行删除。对原始程序库,使用特征提取工具可以自动分析,并生成快速特征库、确定特征库、模糊特征库和特征关联库等四个特征库。快速特征库用于快速特征匹配,确定特征库用于确定特征匹配,模糊特征库用于模糊特征匹配,而特征关联库,则记录了有害程序的说明,以及几个库之间的关联关系等等。此外,在特征提取过程中还要进行相同特征过滤的操作,将不同有害程序中完全相同的文件剔出,以避免在分析时无法确定该文件到底属于哪个有害程序。
参见图2,在本发明的一个实现中,在遍历文件系统时,对某个文件一个简化的判断流程为:先根据已确定列表,判断该文件是否是已分析到的某个有害程序相关的文件,如果是则无需重复判断,直接跳过即可,如果不是进入判断流程。
首先,进行快速特征匹配,提取该文件的快速特征,与快速特征表进行比对,判断它是否有可能是某有害程序,如果没有怀疑的对象,则跳过该文件分析下一个文件。
如果再快速特征匹配中有怀疑的对象,那么先进行确定特征匹配,以判断该文件是否属于某特定的有害程序,其方法是逐一比对怀疑目标的确定特征,如果完全一致,则可确定为该有害程序,如果都不一致,则进入模糊特征匹配阶段。
模糊匹配的方法也类似,逐一比对怀疑目标的模糊特征,并计算其确信度,直到某一怀疑目标的确信度达到百分之百,如果所有怀疑目标的确信度都为未达到百分之百,那么取其中最大的一个(存在多个相同最大确信度的怀疑目标时,先匹配到的优先),为防止误配,在确定是否将其判断为有害程序前,判断其确信度是否高于某个预设的阀值,如果高于才判断其为某有害程序。
如果在上述过程中,判定了该文件属于某有害程序,那么将该结果进行记录及显示,并且要将该有害程序的其他相关文件加入到已确定列表中,当以后分析到该文件时便可跳过,以提高分析速度。
此外,在本发明的一个实现中,还利用了压栈的方式,对上述匹配的顺序进行了调整,如在某一目录或子目录下,先匹配的可执行程序、先进行所有文件的确定匹配再进行模糊匹配等等,以进一步提高查找效率和精确度。
Claims (10)
1.在计算机存储设备上查找有害程序的方法,其特征为至少包含以下步骤:
步骤1:有害程序分析:提取通用或专有的有害程序相关信息生成特征库;
步骤2:查找前预处理:如果需要,提供与本次查找相关的信息,并准备必要的软硬件环境;步骤3:有害程序查找:使用专用查找程序,遍历文件系统,分析每个可执行程序或包含可执行文件的压缩包的特征,并依据上述特征库来判断该程序是否是有害程序;步骤4:结果显示:将查找到的有害程序及相关信息汇总形成列表;步骤5:备份输出:如果需要,可将确定的或可疑的可执行程序备份,供进一步分析与更新特征库之用。
2.根据权利要求1所述的查找有害程序特征的方法,其特征是设有包含分析该有害程序的通用特征和专有特征,其中通用特征为其所属类别所有有害程序的共同特征,专有特征为该程序自身所特有的特征。
3.根据权利要求1或2所述的查找有害程序通用特征的方法,其特征是设有分析该类别程序代码段的共有部分、可预知的硬件访问、网络使用程序行为、所执行的系统API调用以及这些调用的次序关系、与动态链接库文件、配置文件或媒体文件文件之间的关系,以及其他通过分析该类别程序的类似性可提取的特征。
4.根据权利要求1或2所述的查找有害程序专有特征的方法,其特征是设有分析该程序的长度、PE结构、代码段内容、资源段内容等等,以及其他通过分析该可执行文件本身的数据内容可提取的特征。
5.根据权利要求1或2所述的查找有害程序特征的方法,其特征是通过程序自动分析源文件完成,或人工或半人工分析完成。
6.根据权利要求1所述的查找有害程序特征的方法,其特征是查找过程包括快速特征匹配、确定特征匹配、模糊特征匹配三个阶段。
7.根据权利要求1或6所述的查找有害程序特征的方法,其特征是快速特征匹配,是为提高查找效率时可选用的一个方法,使用一些可快速获得的特征进行匹配,用于快速过滤掉不需要分析的文件。
8.根据权利要求1或7所述的查找有害程序特征的方法,其特征是确定特征匹配,是指为确定该文件是否是某特定有害程序时,所需要进行的专有特征匹配。
9.根据权利要求1或7所述的查找有害程序特征的方法,其特征是模糊特征匹配,是指当需要分析文件是否可能为某一类有害程序时,所需要进行的通用特征匹配,它的分析结果为该文件可能是某类有害程序的确信度。
10.根据权利要求1或7所述的查找有害程序特征的方法,其特征是模糊特征匹配用于发现特征库中不包含的未知有害程序或不同版本的有害程序,在该有害程序被确定后,可以添加进专有特征库中,以便在下次查找中提高查找的效率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100398457A CN1838136A (zh) | 2006-04-24 | 2006-04-24 | 在计算机存储设备上查找有害程序的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2006100398457A CN1838136A (zh) | 2006-04-24 | 2006-04-24 | 在计算机存储设备上查找有害程序的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1838136A true CN1838136A (zh) | 2006-09-27 |
Family
ID=37015530
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006100398457A Pending CN1838136A (zh) | 2006-04-24 | 2006-04-24 | 在计算机存储设备上查找有害程序的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1838136A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101763481B (zh) * | 2010-01-15 | 2011-07-27 | 北京工业大学 | 基于lzw压缩算法的未知恶意代码检测方法 |
| CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
| CN102999721A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| WO2014071867A1 (zh) * | 2012-11-09 | 2014-05-15 | 北京奇虎科技有限公司 | 程序处理方法和系统,用于程序处理的客户端和服务器 |
| CN106022129A (zh) * | 2016-05-17 | 2016-10-12 | 北京江民新科技术有限公司 | 文件的数据特征提取方法、装置及病毒特征检测系统 |
-
2006
- 2006-04-24 CN CNA2006100398457A patent/CN1838136A/zh active Pending
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101763481B (zh) * | 2010-01-15 | 2011-07-27 | 北京工业大学 | 基于lzw压缩算法的未知恶意代码检测方法 |
| CN102982281A (zh) * | 2012-11-09 | 2013-03-20 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
| CN102999721A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN102999720A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| WO2014071867A1 (zh) * | 2012-11-09 | 2014-05-15 | 北京奇虎科技有限公司 | 程序处理方法和系统,用于程序处理的客户端和服务器 |
| CN102999721B (zh) * | 2012-11-09 | 2015-09-16 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN102999720B (zh) * | 2012-11-09 | 2015-09-16 | 北京奇虎科技有限公司 | 程序鉴别方法和系统 |
| CN102982281B (zh) * | 2012-11-09 | 2016-03-30 | 北京奇虎科技有限公司 | 程序状况检测方法和系统 |
| CN106022129A (zh) * | 2016-05-17 | 2016-10-12 | 北京江民新科技术有限公司 | 文件的数据特征提取方法、装置及病毒特征检测系统 |
| CN106022129B (zh) * | 2016-05-17 | 2019-02-15 | 北京江民新科技术有限公司 | 文件的数据特征提取方法、装置及病毒特征检测系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10482134B2 (en) | Document management techniques to account for user-specific patterns in document metadata | |
| US6526403B1 (en) | Method, computer program product, and system for rewriting database queries in a heterogenous environment | |
| AU2009234120B2 (en) | Search results ranking using editing distance and document information | |
| US6615203B1 (en) | Method, computer program product, and system for pushdown analysis during query plan generation | |
| CN1838136A (zh) | 在计算机存储设备上查找有害程序的方法 | |
| US8495586B2 (en) | Software for filtering the results of a software source code comparison | |
| CN109144968B (zh) | 一种数据分布管理系统 | |
| US20160140344A1 (en) | Security information management system and security information management method | |
| US20150193499A1 (en) | Coalescing operation for query processing | |
| US7680813B2 (en) | Information management system | |
| US20080201318A1 (en) | Method and system for retrieving network documents | |
| CN1783069A (zh) | 用于文件数据分析的方法及系统 | |
| US20110184760A1 (en) | Apparatus and method of automated information extraction and implementation through large scale networks | |
| JP2004078512A (ja) | 文書管理方法および文書管理装置 | |
| US20080127043A1 (en) | Automatic Extraction of Programming Rules | |
| CN114817243A (zh) | 数据库联合索引的建立方法、装置、设备及存储介质 | |
| CN114780485A (zh) | 一种电子档案管理方法、系统、可读存储介质及设备 | |
| KR100877156B1 (ko) | 비정형 질의언어에 대한 사전 성능 분석 시스템 및 방법 | |
| Breitinger et al. | Evaluating detection error trade-offs for bytewise approximate matching algorithms | |
| CN107590233B (zh) | 一种文件管理方法及装置 | |
| KR20100037325A (ko) | 패턴 기반 참고문헌 자동 구축 시스템 및 방법과 이를 위한기록매체 | |
| Jain et al. | Building query optimizers for information extraction: the sqout project | |
| US20070255670A1 (en) | Method and System for Automatically Producing Computer-Aided Control and Analysis Apparatuses | |
| US20050204191A1 (en) | Systems and methods automatically classifying electronic data | |
| WO2016015276A1 (en) | Analysis of system information |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| AD01 | Patent right deemed abandoned | ||
| C20 | Patent right or utility model deemed to be abandoned or is abandoned |