[发明专利]一种检测加壳可执行文件的方法、装置和系统

权利要求书

1.一种检测加壳可执行文件的方法，该方法包括：

根据加壳可执行文件样本的特征设置至少两项技术指标，所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量；

应用加壳可执行文件样本得出各项技术指标的权重值；

计算待检测的可执行文件的各项技术指标的值，使用所述权重值将所述各项技术指标的值加权求和，依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。

2.如权利要求1所述的方法，其中，

所述应用加壳可执行文件样本得出各项技术指标的权重值具体包括：

求出每项技术指标在各个加壳可执行文件样本中的值的均值；

依据各项技术指标的均值得出各项技术指标的权重值。

3.如权利要求2所述的方法，其中，

所述依据各项技术指标的均值得出各项技术指标的权重值具体包括：

以各项技术指标的权重值集合为权重值组，为权重值组设置多组初始值；

应用各项技术指标的均值对各组初始值进行迭代优化；

依据初始值评价标准，从优化后的多组初始值中选出最优的初始值作为各项技术指标的权重值。

4.如权利要求3所述的方法，其中，

所述应用各项技术指标的均值对各组初始值进行迭代优化具体包括：

根据初始值中分量值与对应技术指标的均值间绝对差值计算各组初始值的适应度，依据各组初始值的适应度对各组初始值进行迭代优化；

所述适应度为用于表示初始值趋向最优解的程度的参量，适应度的值越高表示越接近最优解。

5.如权利要求4所述的方法，其中，

所述依据初始值评价标准，从优化后的多组初始值中选出最优的初始值作为各项技术指标的权重值具体包括：

以初始值的适应度为初始值评价标准，从优化后的多组初始值中选择适应度的值最高的初始值作为各项技术指标的权重值。

6.如权利要求4或5所述的方法，其中，

所述依据各组初始值的适应度对各组初始值进行迭代优化具体包括：

以初始值为群体中的个体，以初始值的适应度为群体中个体的适应度，应用粒子群算法或遗传算法对各组初始值进行迭代优化。

7.如权利要求1至5中任一项权利要求所述的方法，其中，

所述根据加壳可执行文件样本的特征设置至少两个技术指标具体包括：

从加壳可执行文件样本如下特征中选择至少两项特征，

所述特征包括：非正常区段特征、导入函数量特征、代码熵特征和附加特征，

所述代码熵为可执行文件中代码段大小与数据段大小的比值，

所述附加特征包括如下子特征中的一项或多项，

所述子特征包括：可执行文件包含附加数据段、可执行文件的资源节入口在第一区段、可执行文件中包含大小为0的区段、可执行文件的入口点在第一或第二区段、可执行文件包含名称为空的区段、和可执行文件包含预设的敏感字符串；

根据选择的特征设置技术指标：

当非正常区段特征被选择时，根据非正常区段特征将非正常区段指标设置为：当可执行文件中包含除预设的正常区段之外的区段时，非正常区段指标的值为1，否则，非正常区段指标的值为0；

当导入函数量特征被选择时，根据导入函数量特征将导入函数量指标设置为：当可执行文件从外部导入的函数的数量大于等于预设阀值时，导入函数量指标的值为1，否则，导入函数量指标的值为导入函数数量除以所述阀值的商；

当代码熵特征被选择时，根据代码熵特征将代码熵指标设置为：当代码熵的值小于等于预设的下限阀值时，代码熵指标的值为0，当代码熵的值大于等于预设的上限阀值时，代码熵指标的值为1，当代码熵的值在所述下限阀值和所述上限阀值之间时，代码熵指标的值为其中，e为代码熵，R_down为下限阀值，R_up为上限阀值；

当附加特征被选择时，根据附加特征将附加指标设置为：附加指标的值为可执行文件满足的子特征数量除以附加特征所包含的子特征总量的商。