CN105488403A - 基于pe文件中未使用字段的恶意代码检测方法及*** - Google Patents
基于pe文件中未使用字段的恶意代码检测方法及*** Download PDFInfo
- Publication number
- CN105488403A CN105488403A CN201410807630.XA CN201410807630A CN105488403A CN 105488403 A CN105488403 A CN 105488403A CN 201410807630 A CN201410807630 A CN 201410807630A CN 105488403 A CN105488403 A CN 105488403A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- field
- detection
- condition code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及***,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
Description
技术领域
本发明涉及计算机网络安全领域,特别涉及一种基于PE文件中未使用字段的恶意代码检测方法及***。
背景技术
PE文件格式(PortableExecutable,可移植的可执行文件)是PortableExecutable,意为可移植的可执行文件,是微软WindowsNT、Windows95和Win32子集中的可执行的二进制文件格式,该文件格式由微软设计,并于1993年被TIS(ToolInterfaceStandard,工具接口标准)委员会所批准。
PE文件格式中有部分字段未被使用,例如:PE文件格式中的DOS结构、PE结构、DOS-Stub字段等等,这就给了病毒作者和壳作者利用的空间,他们会利用这些未使用的结构和字段,将病毒体、感染标记、壳代码、壳信息等等,写入到这些结构和字段中,来对抗反病毒软件的检测。
发明内容
基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及***,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。
一种基于PE文件中未使用字段的恶意代码检测方法,包括:
加载特征码库;
获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;
提取所述待检测PE文件的全部未使用字段;
将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。
所述的方法中,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
一种基于PE文件中未使用字段的恶意代码检测***,包括:
特征加载模块,用于加载特征码库;
格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;
字段提取模块,用于提取所述待检测PE文件的全部未使用字段;
特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
所述的***中,所述特征码库包括:壳特征码库和病毒特征码库。
所述的***中,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
所述的***中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。
本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及***,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于PE文件中未使用字段的恶意代码检测方法实施例流程图;
图2为本发明一种基于PE文件中未使用字段的恶意代码检测***实施例结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及***,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。
一种基于PE文件中未使用字段的恶意代码检测方法,如图1所示,包括:
S101:加载特征码库;
S102:获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续S103,否则结束检测;
S103:提取所述待检测PE文件的全部未使用字段;
S104:将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。
所述的方法中,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
一种基于PE文件中未使用字段的恶意代码检测***,如图2所示,包括:
特征加载模块201,用于加载特征码库;
格式解析模块202,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;
字段提取模块203,用于提取所述待检测PE文件的全部未使用字段;
特征检测模块204,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
所述的***中,所述特征码库包括:壳特征码库和病毒特征码库。
所述的***中,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
所述的***中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。并且将启发式检测技术和特征码检测技术运用到PE文件特定字段的检测中,同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。
本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及***,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于***实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本发明可用于众多通用或专用的计算***环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器***、基于微处理器的***、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何***或设备的分布式计算环境等等。
本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (8)
1.一种基于PE文件中未使用字段的恶意代码检测方法,其特征在于,包括:
加载特征码库;
获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;
提取所述待检测PE文件的全部未使用字段;
将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
2.如权利要求1所述的方法,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。
3.如权利要求1所述的方法,其特征在于,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
4.如权利要求1所述的方法,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
5.一种基于PE文件中未使用字段的恶意代码检测***,其特征在于,包括:
特征加载模块,用于加载特征码库;
格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;
字段提取模块,用于提取所述待检测PE文件的全部未使用字段;
特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
6.如权利要求5所述的***,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。
7.如权利要求5所述的***,其特征在于,所述未使用字段包括:DOS结构、PE结构及DOS-Stub字段。
8.如权利要求5所述的***,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410807630.XA CN105488403A (zh) | 2014-12-23 | 2014-12-23 | 基于pe文件中未使用字段的恶意代码检测方法及*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410807630.XA CN105488403A (zh) | 2014-12-23 | 2014-12-23 | 基于pe文件中未使用字段的恶意代码检测方法及*** |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105488403A true CN105488403A (zh) | 2016-04-13 |
Family
ID=55675377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410807630.XA Pending CN105488403A (zh) | 2014-12-23 | 2014-12-23 | 基于pe文件中未使用字段的恶意代码检测方法及*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105488403A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106570398A (zh) * | 2016-09-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种基于结构特性的恶意代码启发式检测方法及*** |
CN108171020A (zh) * | 2017-12-26 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 一种基于文件结构的压缩壳识别方法、***及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101441687A (zh) * | 2007-11-21 | 2009-05-27 | 珠海金山软件股份有限公司 | 一种提取病毒文件的病毒特征的方法及其装置 |
CN102542190A (zh) * | 2010-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN102592103A (zh) * | 2011-01-17 | 2012-07-18 | 中国电信股份有限公司 | 文件安全处理方法、设备及*** |
CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
-
2014
- 2014-12-23 CN CN201410807630.XA patent/CN105488403A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101441687A (zh) * | 2007-11-21 | 2009-05-27 | 珠海金山软件股份有限公司 | 一种提取病毒文件的病毒特征的方法及其装置 |
CN102542190A (zh) * | 2010-12-31 | 2012-07-04 | 北京奇虎科技有限公司 | 基于机器学习的程序识别方法及装置 |
CN102592103A (zh) * | 2011-01-17 | 2012-07-18 | 中国电信股份有限公司 | 文件安全处理方法、设备及*** |
CN103886229A (zh) * | 2014-03-10 | 2014-06-25 | 珠海市君天电子科技有限公司 | 一种提取pe文件特征的方法及装置 |
Non-Patent Citations (2)
Title |
---|
王静: "面向PE病毒检测的行为特征分析方法研究", 《信息安全与技术》 * |
顾鼎锋: "基于PE文件冗余的空间多态技术", 《计算机科学》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106570398A (zh) * | 2016-09-09 | 2017-04-19 | 哈尔滨安天科技股份有限公司 | 一种基于结构特性的恶意代码启发式检测方法及*** |
CN108171020A (zh) * | 2017-12-26 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 一种基于文件结构的压缩壳识别方法、***及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10176323B2 (en) | Method, apparatus and terminal for detecting a malware file | |
US9015814B1 (en) | System and methods for detecting harmful files of different formats | |
CN102243699B (zh) | 一种恶意代码检测方法及*** | |
US9842208B2 (en) | Method, apparatus and system for detecting malicious process behavior | |
US8176559B2 (en) | Obfuscated malware detection | |
US20200380125A1 (en) | Method for Detecting Libraries in Program Binaries | |
CN109960932B (zh) | 文件检测方法、装置和终端设备 | |
US10019581B2 (en) | Identifying stored security vulnerabilities in computer software applications | |
US8621634B2 (en) | Malware detection based on a predetermined criterion | |
US9984231B2 (en) | Detecting program evasion of virtual machines or emulators | |
CN103886229A (zh) | 一种提取pe文件特征的方法及装置 | |
US9378367B2 (en) | Systems and methods for identifying a source of a suspect event | |
CN104462962A (zh) | 一种检测未知恶意代码和二进制漏洞的方法 | |
CN108182363B (zh) | 嵌入式office文档的检测方法、***及存储介质 | |
CN105488409A (zh) | 一种检测恶意代码家族变种及新家族的方法及*** | |
CN105488403A (zh) | 基于pe文件中未使用字段的恶意代码检测方法及*** | |
Yang et al. | Android malware detection using hybrid analysis and machine learning technique | |
EP3087527B1 (en) | System and method of detecting malicious multimedia files | |
JP5441043B2 (ja) | プログラム、情報処理装置、及び情報処理方法 | |
US10635811B2 (en) | System and method for automation of malware unpacking and analysis | |
Grégio et al. | Tracking memory writes for malware classification and code reuse identification | |
US8402545B1 (en) | Systems and methods for identifying unique malware variants | |
KR101621170B1 (ko) | 온라인 게임에서의 메모리 감시를 이용한 해킹 방지 방법 | |
CN105487849A (zh) | 一种调用dll未知导出函数的方法及*** | |
CN110737894A (zh) | 复合文档安全检测方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160413 |
|
WD01 | Invention patent application deemed withdrawn after publication |