[发明专利]一种检测加壳可执行文件的方法、装置和系统

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种检测加壳可执行文件的方法、装置和系统。

背景技术

现有技术中，通过统计可知有超过80%的恶意程序使用了加壳技术。加壳后的可执行文件与原可执行文件在文件内容上具有差异。而对于以特征码检测为主要技术的反病毒厂商，脱壳就成为了必不可少的一个重要环节。因而需要对PE（Portable Executable，可执行程序）文件是否加壳进行准确的检测，即检测出加壳可执行文件。其中，PE是Win32可执行文件的标准格式，常见可执行文件包括EXE、DLL、OCX、SYS、COM等。

现有技术中对PE文件的检测主要是基于特征码匹配，典型的工具是PEID（PE编辑器，PE iDentifier）,PEID检测PE文件是否加壳的方法为基于特征匹配，即病毒分析员将PE文件中具有特殊含义的二进制数据作为壳特征进行匹配，通常选择壳代码的二进制数据作为壳特征。具体包括：基于PE文件节特征，即病毒分析员将病毒PE文件中一个节作为其文件特征，在特定的节中提取特征；以及基于PE文件入口点特征，由于多数加壳PE文件的入口处特点明显，通常提取入口点处的代码作为特征。

由于现有技术的加壳可执行文件检测方法基于特征匹配，病毒作者可以使用多态技术绕过特征。病毒作者可以在静态程序中不存在进行匹配的特征，当程序加载到内存时动态解密出壳。这样就绕过了现有技术中基于特征匹配的加壳检测。因此，现有技术中存在病毒作者可以通过修改特定匹配特征来绕过加壳可执行文件检测，导致无法将加壳可执行文件检测出来的问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种检测加壳可执行文件的方法和相应的检测加壳可执行文件的系统，以及检测加壳可执行文件的装置。

依据本发明的一个方面，提供了一种检测加壳可执行文件的方法，该方法包括：

根据加壳可执行文件样本的特征设置至少两项技术指标，所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量；

应用加壳可执行文件样本得出各项技术指标的权重值；

计算待检测的可执行文件的各项技术指标的值，使用所述权重值将所述各项技术指标的值加权求和，依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。

依据本发明的另一个方面，提供了一种检测加壳可执行文件的系统，该系统包括：服务器和客户端，

所述服务器包括：

样本存储模块，用于存储加壳可执行文件样本；

技术指标设置模块，用于根据加壳可执行文件样本的特征设置至少两项技术指标，所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量；

权重值计算模块，用于应用加壳可执行文件样本得出各项技术指标的权重值；

参量发送模块，用将设置的技术指标和得出的权重值发送给客户端；

所述客户端包括：

参量存储模块，用于保存服务器发送的技术指标和权重值；

加壳检测模块，用于根据参量存储模块中保存的技术指标计算待检测的可执行文件的各项技术指标的值，使用参量存储模块中保存的权重值将所述各项技术指标的值加权求和，依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。

依据本发明的另一个方面，提供了一种检测加壳可执行文件的装置，该装置包括：

样本存储模块，用于存储加壳可执行文件样本；

技术指标设置模块，用于根据加壳可执行文件样本的特征设置至少两项技术指标，所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量；

权重值计算模块，用于应用加壳可执行文件样本得出各项技术指标的权重值；

加壳检测模块，用于计算待检测的可执行文件的各项技术指标的值，使用所述权重值将所述各项技术指标的值加权求和，依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。