提供了一种文件识别系统,所述系统包括:信息提取单元,被配置为从可移植可执行文件的调试信息提取符号的路径信息;地址生成单元,被配置为使用提取的符号的路径信息生成文件识别地址;请求单元,被配置为使用生成的文件识别地址向用于验证文件的符号服务器发出请求,以识别所述可移植可执行文件是否是特定类型的文件。
【技术实现步骤摘要】
本申请涉及一种,更具体地讲,涉及一种用于确认文件是否属于微软文件的系统和方法。
技术介绍
识别微软文件在病毒查杀方面通常有很大的应用,例如,一些杀毒引擎中增加了启发式杀毒,有时微软文件可能会被启发式杀毒软件识别为病毒并被清除,造成严重后果。除此之外,在云的白名单收集上,也必须要区分哪些文件是微软的文件,以便对这些文件做一些策略处理。因此需要一种识别微软文件的方法。 目前存在一些识别微软文件的方法,例如,I)可查看资源上版本的公司信息是不是Microsoft Corporat1n, 2)在判断资源上版本的公司信息是不是MicrosoftCorporat1n的基础上再利用数字签名进行验证。然而,以上两种方案均存在缺陷,对于方案I),目前的病毒经常将自己的文件的公司名改为Microsoft Corporat1n来混淆杀毒辅助工具的文件识别,因此很难起到准确识别微软文件的作用。对于方案2),由于验证数字签名的速度通常较慢,因此也很难实现快速识别微软文件。此外,在WINDOWS XP系统上,微软文件的签名信息没有直接嵌入到文件中,而是依赖于系统中的相关文件,而在一些盗版系统、优化系统中,往往会把这些文件删除,造成签名验证失败,从而使得无法正确的识别出微软文件。 因此,需要一种准确、快速地识别微软文件的方法。
技术实现思路
本专利技术的目的在于提供一种可识别微软文件的。 此外,本专利技术至少可解决上述问题和/或缺点并将提供至少以下描述的优点,并且本专利技术能够解决的技术问题不限于说明书中描述的技术问题。 根据本专利技术的一方面,提供了一种文件识别系统,所述系统包括:信息提取单元,被配置为从可移植可执行文件的调试信息提取符号的路径信息;地址生成单元,被配置为使用提取的符号的路径信息生成文件识别地址;请求单元,被配置为使用生成的文件识别地址向用于验证文件的符号服务器发出请求,以识别所述可移植可执行文件是否是特定类型的文件。 当请求单元使用生成的文件识别地址向所述符号服务器发出请求时,如果所述符号服务器对所述请求进行响应,则可确定所述可移植可执行文件是所述特定类型的文件,如果所述符号服务器没有对所述请求进行响应,则可确定所述可移植可执行文件不是所述特定类型的文件。 所述特定类型的文件可以是微软的可移植可执行文件,并且所述服务器可以是微软的符号服务器。 所述文件识别地址可以是统一资源标识符地址。 根据本专利技术的另一方面,提供了一种文件识别方法,所述方法包括:从可移植可执行文件的调试信息提取路径的符号信息;使用提取的符号的路径信息生成文件识别地址;使用生成的文件识别地址向用于验证文件的符号服务器发出请求,以识别所述可移植可执行文件是否是特定类型的文件。 当使用生成的文件识别地址向所述符号服务器发出请求时,如果所述符号服务器对所述请求进行响应,则可确定所述可移植可执行文件是所述特定类型的文件,如果所述符号服务器没有对所述请求进行响应,则可确定所述可移植可执行文件不是所述特定类型的文件。 所述特定类型的文件可以是微软的可移植可执行文件,并且所述服务器可以是微软的符号服务器。 所述文件识别地址可以是统一资源标识符地址。 有益效果 通过使用本专利技术的方案,不仅能够快速地识别和收集微软文件,还能够在启发报警时,快速验证检测的文件是否是微软文件,以避免误报。 【附图说明】 通过下面结合示例对附图进行的描述,本专利技术的上述和其他目的和特点将会变得更加清楚,其中: 图1是示出根据本专利技术的实施例的文件识别系统; 图2是示出根据本专利技术的实施例的可移植执行文件(PE文件)结构; 图3是示出根据本专利技术的实施例的文件识别方法。 【具体实施方式】 提供以下参照附图进行的描述以帮助全面理解由权利要求及其等同物限定的本专利技术的示例性实施例。所述描述包括各种特定细节以帮助理解,但这些细节被认为仅是示例性的。因此,本领域的普通技术人员将认识到:在不脱离本专利技术的范围和精神的情况下,可对这里描述的实施例进行各种改变和修改。此外,为了清楚和简明,可省略已知功能和构造的描述。 在本专利技术中,可移植可执行文件(PE文件)是在微软Windows操作系统上可执行的程序文件,例如,.exe文件、.dll文件等。以下将以识别微软的PE文件为例对本专利技术进行说明。 图1是示出根据本专利技术的实施例的文件识别系统100。 如图1中所示,所述文件识别系统100可包括信息提取单元101、地址生成单元102以及请求单元103。 所述信息提取单元101可用于从PE文件的调试信息提取符号的路径信息。具体地讲,在使用微软的编译器生成PE文件时,一般默认会在PE文件中存储一些调试信息,例如,符号的路径。符号的路径可被用于从微软提供的符号服务器加载相应的符号文件。因此,可利用从PE文件的调试信息中获取的符号的路径信息来确定一个PE文件是否是微软的PE文件。以下将描述使用调试信息中的符号的路径信息来识别PE文件是否是微软的PE文件的具体操作。 根据本专利技术实施例的地址生成单元102可使用提取的符号的路径信息生成文件识别地址。当所述PE文件是微软的PE文件时,由于是使用从所述PE文件的调试信息提取的符号的路径信息产生文件识别地址,因此当使用所述文件识别地址来向微软的符号服务器发起请求时,必然能够得到一个响应。因此,根据本专利技术的实施例的请求单元103可使用生成的文件识别地址向所述符号服务器发出请求,以识别所述PE文件是否是微软的PE文件。 以下将结合图2和图3详细描述使用PE文件的调试信息识别微软的PE文件的方法。 图2是示出根据本专利技术的实施例的PE文件结构。图3是示出根据本专利技术的实施例的文件识别方法。 如图3所示,在步骤301,可由信息提取单元101从PE文件的调试信息提取符号的路径信息。 具体地讲,在确定特定PE文件是否是微软的PE文件时,可首先将PE文件加载到内存中,并定位到PE文件可选头Opt1nalHeader,其中,所述Opt1nalHeader是指向图2中“ IMAGE_0PT10NAL_HEADER32”的指针。通过该操作,可获取调试信息在内存中的偏移Debug,其中,Debug = Opt1nalHeader.DataDirectory [IMAGE_DIRECTORY_ENTRY_DEBUG].VirtualAddress,并且 Debug 指向结构体 IMAGE_DEBUG_D I RECTORY,所述结构体 IMAGE_DEBUG_D I RECTORY 语法如下: 本文档来自技高网...
【技术保护点】
一种文件识别系统,所述系统包括:信息提取单元,被配置为从可移植可执行文件的调试信息提取符号的路径信息;地址生成单元,被配置为使用提取的符号的路径信息生成文件识别地址;请求单元,被配置为使用生成的文件识别地址向用于验证文件的符号服务器发出请求,以识别所述可移植可执行文件是否是特定类型的文件。
【技术特征摘要】
1.一种文件识别系统,所述系统包括: 信息提取单元,被配置为从可移植可执行文件的调试信息提取符号的路径信息; 地址生成单元,被配置为使用提取的符号的路径信息生成文件识别地址; 请求单元,被配置为使用生成的文件识别地址向用于验证文件的符号服务器发出请求,以识别所述可移植可执行文件是否是特定类型的文件。2.如权利要求1所述的系统,其中,当请求单元使用生成的文件识别地址向所述符号服务器发出请求时,如果所述符号服务器对所述请求进行响应,则确定所述可移植可执行文件是所述特定类型的文件, 如果所述符号服务器没有对所述请求进行响应,则确定所述可移植可执行文件不是所述特定类型的文件。3.如权利要求1所述的系统,其中,所述特定类型的文件是微软的可移植可执行文件,并且所述服务器是微软的符号服务器。4.如权利要求1所述的系统,其中,所...
【专利技术属性】
技术研发人员:谢奕智,
申请(专利权)人:百度国际科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。