WO2010009625A1 - 一种计算机文件检测的方法及装置 - Google Patents

Description

说 明 书

一种计算机文件检测的方法及装置 本申请要求于 2008年 7月 24 日提交中国专利局、 申请号为 200810135013. 4、 发明名 称为 "一种计算机文件检测的方法及装置" 的中国专利申请的优先权， 其全部内容通过引 用结合在本申请中。 技术领域

本发明涉及信息安全领域， 尤其涉及一种计算机文件检测的方法及装置。 背景技术

目前， 在业界出现了未知计算机病毒主动防御技术， 标志着反病毒技术由被动向主动 方向发展。 主动反病毒主要是对当前运行的进程进行行为分析， 监测运行的程序是否有恶 意的行为， 进而给出运行的程序的可疑概率。 这种检测方式使得未知病毒的检测取得了较 好的识别率， 但这种方式只能检测到运行着的病毒文件， 对于静态的病毒样本和静态病毒 文件则无法检测到。经实践证明， 处于运行状态的病毒文件只占总病毒文件的 40%左右甚至 更少， 由于一个病毒文件会在几个不同的文件路径下保存， 但是同时运行的只有一个副本; 基于行为判定的未知病毒检测， 由病毒样本释放到其他多个不同文件夹位置的静态样本和 例如通过 Web浏览、 USB (Universal Serial BUS， 通用串行总线）设备、 Emai l传播到本地 的静态病毒文件则无法检测到。

在对现有技术的研究和实践过程中， 发明人发现现有技术存在以下问题： 现有技术基 于行为检测的病毒主动防御措施不能检测到处于静态的病毒文件， 因此只使用现有技术的 病毒主动防御技术， 会出现部分病毒清除不干净的现象， 不能完全实现病毒的主动防御。 发明内容

本发明实施例要解决的技术问题是提供一种计算机文件检测的方法及装置， 能够实现 对静态未知病毒的防御。

本发明实施例提供一种计算机文件检测的方法， 包括步骤：

检测文件的属性， 选出可疑的检测项， 所述属性包括结构属性和文件属性；

为所述可疑的检测项赋予权值， 统计同一可疑的检测项的出现数量；

使用预置的可疑的检测项的权值和所述同一可疑的检测项的出现数量计算所述文件的 可疑度， 若所述可疑度大于或等于预置可疑标准， 则所述文件为可疑文件， 若所述可疑度 小于所述预置可疑标准， 则所述文件为非可疑文件。

本发明实施例还提供一种计算机文件检测的装置， 包括：

检测单元， 用于检测文件的属性， 选择可疑的检测项， 所述属性包括结构属性和文件 属性；

赋值单元， 用于为所述可疑的检测项赋予权值；

统计单元， 用于统计同一个可疑的检测项的出现数量；

计算单元， 用于使用所述可疑的检测项的权值和所述同一个可疑的检测项的出现数量 计算得出所述文件的可疑度；

比较单元， 用于将所述文件的可疑度与预置可疑标准比较， 若所述可疑度大于预置可 疑标准， 则所述文件是可疑文件， 若所述可疑度小于预置可疑标准， 则所述文件为非可疑 文件。

本发明实施例检测文件的结构属性和文件属性， 选出可疑的检测项， 并为所述可疑的 检测项赋予权值， 统计同一个可疑的检测项的出现数量， 然后计算得出被检测文件的可疑 度， 根据预置的规则确定该文件是否是可疑文件， 相对于现有技术实现对静态未知病毒的 主动防御； 提高未知病毒的检测概率， 加强了对未知病毒的防御。 附图说明

图 1是本发明实施例提供的计算机文件检测的方法流程图；

图 2是本发明实施例提供的计算机文件检测的装置示意图。 具体实施方式

本发明实施例提供了一种计算机文件检测的方法及装置， 用于实现对静态病毒的主动 防御。

本发明实施例通过对静态的文件的结构属性和文件属性进行检测， 选出可疑的检测项， 根据每个检测项的权重赋于该检测项权值， 利用该权值和同一个可疑检测项的出现数量计 算得出被检测文件的可疑度， 根据计算出的可疑度确定该文件是否被感染了病毒。 本发明 实施例通过对静态文件的检测， 实现对静态病毒的主动防御。

当操作终端的用户选择利用本发明实施例提供的计算机文件检测装置开始检测终端中 文件是否被感染了病毒， 开始进入本发明实施例提供的计算机文件检测方法步骤中。

请参阅图 1是本发明实施例提供的计算机文件检测的方法流程图。 开始检测时， 首先打开文件并读取文件， 然后执行歩骤 101。

步骤 101、 检测文件的有效性；

为加快文件的检测速度， 在打开文件后首先检测文件的有效性， 防止在无效的文件上 花费时间进行检测。

本发明实施例以检测 word文件为例。 检测文件的有效性主要通过检测文件结构属性中 的映像 DOS 头 （ IMAGE_D0S— HEADER ) 结构中 e_magic 项是否等于一预设值， 例如 IMAGE_DOS_SIGNATURE, 若不相等则是无效可执行文件 （PE文件）； 若相等则根据结构属性 中的映像 DOS头结构中 e_lfanew项指向的地址找到映像 NT头 （ IMAGE_NT_HEADER) 所在位 置， 比较映像 NT头结构中的 PE文件标识 （Signature) 项是否等于 "PE00", 若相等则 认为是有效的 PE文件； 否则显示信息表示该文件不是有效的 PE结构的文件， 则该文件是 无效的； 该步骤检测文件是有效的 PE结构文件。 若检测打开的文件是有效的文件， 执行步 骤 102， 若检测打开的文件是无效文件， 直接结束检测。

步骤 102、 检测文件的结构属性；

检测文件的结构属性包括： 检测结构属性中的映像 DOS 头中各项； 检测映像文件头 ( IMAGE_FILE_HEADER) 各项； 检测可选映像头 （ IMAGE_0PTI0NAL_HEADER) 各项； 检测段 映像头 （IMAGE_SECTI0N_HEADER) 各项。

其中， 检测结构属性中的映像 DOS头中各项具体如下：

结构属性中的映像 DOS头中 e_lfanew项

如果该项的数值超出待检测文件长度或小于 0x10， 则认为是可疑的。

其中， 检测映像文件头各项具体如下：

映像文件头中 Number Of Sections项；

正常情况下该项的数值多为 4， 如果该项的数值小于 3则认为是可疑文件。

其中， 检测可选映像头中各项具体如下：

段映像头中的 Base Of Code 项；

可疑文件此项的数值不等于任一段的起始地址， 即： 不在任一段中。 或起始地址异常， 正常情况下在 Win32 下， 起始地址多为： 0x10000000、 0x10000000、 0x00400000。 若不是 这些数值则认为是可疑的。

若此项的数值等于某一段的起始地址， 但该段的段名 （IMAGE_SECTI0N_HEADER中 Name 项） 如果不是常见的 ". text"、 ". rsrc"则认为是可疑的。

段映像头中的 BaseOfData项；

可疑文件此项的数值不等于任一段的起始地址， 即： 不在任一段中， 或此项的数值小 于 0x400， 则认为是可疑的。

若此项的数值等于某一段的起始地址， 但该段的段名 （IMAGE_SECTION_HEADER中 Name 项） 如果不是常见的 ". data"也认为是可疑的。

段映像头中 ImageBase项；

若此项的数值大于 0x20000000则认为是可疑的。

段映像头中 FileAlignment项；

若此项的数值不等于 0x200则认为是可疑的。

段映像头中 Checksum项；

病毒及一些非法程序， 在修改 PE文件格式时， 常将此项置 0， 而正常编译器编译的文 件有正确的数值。 若此项为 0， 则认为是可疑的。

段映像头中 Import table的 VirtualAddress禾口 Size项；

如： IMAGE_0PT 10NAL_HEADER32 -) DataDirectory [1] . Size的数值大于 0且小于 0x28 则认为是可疑的；

段映像头中 Resource项；

另外还有其他文件的结构上的异常， 例如： 资源段中又包含有 PE文件：

普通文件的资源段一般存放文件的图标、 文件相关的位图、 版本信息等内容。 如果发 现在资源段中又出现了以 MZ为 （MZ为可执行文件的开头两个字符。 对应十六进制为 0x4D

0x5A。 用二进制查看工具打开一个 exe后缀的文件即可查看） 标志的 PE文件， 则很大程度 上可能是病毒了。 在运行时病毒会把此段中的 PE文件释放出来。

段映像头中 Relocation table的 Virtual Address禾卩 Size项

如： I段映像头中 Virtual Address的值大于 0且小于 0x48则认为是可疑的。

如： Size的数值大于待测文件大小或小于 0x0c则认为是可疑的；

IMAGE_0PTI0NAL_HEADER32中 TLS table的 VirtualAddress禾口 Size项

如： IMAGE_0PTI0NAL_HEADER32->DataDirectory [9] . VirtualAddress 大于 0 且小于 0x48, 则认为是可疑的。

IMAGE_0PTI0NAL_HEADER32中 Boundlmport 表的 VirtualAddress和 Size项

如： IMAGE_0PTI0NAL_HEADER32->DataDirectory [l l] . Size的数值大于待测文件大小或 小于 0x20则认为是可疑的；

IMAGE_0PTI0NAL_HEADER32中 IAT表的 VirtualAddress和 Size项

如： IMAGE_0PTI0NAL_HEADER32->DataDirectory [12] . Size的数值大于待测文件大小则 认为是可疑的； 其中， 检测段映像头 IMAGE_SECTION_HEADER各项具体如下：

需要说明的是： 检测 IMAGE_SECTION_HEADER 各项时， 首先要定位至段表 （SECTION TABLE), 定位后进行 IMAGE_SECTION_HEADER各项的检测， 一个 IMAGE_SECTION_HEADER各 项检测完毕后， 定位下一个 IMAGE_SECTION_HEADER项， 若无下一个 IMAGE_SECT 10N_HEADER 项，则结束 IMAGE_SECTION_HEADER各项的检测；若定位到下一个 IMAGE_SECTION_HEADE项， 继续检测下一个 IMAGE_SECT 10N_HEADER各项。

IMAGE_SECTION_HEADER中 Name 项：

这是一个 8 位 ASCII , 多以 " . " 开头； 常见段名： " . text ", " . data. "、 " . code ", ". rsrc"、 ". reloc"。 . text 存放指令代码， . data存放初始化的数据， . idata包含其他 外来 DLL的函数及数据信息， 即输入表， . rsrc存放模块的全部资源数据， . reloc存放基 地址重定位表， . edata存放文件的输出表。 可疑文件和病毒文件常使用一些无规则的命名 来定义这些常见的段名。 如： "PS斋腌 " "渤 @ " 或者直接为空字符， 则认为是可疑的。

段映像头 中 Pointer To RawData项；

该块在磁盘文件中有一定的偏移， 若此项被置零， 则认为是可疑的。

IMAGE—SECT I0N_HEADER 中 Size Of RawData项；

该块在磁盘文件中所占的大小， 如果块表中某段此项值为零， 说明该文件结构异常， 认为是可疑的。

IMAGE_SECT I 0N_HEADER 中 Characteristics 项；

即： 段属性。 该项是判断是否可疑的重要标志。 该字段是一组指出块属性的标志， 多 个标志求和即为 Characteristics值， 如下是一些常见的标志：

字段值 用途

IMAGE— — SCN— — CNT— —CODE 00000020h 包含执行代码

丄 MAGE— _SCN_ _CNT_ —厦 TIAL丄 ΖΕϋ— _ϋΑΊΈ 包含已初始化的数据

00000040h

IMAGE— —SCN— —CNT— —UNINITIALIZED—DATE 包含未初始化的数据

00000080h

IMAGE— —SCN— —MEM— —DISCARDABLE 02000000h 可被丢弃

IMAGE— —SCN— —MEM— —SHARED lOOOOOOOh 共享块

IMAGE— —SCN— —MEM— —EXECUTE 20000000h 可执行， 常与 00000020同时使用

IMAGE— —SCN— —MEM— —READ 40000000h 可读

IMAGE— —SCN— —MEM— —WRITE 80000000h 可写 如： Characteristics 值： C0000040h = 40000000h | 80000000h 00000040h 表示 该块可读、 可写， 含已初始化数据。

常见的有可写标志的段名： . data 、 DATA, BSS、 . tls、 . idata、 . adata。 如果某段有 可写标志， 而又不是常见的这些段名， 就比较可疑了。

例如： 某段的 Characteristics值为 80000000h， 表示可写， 但其 Name不是以上有可 写标志的段名， 则认为是可疑的。

检测了文件的结构属性后， 执行步骤 103。

步骤 103、 检测文件的文件属性；

检测文件的文件属性包括： 检测文件资源， 检测文件常规属性， 检测文件版本信息。 检测文件属性的各项具体如下：

文件常规属性： 对于可疑文件， 文件常规属性通常会被隐藏。 为了描述方便， 本发明 实施例文件常规属性是指文件的扩展名、 文件的大小、 文件的存储位置、 文件的创建时间 等信息。

文件名： 对于可疑文件， 文件名可能会被改变， 病毒经常伪装成 ie_Xp₀rer、 svchost 等并且带有（ ) [] 〜等特殊符号。

文件的资源信息： 对于可疑文件或病毒文件， 一般不会有资源信息。

文件的版权信息： 对于可疑文件或病毒文件， 一般不会有正常的版权信息。

各段的入口特征： 对于可疑文件或病毒文件， 在段的入口含有跳转指令。

需要说明的是， 检测文件的结构属性和文件的文件属性不分先后顺序， 且具体检测文 件的结构属性的各项和检测文件的文件属性的各项也不分先后顺序。

步骤 104、 选出可疑的检测项；

根据步骤 102和步骤 103中所述的规则， 选出可疑的检测项。

步骤 105、 为可疑的检测项赋予权值；

根据检测项在整个结构属性和文件属性中的权重赋予检测项相应的权值。

如下表举例说明各检测项权值： 检测项 权值

IMAGE_DOS_HEADER中 e_lfanew项 15

IMAGE_FILE_HEADER中 NumberOfSections项 2

IMAGE_0PTI0NAL_HEADER32中的 BaseOfCode 项 5

IMAGE_0PTI0NAL_HEADER32中的 BaseOfData 项 5

IMAGE_0PTI0NAL_HEADER32中 ImageBase项 3

IMAGE_0PTI0NAL_HEADER32中 FileAlignment项 5

IMAGE_0PTI0NAL_HEADER32中 Checksum项 5

IMAGE_0PTI0NAL_HEADER32->DataDirectory [l] . VirtualAddress项 5

IMAGE_0PTI0NAL_HEADER32->DataDirectory [l] . Size项 5

IMAGE_0PTI0NAL_HEADER32_〉Da DirecLory [5] . V丄 rLimlAddress项 5

IMAGE_0PTI0NAL_HEADER32->DataDirectory [5] . Size项 5

IMAGE_SECT I 0N_HEADER中 Name 项 7 步骤 106、 统计同一个可疑项的出现数量；

SECTION TABLE在文件中可能会有多个，循环检测每个 SECTION TABLE中的各个检测项。 每个检测项在各个 SECTION TABLE 都存在， 将多个同一个检测项的可疑度累加。 因此执行 该步骤， 统计同一个可疑项的权值。

步骤 107、 计算文件的可疑度；

计算公式如下：

文件的可疑度 =检测项 1出现可疑的数量 *权值 1 +检测项 2出现可疑的数量 *权 值 2 +检测项 3出现可疑的数量 * 权值 3 + . . . 。

每个检测项对应一个权值， 计算获得文件的可疑度后， 执行步骤 108。

如： 在某个文件中以下各个检测项符合可疑条件。

IMAGE_D0S_HEADER中 e_lfanew项， 数量 1个

IMAGE_FILE_HEADER中 NumberOfSections项， 数量 1个

IMAGE_0PTI0NAL_HEADER32中的 BaseOfCode 项， 数量 1个

IMAGE_0PTI0NAL_HEADER32种的 BaseOfData 项， 数量 1个

IMAGE_0PTI0NAL_HEADER32中 FileAlignment项， 数量 1个

IMAGE_0PTI0NAL_HEADER32中 Checksum项， 数量 1个

IMAGE_0PTI0NAL_HEADER32->DataDirectory [l] . Size项， 数量 1个 IMAGE_SECTION_HEADER中 Name 项， 数量 2个

则该文件的可疑度 = 15 + 2 + 5 + 5 + 5 + 5 + 5 + 2 * 7 = 56

步骤 108、 将文件的可疑度与预置可疑标准比较；

一般预置可疑标准是 20， 当计算文件的可疑度超过或等于 20时， 执行步骤 109; 上述 计算得到文件的可疑度是 56， 即执行步骤 109; 若计算得到上述文件的可疑度小于 20， 则 认为该文件是正常的文件， 未被感染病毒。

步骤 109、 显示可疑文件， 并显示该文件是可疑文件；

为方便终端用户得知可能被感染病毒的文件， 以进行采取主动的防御， 本发明实施例 在计算得到的文件可疑度大于预置的可疑标准， 显示该可疑文件， 并对应显示该文件是可 疑文件。

至此， 对于一个文件的检测完毕， 本发明实施例提供的计算机文件检测装置开始下一 个文件的检测， 若检测完终端用户选中的所有文件， 提示终端用户检测完毕， 并全部显示 所有检测到的可疑度达到预置可疑度的文件。 另外， 需要说明的是， 本发明实施例计算机 文件检测的方法步骤 102、 103中描述对文件结构属性和文件属性的检测异常状况可以根据 普通文件或病毒文件的不断更新而进行更新， 本发明实施例对此不做限制； 另外， 文件的 结构属性和文件属性的所有各项以及所有各项对应的检测异常状况， 本领域技术人员可以 根据具体情况判断所有检测项的异常状况， 在此不赘述。

本发明实施例在计算得到的文件可疑度大于预置的可疑标准， 显示该可疑文件， 并对 应显示该文件是可疑文件。 方便终端用户得知可能被感染病毒的文件， 以进行采取主动的 防御。

如下提供应用本发明实施例提供的计算机文件检测的方法的装置实施例。

请参阅图 2是本发明实施例提供的计算机文件检测的装置图。

如图所示， 本发明实施例提供的计算机文件检测的装置包括：

检测单元 110， 用于检测文件的属性， 选择可疑的检测项， 所述属性包括结构属性和文 件属性；

赋值单元 120， 用于为所述可疑的检测项赋予权值；

统计单元 130， 用于统计同一个可疑的检测项的出现数量；

计算单元 140，用于使用所述可疑的检测项的权值和所述同一个可疑的检测项的出现数 量计算得出所述文件的可疑度；

比较单元 150， 用于将所述文件的可疑度与预置可疑标准比较， 若所述可疑度大于预置 可疑标准， 则所述文件是可疑文件， 若所述可疑度小于预置可疑标准， 则所述文件为非可 疑文件。

检测到可疑的文件后， 本发明实施例提供的计算机文件检测装置还包括：

显示单元 160， 用于在所述文件是可疑文件时， 显示所述可疑文件， 并显示所述文件是 可疑文件。

另外， 为减少检测无效文件的检测时间， 加快检测速度， 所述计算机文件检测的装置 还包括：

文件检测单元 170， 用于检测打开的文件是否有效， 若检测的结果为有效， 则继续检测 单元 110的检测； 若检测的结果为无效， 则结束检测流程。

在检测文件的结构属性时， 若文件结构属性存在多个 SECTION项， 本发明实施例提供 的所述计算机文件检测装置还包括：

定位单元 180， 用于在检测所述文件结构属性时， 定位所述文件结构属性的段表。 本发明实施例提供的计算机文件检测方法及装置可以作为单独的检测工具， 也可以与 目前的杀毒软件结合使用。 也可以在数据流查毒中， 抓取文件传输的报文并做还原， 然后 对还原出来的文件使用本发明实施例提供的计算机文件检测方法检测。

例：目前互联网上大多数病毒以超文本传输协议（HTTP, Hypertext, Transfer Protocol) 方式下载至本地然后运行； 可以对 HTTP协议数据流抓包并做还原后， 得到病毒传送的原文 件， 之后使用本发明实施例提供的计算机文件检测方法检测是否为可疑文件。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程， 是可以通过 计算机程序来指令相关的硬件来完成， 所述的程序可存储于一计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施例的流程。 其中， 所述的存储介质可为磁碟、 光盘、只读存储记忆体（Read-Only Memory, ROM)或随机存储记忆体（Random Access Memory, RAM) 等。

以上对本发明所提供的一种病毒防御的方法及装置进行了详细介绍， 对于本领域的一 般技术人员， 依据本发明实施例的思想， 在具体实施方式及应用范围上均会有改变之处， 综上所述， 本说明书内容不应理解为对本发明的限制。

Claims

权 利 要 求 书

1、 一种计算机文件检测的方法， 其特征在于， 包括步骤：

检测文件的属性， 选出可疑的检测项， 所述属性包括结构属性和文件属性； 为所述可疑的检测项赋予权值， 统计同一可疑的检测项的出现数量；

使用预置的可疑的检测项的权值和所述同一可疑的检测项的出现数量计算所述文件的 可疑度， 若所述可疑度大于或等于预置可疑标准， 则所述文件为可疑文件， 若所述可疑度 小于所述预置可疑标准， 则所述文件为非可疑文件。

2、 根据权利要求 1所述的计算机文件检测的方法， 其特征在于， 所述为所述可疑的检 测项赋予权值包括： 依据所述检测项的权重比例赋予相应的权值。

3、 根据权利要求 1所述的计算机文件检测的方法， 其特征在于， 所述使用所述权值和 所述同一个可疑的检测项的出现数量计算得出所述文件的可疑度包括：

同一个可疑的检测项的出现数量乘以所述可疑的检测项的权值， 然后将各检测项的结 果相加， 获得所述文件的可疑度。

4、 根据权利要求 1所述的计算机文件检测的方法， 其特征在于， 若所述文件是可疑文 件， 则显示所述可疑文件， 并显示所述文件是可疑文件。

5、 根据权利要求 1所述的计算机文件检测的方法， 其特征在于， 所述检测文件的属性 之前， 还包括：

打开文件后， 检测所述文件是否有效， 若所述文件有效， 则执行后续步骤； 若所述文 件无效， 则结束检测。

6、 根据权利要求 1至 5任一项所述的计算机文件检测的方法， 其特征在于， 所述检测 所述文件的结构属性包括：

检测映像 DOS头各项； 或，

检测映像文件头各项； 或，

检测可选映像头各项； 或，

检测段映像头各项。

7、 根据权利要求 6所述的计算机文件检测的方法， 其特征在于， 所述检测段映像头各 项包括步骤：

定位段表；

检测一个所述段表中段映像头各项；

所述一个段表中段映像头各项检测完毕后， 定位下一个段表， 若所述一个段是最后一 个段 ， 则结束段表部分的检测； 若所述段表不是最后一个段表， 则对当前段表， 检测所述 段映像头各项。

8、 根据权利要求 7所述的计算机文件检测的方法， 其特征在于， 所述检测所述文件的 文件属性包括：

检测文件资源信息， 检测文件常规属性， 检测文件版本信息。

9、 一种计算机文件检测的装置， 其特征在于， 所述装置包括：

检测单元， 用于检测文件的属性， 选择可疑的检测项， 所述属性包括结构属性和文件 属性；

赋值单元， 用于为所述可疑的检测项赋予权值；

统计单元， 用于统计同一个可疑的检测项的出现数量；

计算单元， 用于使用所述可疑的检测项的权值和所述同一个可疑的检测项的出现数量 计算得出所述文件的可疑度；

比较单元， 用于将所述文件的可疑度与预置可疑标准比较， 若所述可疑度大于预置可 疑标准， 则所述文件是可疑文件， 若所述可疑度小于预置可疑标准， 则所述文件为非可疑 文件。

10、 根据权利要求 9 所述的计算机文件检测的装置， 其特征在于， 所述计算机文件检 测装置还包括：

显示单元， 用于在所述文件是可疑文件时， 显示所述可疑文件， 并显示所述文件是可 疑文件。

11、 根据权利要求 9 所述的计算机文件检测的装置， 其特征在于， 所述计算机文件检 测的装置还包括：

文件检测单元， 用于检测打开的文件是否有效， 若检测的结果为有效， 则所述检测单 元开始检测文件的属性； 若检测的结果为无效， 则结束检测。

12、 根据权利要求 9至 11任一项所述的计算机文件检测的装置， 其特征在于， 所述计 算机文件检测装置还包括：

定位单元， 用于在检测所述文件结构属性时， 定位所述文件结构属性的段表。