CN103067364A - 病毒检测方法及设备 - Google Patents
病毒检测方法及设备 Download PDFInfo
- Publication number
- CN103067364A CN103067364A CN2012105603985A CN201210560398A CN103067364A CN 103067364 A CN103067364 A CN 103067364A CN 2012105603985 A CN2012105603985 A CN 2012105603985A CN 201210560398 A CN201210560398 A CN 201210560398A CN 103067364 A CN103067364 A CN 103067364A
- Authority
- CN
- China
- Prior art keywords
- file
- archive
- identifying information
- data
- archive file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种病毒检测方法及设备,所述方法包括:接收承载有PE文件的网络数据流;根据PE文件的结构信息计算第一识别信息;将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,确定所述PE文件是否为Archive文件;若所述PE文件为Archive文件,则根据所述承载Archive文件数据部分的数据包计算第二识别信息;将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行匹配,若匹配命中,则确定所述Archive文件为Archive病毒文件。本发明能够有效检测Archive类型的PE文件是否为病毒文件。
Description
技术领域
本发明涉及通讯领域,尤其涉及一种病毒检测方法及一种病毒检测设备。
背景技术
对可移植执行(Portable Execute,PE)文件进行基于流的病毒检测时,由于只需要对承载有PE文件头的几个数据包进行重组,并根据从PE文件头中提取的特征与病毒库中预先存储的已知病毒的特征进行匹配,而无需重组出整个文件,与针对完整文件进行的基于特征的病毒检测方式来比,检测的性能较高。
PE文件头中的结构信息详细描述了PE文件的各种属性信息,如文件的分块数量、每块的数据长度、程序起始指令地址和程序运行所需平台等信息。对PE文件进行检测的病毒检测方法具体为在PE文件头中的结构信息中提取识别信息,其中,识别信息可以由从上述各种属性信息中选取的若干信息组合而成,并将该识别信息与预先存储的病毒特征进行比较,以检测该PE文件是否携带病毒。由于PE文件病毒占全部病毒的95%以上,如果能够有效控制PE文件病毒在网络上蔓延就能极大的改善网络的安全状况。
安装包、自解压包文件属于含有附加数据的PE文件,也被称为Archive文件,这种文件由两部分构成,第一部分为完整的PE文件,第二部分为数据部分。大量Archive文件仅在数据部分不同,PE文件部分完全相同。如果按照现有方法在PE文件头部的结构信息中提取识别信息,作为检测病毒文件的依据,则会导致此病毒文件所对应的Archive类型的文件全部都被误检测为病毒。
目前解决上述问题的通常做法为放弃对Archive文件的病毒检测。但病毒文件很容易被加工成Archive文件,如果病毒传播者利用这一特点将含有病毒的文件制作成Archive文件,则现有的对PE文件进行的基于流的病毒检测方法将无法确定Archive文件是否是携带病毒的病毒文件。
发明内容
本发明提供一种能够有效检测Archive类型的PE文件是否为病毒文件的检测方法及相关设备。
本发明解决上述问题的病毒检测方法及设备包括:
第一方面,提供一种病毒检测方法,包括:
接收承载有可移植执行PE文件的网络数据流,并根据所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头中包含所述PE文件的结构信息;
根据所述PE文件的结构信息计算第一识别信息;
将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
若所述PE文件为Archive文件,则从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
将所述第二识别信息与所述病毒库中预先存储的所述病毒识别信息进行匹配,若匹配命中,则确定所述Archive文件为Archive病毒文件。
在第一方面的第一种可能的实现方式中,若所述PE文件为非Archive文件则确定所述PE文件为PE病毒文件。
结合第一方面或者第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息,具体包括:
从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息对应的Archive文件形式,其中,所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息,包括:
若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
结合第一方面、第一方面的第一种可能的实现方式或者第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,所述根据所述PE文件的结构信息计算第一识别信息具体包括:
从所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
利用哈希算法计算出所述数据块的哈希值,作为所述第一识别信息。
第二方面,提供一种病毒检测设备,包括:
信息获取模块,用于接收承载有可移植执行PE文件的网络数据流,并根据所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头中包含所述PE文件的结构信息;
第一计算模块,用于根据所述信息获取模块获取的所述PE文件的结构信息计算第一识别信息;
第一判断模块,用于将所述第一计算模块计算得到的所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
第二计算模块,用于在所述第一判断模块确定出所述PE文件为Archive文件时,从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
第二判断模块,用于将所述第二计算模块计算得出的所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则确定所述Archive文件为Archive病毒文件。
在第二方面的第一种可能的实现方式中,所述第一判断模块还用于,若所述PE文件为非Archive文件时,确定所述PE文件为PE病毒文件。
结合第二方面或者第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述第二计算模块包括:
文件形式判断单元,用于从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息所对应的Archive文件形式,其中,所述文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
数据包获取单元,用于从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
计算单元,用于根据所述文件形式判断单元判断得出的所述第一识别信息所对应的Archive文件形式和所述数据包获取单元获取的所述承载所述Archive文件数据部分的数据包计算第二识别信息。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述计算单元具体用于:
在第一识别信息所对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件时,根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,在第一识别信息所对应的Archive文件形式为数据部分包含数据结构信息的Archive文件时,根据所述承载所述Archive文件部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
结合第二方面、第二方面的第一种可能或者第二方面的第三种可能的实现方式的实现方式,在第二方面的第四种可能的实现方式中,所述第一计算模块包括:
衔接单元,用于从所述信息获取模块获取的所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
计算单元,用于利用哈希算法计算所述衔接单元衔接成的所述数据块的哈希值,作为第一识别信息。
第三方面,提供一种病毒检测设备,包括接收器、存储器和处理器,其中:
所述接收器,用于接收承载有可移植执行PE文件的网络数据流;
所述存储器,用于存储代码;
所述处理器,用于读取所述存储器中存储的代码,执行:
根据所述接收器接收的所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头的数据包中包含所述PE文件的结构信息;
根据所述PE文件的结构信息计算第一识别信息;
将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
若所述PE文件为Archive文件,从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,确定所述Archive文件为Archive病毒文件。
在第三方面的第一种可能的实现方式中,所述处理器执行从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息的具体方式为:
从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息对应的Archive文件形式,其中,所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。
结合第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器执行所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息的具体方式为:
若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
结合第三方面、第三方面的第一种可能的实现方式或者第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理器执行所述根据所述PE文件的结构信息计算第一识别信息的具体方式为:
从所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
利用哈希算法计算出所述数据块的哈希值,作为所述第一识别信息。
对于Archive文件,本发明实施例在判断其是否为病毒文件时除了从PE文件头数据包中提取用于识别病毒特征的识别信息外,还从Archive文件的数据部分提取识别信息,并根据这两个识别信息来判断Archive文件是否为病毒文件,从而克服了现有技术无法确定Archive文件是否是携带病毒的病毒文件的问题,能够有效检测Archive类型的PE文件是否为病毒文件。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种病毒检测方法的流程图;
图2是图1实施例中数据块的示意图;
图3是本发明实施例提供的另一种病毒检测方法的流程图;
图4是本发明实施例提供的一种病毒检测设备的结构图;
图5是本发明实施例提供的另一种病毒检测设备的结构图;
图6是本发明实施例提供的又一种病毒检测设备的结构图;
图7是本发明实施例提供的另一种病毒检测设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参考图1,图1是本发明实施例提供的一种病毒检测方法的流程图,该流程的执行主体可以是网关设备,也可以是防火墙设备、路由器设备等可以从网络交换节点处得到数据流的设备,在这里不进行限定。所述方法包括:
101、接收承载有PE文件的网络数据流,并根据网络数据流中的数据包重组出PE文件的文件头,其中,文件头中包含PE文件的结构信息。
其中,执行主体可以从网络数据流中的包含PE文件头的数据包中重组出PE文件的文件头。
102、根据PE文件的结构信息计算第一识别信息。
其中,根据PE文件的结构信息计算第一识别信息的实现方式可以为:
从PE文件的结构信息所描述的各种属性信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
利用哈希算法计算出上述数据块的哈希值,作为第一识别信息。
其中,哈希算法(又被称为摘要算法、杂凑算法)用于将数据运算为另一固定长度值,用于确保信息传输的一致和完整,本实施例可以用哈希算法来识别病毒。消息摘要5(Message Digest 5,MD5)算法是广泛使用的哈希算法之一,不同数据计算得出的MD5值相同的概率非常低,无限接近于零,本实施例优选用MD5算法来计算第一识别信息、第二识别信息和病毒库中已知病毒的特征信息(病毒识别信息)。
可选地,本实施例选取PE文件的结构信息中的以下属性信息:
1、PE文件中的块数(Number Of Section)
2、PE文件的生成时间(Time Date Stamp)
3、PE文件的程序入口点地址(Address Of Entry Point)
4、PE文件的数据校验值(Check Sum)
5、PE文件代码段大小(Size Of Code)
6、PE文件的内存映射大小(Size Of Image)
7、PE文件中的已初始化数据大小(Size Of Initialized Data)
8、PE文件每个块的块属性(Characteristics)
按上述顺序将上述结构信息衔接成为如图2所示的数据块,并计算该数据块的MD5值。
103、将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,文件类型包括Archive文件和PE病毒文件。
病毒库是一个数据文件,病毒库中存储了目前已知病毒的特征和Archive文件特征,这里统称为病毒识别信息。这里,已知病毒的特征是在病毒文件中提取部分信息并计算得出的,其计算方法与步骤102相同。同一类的archive文件其头部的特征是相同的,每一头部特征对应是否是archive文件以及是那种archive文件,这些信息也都保存在了病毒库中。当作为第一识别信息的MD5值与病毒库进行匹配时,根据匹配结果可以判断进行匹配的MD5值所对应的PE文件为病毒文件、archive文件或者非病毒文件。
104、若PE文件为Archive文件,则从网络数据流中获取承载Archive文件数据部分的数据包,并根据承载所述Archive文件数据部分的数据包计算第二识别信息。
可选地,上述根据承载Archive文件数据部分的数据包计算第二识别信息的实现方式可以为:
从病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询第一识别信息对应的Archive文件形式,其中,所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
根据所述第一识别信息对应的Archive文件形式和承载所述Archive文件数据部分的数据包计算第二识别信息。
其中,数据部分包含数据结构信息的Archive文件中的数据结构信息包括数据部分的循环冗余码校验值(Cyclic Redundancy Check,CRC)以及数据部分的大小等信息。CRC校验值是利用一个算法将一段数据计算得出一个数值,对于Archive文件来说就是由数据部分的数据计算得出的数值。
可选地,上述根据所述第一识别信息对应的Archive文件形式和承载所述Archive文件和数据部分的数据包计算第二识别信息的实现方式可以为:
若第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据承载Archive文件数据部分的数据包重组出Archive文件的数据部分,利用哈希算法计算Archive文件的数据部分的哈希值,作为第二识别信息;
或者,若第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据承载Archive文件数据部分的数据包,重组得到Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的数据结构信息的哈希值,作为第二识别信息。
本实施例优先利用MD5算法计算第二识别信息。
105、将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则确定Archive文件为Archive病毒文件。
本实施在判断病毒文件时除了从PE文件头数据包中提取用于识别病毒特征的识别信息外,还从Archive文件的数据部分提取识别信息,并根据这两个识别信息来判断Archive文件是否为病毒文件,从而克服了现有技术无法确定Archive文件是否是携带病毒的病毒文件的问题。本发明能够有效检测Archive类型的PE文件是否为病毒文件,提高基于流的病毒检测方法的可靠性,进一步改善网络的安全状况。
请参考图3,图3是本发明实施例提供的一种病毒检测方法的流程图,包括:
201、接收承载有PE文件的网络数据流。
202、根据网络数据流中的数据包重组出PE文件的文件头,其中,文件头中包含PE文件的结构信息。
203、根据PE文件的结构信息计算第一识别信息。
其中,根据PE文件的结构信息计算第一识别信息的具体方式参考图1实施例这里不再赘述。
204、将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配。
205、判断第一识别信息与病毒识别信息是否匹配命中。
若第一识别信息与病毒识别信息匹配命中则转步骤207,否则转步骤206。
206、确定PE文件为非病毒文件。若第一识别信息与病毒库中的任何一条病毒识别信息都不能匹配上,则说明PE文件不属于已知病毒,确定PE文件为非病毒文件。
207、判断第一识别信息所对应的PE文件是否为Archive文件。
若第一识别信息与病毒库中的某一条病毒识别信息匹配上,则PE文件为病毒文件或者Archive文件,根据病毒库中预先存储的病毒识别信息与文件类型的对应关系可以进一步判断出PE文件为病毒文件或者Archive文件。若PE文件为Archive文件则转步骤209,否则转步骤208。
208、确定PE文件为PE病毒文件。若第一识别信息与病毒库中的某一条病毒识别信息匹配上且该PE文件并非Archive文件,则确定PE文件为病毒文件。
209、从网络数据流中获取承载Archive文件数据部分的数据包,并根据承载数据部分的数据包计算第二识别信息。
第二识别信息的计算过程参考图1实施例这里不再赘述。
210、将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配。
211、判断第二识别信息与病毒识别信息是否匹配命中。如果命中,进入步骤213;如果没有命中,进入步骤212。
212、确定Archive文件为非病毒文件。若第二识别信息与病毒库存中的任一病毒识别信息不匹配,则Archive文件不属于已知病毒,判断该Archive文件为非病毒文件。
213、确定Archive文件为Archive病毒文件。若第二识别信息与某一条病毒识别信息匹配,则说明Archive文件为已知病毒中的一种,判断Archive文件为Archive病毒文件。
本实施在判断病毒文件时除了从PE文件头数据包中提取用于识别病毒特征的识别信息外,还从Archive文件的数据部分提取识别信息,并根据这两个识别信息来判断Archive文件是否为病毒文件。本发明能够有效检测Archive类型的PE文件是否为病毒文件,提高基于流的病毒检测方法的可靠性,进一步改善网络的安全状况。
请参考图4,图4是本发明实施例提供的一种病毒检测设备的结构图,包括:
信息获取模块301,用于接收承载可移植执行PE文件的网络数据流,并根据所述网络数据流中的数据包重组出PE文件的文件头,其中,文件头中包含PE文件的结构信息。
第一计算模块302,用于根据信息获取模块301获取的PE文件的结构信息计算第一识别信息。
第一判断模块303,用于将第一计算模块302计算得到的第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据病毒库中预先存储的病毒识别信息与文件类型的对应关系确定PE文件是否为Archive文件,其中,文件类型包括Archive文件和PE病毒文件。
其中,第一判断模块303还用于,在判断出PE文件为非Archive文件时,确定PE文件为PE病毒文件。
第二计算模块304,用于在第一判断模块303确定出PE文件为Archive文件时,从网络数据流中获取承载Archive文件数据部分的数据包,并根据承载Archive文件数据部分的数据包计算第二识别信息。
第二判断模块305,用于将第二计算模块304计算得出的第二识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则确定Archive文件为Archive病毒文件。
可选地,第二计算模块304还可以包括文件形式判断单元3041、数据包获取单元3042和计算单元3043,如图5所示,其中:
文件形式判断单元3041,用于从病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询第一识别信息所对应的Archive文件形式,其中,文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件。
数据包获取单元3042,用于从网络数据流中获取承载Archive文件数据部分的数据包。
计算单元3043,用于根据文件形式判断单元3041判断得出的第一识别信息所对应的Archive文件形式和数据包获取单元3042获取的承载Archive文件数据部分的数据包计算第二识别信息。
其中,计算单元3043具体用于:
在第一识别信息所对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件时,根据承载Archive文件数据部分的数据包,重组出Archive文件的数据部分,利用哈希算法计算Archive文件的数据部分的哈希值,作为第二识别信息;
或者,在第一识别信息所对应的Archive文件形式为数据部分包含数据结构信息的Archive文件时,根据承载Archive文件部分的数据包,重组得到Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的数据结构信息的哈希值,作为第二识别信息。
本实施例中,哈希算法优选为MD5算法。
其中,第一计算模块302还可以包括衔接单元3021和计算单元3022,如图6所示,其中:
衔接单元3021,用于从信息获取模块301获取的PE文件的结构信息选取至少二个属性信息,并将该属性信息衔接成一个数据块。
计算单元3022,用于利用哈希算法计算衔接单元3021衔接成的数据块的哈希值,作为第一识别信息。
本实施例在判断病毒文件时除了从PE文件头数据包中提取用于识别病毒特征的识别信息外,还从Archive文件的数据部分提取识别信息,并根据这两个识别信息来判断Archive文件是否为病毒文件。从而克服了现有技术无法确定Archive文件是否是携带病毒的病毒文件的问题。本实施例能够有效检测Archive文件是否为病毒文件,降低了病毒传播者通过将病毒文件制作成Archive文件来逃避检测所带来的安全风险,提高基于流的病毒检测方法的可靠性,进一步改善网络的安全状况。
请参考图7,图7是本发明实施例提供的一种病毒检测设备的结构图,包括接收器401、存储器402和处理器403,其中:
接收器401,用于接收承载有PE文件的网络数据流。
存储器402,用于存储代码。
处理器403,用于从存储器402中读取存储的代码,执行:
根据接收器401接收的网络数据流中的数据包重组出PE文件的文件头,其中,文件头的数据包中包含PE文件的结构信息;
根据PE文件的结构信息计算第一识别信息;
将第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,根据病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定PE文件是否为Archive文件,其中,文件类型包括Archive文件和PE病毒文件;
若所述PE文件为Archive文件,从网络数据流中获取承载Archive文件数据部分的数据包,并根据承载Archive文件数据部分的数据包计算第二识别信息;
将第二识别信息与病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,确定Archive文件为Archive病毒文件。
可选地,处理器403执行从网络数据流中获取承载Archive文件数据部分的数据包,并根据承载Archive文件数据部分的数据包计算第二识别信息具体方式可以为:
从病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询第一识别信息对应的Archive文件形式,其中,Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从网络数据流中获取承载Archive文件数据部分的数据包;
根据第一识别信息对应的Archive文件形式和承载Archive文件数据部分的数据包计算第二识别信息。
其中,处理器403执行根据第一识别信息对应的Archive文件形式和承载Archive文件数据部分的数据包计算第二识别信息的具体方式可以为:
若第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据承载Archive文件数据部分的数据包,重组出Archive文件的数据部分,利用哈希算法计算Archive文件的数据部分的哈希值,作为第二识别信息;
或者,若第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据承载Archive文件数据部分的数据包,重组得到Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的数据结构信息的哈希值,作为第二识别信息。
本实施例中哈希算法优选为MD5算法。
处理器403执行根据PE文件的结构信息计算第一识别信息的具体方式为:
从PE文件的结构信息中选取至少二个属性信息,并将至少二个属性信息衔接成一个数据块;
利用哈希算法计算出所述数据块的哈希值,作为所述第一识别信息。
所述病毒检测设备的详细工作流程请参照前面方法实施例中的描述,在这里不再重复。
本实施例中的病毒检测设备在判断病毒文件时除了从PE文件头数据包中提取用于识别病毒特征的识别信息外,还从Archive文件的数据部分提取识别信息,并根据这两个识别信息来判断Archive文件是否为病毒文件。本实施例能够有效检测Archive类型的PE文件是否为病毒文件,提高基于流的病毒检测方法的可靠性,进一步改善网络的安全状况。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random Access Memory,简称RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (14)
1.一种病毒检测方法,其特征在于,包括:
接收承载有可移植执行PE文件的网络数据流,并根据所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头中包含所述PE文件的结构信息;
根据所述PE文件的结构信息计算第一识别信息;
将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
若所述PE文件为Archive文件,则从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则确定所述Archive文件为Archive病毒文件。
2.根据权利要求1所述的方法,其特征在于,若所述PE文件为非Archive文件,则确定所述PE文件为PE病毒文件。
3.根据权利要求1或2所述的方法,其特征在于,所述从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息,具体包括:
从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息对应的Archive文件形式,其中,所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息,包括:
若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
5.根据权利要求1、2或4所述的方法,其特征在于,所述根据所述PE文件的结构信息计算第一识别信息具体包括:
从所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
利用哈希算法计算出所述数据块的哈希值,作为所述第一识别信息。
6.一种病毒检测设备,其特征在于,包括:
信息获取模块,用于接收承载有可移植执行PE文件的网络数据流,并根据所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头中包含所述PE文件的结构信息;
第一计算模块,用于根据所述信息获取模块获取的所述PE文件的结构信息计算第一识别信息;
第一判断模块,用于将所述第一计算模块计算得到的所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
第二计算模块,用于在所述第一判断模块确定出所述PE文件为Archive文件时,从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
第二判断模块,用于将所述第二计算模块计算得出的所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配,若匹配命中,则确定所述Archive文件为Archive病毒文件。
7.根据权利要求6所述的设备,其特征在于,所述第一判断模块还用于,若所述PE文件为非Archive文件,确定所述PE文件为PE病毒文件。
8.根据权利要求6或7所述的设备,其特征在于,所述第二计算模块包括:
文件形式判断单元,用于从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息所对应的Archive文件形式,其中,所述文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
数据包获取单元,用于从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
计算单元,用于根据所述文件形式判断单元判断得出的所述第一识别信息所对应的Archive文件形式和所述数据包获取单元获取的所述承载所述Archive文件数据部分的数据包计算第二识别信息。
9.根据权利要求8所述的设备,其特征在于,所述计算单元具体用于:
在第一识别信息所对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件时,根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,在第一识别信息所对应的Archive文件形式为数据部分包含数据结构信息的Archive文件时,根据所述承载所述Archive文件部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
10.根据权利要求6、7或9所述的设备,其特征在于,所述第一计算模块包括:
衔接单元,用于从所述信息获取模块获取的所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
计算单元,用于利用哈希算法计算所述衔接单元衔接成的所述数据块的哈希值,作为第一识别信息。
11.一种病毒检测设备,其特征在于,包括接收器、存储器和处理器,其中:
所述接收器,用于接收承载有可移植执行PE文件的网络数据流;
所述存储器,用于存储代码;
所述处理器,用于读取所述存储器中存储的代码,执行:
根据所述接收器接收的所述网络数据流中的数据包重组出所述PE文件的文件头,其中,所述文件头的数据包中包含所述PE文件的结构信息;
根据所述PE文件的结构信息计算第一识别信息;
将所述第一识别信息与病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,根据所述病毒库中预先存储的病毒识别信息与文件类型的对应关系,确定所述PE文件是否为Archive文件,其中,所述文件类型包括Archive文件和PE病毒文件;
若所述PE文件为Archive文件,从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息;
将所述第二识别信息与所述病毒库中预先存储的病毒识别信息进行匹配,在匹配命中时,确定所述Archive文件为Archive病毒文件。
12.根据权利要求11所述的设备,其特征在于,所述处理器执行从所述网络数据流中获取承载所述Archive文件数据部分的数据包,并根据所述承载所述Archive文件数据部分的数据包计算第二识别信息的具体方式为:
从所述病毒库中预先存储的病毒识别信息与Archive文件形式的对应关系中,查询所述第一识别信息对应的Archive文件形式,其中,所述Archive文件形式包括数据部分包含数据结构信息的Archive文件和数据部分不包含数据结构信息的Archive文件;
从所述网络数据流中获取承载所述Archive文件数据部分的数据包;
根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息。
13.根据权利要求12所述的设备,其特征在于,所述处理器执行所述根据所述第一识别信息对应的Archive文件形式和所述承载所述Archive文件数据部分的数据包计算第二识别信息的具体方式为:
若所述第一识别信息对应的Archive文件形式为数据部分不包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组出所述Archive文件的数据部分,利用哈希算法计算所述Archive文件的数据部分的哈希值,作为所述第二识别信息;
或者,若所述第一识别信息对应的Archive文件形式为数据部分包含数据结构信息的Archive文件,则根据所述承载所述Archive文件数据部分的数据包,重组得到所述Archive文件数据部分中包含的数据结构信息,利用哈希算法计算重组得到的所述数据结构信息的哈希值,作为所述第二识别信息。
14.根据权利要求11至13任一项所述的设备,其特征在于,所述处理器执行所述根据所述PE文件的结构信息计算第一识别信息的具体方式为:
从所述PE文件的结构信息中选取至少二个属性信息,并将所述至少二个属性信息衔接成一个数据块;
利用哈希算法计算出所述数据块的哈希值,作为所述第一识别信息。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560398.5A CN103067364B (zh) | 2012-12-21 | 2012-12-21 | 病毒检测方法及设备 |
| EP13864087.5A EP2924943B1 (en) | 2012-12-21 | 2013-08-07 | Virus detection method and device |
| PCT/CN2013/080979 WO2014094441A1 (zh) | 2012-12-21 | 2013-08-07 | 病毒检测方法及设备 |
| US14/743,082 US9723021B2 (en) | 2012-12-21 | 2015-06-18 | Virus detecting method and device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210560398.5A CN103067364B (zh) | 2012-12-21 | 2012-12-21 | 病毒检测方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103067364A true CN103067364A (zh) | 2013-04-24 |
| CN103067364B CN103067364B (zh) | 2015-11-25 |
Family
ID=48109826
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210560398.5A Active CN103067364B (zh) | 2012-12-21 | 2012-12-21 | 病毒检测方法及设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9723021B2 (zh) |
| EP (1) | EP2924943B1 (zh) |
| CN (1) | CN103067364B (zh) |
| WO (1) | WO2014094441A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014094441A1 (zh) * | 2012-12-21 | 2014-06-26 | 华为技术有限公司 | 病毒检测方法及设备 |
| CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN105488084A (zh) * | 2014-12-24 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于树同构的软件安装包分类方法及*** |
| CN108733664A (zh) * | 2017-04-13 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种文件归类方法及装置 |
| CN110602119A (zh) * | 2019-09-19 | 2019-12-20 | 迈普通信技术股份有限公司 | 病毒防护方法、装置及*** |
| CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104217165B (zh) * | 2014-09-16 | 2016-07-06 | 百度在线网络技术(北京)有限公司 | 文件的处理方法及装置 |
| RU2606559C1 (ru) * | 2015-10-22 | 2017-01-10 | Акционерное общество "Лаборатория Касперского" | Система и способ оптимизации антивирусной проверки файлов |
| CN106055602A (zh) * | 2016-05-24 | 2016-10-26 | 腾讯科技(深圳)有限公司 | 文件验证方法及装置 |
| RU2634178C1 (ru) * | 2016-10-10 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения вредоносных составных файлов |
| JP7028065B2 (ja) * | 2018-05-30 | 2022-03-02 | コニカミノルタ株式会社 | 画像処理装置、その制御方法、およびプログラム |
| CN110765027B (zh) * | 2019-12-27 | 2020-04-10 | 中国人民解放军国防科技大学 | 一种pe文件地址定位*** |
| CN111881448B (zh) * | 2020-07-30 | 2022-10-14 | 山石网科通信技术股份有限公司 | 恶意文件的确定方法及装置 |
| CN115203699B (zh) * | 2022-09-16 | 2022-12-27 | 北京网藤科技有限公司 | 一种基于行为特征的病毒识别方法和*** |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040015712A1 (en) * | 2002-07-19 | 2004-01-22 | Peter Szor | Heuristic detection of malicious computer code by page tracking |
| US20060015747A1 (en) * | 2004-07-16 | 2006-01-19 | Red Hat, Inc. | System and method for detecting computer virus |
| US7996904B1 (en) * | 2007-12-19 | 2011-08-09 | Symantec Corporation | Automated unpacking of executables packed by multiple layers of arbitrary packers |
| CN102279917A (zh) * | 2011-09-19 | 2011-12-14 | 奇智软件(北京)有限公司 | 多杀毒引擎并行杀毒方法及*** |
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6851057B1 (en) * | 1999-11-30 | 2005-02-01 | Symantec Corporation | Data driven detection of viruses |
| US20070006300A1 (en) * | 2005-07-01 | 2007-01-04 | Shay Zamir | Method and system for detecting a malicious packed executable |
| US20070240222A1 (en) * | 2006-04-06 | 2007-10-11 | George Tuvell | System and Method for Managing Malware Protection on Mobile Devices |
| CN101526882B (zh) | 2008-03-03 | 2011-06-22 | 中兴通讯股份有限公司 | 独立磁盘冗余阵列子***中逻辑单元重建的方法及装置 |
| CN101458668A (zh) | 2008-12-19 | 2009-06-17 | 成都市华为赛门铁克科技有限公司 | 缓存数据块的处理方法和硬盘 |
| CN103020524B (zh) * | 2012-12-11 | 2015-08-05 | 北京奇虎科技有限公司 | 计算机病毒监控*** |
| CN103067364B (zh) * | 2012-12-21 | 2015-11-25 | 华为技术有限公司 | 病毒检测方法及设备 |
-
2012
- 2012-12-21 CN CN201210560398.5A patent/CN103067364B/zh active Active
-
2013
- 2013-08-07 WO PCT/CN2013/080979 patent/WO2014094441A1/zh active Application Filing
- 2013-08-07 EP EP13864087.5A patent/EP2924943B1/en active Active
-
2015
- 2015-06-18 US US14/743,082 patent/US9723021B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040015712A1 (en) * | 2002-07-19 | 2004-01-22 | Peter Szor | Heuristic detection of malicious computer code by page tracking |
| US20060015747A1 (en) * | 2004-07-16 | 2006-01-19 | Red Hat, Inc. | System and method for detecting computer virus |
| US7996904B1 (en) * | 2007-12-19 | 2011-08-09 | Symantec Corporation | Automated unpacking of executables packed by multiple layers of arbitrary packers |
| CN102279917A (zh) * | 2011-09-19 | 2011-12-14 | 奇智软件(北京)有限公司 | 多杀毒引擎并行杀毒方法及*** |
| CN102314571A (zh) * | 2011-09-27 | 2012-01-11 | 奇智软件(北京)有限公司 | 处理计算机病毒的方法及装置 |
| CN102736978A (zh) * | 2012-06-26 | 2012-10-17 | 奇智软件(北京)有限公司 | 一种检测应用程序的安装状态的方法及装置 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014094441A1 (zh) * | 2012-12-21 | 2014-06-26 | 华为技术有限公司 | 病毒检测方法及设备 |
| US9723021B2 (en) | 2012-12-21 | 2017-08-01 | Huawei Technologies Co., Ltd. | Virus detecting method and device |
| CN104424438A (zh) * | 2013-09-06 | 2015-03-18 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
| CN104424438B (zh) * | 2013-09-06 | 2018-03-16 | 华为技术有限公司 | 一种反病毒文件检测方法、装置及网络设备 |
| CN105488084A (zh) * | 2014-12-24 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 基于树同构的软件安装包分类方法及*** |
| CN104700033A (zh) * | 2015-03-30 | 2015-06-10 | 北京瑞星信息技术有限公司 | 病毒检测的方法及装置 |
| CN104700033B (zh) * | 2015-03-30 | 2019-01-29 | 北京瑞星网安技术股份有限公司 | 病毒检测的方法及装置 |
| CN108733664A (zh) * | 2017-04-13 | 2018-11-02 | 腾讯科技(深圳)有限公司 | 一种文件归类方法及装置 |
| CN108733664B (zh) * | 2017-04-13 | 2022-05-03 | 腾讯科技(深圳)有限公司 | 一种文件归类方法及装置 |
| CN110602119A (zh) * | 2019-09-19 | 2019-12-20 | 迈普通信技术股份有限公司 | 病毒防护方法、装置及*** |
| CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2924943A4 (en) | 2015-12-16 |
| WO2014094441A1 (zh) | 2014-06-26 |
| CN103067364B (zh) | 2015-11-25 |
| EP2924943B1 (en) | 2018-03-14 |
| EP2924943A1 (en) | 2015-09-30 |
| US9723021B2 (en) | 2017-08-01 |
| US20150288707A1 (en) | 2015-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103067364A (zh) | 病毒检测方法及设备 | |
| JP6609047B2 (ja) | アプリケーション情報リスクマネジメントのための方法及びデバイス | |
| CN103297267B (zh) | 一种网络行为的风险评估方法和*** | |
| CN106383852A (zh) | 基于Docker容器的日志获取方法和装置 | |
| US20110246426A1 (en) | Method and apparatus for information recovery using snapshot database | |
| CN109063482B (zh) | 宏病毒识别方法、装置、存储介质及处理器 | |
| CN108418777A (zh) | 一种钓鱼邮件检测方法、装置及*** | |
| CN104700033A (zh) | 病毒检测的方法及装置 | |
| JP6629973B2 (ja) | 携帯電話番号を変更するためのサービス要求を認識する方法及び装置 | |
| CN103294951B (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及*** | |
| CN105224600A (zh) | 一种样本相似度的检测方法及装置 | |
| CN105975855B (zh) | 一种基于apk证书相似性的恶意代码检测方法及*** | |
| CN105100023B (zh) | 数据包特征提取方法及装置 | |
| CN109727027A (zh) | 账户识别方法、装置、设备及存储介质 | |
| CN112751804B (zh) | 一种仿冒域名的识别方法、装置和设备 | |
| CN106650451A (zh) | 一种检测方法和装置 | |
| CN111327570A (zh) | 验证方法、装置和计算机可读存储介质 | |
| CN107302434A (zh) | 电子签章的校验方法及*** | |
| CN106790102A (zh) | 一种基于url特征的qr码网络钓鱼识别方法及*** | |
| CN104021324A (zh) | 字迹安全校验的方法及装置 | |
| CN104036392B (zh) | 一种网络支付方法及装置 | |
| CN106055693A (zh) | 一种信息处理方法及终端 | |
| CN112953956B (zh) | 一种基于主被动结合的反射放大器识别方法 | |
| CN109600361A (zh) | 基于哈希算法的验证码防攻击方法及装置 | |
| CN107229865B (zh) | 一种解析Webshell入侵原因的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |