[发明专利]一种病毒特征码提取的方法和装置有效
| 申请号: | 200810161801.0 | 申请日: | 2008-09-22 |
| 公开(公告)号: | CN101685483A | 公开(公告)日: | 2010-03-31 |
| 发明(设计)人: | 顾凌志;张小松 | 申请(专利权)人: | 成都市华为赛门铁克科技有限公司;电子科技大学 |
| 主分类号: | G06F21/00 | 分类号: | G06F21/00 |
| 代理公司: | 北京挺立专利事务所 | 代理人: | 叶树明 |
| 地址: | 611731四川省*** | 国省代码: | 四川;51 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 病毒 特征 提取 方法 装置 | ||
1.一种病毒特征码提取的方法,其特征在于,包括以下步骤:
对病毒样本进行分类;
所述对病毒样本进行分类包括:
通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
其中,所述根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本包括:将所述导入函数的数量小于预先设定的阈值的所述非感染型病毒样本分类为非感染加壳型病毒样本;将所述导入函数的数量不小于预先设定的阈值的所述非感染型病毒样本分类为非感染非加壳型病毒样本;
其中,所述根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本包括:
若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点不同,则将所述感染型病毒样本分类为修改入口点的感染型病毒样本;若被所述感染型病毒样本感染后的被感染文件的入口点与所述正常文件的入口点相同,则将所述感染型病毒样本分类为不修改入口点的感染型病毒样本;
根据所述病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述根据所述病毒样本的分类结果提取所述病毒样本的特征码包括:从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为所述不修改入口点的感染型病毒样本的特征码。
2.一种病毒特征码提取装置,其特征在于,包括:
分类单元,用于对病毒样本进行分类;
提取单元,用于根据所述分类单元得到的病毒样本的分类结果提取所述病毒样本的特征码;
其中,所述分类单元包括:
行为分析子单元,用于通过运行所述病毒样本采集所述病毒样本的行为,根据所述病毒样本的行为将所述病毒样本分类为感染型病毒样本和非感染型病毒样本;
第一扫描子单元,用于扫描所述非感染型病毒样本,获得所述非感染型病毒样本文件导入表中导入函数的数量,根据所述导入函数的数量将所述非感染型病毒样本分类为非感染加壳型病毒样本和非感染非加壳型病毒样本;
所述提取单元包括:
第一提取子单元,用于从非感染非加壳型病毒样本入口点后绕过编译器字符串提取一段或多段字符串并记录所述字符串的位置信息,将所述字符串和所述字符串的位置信息作为非感染非加壳型病毒样本的特征码;
第二提取子单元,用于从设定的提取位置提取非感染加壳型病毒样本的一段或多段字符串,对所述字符串进行散列计算,将进行散列计算后的字符串作为非感染加壳型病毒样本的特征码;
所述分类单元还包括:
第二扫描子单元,用于扫描正常文件和所述正常文件被所述感染型病毒样本感染后的被感染文件,获得所述正常文件和所述被感染文件的入口点信息,根据所述入口点信息将所述感染型病毒样本分类为修改入口点的感染型病毒样本和不修改入口点的感染型病毒样本;
所述提取单元还包括:
第三提取子单元,用于对比被修改入口点的感染型病毒样本感染的多个被感染文件入口点后的字符串,利用相似算法计算所述多个被感染文件的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为修改入口点的感染型病毒样本的特征码;
第四提取子单元,用于对比正常文件及所述正常文件被不修改入口点的感染型病毒样本感染后的多个被感染文件,利用相似算法计算所述多个被感染文件中比所述正常文件新增加的字符串的相似度,提取相似度大于设定的阈值的字符串的相同部分作为公共字符串,用通配符替换相似度大于设定的阈值的字符串的不同部分,将所述公共字符串和所述通配符作为不修改入口点的感染型病毒样本的特征码。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于成都市华为赛门铁克科技有限公司;电子科技大学,未经成都市华为赛门铁克科技有限公司;电子科技大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200810161801.0/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种亚磷酸酯的制备方法
- 下一篇:减压干燥装置及减压干燥方法
