病毒特征码处理方法及装置制造方法及图纸

本发明专利技术公开了一种病毒特征码处理方法及装置；方法包括：对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。实施本发明专利技术，能够提升病毒特征码的广谱性和时效性。

Method and device for processing virus characteristic code

The invention discloses a virus feature code processing method and apparatus; method includes: the virus malware samples for the disassembly process, the disassembly code multiple code block segmentation to obtain the malicious samples; traversing the code block to obtain the code block in the implementation of the function call that will compare paths with the application interface function calls the function, determine the application interface function of the code block and the number of calls, calls the application program interface function; application interface function, the code block in tune with the times and calls the application program interface function the building blocks of code based on the corresponding characteristics of the virus; feature code block feature each of the code blocks the malicious samples merge the malicious code samples. The invention can improve the broad-spectrum and the timeliness of the virus characteristic code.

【技术实现步骤摘要】

本专利技术涉及安全技术，尤其涉及一种病毒特征码处理方法及装置。
技术介绍
计算机病毒也称为病毒，是编制者在终端(智能手机、电脑和服务器等各种计算终端)中植入的破坏终端的功能或者数据等恶意目的代码。病毒在终端中通常作为(如加壳)独立的应用程序欺骗用户运行以实现恶意目的，或者嵌入到二次封装的常规应用程序中，在常规应用程序的运行过程中实现恶意目的。目前基于特征码的反病毒引擎扫描病毒时，将待检测的样本与病毒的特征码进行匹配，包括将样本的哈希值与特征码中的哈希值进行匹配，以及将样本的二进制字节数(即以字节数表示的样本的体积)与特征码中的文件字节数进行匹配。然而，实际应用中，存在以下两方面的原因使得特征码容易失效，影响特征码检测病毒的广谱性：一方面，病毒作者可以通过对病毒源码进行少量的修改即可达到改变病毒的哈希值和文件字节数的目的，从而使得原先能检测到病毒的特征码失效，需要不断更新病毒的特征码，导致检测病毒存在滞后性；另一方面，大部分编译器存在指令重排、寄存器重分配等优化机制，使得即使是相同的源码编译出来的目标文件的二进制内容也可能不一致，导致基于特征码中字节数检测病毒时会出现漏检测或误检测的情况。可以看出，相关技术提供的特征码对于对病毒的变化极其敏感，不具备检测病毒的广谱性，对于新病毒的检测存在滞后性。
技术实现思路
本专利技术实施例提供一种病毒特征码处理方法及装置，能够提升病毒特征码的广谱性和时效性。本专利技术实施例的技术方案是这样实现的：第一方面，本专利技术实施例提供一种病毒特征码处理方法，包括：对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。第二方面，本专利技术实施例提供一种病毒特征码处理装置，包括：汇编分割单元，用于对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；函数调用单元，用于遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；构建特征单元，用于基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；特征合并单元，用于将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。第三方面，本专利技术实施例提供一种病毒特征码处理装置，包括存储器和处理器，存储器中存储有可执行指令，用于引起处理器执行本专利技术实施例提供的病毒特征码处理方法。第四方面，本专利技术实施例提供一种存储介质，存储有可执行指令，用于引起处理器执行本专利技术实施例提供的病毒特征码处理方法。本专利技术实施例具有以下有益效果：依赖于终端(如终端或服务器)的计算能力可以高效完成；同时，采用恶意样本的API函数调用的特征来构建特征码，与相关技术采用恶意样本自身的哈希值相比，由于恶意样本的API函数调用的特征能够准确反映恶意样本在实现恶意目的时的语义特性，不受恶意样本的哈希值和字节数变化的影响，因此能够实现检测病毒的广谱性；另外，由于恶意样本中的API调用具有相对稳定的特性，因此，基于API函数调用的特征构建特征码能够检测到演化后的病毒，避免了相关技术提供的特征码检测病毒存在滞后性的问题。附图说明图1是本专利技术实施例提供的提取病毒特征码、并基于病毒的特征码检测样本是否携带病毒的一个可选的处理示意图；图2是本专利技术实施例提供的病毒特征码处理方法的一个可选的处理示意图；图3是本专利技术实施例提供的病毒特征码处理方法的一个可选的流程示意图；图4是本专利技术实施例提供的病毒特征码处理装置部署在网络侧服务器的一个可选的示意图；图5是本专利技术实施例提供的病毒特征码处理装置10的一个可选的软硬件结构示意图；图6是本专利技术实施例提供的特征码处理方法的另一可选的流程示意图；图7-1是本专利技术实施例提供的提取操作系统提供的API函数并存储至API函数库的一个可选的流程示意图；图7-2是本专利技术实施例提供的针对恶意样本库中的恶意样本计算所携带病毒的病毒特征码的一个可选的流程示意图；图7-3是本专利技术实施例提供的对待检测样本进行检测是否携带病毒的一个可选的流程示意图；图8是本专利技术实施例提供的对可执行文件进行反汇编处理的一个可选的示意图；图9-1是本专利技术实施例提供的基于代码树分割反汇编代码形成代码块的一个可选的示意图；图9-2是本专利技术实施例提供的基于代码树分割反汇编代码形成代码块的一个可选的示意图；图9-3是本专利技术实施例提供的基于代码树分割反汇编代码形成代码块的一个可选的示意图；图10是本专利技术实施例提供的提取操作系统提供的API函数并存储至API函数库的一个可选的处理示意图；图11是本专利技术实施例提供的计算特征码相似度的一个可选的处理示意图；图12是本专利技术实施例提供的特征码处理装置20的一个可选的结构示意图。具体实施方式以下结合附图及实施例，对本专利技术进行进一步详细说明。应当理解，此处所提供的实施例仅仅用以解释本专利技术，并不用于限定本专利技术。另外，以下所提供的实施例是用于实施本专利技术的部分实施例，而非提供实施本专利技术的全部实施例，在本领域技术人员不付出创造性劳动的前提下，对以下实施例的技术方案进行重组所得的实施例、以及基于对专利技术所实施的其他实施例均属于本专利技术的保护范围。需要说明的是，在本专利技术实施例中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素，而且还包括没有明确列出的其他要素，或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元)。例如，本专利技术实施例提供的病毒特征码处理方法包含了一系列的步骤，但是本专利技术实施例提供的病毒特征码处理方法不限于所记载的步骤，同样地，本专利技术实施例提供的病毒特征码处理装置包括了一系列单元，但是本专利技术实施例提供的病毒特征码处理装置不限于包括所明确记载的单元，还可以包括为获取相关信息、或基于信息进行处理时所需要设置的单元。对本专利技术进行进一步详细说明之前，对本专利技术实施例中涉及的名词和术语进行说明，本专利技术实施例中涉及的名词和术语适用于如下的解释。1)病毒，也称为计算机病毒或恶意代码，是编制者在终端(如智能手机、平板电脑、笔记本电脑、台式机电脑等各种计算终端)植入的破坏终端的功能、破坏数据或窃取数据等恶意目的二进制代码。2)样本，各种类型的应用程序的统称，如微软Window系统的应用程序、Unix系统应用程序、iOS系统应用程序和安卓(Andriod)系统应用程序等。3)恶意样本，包括有病毒的样本。4)正常样本，不含有病毒的样本。5)代码块，对应用程序的反汇编代码进行按照一定粒度划分形成的块。6本文档来自技高网...

【技术保护点】
一种病毒特征码处理方法，其特征在于，包括：对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。

【技术特征摘要】
1.一种病毒特征码处理方法，其特征在于，包括：对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。2.如权利要求1所述的方法，其特征在于，所述将得到的反汇编代码进行分割得到所述恶意样本的多个代码块，包括：根据所述反汇编代码的代码树的路径，以所述代码树中预定级别的路径为粒度分割所述反汇编代码得到多个代码块，或者，以函数为粒度分割所述反汇编代码按照函数得到多个代码块。3.如权利要求1所述的方法，其特征在于，所述将所述函数调用的目标路径与应用程序接口函数的路径比较，包括：获取终端的操作系统中提供的应用程序接口函数，和/或所述终端中第三方的应用程序接口函数，将所述函数调用的目标路径与所获取的应用程序接口函数的路径进行比较。4.如权利要求3所述的方法，其特征在于，所述将所述函数调用的目标路径与所获取的应用程序接口函数的路径进行比较，包括：对所获取的终端的操作系统中提供的应用程序接口函数，和/或终端中第三方的应用程序接口函数的路径进行编码，将所述函数调用的目标路径的编码结果与所述应用程序接口函数的路径的编码结果进行比较。5.如权利要求4所述的方法，其特征在于，所述将所述函数调用的目标路径的编码结果与所述应用程序接口函数的路径的编码结果进行比较，包括：将所获取应用程序接口函数的路径的编码结果、以及为相应应用程序接口函数分配的标识存入函数库，将所述函数调用的目标路径的编码结果，与所述函数库中应用程序接口函数的路径的编码结果进行比较。6.如权利要求1所述的方法，其特征在于，所述基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征，包括：以所述代码块中调用的应用接口函数的标识、以及相应应用程序接口函数的调用次数形成特征元素，基于所述代码块中调用的各所述应用程序接口函数对应的特征元素形成集合，对所述集合进行编码形成所述代码块特征。7.如权利要求1所述的方法，其特征在于，还包括：计算待检测样本的特征码，比较所述待检测样本的特征码与所述病毒的特征码得到特征码的相似度，基于所述相似度判断所述待检测样本是否携带所述病毒。8.如权利要求7所述的方法，其特征在于，所述比较所述待检测样本的特征码与所述病毒的特征码得到特征码的相似度，包括：比较所述待检测样本的特征码所包括的代码块特征与所述病毒特征码所包括的代码块特征，得到所述待检测样本和恶意样本共有的代码块特征，计算所述共有的代码块特征与所述病毒特征码所包括的代码块特征的数量比值。9.如权利要求7所述的方法，其特征在于，所述计算待检测样本的特征码，包括：将所述待检测样本的各代码块中函数调用的目标路径与所述应用程序接口函数的路径比较，基于比较得到的所述代码块中调用的应用程序接口函数，以及所述...

【专利技术属性】
技术研发人员：罗元海，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：广东;44