本发明专利技术提供了一种文件外壳的脱壳方法及装置、存储介质、电子装置,其中,该方法包括:识别目标文件的外壳种类;根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件;对所述脱壳文件进行修复,得到原始文件。通过本发明专利技术,解决了相关技术中只能对单一类型的带壳文件进行还原的技术问题,提高了带壳文件的识别率和检测率,同时也降低了使用外壳伪装的病毒木马文件带来的网络风险。
【技术实现步骤摘要】
文件外壳的脱壳方法及装置、存储介质、电子装置
本专利技术涉及网络安全领域,具体而言,涉及一种文件外壳的脱壳方法及装置、存储介质、电子装置。
技术介绍
相关技术中,外壳是文件的原程序之外程序段,一般用于文件变种,压缩,加密等,因为加壳会让病毒更小巧,方便传播同时也会扭曲病毒的代码,以躲避杀毒软件的识别。外壳包括保护壳等多种,相关技术中保护壳是病毒用于保护自己不被反病毒软件识别的一种代码保护技术,如果想对被保护的病毒进行查杀一般分为两个步骤,1:识别壳2:脱壳。相关技术中的脱壳工具一般都是较为针对性的识别壳,只能查杀固定种类的外壳,这样会导致其他家族的壳无法识别,有一定几率识别错误等问题。针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
技术实现思路
本专利技术实施例提供了一种文件外壳的脱壳方法及装置、存储介质、电子装置。根据本专利技术的一个实施例,提供了一种文件外壳的脱壳方法,包括:识别目标文件的外壳种类;根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件;对所述脱壳文件进行修复,得到原始文件。可选的,根据所述外壳种类对所述目标文件进行脱壳包括:在预设壳表数据中查找与所述外壳种类对应的加壳规则;根据所述加壳规则对所述目标文件进行反序列处理。可选的,根据所述加壳规则对所述目标文件进行反序列处理包括:确定所述目标文件中壳数据段的起始位置和加壳算法,其中,所述加壳算法包括加密算法和压缩算法;基于所述起始位置在所述目标文件中定位壳代码,并通过脱壳算法对所述目标文件进行还原,其中,所述脱壳算法是所述加壳算法的逆向算法。可选的,对所述脱壳文件进行修复包括:确定所述脱壳文件的缺失程序;从预设数据库中获取所述缺失程序,并采用所述缺失程序修复所述脱壳文件。可选的,识别目标文件的外壳种类包括:检测目标文件的文件外壳的家族标识;在检测得到所述家族标识时,检测所述文件外壳的外壳代码;根据所述外壳代码识别所述文件外壳的外壳种类。根据本专利技术的另一个实施例,提供了一种文件外壳的脱壳装置,包括:识别模块,用于识别目标文件的外壳种类;脱壳模块,用于根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件;修复模块,用于对所述脱壳文件进行修复,得到原始文件。可选的,所述脱壳模块包括:查找单元,用于在预设壳表数据中查找与所述外壳种类对应的加壳规则;处理单元,用于根据所述加壳规则对所述目标文件进行反序列处理。可选的,所述处理单元包括:确定子单元,用于确定所述目标文件中壳数据段的起始位置和加壳算法,其中,所述加壳算法包括加密算法和压缩算法;还原子单元,用于基于所述起始位置在所述目标文件中定位壳代码,并通过脱壳算法对所述目标文件进行还原,其中,所述脱壳算法是所述加壳算法的逆向算法。可选的,所述修复模块包括:确定单元,用于确定所述脱壳文件的缺失程序;修复单元,用于从预设数据库中获取所述缺失程序,并采用所述缺失程序修复所述脱壳文件。可选的,所述识别模块包括:第一检测单元,用于检测目标文件的文件外壳的家族标识;第二检测单元,用于在检测得到所述家族标识时,检测所述文件外壳的外壳代码;识别单元,用于根据所述外壳代码识别所述文件外壳的外壳种类。根据本专利技术的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本专利技术的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本专利技术,识别目标文件的外壳种类,然后根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件,最后对所述脱壳文件进行修复,得到原始文件,可以对各种伪装,变种的文件进行识别还原,解决了相关技术中只能对单一类型的带壳文件进行还原的技术问题,提高了带壳文件的识别率和检测率,同时也降低了使用外壳伪装的病毒木马文件带来的网络风险。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本专利技术的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中:图1是本专利技术实施例的一种文件外壳的脱壳计算机的硬件结构框图;图2是根据本专利技术实施例的一种文件外壳的脱壳方法的流程图;图3是根据本专利技术实施例的一种文件外壳的脱壳装置的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1本申请实施例一所提供的方法实施例可以在移动终端、处理器、服务器、计算机或者类似的运算装置中执行。以运行在计算机上为例,图1是本专利技术实施例的一种文件外壳的脱壳计算机的硬件结构框图。如图1所示,计算机10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述计算机还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述计算机的结构造成限定。例如,计算机10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本专利技术实施例中的一种文件外壳的脱壳方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至计算机10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输装置106用于经由一个网络接收或者本文档来自技高网...
【技术保护点】
1.一种文件外壳的脱壳方法,其特征在于,包括:/n识别目标文件的外壳种类;/n根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件;/n对所述脱壳文件进行修复,得到原始文件。/n
【技术特征摘要】
1.一种文件外壳的脱壳方法,其特征在于,包括:
识别目标文件的外壳种类;
根据所述外壳种类对所述目标文件进行脱壳,得到脱壳文件;
对所述脱壳文件进行修复,得到原始文件。
2.根据权利要求1所述的方法,其特征在于,根据所述外壳种类对所述目标文件进行脱壳包括:
在预设壳表数据中查找与所述外壳种类对应的加壳规则;
根据所述加壳规则对所述目标文件进行反序列处理。
3.根据权利要求2所述的方法,其特征在于,根据所述加壳规则对所述目标文件进行反序列处理包括:
确定所述目标文件中壳数据段的起始位置和加壳算法,其中,所述加壳算法包括加密算法和压缩算法;
基于所述起始位置在所述目标文件中定位壳代码,并通过脱壳算法对所述目标文件进行还原,其中,所述脱壳算法是所述加壳算法的逆向算法。
4.根据权利要求1所述的方法,其特征在于,对所述脱壳文件进行修复包括:
确定所述脱壳文件的缺失程序;
从预设数据库中获取所述缺失程序,并采用所述缺失程序修复所述脱壳文件。
5.根据权利要求1所述的方法,其特征在于,识别目标文件的外壳种类包括:
检测目标文件的文件外壳的家族标识;
在检测得到所述家族标识时,检测所述文件外壳的外壳代码;
根据所述外壳代码识别...
【专利技术属性】
技术研发人员:吕群,
申请(专利权)人:奇安信安全技术珠海有限公司,奇安信科技集团股份有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。