CN113779576A - 一种可执行文件感染病毒的识别方法、装置及电子设备 - Google Patents
一种可执行文件感染病毒的识别方法、装置及电子设备 Download PDFInfo
- Publication number
- CN113779576A CN113779576A CN202111056920.1A CN202111056920A CN113779576A CN 113779576 A CN113779576 A CN 113779576A CN 202111056920 A CN202111056920 A CN 202111056920A CN 113779576 A CN113779576 A CN 113779576A
- Authority
- CN
- China
- Prior art keywords
- file
- executable file
- characteristic
- infected
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请的实施例公开了一种可执行文件感染病毒的识别方法、装置及电子设备,涉及***安全技术领域,为能够提高对可执行文件感染病毒进行识别的准确率而发明。所述方法,包括:监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。本申请适用于对可执行文件是否感染病毒进行识别。
Description
技术领域
本申请涉及***安全技术领域,尤其涉及一种可执行文件感染病毒的识别方法、装置、电子设备及可读存储介质。
背景技术
随着互联网的快速发展,人们在享受着网络带来便利的同时,也带来了安全隐患,其中,感染式病毒在进入主机后,会将自身分割、变形或加密后,将自身的一部分或全部附加到可执行文件中,在***使用可执行文件时,会直接执行感染式病毒。
目前,针对上述感染式病毒的检测技术,主要是通过感染式病毒的特征对可执行文件进行安全检测,即以特征追加的方式进行新增病毒的检测,然而,对于新型的感染式病毒,由于无法事先获取该新型的感染式病毒的特征,即使可执行文件被该新型的感染式病毒感染,在检测时,也不会将该可执行文件确定为被感染的可执行文件,导致对可执行文件感染病毒进行识别的准确率较低。
发明内容
有鉴于此,本申请实施例提供一种可执行文件感染病毒的识别方法、装置、电子设备及可读存储介质,能够提高对可执行文件感染病毒进行识别的准确率。
第一方面,本申请实施例提供一种可执行文件感染病毒的识别方法,包括:监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
根据本申请实施例的一种具体实现方式,在确定所述目标可执行文件是否感染病毒之前,所述方法还包括:监控***内是否有新增的应用程序;响应于监测到***内有新增的应用程序,获取与所述新增的应用程序对应的可执行文件;从所述可执行文件中,获取所述可执行文件的文件特征的原始特征值;根据所述可执行文件的文件特征的原始特征值,建立特征信息库。
根据本申请实施例的一种具体实现方式,所述可执行文件为可执行与可链接格式文件;所述文件特征包括文件路径及至少以下一种:文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
根据本申请实施例的一种具体实现方式,所述将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒,包括:根据所述文件特征中的文件路径对应的当前特征值,在所述预设的特征信息库中,查找所述目标可执行文件的文件特征的原始特征值;将所述文件特征的当前特征值与所述文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
根据本申请实施例的一种具体实现方式,所述方法还包括:响应于所述可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
第二方面,本申请实施例提供一种可执行文件感染病毒的识别装置,包括:第一监控模块,用于监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;第一获取模块,用于响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;确定模块,用于将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
根据本申请实施例的一种具体实现方式,所述装置还包括:第二监控模块,用于在所述确定模块确定所述目标可执行文件是否感染病毒之前,监控***内是否有新增的应用程序;第二获取模块,用于响应于监测到***内有新增的应用程序,获取与所述新增的应用程序对应的可执行文件;第三获取模块,用于从所述可执行文件中,获取所述可执行文件的文件特征的原始特征值;建立模块,用于根据所述可执行文件的文件特征的原始特征值,建立特征信息库。
根据本申请实施例的一种具体实现方式,所述可执行文件为可执行与可链接格式文件;所述文件特征包括文件路径及至少以下一种:文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
根据本申请实施例的一种具体实现方式,所述确定模块,具体用于:根据所述文件特征中的文件路径对应的当前特征值,在所述预设的特征信息库中,查找所述目标可执行文件的文件特征的原始特征值;将所述文件特征的当前特征值与所述文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
根据本申请实施例的一种具体实现方式,所述装置还包括:拦截模块,用于响应于所述可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的可执行文件感染病毒的识别方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的可执行文件感染病毒的识别方法。
本实施例的可执行文件感染病毒的识别方法、装置、电子设备及可读存储介质,在监控到目标可执行文件被执行预设操作时,获取目标可执行文件的文件特征的当前特征值,并将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,如果在被执行预设操作前,目标可执行文件已经被病毒感染,那么获取到的目标可执行文件的文件特征的当前特征值与未被病毒感染的目标可执行文件的文件特征的原始特征值不同,这样,即可确定目标可执行文件被病毒感染,从而,能够提高对可执行文件感染病毒进行识别的准确率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的可执行文件感染病毒的识别方法的流程示意图;
图2为本申请又一实施例提供的可执行文件感染病毒的识别方法的流程示意图;
图3为本申请一具体实施例提供的可执行文件感染病毒的识别方法的流程示意图;
图4为本申请一实施例提供的可执行文件感染病毒的识别装置的结构示意图;
图5为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请一实施例提供的一种可执行文件感染病毒的识别方法,包括:监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒,能够提高对可执行文件感染病毒进行识别的准确率。
图1为本申请一实施例提供的可执行文件感染病毒的识别方法的流程示意图,如图1所示,本实施例的可执行文件感染病毒的识别方法,可以包括:
S101、监控目标可执行文件是否被执行预设操作。
可执行文件,又称为可执行格式文件。对于linux***,可执行文件可为可执行与可链接格式(ELF,Executable and Linkable Format)文件,ELF文件可以包括.so格式文件、.a格式文件、.o格式文件等等;对于Windows***,可执行文件可为可移植的执行体(Portable Executable)文件,PE文件可以包括.exe格式文件、.dll格式文件、lib格式文件等等。
本实施例中,预设操作包括运行操作和/或修改操作,其中,修改操作可为对可执行文件的重命名、修改可执行文件的位置、对可执行文件的文件内容的修改等操作。
本实施例中,对目标可执行文件是否被执行运行操作进行监控;或者,对目标可执行文件是否被执行修改操作进行监控;或者,对目标可执行文件是否被执行运行操作和修改操作进行监控。
S102、响应于监控到目标可执行文件被执行预设操作,获取目标可执行文件的文件特征的当前特征值。
当前特征值可为与文件特征对应的值,且为当前状态下的特征值。
当监控到目标可执行文件被执行预设操作时,获取目标可执行文件的文件特征的当前特征值。
在一些例子中,监控到目标可执行文件被执行预设操作时,可对该预设操作进行暂时拦截操作,如可对预设操作进行hook处理,在进行暂时拦截操作后,可执行本实施例的步骤,如果确定目标可执行文件未感染病毒,可继续执行预设操作,如果目标可执行文件感染病毒,即可使***不进行预设操作,将该预设操作彻底拦截。
S103、将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,确定目标可执行文件是否感染病毒。
目标可执行文件的文件特征的原始特征值可为该目标可执行文件在***中被创建时的特征值,在创建时,目标可执行文件未被病毒感染。
预设的特征信息库中可以包括多个可执行文件的文件特征的原始特征值。
如果目标可执行文件在被执行预设操作前被病毒感染,那么目标可执行文件的文件特征的当前特征值与未被病毒感染时的原始特征值不同,本实施例中,将S102获取的目标可执行文件的文件特征的当前特征值与目标可执行文件的文件特征的原始特征值进行比对,从而,可以根据比对结果,确定目标可执行文件是否感染病毒。
本实施例,在监控到目标可执行文件被执行预设操作时,获取目标可执行文件的文件特征的当前特征值,并将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,如果在被执行预设操作前,目标可执行文件已经被病毒感染,那么获取到的目标可执行文件的文件特征的当前特征值与未被病毒感染的目标可执行文件的文件特征的原始特征值不同,这样,即可确定目标可执行文件被病毒感染,从而,能够提高对可执行文件感染病毒进行识别的准确率,避免了现有技术中,通过追加感染式病毒的特征的方式对可执行文件进行安全检测,导致的对可执行文件感染病毒进行识别的准确率较低的问题,此外,便于根据本实施例的识别结果,对感染式病毒进行及时的响应和拦截处理。
为了较为便捷地获取可执行文件的文件特征的原始特征值并建立特征信息库,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中,在确定目标可执行文件是否感染病毒之前,所述方法还包括:
S104、监控***内是否有新增的应用程序。
新增的应用程序可为需要安装的应用程序,也可为无需安装即可使用的应用程序。可以理解的是,应用程序包括一个或若干个可执行文件。
S105、响应于监测到***内有新增的应用程序,获取与新增的应用程序对应的可执行文件。
当监测到***内有新增的应用程序时,获取与新增的应用程序对应的可执行文件。
S106、从可执行文件中,获取可执行文件的文件特征的原始特征值。
在一些例子中,可执行文件为ELF文件时,可从ELF文件的头表处获取可执行文件的文件特征的特征值。
S107、根据可执行文件的文件特征的原始特征值,建立特征信息库。
可根据S106获取的可执行文件的文件特征的原始特征值,建立特征信息库,根据以上步骤,该特征信息库中,可包括一个或多个可执行文件的文件特征的原始特征值,此外,可以理解的是,本实施例中的特征信息库中的可执行文件的文件特征的原始特征值,可以以记录表的形式存在。
在一些例子中,可执行文件为可执行与可链接格式文件,本实施例中的文件特征包括文件路径及至少以下一种:
文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
ELF文件可包括多个不同的段和多个不同的节区。
具体地,段可包括.text、.data、.rodata、.comment、.dynamic、.init等等,其中,.text:代码段(保存代码编译后的指令);.data:数据段(初始化的全局变量或静态变量);.rodata:只读数据段;.comment:注释信息段;.dynamic:动态链接信息;.init:程序初始化段。
节区可包括.bss、.dynsym、.dynstr等等,其中,.bss:包含将出现在程序的内存映像中的未初始化数据;.dynsym:包含动态链接符号表,保存了与动态链接相关的导入、导出符号.dynstr:包含动态符号字符串表。
本实施例的文件特征的特征值可从ELF文件的头表处获取。
文件特征中的文件路径可为文件存储的位置;文件大小可为文件的字节数;程序入口点虚拟地址可为程序从哪里开始执行;节头偏移量可为节头在文件中的偏移地址;段所在位置在进程空间中的虚拟地址,可为段的第一个字节将被放到内存中的虚拟地址;段在文件中的大小,可为段在文件中所占的字节数;段在内存映像中的大小,可为段在内存映像中所占的字节数;节区索引地址,可为节区在内存中开始的虚拟地址;节区偏移地址:节区在文件中的偏移地址,节区的第一个字节与文件头之间的偏移,节区大小:该节区的长度。
为了较准确地确定目标可执行文件的文件特征的原始特征值,进一步地,为更准确地确定目标可执行文件是否感染病毒,本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例中的将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,确定目标可执行文件是否感染病毒(S103),包括:
S103a、根据文件特征中的文件路径对应的当前特征值,在预设的特征信息库中,查找目标可执行文件的文件特征的原始特征值。
即使可执行文件感染病毒,可执行文件的文件路径也不会改变,因此,本实施例中,根据文件特征中的文件路径对应的当前特征值,在预设的特征信息库中,能够查找到目标可执行文件的文件特征的原始特征值。
S103b、将文件特征的当前特征值与文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
可将所有文件特征的当前特征值与文件特征的原始特征值一一对应地比对,也可将文件特征中除文件路径外的其它文件特征的当前值,与文件特征的原始值一一对应地比对。
参见图2,为了更为有效的防止感染式病毒执行过程中给***带来的安全隐患,在一些例子中,本申请又一实施例,与上述实施例基本相同,不同之处在于,所述方法还包括:
S108、响应于可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
当确定可执行文件已感染病毒,则针对目标可执行文件的操作进行拦截,从而,可从根本上拦截感染式病毒的执行与传播,并向***管理员发送报警信息,以提示***管理员分析处理该目标可执行文件。
本申请实施例提出的可执行文件感染病毒的识别方法,可检出各种新型的感染式病毒,适配范围更广,响应更及时,可对可执行文件如ELF文件进行更全面的检测,并且可在被感染文件执行操作之前进行告警和拦截,防止病毒在本地扩散。
下面以Linux***下的ELF文件为例,对本申请的方案进行详细说明。
针对ELF文件,本申请的方案的一具体实施例:采集***内所有ELF文件的信息,并在ELF文件操作时进行对比,实时监控ELF文件是否被感染,拦截***对被感染文件的任何操作。
具体地,在Linux内核中,对***新增文件的操作进行hook处理。当监控到***存在新增文件时,过滤出所有ELF文件,将ELF文件的部分信息记录下,形成ELF文件初始信息记录表。需记录的信息包括:文件路径、文件大小、程序入口点虚拟地址、节(section)头偏移量、各段所在位置在进程空间中的虚拟地址、段表头数量、各段在文件中的大小、各段在内存映像中的大小、节区头表数量,节区索引地址、节区偏移地址、节区大小。
在Linux内核中,对ELF文件执行、修改等操作进行hook处理。内核监控到ELF文件操作时,在内核hook点拦截此操作后,在记录表中查询ELF文件的原始信息,与现有文件的信息进行对比。若此时ELF文件信息与文件在***中新建时的原始信息不同,则此ELF文件可能已被感染,此时若继续运行此文件,在执行过程中很可能会执行ELF感染式病毒***的寄生代码,此时在内核中拦截文件此次的操作,从根本上拦截ELF感染式病毒的执行与传播。
本申请的方案的又一具体实施例:某ELF感染式病毒进入Linux***,将自身代码附加在***某应用的界面程序中,在用户使用此应用时,点击应用快捷方式,打开应用界面,界面程序在运行时,会执行感染式病毒注入的违规操作。
针对上述情况,应用本实施例的方法,在***安装此应用时,将应用界面程序的各种信息(如文件头中的各种偏移信息等)录入***信息记录表中。
在感染式病毒感染界面程序后,用户执行打开界面操作时,***内核将运行此文件的操作暂时拦截,并在***信息记录表中查询此界面程序的各种原始信息与当前的信息比对,对比后发现此文件的文件节部分变长,则说明文件已被篡改,此时拦截此界面程序的执行操作并报警。
接收到报警后,***管理员可以查询界面执行文件出现了哪些改变,这些异常是否为用户自主进行的改动,若此改动为用户不知情的情况下发生的,用户可进行全盘扫描下,集中处理所有异常应用,此操作可有效阻止感染式病毒的执行和传播。
参见图3,本申请再一具体实施例的可执行文件感染病毒的识别方法,可以包括:
步骤1、内核进行hook监控新增ELF文件。
在Linux内核监控所有与ELF文件新增相关的操作。
步骤2、记录新增的ELF文件信息。
当有新增的ELF文件时,则记录新增的ELF文件信息。
步骤3、将新增的ELF文件信息写入到文件信息记录表中。
步骤4、内核进行hook监控***ELF执行、修改等操作。
在Linux内核监控所有ELF文件的执行或修改等操作。
步骤5、当有ELF文件被执行或修改,则暂时拦截此操作,待检测完成后在进行该操作的处理工作。
步骤6、将此时ELF文件信息与记录表中此文件的原始信息进行对比。
步骤7、如果与原始信息符合,则放行此次操作;
如果与原始信息不符,则拦截此次操作,并向***管理人员告警,提示处理该ELF文件。
通过本实施例提出的ELF感染式检测及拦截方式,可很大程度上提升感染式病毒检测的准确性,且提升了对感染式病毒传播的拦截能力,更为有效的保护Linux***文件不被感染、破坏。
本实施例,在监控到目标可执行文件被执行预设操作时,获取目标可执行文件的文件特征的当前特征值,并将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,如果在被执行预设操作前,目标可执行文件已经被病毒感染,那么获取到的目标可执行文件的文件特征的当前特征值与未被病毒感染的目标可执行文件的文件特征的原始特征值不同,这样,即可确定目标可执行文件被病毒感染,从而,能够提高对可执行文件感染病毒进行识别的准确率,为了较为便捷地获取可执行文件的文件特征的原始特征值并建立特征信息库,可以监控***内是否有新增的应用程序,在监测到***内有新增的应用程序时,获取与新增的应用程序对应的可执行文件,从可执行文件中,获取可执行文件的文件特征的原始特征值并根据可执行文件的文件特征的原始特征值,建立特征信息库,为了较准确地确定目标可执行文件的文件特征的原始特征值,进一步地,为更准确地确定目标可执行文件是否感染病毒,可以根据文件特征中的文件路径对应的当前特征值,在预设的特征信息库中,查找目标可执行文件的文件特征的原始特征值,将文件特征的当前特征值与文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒,为了更为有效的防止感染式病毒执行过程中给***带来的安全隐患,在确定可执行文件感染病毒后,拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息,从而提升感染式病毒检测的准确性,且提升了对感染式病毒传播的拦截能力,更为有效的保护***文件不被感染以及不被破坏,避免了现有技术手段不能实时拦截一些新型ELF感染式病毒、检测机制不稳定等问题。
本申请一实施例提供的一种可执行文件感染病毒的识别装置,包括:第一监控模块,用于监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;第一获取模块,用于响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;确定模块,用于将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。能够提高对可执行文件感染病毒进行识别的准确率。
图4为本申请一实施例提供的可执行文件感染病毒的识别装置的结构示意图,如图4所示,本实施例的可执行文件感染病毒的识别装置,包括:第一监控模块11,用于监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;第一获取模块12,用于响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;确定模块13,用于将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,在监控到目标可执行文件被执行预设操作时,获取目标可执行文件的文件特征的当前特征值,并将文件特征的当前特征值与预设的特征信息库中的目标可执行文件的文件特征的原始特征值进行比对,如果在被执行预设操作前,目标可执行文件已经被病毒感染,那么获取到的目标可执行文件的文件特征的当前特征值与未被病毒感染的目标可执行文件的文件特征的原始特征值不同,这样,即可确定目标可执行文件被病毒感染,从而,能够提高对可执行文件感染病毒进行识别的准确率,避免了现有技术中,通过追加感染式病毒的特征的方式,对可执行文件进行安全检测而导致的对可执行文件感染病毒进行识别的准确率较低的问题,此外,便于根据本实施例的识别结果,对感染式病毒进行及时的响应和拦截处理。
作为一可选实施方式,所述装置还包括:第二监控模块,用于在所述确定模块确定所述目标可执行文件是否感染病毒之前,监控***内是否有新增的应用程序;第二获取模块,用于响应于监测到***内有新增的应用程序,获取与所述新增的应用程序对应的可执行文件;第三获取模块,用于从所述可执行文件中,获取所述可执行文件的文件特征的原始特征值;建立模块,用于根据所述可执行文件的文件特征的原始特征值,建立特征信息库。
作为一可选实施方式,所述可执行文件为ELF文件;所述文件特征包括文件路径及至少以下一种:文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
作为一可选实施方式,所述确定模块,具体用于:根据所述文件特征中的文件路径对应的当前特征值,在所述预设的特征信息库中,查找所述目标可执行文件的文件特征的原始特征值;将所述文件特征的当前特征值与所述文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
作为一可选实施方式,所述装置还包括:拦截模块,用于响应于所述可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图5为本申请一实施例提供的电子设备的结构示意图,如图5所示,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种可执行文件感染病毒的识别方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、***总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种可执行文件感染病毒的识别方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (12)
1.一种可执行文件感染病毒的识别方法,其特征在于,包括:
监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;
响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;
将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
2.根据权利要求1所述的方法,其特征在于,在确定所述目标可执行文件是否感染病毒之前,所述方法还包括:
监控***内是否有新增的应用程序;
响应于监测到***内有新增的应用程序,获取与所述新增的应用程序对应的可执行文件;
从所述可执行文件中,获取所述可执行文件的文件特征的原始特征值;
根据所述可执行文件的文件特征的原始特征值,建立特征信息库。
3.根据权利要求1所述的方法,其特征在于,所述可执行文件为可执行与可链接格式文件;所述文件特征包括文件路径及至少以下一种:
文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
4.根据权利要求3所述的方法,其特征在于,所述将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒,包括:
根据所述文件特征中的文件路径对应的当前特征值,在所述预设的特征信息库中,查找所述目标可执行文件的文件特征的原始特征值;
将所述文件特征的当前特征值与所述文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
响应于所述可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
6.一种可执行文件感染病毒的识别装置,其特征在于,包括:
第一监控模块,用于监控目标可执行文件是否被执行预设操作;所述预设操作包括运行操作和/或修改操作;
第一获取模块,用于响应于监控到所述目标可执行文件被执行所述预设操作,获取所述目标可执行文件的文件特征的当前特征值;
确定模块,用于将所述文件特征的当前特征值与预设的特征信息库中的所述目标可执行文件的文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
第二监控模块,用于在所述确定模块确定所述目标可执行文件是否感染病毒之前,监控***内是否有新增的应用程序;
第二获取模块,用于响应于监测到***内有新增的应用程序,获取与所述新增的应用程序对应的可执行文件;
第三获取模块,用于从所述可执行文件中,获取所述可执行文件的文件特征的原始特征值;
建立模块,用于根据所述可执行文件的文件特征的原始特征值,建立特征信息库。
8.根据权利要求6所述的装置,其特征在于,所述可执行文件为可执行与可链接格式文件;所述文件特征包括文件路径及至少以下一种:
文件大小、程序入口点虚拟地址、节头偏移量、段所在位置在进程空间中的虚拟地址、段头表的数量、段在文件中的大小、段在内存映像中的大小、节区头表的数量,节区索引地址、节区偏移地址和节区大小。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,具体用于:
根据所述文件特征中的文件路径对应的当前特征值,在所述预设的特征信息库中,查找所述目标可执行文件的文件特征的原始特征值;
将所述文件特征的当前特征值与所述文件特征的原始特征值进行比对,确定所述目标可执行文件是否感染病毒。
10.根据权利要求6所述的装置,其特征在于,所述装置还包括:
拦截模块,用于响应于所述可执行文件感染病毒,则拦截对所述目标可执行文件执行的所述预设操作,并向***管理员发送报警信息。
11.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-5任一项所述的可执行文件感染病毒的识别方法。
12.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-5任一项所述的可执行文件感染病毒的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111056920.1A CN113779576A (zh) | 2021-09-09 | 2021-09-09 | 一种可执行文件感染病毒的识别方法、装置及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111056920.1A CN113779576A (zh) | 2021-09-09 | 2021-09-09 | 一种可执行文件感染病毒的识别方法、装置及电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113779576A true CN113779576A (zh) | 2021-12-10 |
Family
ID=78842048
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111056920.1A Pending CN113779576A (zh) | 2021-09-09 | 2021-09-09 | 一种可执行文件感染病毒的识别方法、装置及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113779576A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116846656A (zh) * | 2023-07-18 | 2023-10-03 | 北京道迩科技有限公司 | 离线病毒防御方法及*** |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022120A (zh) * | 2016-05-24 | 2016-10-12 | 北京金山安全软件有限公司 | 文件监控处理方法、装置及电子设备 |
| CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
| CN107480522A (zh) * | 2017-08-14 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种elf文件执行控制***及方法 |
| CN111597553A (zh) * | 2020-04-28 | 2020-08-28 | 腾讯科技(深圳)有限公司 | 病毒查杀中的进程处理方法、装置、设备及存储介质 |
| CN112861191A (zh) * | 2021-04-23 | 2021-05-28 | 腾讯科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及*** |
| CN112966270A (zh) * | 2021-03-16 | 2021-06-15 | 武汉小安科技有限公司 | 应用程序的安全检测方法、装置、电子设备和存储介质 |
-
2021
- 2021-09-09 CN CN202111056920.1A patent/CN113779576A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106022120A (zh) * | 2016-05-24 | 2016-10-12 | 北京金山安全软件有限公司 | 文件监控处理方法、装置及电子设备 |
| CN106971106A (zh) * | 2017-03-30 | 2017-07-21 | 维沃移动通信有限公司 | 一种识别非法应用程序的方法、移动终端及服务器 |
| CN107480522A (zh) * | 2017-08-14 | 2017-12-15 | 郑州云海信息技术有限公司 | 一种elf文件执行控制***及方法 |
| CN111597553A (zh) * | 2020-04-28 | 2020-08-28 | 腾讯科技(深圳)有限公司 | 病毒查杀中的进程处理方法、装置、设备及存储介质 |
| CN112906001A (zh) * | 2021-03-15 | 2021-06-04 | 上海交通大学 | 一种Linux勒索病毒防范方法及*** |
| CN112966270A (zh) * | 2021-03-16 | 2021-06-15 | 武汉小安科技有限公司 | 应用程序的安全检测方法、装置、电子设备和存储介质 |
| CN112861191A (zh) * | 2021-04-23 | 2021-05-28 | 腾讯科技(深圳)有限公司 | 一种应用程序监控方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116846656A (zh) * | 2023-07-18 | 2023-10-03 | 北京道迩科技有限公司 | 离线病毒防御方法及*** |
| CN116846656B (zh) * | 2023-07-18 | 2024-04-05 | 北京道迩科技有限公司 | 离线病毒防御方法及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11687653B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
| US9652617B1 (en) | Analyzing security of applications | |
| CN111030986B (zh) | 一种攻击组织溯源分析的方法、装置及存储介质 | |
| CN106203092B (zh) | 一种拦截恶意程序关机的方法、装置及电子设备 | |
| CN114329489A (zh) | Web应用程序漏洞攻击检测方法、服务器、电子设备及存储介质 | |
| CN109783316B (zh) | ***安全日志篡改行为的识别方法及装置、存储介质、计算机设备 | |
| CN109145589B (zh) | 应用程序获取方法及装置 | |
| CN114282212A (zh) | 流氓软件识别方法、装置、电子设备及存储介质 | |
| CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
| CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
| CN111062035A (zh) | 一种勒索软件检测方法、装置、电子设备及存储介质 | |
| CN105975860B (zh) | 一种信任文件管理方法、装置及设备 | |
| CN108875363B (zh) | 一种加速虚拟执行的方法、装置、电子设备及存储介质 | |
| KR101582420B1 (ko) | 실행 모듈의 무결성 체크 방법 및 장치 | |
| CN113886826A (zh) | 一种基于恶意软件反沙箱特性的威胁防御方法及*** | |
| CN112887328A (zh) | 一种样本检测方法、装置、设备及计算机可读存储介质 | |
| CN111695116A (zh) | 基于Linux***内核层Rootkit的取证方法与装置 | |
| CN112580038A (zh) | 反病毒数据的处理方法、装置及设备 | |
| CN112905534B (zh) | 一种基于沙箱环境的样本分析方法和装置 | |
| CN115062305A (zh) | 一种基于luajit的病毒感染处理方法及装置 | |
| CN106934284B (zh) | 一种应用程序检测方法、装置和终端 | |
| CN114036517A (zh) | 一种病毒识别方法、装置、电子设备及存储介质 | |
| CN115048650A (zh) | Ios***中应用安全检测方法、装置、设备及存储介质 | |
| CN115964708A (zh) | 防误报的自动化特征提取方法、装置、电子设备及存储介质 | |
| CN114861183A (zh) | 一种文档宏安全检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |