一种基于文件损坏度的软件检测方法技术

本发明专利技术涉及一种基于文件损坏度的软件检测方法，本发明专利技术步骤为：样本执行前标记文件特征提取；样本执行后标记文件特征提取；单个标记文件损坏度计算；系统损坏度计算；选取木马动态检测引擎作为检测平台，选取10个标记文件，并将样本执行时间统一调整；采取随机的方法，对文件名、文件内容、文件类型随机写入，达到不同的样本对于标记文件损坏程度不同的效果。本发明专利技术利用文件加密型存在损坏度的缺陷样本进行动态检测，对大量缺陷样本、正常样本进行动态执行，计算其文件损坏度和系统损坏度，提高了文件的可用性，减少了系统损坏的频率。

A Software Detection Method Based on Document Damage Degree

The invention relates to a software detection method based on document damage degree. The steps of the invention are: extracting the features of tag files before sample execution; extracting the features of tag files after sample execution; calculating the damage degree of single tag files; calculating the system damage degree; selecting Trojan horse dynamic detection engine as detection platform, selecting 10 tag files, and uniformly adjusting the execution time of samples. Random method is adopted to write file name, file content and file type randomly, which achieves different effects of different samples on the damage degree of tagged files. The invention uses the defective sample of document encryption with degree of damage to carry out dynamic detection, carries out dynamic execution on a large number of defective samples and normal samples, calculates the degree of file damage and system damage, improves the usability of documents, and reduces the frequency of system damage.

【技术实现步骤摘要】
一种基于文件损坏度的软件检测方法
本专利技术涉及一种软件检测方法，更具体地说，涉及一种基于文件损坏度的软件检测方法。
技术介绍
随着互联网的快速发展，存在损坏度的软件数量剧增。当前检测软件损坏度常用的方法主要为设置陷进文件并检测其指纹变化或监控系统操作。而这两种方法都不能准确的区分软件损坏度和其他类型的恶意代码。在恶意代码动态分析技术中，针对自动化检测软件是否存在损坏度方面，较为常用的方法有以下三种：1.利用文件指纹技术；2.利用APIHOOK技术；3.动态检测过程中对进程行为进行监控。以上方法都能比较直观地提现文件是否在样本运行中存在损坏度。同时方法易懂，且易操作，应用程度较广。但由于这些方法过于粗粒度，通过一个陷阱文件的状态变化或操作行为，不能武断的判断该文件就存在损坏度。同时在样本运行过程中也可能会出现一定的误报率，这样对其他类型的恶意样本无法作出判断。
技术实现思路
本专利技术要解决的技术问题在于，针对现有技术中的缺陷，提供一种基于文件损坏度的软件检测方法,减少文件损坏度，并保护系统，减少因文件损坏度造成的系统问题。本专利技术解决其技术问题所采用的技术方案是：构造一种基于文件损坏度的软件检测方法，提出文件损坏度概念对文件变化进行多维度检测。在动态基础上通过模糊哈希等算法对文件变化进行多维度检测，定量计算出当前文件损坏度，并通过文件损坏度反映出当前系统所受到的威胁程度，从而确定该样本是否为存在损坏度的文件。在本专利技术所述的基于文件损坏度的软件检测方法中，所述基于文件损坏度的软件检测方法步骤为：S1获取软件的代码文本；S2分析代码文本，根据预定的语法规则，对每一段有具体意义的代码进行切分；S3将得到的有具体意义的代码片段与缺陷模式库中已有的缺陷模式进行匹配，逐一排查；S4筛选出问题代码进行修复；S5将问题代码进行代码替换，相应的对其进行溢出缺陷的检测；S6得出结果。实施本专利技术的一种基于文件损坏度的软件检测方法，具有以下有益效果：本专利技术利用文件加密型存在损坏度的缺陷样本进行动态检测，对大量缺陷样本、正常样本进行动态执行，计算其文件损坏度和系统损坏度，提高了文件的可用性，减少了系统损坏的频率。附图说明下面将结合附图及实施例对本专利技术作进一步说明，附图中：图1是本专利技术的基于文件损坏度的软件检测方法流程图具体实施方式为了使本专利技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本专利技术，并不用于限定本专利技术。如图1所示，所述基于文件损坏度的软件检测方法步骤为：S1获取软件的代码文本；S2分析代码文本，根据预定的语法规则，对每一段有具体意义的代码进行切分；S3将得到的有具体意义的代码片段与缺陷模式库中已有的缺陷模式进行匹配，逐一排查；S4筛选出问题代码进行修复；S5将问题代码进行代码替换，相应的对其进行溢出缺陷的检测；S6得出结果。在文件样本执行过程中，对文件加密是该技术的核心过程。通过对大量文件加密型软件样本进行理论和实验分析，软件样本在对文件加密过程中会对文件内容、文件头有较大程度的修改，同时文件名在此过程中也会有较大程度的修改。本专利技术利用以下3个指标分别对文件内容、文件头、文件名是否发生修改进行细粒度化检测，通过3个指标定量计算该文件损坏度，从而准确判断样本执行中对文件修改程度。指标1.完整性校验。通过对文件进行完整性校验来检测样本为存在损坏度的软件的可能性。本文采用哈希算法对文件进行MD5计算，计算其初始散列值。在样本执行后，再次对文件进行散列值计算，并与初始散列值进行比较。结果相同说明样本肯定不是存在损坏度的文件，当结果不同则可能是缺陷文件。指标2.文件类型改变。文件加密型缺陷软件根据读写操作顺序分为3类：第一类为读取文件，加密数据直接覆盖在原文件位置上，一般在该过程中会对文件进行重命名；第二类则将文件移动到临时目录后读取临时文件并加密，将加密后的文件写会到原始路径下，同样的在这个过程中一般会进行重命名操作；第三类读取原文件，将加密后的文件写入到一个新的文件，删除原文件。指标3.相似度检测。利用文件相似度检测存在损坏度的文件软件。本文将文件相似度计算对象分为2个部分：文件内容相似度和文件头相似度。在动态检测中，我们的检测模型为：恶意样本上传到沙箱平台后，经沙箱平台检测，然后将样本下发到虚拟机进行动态检测。虚拟机将动态执行的结果回传的沙箱平台，沙箱平台再进行数据处理后得出结论。该方法主要分为两部分，1是在虚拟机中选定多个标记文件，并提取样本执行前后每个标记文件变化特征。2是根据每个标记文件变化特征计算文件损坏度，构建标记文件结果集，计算当前系统损坏度。这里给出单个标记文件损坏度计算方法作为参考：Dmge(sign)＝FC(sign)*self(sign)Sign：从虚拟机中选取的类型文件，称之为标记文件；Dmge(sign)：对标记文件进行多维度信息采集后计算出的文件损坏度；FC(sign):标记文件名及文件类型损坏度；self(sign)：文件内容损坏度。尽管通过以上实施例对本专利技术进行了揭示，但本专利技术的保护范围并不局限于此，在不偏离本专利技术构思的条件下，对以上各构件所做的变形、替换等均将落入本专利技术的权利要求范围内。本文档来自技高网...

【技术保护点】
1.一种基于文件损坏度的软件检测方法，其特征在于，所述基于文件损坏度的软件检测方法步骤为：S1样本执行前标记文件特征提取；S2样本执行后标记文件特征提取；S3单个标记文件损坏度计算；S4系统损坏度计算；S5选取木马动态检测引擎作为检测平台，选取10个标记文件，并将样本执行时间统一调整；S6采取随机的方法，对文件名、文件内容、文件类型随机写入，达到不同的样本对于标记文件损坏程度不同的效果。

【技术特征摘要】
1.一种基于文件损坏度的软件检测方法，其特征在于，所述基于文件损坏度的软件检测方法步骤为：S1样本执行前标记文件特征提取；S2样本执行后标记文件特征提取；S3单个标记文件损坏度计算；S4系统损坏度计算；S5选取木马动态检测引擎作为检测平台，选取10个标记文件，并将样本执行时间统一调整；S6采取随机的方法，对文件名、文件内容、文件类型随机写入，达到不同的样本对于标记文件损坏程度不同的效果。2.根据权利要求1所述的基于文件损坏度的软件检测方法，其特征在于，所述文件损坏度通过3个指标定量检测，从而准确判断样本执行中对文件修改程度；所述3个指标定量为完整性校验、文件类型改变和相似度检测。3.根据权利要求2所述的基于文件损坏度的软件检测方法，其...

【专利技术属性】
技术研发人员：史晓婧，陶雯，
申请(专利权)人：深圳竹云科技有限公司，
类型：发明
国别省市：广东,44