[发明专利]一种样本文件分析方法及装置

权利要求书

1.一种样本文件分析方法，其特征在于，包括：

获得二进制格式的样本文件；

将所述二进制格式的样本文件映射到内存；

对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件；

输出所述过滤后的二进制格式的样本文件。

2.根据权利要求1所述的样本文件分析方法，其特征在于，所述对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件的步骤包括：

根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配，获得匹配不成功的字符串；

过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件。

3.根据权利要求2所述的样本文件分析方法，其特征在于，所述根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配的步骤包括：

对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配，获得匹配不成功的无意义的字符串以及匹配成功的字符串对应的样本文件；

对所述匹配成功的字符串对应的样本文件与所述病毒家族库中的特征串进行匹配，获得匹配不成功的待过滤串。

4.根据权利要求3所述的样本文件分析方法，其特征在于，对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配，获得匹配不成功的待过滤串的步骤包括：

计算所述匹配成功的字符串对应的样本文件中的字符串的哈希值；

计算所述病毒家族库中的特征串的哈希值；

将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较，若不相等，认为相比较的两个字符串匹配不成功，并获得匹配不成功的待过滤串，否则认为匹配成功。

5.根据权利要求4所述的样本文件分析方法，其特征在于，将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较的步骤包括：

采用一条处理器指令将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较。

6.根据权利要求3或4所述的样本文件分析方法，其特征在于，所述过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件的步骤包括：

过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串，得到过滤后的二进制格式的样本文件。

7.根据权利要求2所述的样本文件分析方法，其特征在于，所述字符编码集包括：UNICODE，UFT-8，GBK，GB2312和/或MBCS字符编码。

8.一种样本文件分析装置，其特征在于，包括：

获得模块，用于获得二进制格式的样本文件；

映射模块，用于将所述二进制格式的样本文件映射到内存；

分析模块，用于对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件；

输出模块，用于输出所述过滤后的二进制格式的样本文件。

9.根据权利要求8所述的样本文件分析装置，其特征在于，所述分析模块包括：

第一分析子模块，用于根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配，获得匹配不成功的字符串；

第二分析子模块，用于过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件。

10.根据权利要求9所述的样本文件分析装置，其特征在于，所述第一分析子模块包括：

第一匹配模块，用于对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配，获得匹配不成功的无意义的字符串以及匹配成功的字符串组成的样本文件；

第二匹配模块，用于对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配，获得匹配不成功的待过滤串。