[发明专利]基于静态结构化脱壳参数的脱壳方法、系统及存储介质有效
| 申请号: | 201711478620.6 | 申请日: | 2017-12-29 |
| 公开(公告)号: | CN108073814B | 公开(公告)日: | 2021-10-15 |
| 发明(设计)人: | 吕经祥;童志明 | 申请(专利权)人: | 安天科技集团股份有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 150028 黑龙江省哈尔滨市高新技术产*** | 国省代码: | 黑龙江;23 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 静态 结构 脱壳 参数 方法 系统 存储 介质 | ||
本发明提出一种基于静态结构化脱壳参数的脱壳方法、系统及存储介质,包括:统计已知未被篡改的加壳样本中脱壳参数所在位置;建立脱壳参数位置特征库;顺序根据脱壳参数位置特征库中脱壳参数位置,获取待检测文件中对应位置的脱壳参数;检验脱壳参数是否合法,如果是,则尝试脱壳,否则获取下一脱壳参数位置进行脱壳;判断脱壳是否成功,如果成功,则所述待检测文件的壳与脱壳参数位置特征库中相应已知加壳样本相同;否则获取下一脱壳参数位置进行脱壳。本发明的脱壳方法,不依赖于脱壳标记,对于被篡改的壳文件,具有检测及脱壳能力。
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于静态结构化脱壳参数的脱壳方法、系统及存储介质。
背景技术
在恶意软件分析领域,攻击者为了躲避检测,普遍通过给恶意样本进行加壳来躲避检测引擎。那么反病毒过程中的壳识别以及脱壳就变得尤为重要。对于加壳样本,传统的检测流程是识别样本的壳,然后根据识别结果进行脱壳,将脱壳后的样本进行回扫、检测。传统的脱壳策略是在识别该壳后,获取相对固定偏移位置的脱壳参数,进行脱壳。攻击者通过篡改样本以及壳文件,来躲避壳识别,然而为了样本能正确执行,脱壳参数是不能被篡改的。
发明内容
基于上述问题,本发明提出了一种基于静态结构化脱壳参数的脱壳方法、系统及存储介质,通过对已知加壳样本的脱壳位置的统计,对被篡改的加壳样本进行脱壳,并确定壳信息。
本发明通过如下方法实现:
一种基于静态结构化脱壳参数的脱壳方法,包括:
统计已知未被篡改的加壳样本中脱壳参数所在位置;
建立脱壳参数位置特征库;
顺序根据脱壳参数位置特征库中脱壳参数位置,获取待检测文件中对应位置的脱壳参数;
检验脱壳参数是否合法,如果是,则尝试脱壳,否则获取下一脱壳参数位置进行脱壳;
判断脱壳是否成功,如果成功,则所述待检测文件的壳与脱壳参数位置特征库中相应已知加壳样本相同;否则获取下一脱壳参数位置进行脱壳;
所述脱壳参数包括:脱壳起始位置、脱壳大小、脱壳算法。
所述的方法中,所述脱壳参数位置特征库包括:文件头相对偏移、PE头相对偏移、入口点相对偏移及节头相对偏移。
所述的方法中,检验脱壳参数是否合法,具体为:判断脱壳大小是否超过待检测文件长度,如果是,则所述脱壳参数不合法,否则所述脱壳参数合法。
本发明还提出一种基于静态结构化脱壳参数的脱壳系统,包括:
特征库建立模块,统计已知未被篡改的加壳样本中脱壳参数所在位置;
建立脱壳参数位置特征库;
参数获取模块,顺序根据脱壳参数位置特征库中脱壳参数位置,获取待检测文件中对应位置的脱壳参数;
验证模块,检验脱壳参数是否合法,如果是,则进入脱壳模块尝试脱壳,否则获取下一脱壳参数位置进行脱壳;
脱壳模块,根据脱壳参数尝试脱壳;
结果判断模块,判断脱壳是否成功,如果成功,则所述待检测文件的壳与脱壳参数位置特征库中相应已知加壳样本相同;否则获取下一脱壳参数位置进行脱壳;
所述脱壳参数包括:脱壳起始位置、脱壳大小、脱壳算法。
所述的系统中,所述脱壳参数位置特征库包括:文件头相对偏移、PE头相对偏移、入口点相对偏移及节头相对偏移。
所述的系统中,检验脱壳参数是否合法,具体为:判断脱壳大小是否超过待检测文件长度,如果是,则所述脱壳参数不合法,否则所述脱壳参数合法。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于安天科技集团股份有限公司,未经安天科技集团股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201711478620.6/2.html,转载请声明来源钻瓜专利网。
