【技术实现步骤摘要】
本专利技术涉及信息安全领域,具体涉及一种检测加壳可执行文件的方法、装置和系统。
技术介绍
现有技术中,通过统计可知有超过80%的恶意程序使用了加壳技术。加壳后的可执行文件与原可执行文件在文件内容上具有差异。而对于以特征码检测为主要技术的反病毒厂商,脱壳就成为了必不可少的一个重要环节。因而需要对PE (Portable Executable,可执行程序)文件是否加壳进行准确的检测,即检测出加壳可执行文件。其中,PE是Win32可执行文件的标准格式,常见可执行文件包括EXE、DLL、OCX、SYS、COM等。现有技术中对PE文件的检测主要是基于特征码匹配,典型的工具是PEID(PE编辑器,PE iDentifier),PEID检测PE文件是否加壳的方法为基于特征匹配,即病毒分析员将 PE文件中具有特殊含义的二进制数据作为壳特征进行匹配,通常选择壳代码的二进制数据作为壳特征。具体包括基于PE文件节特征,即病毒分析员将病毒PE文件中一个节作为其文件特征,在特定的节中提取特征;以及基于PE文件入口点特征,由于多数加壳PE文件的入口处特点明显,通常提取入口点处的代码作为特征...
【技术保护点】
一种检测加壳可执行文件的方法,该方法包括:根据加壳可执行文件样本的特征设置至少两项技术指标,所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量;应用加壳可执行文件样本得出各项技术指标的权重值;计算待检测的可执行文件的各项技术指标的值,使用所述权重值将所述各项技术指标的值加权求和,依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:马茂刚,
申请(专利权)人:北京奇虎科技有限公司,奇智软件北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。