本发明专利技术涉及pe文件特征码生成技术领域,尤其涉及一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质;本发明专利技术所公开的基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质,特征码生成方法,包括以下步骤:提取pe格式文件的rich头部信息;根据rich头部信息,计算哈希值,生成基于rich头部信息特征码;rich头部信息与编译环境、编译器密切相关,在恶意软件生命周期中这些环境很少变化,提高标识该恶意软件准确性;即使pe格式恶意软件采用加壳等软件进行混淆和规避,导致常规特征码无法识别恶意软件,但是由于加壳软件并不改变rich头部信息,因此仍然可以基于rich头部信息标识恶意软件。
Generation method, system, electronic equipment and storage medium of PE file feature code based on rich header identification
【技术实现步骤摘要】
基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质
本专利技术涉及pe文件特征码生成
,尤其涉及一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质。
技术介绍
特征码是安全公司在分析恶意软件时,确定的只有该恶意软件才可能会有的一系列二进制串,由这些特征可以与其它病毒或正常程序区别,通常是对程序块、字符串、常量值进行哈希运算获取特征值。常规恶意软件静态查杀是指安全防护软件,根据已有的恶意软件特征码,从pe程序中提取对应位置数据,进行比较,判断pe程序是否是恶意软件。PE是目前Windows平台上主流的可执行文件格式,包括常见的可执行程序EXE文件、动态链接库DLL文件等。自VisualStudio97SP3编译器发行以来,在Microsoft编译后的pe文件的DOS和PE头之间,增加了rich头部信息,它包含了编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。2019版本visualstudio依然包括rich头部信息。这些信息在pe文件编译后就不会更改,而且常见的加壳软件对pe文件进行处理后,这些信息也不会变化,所以可以有效标识pe文件唯一性。现有的恶意软件通常采用加壳等方法对pe文件进行处理,从而规避特征码检测。恶意软件源代码较小改变,或者采用不同加壳软件,特征值完全改变。因此恶意软件经常通过加壳方法,规避现有特征码检测方法。因此,为了解决上述问题,急需专利技术一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质。
技术实现思路
本专利技术的目的在于:提供一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质,作为现有特征码补充和改进。本专利技术提供了下述方案:一种基于rich头部标识的pe文件特征码生成方法,包括以下步骤:提取pe格式文件的rich头部信息;根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。还包括:利用基于rich头部信息特征码,与其他特征码一起唯一识别pe格式恶意软件。rich头部信息,包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。rich头部信息的格式包括起始DanS,代码0x536E6144;结束Rich,代码0x68636952;以及编译环境。一种实现所述的基于rich头部标识的pe文件特征码生成方法的基于rich头部标识的pe文件特征码生成系统,包括:提取模块,用于提取pe格式文件的rich头部信息;生成模块,用于根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。还包括:识别模块,用于利用基于rich头部信息特征码,与其他特征码一起唯一识别pe格式恶意软件。rich头部信息,包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。rich头部信息的格式包括起始DanS,代码0x536E6144;结束Rich,代码0x68636952;以及编译环境。一种电子设备,包括存储器和处理器;所述存储器用于存储计算机程序;所述处理器执行所述存储器中的计算机程序,以实现所述的基于rich头部标识的pe文件特征码生成方法。一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时,用于实现所述的基于rich头部标识的pe文件特征码生成方法。本专利技术产生的有益效果:本专利技术所公开的基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质,特征码生成方法,包括以下步骤:提取pe格式文件的rich头部信息;根据rich头部信息,计算哈希值,生成基于rich头部信息特征码;rich头部信息与编译环境、编译器密切相关,在恶意软件生命周期中这些环境很少变化,提高标识该恶意软件准确性;即使pe格式恶意软件采用加壳等软件进行混淆和规避,导致代码、字符串和常量信息发生变化,导致常规特征码无法识别恶意软件,但是由于加壳软件并不改变rich头部信息,因此仍然可以基于rich头部信息标识恶意软件;通过rich头部信息,可以查看pe格式恶意软件编译环境演进和变化,从而溯源恶意软件发展轨迹。附图说明图1为本专利技术的基于rich头部标识的pe文件特征码生成方法的流程框图。图2为本专利技术的基于rich头部标识的pe文件特征码生成系统的结构框图。图3为本专利技术的电子设备的结构示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整地传达给本领域的技术人员。本
技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本专利技术所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非被特定定义,否则不会用理想化或过于正式的含义来解释。参见图1所示,一种基于rich头部标识的pe文件特征码生成方法,包括以下步骤:提取pe格式文件的rich头部信息;根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。还包括:利用基于rich头部信息特征码,与其他特征码一起唯一识别pe格式恶意软件。rich头部信息,包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。rich头部信息的格式包括起始DanS,代码0x536E6144;结束Rich,代码0x68636952;以及编译环境。参见图2所示,一种实现所述的基于rich头部标识的pe文件特征码生成方法的基于rich头部标识的pe文件特征码生成系统,包括:提取模块,用于提取pe格式文件的rich头部信息;生成模块,用于根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。还包括:识别模块,用于利用基于rich头部信息特征码,与其他特征码一起唯一识别pe格式恶意软件。rich头部信息,包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。rich头部信息的格式包括起始DanS,代码0x536E6144;结束Rich,代码0x68636952;以及编译环境。参见图3所示,一种电子设备,包括存储器501和处理器502;所述存储器用于存储计算机程序;所述处理器执行所述存储器中的计算机程序,以实现所述的基于rich头部标识的pe文件特征码生成方法。进一步地,还提供了一种计算机可读存储介质,存储有计算机程序,该计算机程序被处理器执行时,用于实现所述的基于rich本文档来自技高网...
【技术保护点】
1.一种基于rich头部标识的pe文件特征码生成方法,其特征在于:包括以下步骤:/n提取pe格式文件的rich头部信息;/n根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。/n
【技术特征摘要】
1.一种基于rich头部标识的pe文件特征码生成方法,其特征在于:包括以下步骤:
提取pe格式文件的rich头部信息;
根据rich头部信息,计算哈希值,生成基于rich头部信息特征码。
2.根据权利要求1所述的基于rich头部标识的pe文件特征码生成方法,其特征在于:还包括:
利用基于rich头部信息特征码,与其他特征码一起唯一识别pe格式恶意软件。
3.根据权利要求2所述的基于rich头部标识的pe文件特征码生成方法,其特征在于:rich头部信息,包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。
4.根据权利要求3所述的基于rich头部标识的pe文件特征码生成方法,其特征在于:rich头部信息的格式包括起始DanS,代码0x536E6144;结束Rich,代码0x68636952;以及编译环境。
5.一种实现如权利要求1所述的基于rich头部标识的pe文件特征码生成方法的基于rich头部标识的pe文件特征码生成系统,其特征在于:包括:
提取模块,用于提取pe格式文件的rich头部信息;
生成模块,用于根据rich头部信息,计算哈...
【专利技术属性】
技术研发人员:孙勇,徐勤,
申请(专利权)人:北京安码科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。