WO2015135286A1

WO2015135286A1 - 提取pe文件特征的方法及装置

Info

Publication number: WO2015135286A1
Application number: PCT/CN2014/084391
Authority: WO
Inventors: 王鑫; 姚辉; 刘桂峰
Original assignee: 珠海市君天电子科技有限公司
Priority date: 2014-03-10
Filing date: 2014-08-14
Publication date: 2015-09-17
Also published as: CN103886229B; CN103886229A

Abstract

公开了一种提取PE文件特征的方法及装置，所述方法包括：对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；提取所述特征代码的hash特征；根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。杀毒软件利用上述方法提取的特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，并可以提高提取目标PE文件特征的速度。

Description

提取 PE文件特征的方法及装置技术领域

本发明涉及数据安全技术领域，特别涉及一种提取 PE文件特征的方法及装置。背景技术

PE ( Portable Execute) 文件被称为可移植的执行体，例如， exe文件、 dll文件、 ocx文件、 sys文件和 com文件等均为 PE文件。由于实际应用中 PE文件感染计算机病毒的现象越来越常见，因此，用户在获得某一 PE文件后，通常先通过杀毒软件检测该 PE文件是否已被计算机病毒感染。

应用杀毒软件检测待检测 PE文件是否已被计算机病毒感染时，首先要提取待检测 PE文件的特征。现有技术中，提取待检测 PE文件的全文 hash (哈希）特征是较常见的一种 PE 文件特征提取方法。在提取全文 hash特征时，其计算范围为待检测 PE 文件中的所有字节，因此，该特征可以精确的描述待检测文件的特征。但是，全文 hash特征对数据比较敏感，即使改变文件中的一个字节也会带来全文 hash特征的改变，例如，两个 PE文件的核心代码是一样的，但是非核心代码稍有区别，则全文 hash特征可能存在很大差别，因此，杀毒软件利用全文 hash特征匹配法进行病毒检测时，全文 hash特征的通用性较弱。另外，一般 PE文件中会存在多处可以随意修改但是不影响文件正常运行的结构，例如，节缝隙等等，因此，实际应用中病毒程序可以通过修改这些地方而改变待检测文件的全文 hash特征，从而绕过杀毒软件的检测。再者，由于提取全文 hash特征时，需覆盖待检测 PE文件中的所有字节，因此，提取全文 hash特征时，速度慢、消耗资源高。发明内容

本发明实施例公开了一种提取 PE文件特征的方法及装置，以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且提高利用该特征进行病毒检测时的通用性，及提取目标 PE文件特征的速度。

为达到上述目的，本发明实施例公开了一种提取 PE文件特征的方法，所述方法包括：

对目标 PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标 PE文件的代码节、目标 PE文件的附加数据或目标 PE文件的资源节；

提取所述特征代码的 hash特征；

根据所述特征代码的 hash特征生成目标 PE文件的特征，所述目标 PE文件的特征用于检测所述目标 PE文件是否被病毒感染。

较佳的，所述提取所述特征代码的 hash值，包括：

根据预设规则对特征代码进行分段；

提取分段后各个代码段预设位置对应的子代码段；

提取各个子代码段的 hash特征；

根据各个子代码段的 hash特征生成特征代码的 hash特征。

较佳的，所述预设位置，包括：

从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或

从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。较佳的，在分析得知所述目标 PE文件包括多个代码节的情况下，

所述获得所述源代码中的特征代码，包括：

获得所述源代码中的一个或多个代码节。

较佳的，所述获得所述源代码中的一个代码节，包括：

获得所述源代码中长度最长的代码节；或

获得所述源代码中包含入口代码的代码节。

为达到上述目的，本发明实施例公开了一种提取 PE文件特征的装置，所述装置包括：

特征代码获得模块，用于对目标 PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标 PE文件的代码节、目标 PE文件的附加数据或目标 PE文件的资源节；

hash特征提取模块，用于提取所述特征代码的 hash特征；

PE文件特征生成模块，用于根据所述特征代码的 hash特征生成目标 PE文件的特征，所述目标 PE文件的特征用于检测所述目标 PE文件是否被病毒感染。

较佳的，所述 hash特征提取模块，包括：特征代码分段子模块、子代码段提取子模块、子代码段 hash特征提取子模块和 hash特征生成子模块；

所述特征代码分段子模块，用于根据预设规则对特征代码进行分段；

所述子代码段提取子模块，用于提取分段后各个代码段预设位置对应的子代码所述子代码段 hash特征提取子模块，用于提取各个子代码段的 hash特征；所述 hash特征生成子模块，用于根据各个子代码段的 hash特征生成特征代码的 hash特征。

较佳的，所述子代码段提取子模块，具体用于提取分段后各个代码段以下位置对应的子代码段，

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。较佳的，所述特征代码获得模块，具体用于对目标 PE文件的源代码进行分析，在分析得知所述目标 PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。

较佳的，所述特征代码获得模块，

具体用于对目标 PE文件的源代码进行分析，获得所述源代码中长度最长的代码节；或

具体用于对目标 PE文件的源代码进行分析，获得所述源代码中包含入口代码的代码节。

由以上可见，本方案中，通过提取目标 PE文件特征代码的 hash特征来生成该目标 PE文件的特征，以使得杀毒软件利用该目标 PE文件的特征检测该目标 PE文件是否被计算机病毒感染。与现有技术相比，由于全文 hash特征对数据比较敏感，改变文件中的一个字节即可引起全文 hash特征的改变，而 PE文件的特征代码部分为 PE 文件的核心代码，且不能够被随意修改，因此，用特征代码的 hash特征生成目标 PE 文件的特征，可以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，又由于本方案中只提取目标 PE文件的特征代码的特征而非全文的特征，因此提高了提取目标 PE文件特征的速度。本发明实施例还提供了一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行根据本发明实施例的提取 PE文件特征的方法。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图 1为本发明实施例提供的一种提取 PE文件特征的方法的流程示意图；图 2为本发明实施例提供的提取特征代码的 hash特征方法的流程示意图；图 3为本发明实施例提供的一种病毒检测方法的流程示意图；

图 4为本发明实施例提供的一种提取 PE文件特征的装置的结构示意图；图 5为本发明实施例提供的一种 hash特征提取模块的结构示意图。具体实施方式

现有技术中，常通过提取全文 hash特征的方法获得待检测 PE文件的特征，虽然全文 hash特征能够精确的描述待检测 PE文件的特征，但是其对数据比较敏感，杀毒软件利用该特征进行病毒检测时，通用性差且易被病毒绕过，又由于提取全文 hash 特征时，需覆盖待检测 PE文件的所有字节，因此该提取 PE文件特征的方法速度慢。鉴于现有提取 PE文件的方法中存在上述问题，本发明实施例提供了一种提取 PE文件特征的方法及装置，以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且提高利用该特征进行病毒检测时的通用性，及提取目标 PE文件特征的速度。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明实施例提供的一种提取 PE文件特征的方法的流程示意图，该方法包括以下步骤：

S 101 : 对目标 PE文件的源代码进行分析，获得所述源代码中的特征代码。

其中，特征代码可以包括：以下几种中任意一种或几种的组合，目标 PE文件的代码节、目标 PE文件的附加数据或目标 PE文件的资源节等等，本申请不对目标 PE文件特征代码的具体表现形式进行限定，可以根据目标 PE文件的具体代码结构确定。

实际应用中，由于常用的 PE文件的代码节属于 PE文件的关键代码，其被随意修改后，很容易导致文件运行错误，所以，通常情况下， PE文件的代码节部分不易被自动化工具修改，可以选取代码节作为 PE文件的特征代码。

一个 PE文件中可以包括一个代码节也可以包括多个代码节，当分析得知当前 PE 文件包括多个代码节时，可以选取其中的一个或多个代码节作为当前目标 PE文件的特征代码。当当前 PE文件的源代码中包括多个代码节，而只选取其中的一个代码节作为特征代码时，可以选取各个代码节中长度最长的代码节作为特征代码，也可以选取包含入口代码的代码节作为特征代码。除了选取上述的一个或多个代码节作为 PE文件的特征代码外，一个或多个代码节还可以与 PE文件的头信息或附加数据组合作为 PE文件的特征代码。

其中，附加数据是指 PE文件的源代码中最后一个节的末尾至文件末尾之间的区域对应的数据。

实际应用中，还存在另外一种类型的 PE文件，该类型的 PE文件含有大量框架代码，不同文件之间 PE头信息和所有节的数据几乎一样，但是其附加数据的内容不同，例如：脚本驱动类型的 PE文件。这一类型的 PE文件可以选取附加数据或者资源节或者两者的组合等作为特征代码。

其中，资源节是指 PE文件中用于存放外围数据的节区域，例如，编译器通常将 PE文件的图标、版本信息、界面对话框等等信息存放于资源节区域内。

S 102: 提取所述特征代码的 hash特征。

在本发明的一个具体实施例中，提供了一种提取所述特征代码的 hash特征的具体实现方式，图 2为本发明实施例提供的提取特征代码的 hash特征方法的流程示意图，该方法包括以下步骤：

S 102A: 根据预设规则对特征代码进行分段。

上述的预设规则可以是从特征代码的起始位置开始，按照固定值依次对特征代码进行分段，各段之间不重叠。例如：选取长度为 0x10000的代码节作为特征代码，则可以从特征代码的起始位置开始，每 0x1000长度的代码段为一段，将特征代码分段，即： [0x0000, OxOFFF] [0x1000, 0xlFFF] [0x2000, 0x2FFF]

上述的预设规则还可以是从特征代码的起始位置开始，按照固定值依次对特征代码进行分段，各段之间部分重叠。例如：上述特征代码按照该预设规则分段后各段的区间为： [0x0000， 0xl00F] [0x0FF5 , 0x200F]

当然，本申请只是以上述为例进行说明，实际应用中预设规则的具体形式不仅限于此，例如：分段间隔还可以是非固定值等等。

S 102B : 提取分段后各个代码段预设位置对应的子代码段。

其中，预设位置，可以是：

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间等等。具体的，上述按照固定值对特征代码分段，且各段之间不重叠的情况，可以选择分段后各个代码段的中间位置、长度为 0x100的代码区间作为子代码段。

S 102C: 提取各个子代码段的 hash特征。 S 102D: 根据各个子代码段的 hash特征生成特征代码的 hash特征。

本步骤中，可以通过计算各个子代码段的 hash特征的 hash特征，生成目标 PE文件的特征代码的 hash特征。

S 103 : 根据所述特征代码的 hash特征生成目标 PE文件的特征。

由以上可见，本方案中，通过提取目标 PE文件特征代码的 hash特征来生成该目标 PE文件的特征，以使得杀毒软件利用该目标 PE文件的特征检测该目标 PE文件是否被计算机病毒感染。与现有技术相比，由于全文 hash特征对数据比较敏感，改变文件中的一个字节即可引起全文 hash特征的改变，而 PE文件的特征代码部分为 PE 文件的核心代码，且不能够被随意修改，因此，用特征代码的 hash特征生成目标 PE 文件的特征，可以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，又由于本方案中只提取目标 PE文件的特征代码的特征而非全文的特征，因此提高了提取目标 PE文件特征的速度。

杀毒软件进行病毒检测时，首先需提取待检测 PE文件的特征，再根据所提取的特征对待检测 PE文件进行病毒检测。其中，提取待检测 PE文件的特征可以采用图 1 所示实施例提供的提取 PE文件特征的方法进行。具体的，杀毒软件进行病毒检测，可以分为以下三种情况：

第一种情况，待检测 PE文件存储于客户端，客户端通过图 1所示实施例提供的提取 PE文件特征的方法提取待检测 PE文件的特征，并将该特征与存储于客户端的预设的特征病毒库匹配，进行病毒检测；

第二种情况，待检测 PE文件存储于客户端，客户端通过图 1所示实施例提供的提取 PE文件特征的方法提取待检测 PE文件的特征，并将该特征发送给服务器端，服务器端接收到该特征后，将该特征与存储于服务器端的预设的特征病毒库匹配，进行病毒检测；

第三种情况，待检测 PE文件存储于服务器端，服务器端通过图 1所示实施例提供的提取 PE文件特征的方法提取待检测 PE文件的特征，并将该特征与存储于服务器端的预设的特征病毒库匹配，进行病毒检测。

其中，预设的特征病毒库中的特征是通过图 1所示实施例提供的提取 PE文件特征的方法提取样本 PE文件得到的。

下面通过具体实施例进行详细说明。

图 3为本发明实施例提供的一种病毒检测方法的流程示意图，该方法包括：

S301 : 确定待检测 PE文件的特征信息。

实际应用中，待检测 PE文件的特征信息可以是客户端提取存储于客户端的待检测 PE文件的特征信息后，发送给服务器端的特征信息、服务器端提取的存储于服务器端的待检测 PE文件的特征信息或客户端提取的存储于客户端的待检测 PE文件的特征信息。其中，提取待检测 PE文件的特征信息可以通过图 1所示实施例提供的方法实现。

待检测 PE文件的特征信息是指：待检测 PE文件的特征代码对应的特征信息。每一个待检测 PE文件的源代码都可以按照各部分代码的不同的功能划分为不同的代码段，其中，有些代码段可以随意修改而不会影响文件的正常运行，而有些代码段一旦修改即可导致文件运行错误。待检测 PE文件源代码中修改后会导致文件运行错误的代码段，称为待检测 PE文件的特征代码。

具体的，待检测 PE文件的特征代码可以是待检测 PE文件的代码节、待检测 PE 文件的附加数据或待检测 PE文件的资源节等等，也可以是上述几种的任意组合。

S302: 将所述特征信息与预设的特征病毒库中的特征进行匹配，获得第一匹配结果。

通常情况下，预设的特征病毒库中会包含多个已被病毒感染的样本文件的特征信息，在 S301 确定待检测 PE文件的特征信息后，将该特征信息与预设的特征病毒库中的特征逐个进行匹配，若与该病毒库中的任一特征相匹配，则说明待检测 PE文件已被与待检测 PE文件的特征相匹配的特征对应的病毒感染，否则，则说明待检测 PE 文件未被预设的特征病毒库中特征对应的病毒感染。

S 103 : 根据第一匹配结果生成病毒检测报告。

本步骤中生成的病毒检测报告中可以包括：待检测 PE文件是否已被病毒感染、已感染病毒的类型、对待检测 PE文件的处理建议等等，当然，实际应用中，病毒检测报告所包括的内容不仅限于上述几种。

由以上可见，本方案中，通过将待检测 PE文件的特征与预设的特征病毒库中的特征相匹配的方法进行病毒检测。由于现有的全文 hash特征匹配法中，全文 hash特征对数据比较敏感，改变文件中的一个字节即可引起全文 hash特征的改变，因此，全文 hash特征通用性较弱，而应用图 1所示实施例提供的提取 PE文件特征的方法提取的待检测 PE文件的特征通用性较强，用该特征进行病毒检测，可以降低病毒检测的误报率。

图 4为本发明实施例提供的一种提取 PE文件特征的装置的结构示意图，该装置包括：特征代码获得模块 401、 hash特征提取模块 402和 PE文件特征生成模块 403。其中，特征代码获得模块 401，用于对目标 PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标 PE 文件的代码节、目标 PE文件的附加数据或目标 PE文件的资源节；

hash特征提取模块 402，用于提取所述特征代码的 hash特征；

PE文件特征生成模块 403，用于根据所述 hash特征生成目标 PE文件的特征，所述目标 PE文件的特征用于检测所述目标 PE文件是否被病毒感染。

在本发明的一个具体实施例中，提供了一种 hash特征提取模块 402的具体实现方式，图 5为本发明实施例提供的一种 hash特征提取模块的结构示意图，具体包括：特征代码分段子模块 4021、子代码段提取子模块 4022、子代码段 hash特征提取子模块 4023和 hash特征生成子模块 4024。

所述特征代码分段子模块 4021，用于根据预设规则对特征代码进行分段；所述子代码段提取子模块 4022，用于提取分段后各个代码段预设位置对应的子代码段；

所述子代码段 hash特征提取子模块 4023，用于提取各个子代码段的 hash特征；所述 hash特征生成子模块 4024，用于根据各个子代码段的 hash特征生成特征代码的 hash特征。

其中，所述子代码段提取子模块 4022，可以具体用于提取分段后各个代码段以下位置对应的子代码段，

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。本实施例中，所述特征代码获得模块 401，可以具体用于对目标 PE文件的源代码进行分析，在分析得知所述目标 PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。

本实施例中，所述特征代码获得模块 401，

可以具体用于对目标 PE文件的源代码进行分析，获得所述源代码中长度最长的代码节；或

可以具体用于对目标 PE文件的源代码进行分析，获得所述源代码中包含入口代码的代码节。

对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本发明实施例还提供了一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行根据本发明实施例的提取 PE文件特征的方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语"包括"、 "包含 "或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句 "包括一个 ... ... " 限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如： ROM/RAM, 磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

权利要求书

1、一种提取 PE文件特征的方法，其特征在于，所述方法包括：

提取所述特征代码的 hash特征；

2、根据权利要求 1所述的方法，其特征在于，所述提取所述特征代码的 hash特征，包括：

根据预设规则对特征代码进行分段；

提取分段后各个代码段预设位置对应的子代码段；

提取各个子代码段的 hash特征；

根据各个子代码段的 hash特征生成特征代码的 hash特征。

3、根据权利要求 2所述的方法，其特征在于，所述各个代码段预设位置，包括：从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或

从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。

4、根据权利要求 1-3中任一项所述的方法，其特征在于，在分析得知所述目标 PE 文件包括多个代码节的情况下，

所述获得所述源代码中的特征代码，包括：

获得所述源代码中的一个或多个代码节。

5、根据权利要求 4所述的方法，其特征在于，

所述获得所述源代码中的一个代码节，包括：

获得所述源代码中长度最长的代码节；或

获得所述源代码中包含入口代码的代码节。

6、一种提取 PE文件特征的装置，其特征在于，所述装置包括：

hash特征提取模块，用于提取所述特征代码的 hash特征；

7、根据权利要求 6所述的装置，其特征在于，所述 hash特征提取模块，包括：特征代码分段子模块、子代码段提取子模块、子代码段 hash特征提取子模块和 hash特征生成子模块；

所述子代码段提取子模块，用于提取分段后各个代码段预设位置对应的子代码段；

所述子代码段 hash特征提取子模块，用于提取各个子代码段的 hash特征；所述 hash特征生成子模块，用于根据各个子代码段的 hash特征生成特征代码的 hash特征。

8、根据权利要求 7所述的装置，其特征在于，所述子代码段提取子模块，具体用于提取分段后各个代码段以下位置对应的子代码段，

9、根据权利要求 6-8中任一项所述的装置，其特征在于，所述特征代码获得模块，具体用于对目标 PE文件的源代码进行分析，在分析得知所述目标 PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。

10、根据权利要求 9所述的装置，其特征在于，所述特征代码获得模块，具体用于对目标 PE文件的源代码进行分析，获得所述源代码中长度最长的代码节；或

11、一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行权利要求 1-5中任一项所述的提取 PE文件特征的方法。