一种基于加壳文件校验和的恶意软件检测方法及系统技术方案

本发明专利技术公开了一种基于加壳文件校验和的恶意软件检测方法，首先获取并分析待检测文件，判断待检测文件是否加壳，若是则判断该壳的种类是否为验证校验和的加壳方法；若是，则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和；对加壳的待检测文件进行脱壳；计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和；判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同，若不同且脱壳能够成功，则判定待检测文件为病毒。本发明专利技术针对人为篡改加壳恶意软件导致反病毒软件脱壳失败，进而躲避反病毒软件查杀这种手段，可以有效的增加未知检测能力。

A malware detection method and system based on shell checksum

The invention discloses a shell checksum malware detection method based on the first to obtain and analyze the inspection documents to judge whether the file is packed, if it is judged whether the type of the shell shell method to verify the checksum; if, from the shell by detecting the extracted files after shelling and shelling the file to be detected and check; unshelling to detect file packers; calculation of the shell after the detected file and the file to be packed after the shell detection checksum; extract with shell and shell to be detected in the file to judge the packers to detect and check files to be unpacked detection of the shell and shell after the file checksum files to be detected and are the same, if the different and shelling success is judged to be detected as a virus file. The present invention for human tampering with malicious software to anti-virus software packers shelling failure, and avoid the antivirus software killing this means, can effectively increase the ability to detect unknown.

【技术实现步骤摘要】
一种基于加壳文件校验和的恶意软件检测方法及系统
本专利技术涉及信息安全
，具体为一种基于加壳文件校验和的恶意软件检测方法及系统。
技术介绍
对二进制文件加壳已经成为计算机信息安全领域应用比较广泛的一种技术手段，壳大致分为：压缩壳、加密壳、保护壳等种类，主要用于防止商业软件被逆向工程，压缩软件、躲避反病毒软件查杀这些方向上。现有的反病毒软件为了查杀加壳恶意软件，通常会对加壳恶意软件进行脱壳操作，并对产生的新的脱壳后二进制数据进行特征匹配去查杀，恶意软件作者为了对抗查杀，会对加壳恶意软件进行修改，例如：修改校验和，使反病毒软件脱壳失败，从而达到躲避查杀的目的，本专利所要解决的就是人为修改加壳恶意软件导致反病毒软件无法查杀的问题。
技术实现思路
为了克服现有技术方案的不足,本专利技术提供一种基于加壳文件校验和的恶意软件检测方法，能够针对人为篡改加壳恶意软件导致反病毒软件脱壳失败，进而躲避反病毒软件查杀这种手段，可以有效的增加未知检测能力。本专利技术解决其技术问题所采用的技术方案是：一种基于加壳文件校验和的恶意软件检测方法，包括如下步骤：(S101)获取并分析待检测文件，判断待检测文件是否本文档来自技高网...

【技术保护点】
一种基于加壳文件校验和的恶意软件检测方法，其特征在于：包括如下步骤：(S101)获取并分析待检测文件，判断待检测文件是否加壳，若是则判断该壳的种类是否为验证校验和的加壳方法；(S102)若是，则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和；(S103)对加壳的待检测文件进行脱壳；(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和；(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同；(S106)若不同且脱壳能够成功，则判定待检测文件为病毒。

【技术特征摘要】
1.一种基于加壳文件校验和的恶意软件检测方法，其特征在于：包括如下步骤：(S101)获取并分析待检测文件，判断待检测文件是否加壳，若是则判断该壳的种类是否为验证校验和的加壳方法；(S102)若是，则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和；(S103)对加壳的待检测文件进行脱壳；(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和；(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同；(S106)若不同且脱壳能够成功，则判定待检测文件为病毒。2.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法，其特征在于：所述步骤(S101)中判断待检测文件是否加壳方法包括二进制规则或识别代码。3.根据权利要求1所述的一种基于加壳文件校验和的恶意软件检测方法，其特征在于：所...

【专利技术属性】
技术研发人员：卓子寒，何跃鹰，刘中金，方喆君，李海灵，邹潇湘，高昕，侯美佳，
申请(专利权)人：国家计算机网络与信息安全管理中心，
类型：发明
国别省市：北京,11