[发明专利]一种基于加壳文件校验和的恶意软件检测方法及系统在审
| 申请号: | 201710175748.9 | 申请日: | 2017-03-22 |
| 公开(公告)号: | CN107169352A | 公开(公告)日: | 2017-09-15 |
| 发明(设计)人: | 卓子寒;何跃鹰;刘中金;方喆君;李海灵;邹潇湘;高昕;侯美佳 | 申请(专利权)人: | 国家计算机网络与信息安全管理中心 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 北京国坤专利代理事务所(普通合伙)11491 | 代理人: | 姜彦 |
| 地址: | 100029*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明公开了一种基于加壳文件校验和的恶意软件检测方法,首先获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;对加壳的待检测文件进行脱壳;计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同,若不同且脱壳能够成功,则判定待检测文件为病毒。本发明针对人为篡改加壳恶意软件导致反病毒软件脱壳失败,进而躲避反病毒软件查杀这种手段,可以有效的增加未知检测能力。 | ||
| 搜索关键词: | 一种 基于 文件 校验 恶意 软件 检测 方法 系统 | ||
【主权项】:
一种基于加壳文件校验和的恶意软件检测方法,其特征在于:包括如下步骤:(S101)获取并分析待检测文件,判断待检测文件是否加壳,若是则判断该壳的种类是否为验证校验和的加壳方法;(S102)若是,则从加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和;(S103)对加壳的待检测文件进行脱壳;(S104)计算进行脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和;(S105)判断加壳的待检测文件中提取出加壳和脱壳后该待检测文件的校验和与脱壳后的待检测文件的加壳和脱壳后该待检测文件的校验和是否相同;(S106)若不同且脱壳能够成功,则判定待检测文件为病毒。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于国家计算机网络与信息安全管理中心,未经国家计算机网络与信息安全管理中心许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201710175748.9/,转载请声明来源钻瓜专利网。
- 上一篇:解锁方法及装置
- 下一篇:基于自动化识别驱动参数辅助内核漏洞挖掘的方法
