本发明专利技术提供了一种文件外壳的识别方法及装置、存储介质、电子装置,其中,该方法包括:检测目标文件的文件外壳的家族标识;在检测得到所述家族标识时,检测所述文件外壳的外壳代码;根据所述外壳代码识别所述文件外壳的外壳种类。通过本发明专利技术,解决了相关技术中只能识别单一文件外壳的技术问题,提高了带壳文件的识别率。
【技术实现步骤摘要】
文件外壳的识别方法及装置、存储介质、电子装置
本专利技术涉及网络安全领域,具体而言,涉及一种文件外壳的识别方法及装置、存储介质、电子装置。
技术介绍
相关技术中,外壳是文件的原程序之外程序段,一般用于文件变种,压缩,加密等,因为加壳会让病毒更小巧,方便传播同时也会扭曲病毒的代码,以躲避杀毒软件的识别。外壳包括保护壳等多种,相关技术中保护壳是病毒用于保护自己不被反病毒软件识别的一种代码保护技术,如果想对被保护的病毒进行查杀一般分为两个步骤,1:识别壳2:脱壳。相关技术中的查壳工具一般都是较为针对性的识别壳,只能检测一个固定种类的外壳,这样会导致其他家族的壳无法识别,有一定几率识别错误等问题。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种文件外壳的识别方法及装置、存储介质、电子装置。根据本专利技术的一个实施例,提供了一种文件外壳的识别方法,包括:检测目标文件的文件外壳的家族标识;在检测得到所述家族标识时,检测所述文件外壳的外壳代码;根据所述外壳代码识别所述文件外壳的外壳种类。可选的,检测目标文件的文件外壳的家族标识包括:识别所述目标文件的PE结构;根据所述PE结构在所述PE文件的节区中检测所述文件外壳的家族标识。可选的,检测所述文件外壳的外壳代码包括:对所述目标文件进行反汇编处理,得到所述目标文件的汇编代码;将所述汇编代码划分为多个代码段,其中,每个代码段对应一个代码区;通过模糊匹配算法在至少一个代码段中检测所述文件外壳的外壳代码;和/或,通过浮动匹配算法在至少一个代码段中检测所述文件外壳的外壳代码。可选的,检测目标文件的文件外壳的家族标识包括:扫描所述目标文件的特征代码;判断所述特征代码与配置文件是否匹配,其中,所述配置文件包括多个文件家族的家族特征;在所述特征代码与所述配置文件中的第一家族的家族特征匹配时,将所述特征代码确定为所述文件外壳的家族标识;在所述特征代码与所述配置文件中的第一家族的家族特征不匹配时,依次轮询匹配所述配置文件中的第二家族的家族特征,直到确定所述特征代码与所述配置文件中的全部文件家族的家族特征均不匹配。可选的,在根据所述外壳代码识别所述文件外壳的外壳种类之后,所述方法还包括以下至少之一:根据所述外壳种类对所述目标文件进行脱壳;根据所述外壳种类确定所述目标文件所属的病毒种类。根据本专利技术的另一个实施例,提供了一种文件外壳的识别装置,包括:第一检测模块,用于检测目标文件的文件外壳的家族标识;第二检测模块,用于在检测得到所述家族标识时,检测所述文件外壳的外壳代码;识别模块,用于根据所述外壳代码识别所述文件外壳的外壳种类。可选的,所述第一检测模块包括:识别单元,用于识别所述目标文件的PE结构;检测单元,用于根据所述PE结构在所述PE文件的节区中检测所述文件外壳的家族标识。可选的,所述第二检测模块包括:处理单元,用于对所述目标文件进行反汇编处理,得到所述目标文件的汇编代码;划分单元,用于将所述汇编代码划分为多个代码段,其中,每个代码段对应一个代码区;检测单元,用于通过模糊匹配算法在至少一个代码段中检测所述文件外壳的外壳代码;和/或,通过浮动匹配算法在至少一个代码段中检测所述文件外壳的外壳代码。可选的,所述第一检测模块包括:扫描单元,用于扫描所述目标文件的特征代码;判断单元,用于判断所述特征代码与配置文件是否匹配,其中,所述配置文件包括多个文件家族的家族特征;确定单元,用于在所述特征代码与所述配置文件中的第一家族的家族特征匹配时,将所述特征代码确定为所述文件外壳的家族标识;在所述特征代码与所述配置文件中的第一家族的家族特征不匹配时,依次轮询匹配所述配置文件中的第二家族的家族特征,直到确定所述特征代码与所述配置文件中的全部文件家族的家族特征均不匹配。可选的,所述装置还包括以下至少之一:脱壳模块,用于在所述识别模块根据所述外壳代码识别所述文件外壳的外壳种类之后,根据所述外壳种类对所述目标文件进行脱壳;确定模块,用于在所述识别模块根据所述外壳代码识别所述文件外壳的外壳种类之后,根据所述外壳种类确定所述目标文件所属的病毒种类。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,检测目标文件的文件外壳的家族标识,在检测得到所述家族标识时,然后检测所述文件外壳的外壳代码,最后根据所述外壳代码识别所述文件外壳的外壳种类,首先检测目标文件的文件外壳的家族标识,再通过外壳代码识别所述文件外壳的外壳种类,可以对各种伪装,变种的文件进行识别,解决了相关技术中只能识别单一文件外壳的技术问题,提高了带壳文件的识别率。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是本专利技术实施例的一种文件外壳的识别计算机的硬件结构框图;图2是根据本专利技术实施例的一种文件外壳的识别方法的流程图;图3是本专利技术实施例一个PE结构的示意图;图4是本专利技术实施例识别文件外壳的流程图;图5是根据本专利技术实施例的一种文件外壳的识别装置的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1本申请实施例一所提供的方法实施例可以在移动终端、处理器、服务器、计算机或者类似的运算装置中执行。以运行在计算机上为例,图1是本专利技术实施例的一种文件外壳的识别计算机的硬件结构框图。如图1所示,计算机10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可本文档来自技高网...
【技术保护点】
1.一种文件外壳的识别方法,其特征在于,包括:/n检测目标文件的文件外壳的家族标识;/n在检测得到所述家族标识时,检测所述文件外壳的外壳代码;/n根据所述外壳代码识别所述文件外壳的外壳种类。/n
【技术特征摘要】
1.一种文件外壳的识别方法,其特征在于,包括:
检测目标文件的文件外壳的家族标识;
在检测得到所述家族标识时,检测所述文件外壳的外壳代码;
根据所述外壳代码识别所述文件外壳的外壳种类。
2.根据权利要求1所述的方法,其特征在于,检测目标文件的文件外壳的家族标识包括:
识别所述目标文件的可移植的执行体PE结构;
根据所述PE结构在所述PE文件的节区中检测所述文件外壳的家族标识。
3.根据权利要求1所述的方法,其特征在于,检测所述文件外壳的外壳代码包括:
对所述目标文件进行反汇编处理,得到所述目标文件的汇编代码;
将所述汇编代码划分为多个代码段,其中,每个代码段对应一个代码区;
通过模糊匹配算法在至少一个代码段中检测所述文件外壳的外壳代码;和/或,通过浮动匹配算法在至少一个代码段中检测所述文件外壳的外壳代码。
4.根据权利要求1所述的方法,其特征在于,检测目标文件的文件外壳的家族标识包括:
扫描所述目标文件的特征代码;
判断所述特征代码与配置文件是否匹配,其中,所述配置文件包括多个文件家族的家族特征;
在所述特征代码与所述配置文件中的第一家族的家族特征匹配时,将所述特征代码确定为所述文件外壳的家族标识;在所述特征代码与所述配置文件中的第一家族的家族特征不匹配时,依次轮询匹配所述配置文件中的第二家族的家族特征,直到确定所述特征代码与所述配置文件中的全部文件家族的家族特征均不匹配。
5.根据权利要求1所述的方法,其特征在于,在根据所述外壳代码识别所述文...
【专利技术属性】
技术研发人员:吕群,
申请(专利权)人:奇安信安全技术珠海有限公司,奇安信科技集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。