基于pe文件中未使用字段的恶意代码检测方法及系统的制作方法
基于pe文件中未使用字段的恶意代码检测方法及系统的制作方法【
技术领域:
】[0001]本发明涉及计算机网络安全领域,特别涉及一种基于PE文件中未使用字段的恶意代码检测方法及系统。【
背景技术:
】[0002]PE文件格式(PortableExecutable,可移植的可执行文件)是PortableExecutable,意为可移植的可执行文件,是微软WindowsNT、Windows95和Win32子集中的可执行的二进制文件格式,该文件格式由微软设计,并于1993年被TIS(ToolInterfaceStandard,工具接口标准)委员会所批准。[0003]PE文件格式中有部分字段未被使用,例如:PE文件格式中的DOS结构、PE结构、DOS-Stub字段等等,这就给了病毒作者和壳作者利用的空间,他们会利用这些未使用的结构和字段,将病毒体、感染标记、壳代码、壳信息等等,写入到这些结构和字段中,来对抗反病毒软件的检测。【
发明内容】[0004]基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。[0005]一种基于PE文件中未使用字段的恶意代码检测方法,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0006]所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。[0007]所述的方法中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0008]所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0009]一种基于PE文件中未使用字段的恶意代码检测系统,包括:特征加载模块,用于加载特征码库;格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;字段提取模块,用于提取所述待检测PE文件的全部未使用字段;特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0010]所述的系统中,所述特征码库包括:壳特征码库和病毒特征码库。[0011]所述的系统中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0012]所述的系统中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0013]本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。[0014]本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。【附图说明】[0015]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。[0016]图1为本发明一种基于PE文件中未使用字段的恶意代码检测方法实施例流程图;图2为本发明一种基于PE文件中未使用字段的恶意代码检测系统实施例结构示意图。【具体实施方式】[0017]为了使本
技术领域:
的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。[0018]基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。[0019]一种基于PE文件中未使用字段的恶意代码检测方法,如图1所示,包括:5101:加载特征码库;5102:获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续S103,否则结束检测;5103:提取所述待检测PE文件的全部未使用字段;5104:将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0020]所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。[0021]所述的方法中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0022]所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0023]一种基于PE文件中未使用字段的恶意代码检测系统,如图2所示,包括:特征加载模块201,用于加载特征码库;格式解析模块202,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续当前第1页1 2 检测,否则结束检测;
字段提取模块203,用于提取所述待检测PE文件的全部未使用字段;
特征检测模块204,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
[0024]所述的系统中,所述特征码库包括:壳特征码库和病毒特征码库。
[0025]所述的系统中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。
[0026]所述的系统中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
[0027]本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。并且将启发式检测技术和特征码检测技术运用到PE文件特定字段的检测中,同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。
[0028]本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
[0029]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0030]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0031]本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0032]本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0033]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于PE文件中未使用字段的恶意代码检测方法,其特征在于,包括: 加载特征码库; 获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测; 提取所述待检测PE文件的全部未使用字段; 将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。2.如权利要求1所述的方法,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。3.如权利要求1所述的方法,其特征在于,所述未使用字段包括:DOS结构、PE结构及DOS-Stub 字段。4.如权利要求1所述的方法,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。5.一种基于PE文件中未使用字段的恶意代码检测系统,其特征在于,包括: 特征加载模块,用于加载特征码库; 格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测; 字段提取模块,用于提取所述待检测PE文件的全部未使用字段; 特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。6.如权利要求5所述的系统,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。7.如权利要求5所述的系统,其特征在于,所述未使用字段包括:D0S结构、PE结构及DOS-Stub 字段。8.如权利要求5所述的系统,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
【专利摘要】本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
【IPC分类】G06F21/56
【公开号】CN105488403
【申请号】CN201410807630
【发明人】董雷, 童志明, 张栗伟
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月23日
技术领域:
】[0001]本发明涉及计算机网络安全领域,特别涉及一种基于PE文件中未使用字段的恶意代码检测方法及系统。【
背景技术:
】[0002]PE文件格式(PortableExecutable,可移植的可执行文件)是PortableExecutable,意为可移植的可执行文件,是微软WindowsNT、Windows95和Win32子集中的可执行的二进制文件格式,该文件格式由微软设计,并于1993年被TIS(ToolInterfaceStandard,工具接口标准)委员会所批准。[0003]PE文件格式中有部分字段未被使用,例如:PE文件格式中的DOS结构、PE结构、DOS-Stub字段等等,这就给了病毒作者和壳作者利用的空间,他们会利用这些未使用的结构和字段,将病毒体、感染标记、壳代码、壳信息等等,写入到这些结构和字段中,来对抗反病毒软件的检测。【
发明内容】[0004]基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。[0005]一种基于PE文件中未使用字段的恶意代码检测方法,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0006]所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。[0007]所述的方法中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0008]所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0009]一种基于PE文件中未使用字段的恶意代码检测系统,包括:特征加载模块,用于加载特征码库;格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;字段提取模块,用于提取所述待检测PE文件的全部未使用字段;特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0010]所述的系统中,所述特征码库包括:壳特征码库和病毒特征码库。[0011]所述的系统中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0012]所述的系统中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0013]本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。[0014]本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。【附图说明】[0015]为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。[0016]图1为本发明一种基于PE文件中未使用字段的恶意代码检测方法实施例流程图;图2为本发明一种基于PE文件中未使用字段的恶意代码检测系统实施例结构示意图。【具体实施方式】[0017]为了使本
技术领域:
的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。[0018]基于上述问题,本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,能够针对PE文件中未使用的字段进行检测,并能提高检测效率。[0019]一种基于PE文件中未使用字段的恶意代码检测方法,如图1所示,包括:5101:加载特征码库;5102:获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续S103,否则结束检测;5103:提取所述待检测PE文件的全部未使用字段;5104:将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。[0020]所述的方法中,所述特征码库包括:壳特征码库和病毒特征码库。[0021]所述的方法中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。[0022]所述的方法中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。[0023]一种基于PE文件中未使用字段的恶意代码检测系统,如图2所示,包括:特征加载模块201,用于加载特征码库;格式解析模块202,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续当前第1页1 2 检测,否则结束检测;
字段提取模块203,用于提取所述待检测PE文件的全部未使用字段;
特征检测模块204,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。
[0024]所述的系统中,所述特征码库包括:壳特征码库和病毒特征码库。
[0025]所述的系统中,所述未使用字段包括:D0S结构、PE结构及DOS-Stub字段。
[0026]所述的系统中,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
[0027]本发明的优势在于,只针对PE文件中的一些特定字段进行检测,检测过程中只需要载入这些特定的字段即可,不需要将整个文件载入到内存中,减少了内存的使用,提高了检测速度。并且将启发式检测技术和特征码检测技术运用到PE文件特定字段的检测中,同时针对这些特定字段的检测,能够对利用这些字段的恶意代码具有很好的检测效果。
[0028]本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
[0029]通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如R0M/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0030]本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0031]本发明可用于众多通用或专用的计算系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。
[0032]本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
[0033]虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
【主权项】
1.一种基于PE文件中未使用字段的恶意代码检测方法,其特征在于,包括: 加载特征码库; 获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测; 提取所述待检测PE文件的全部未使用字段; 将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。2.如权利要求1所述的方法,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。3.如权利要求1所述的方法,其特征在于,所述未使用字段包括:DOS结构、PE结构及DOS-Stub 字段。4.如权利要求1所述的方法,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。5.一种基于PE文件中未使用字段的恶意代码检测系统,其特征在于,包括: 特征加载模块,用于加载特征码库; 格式解析模块,用于获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测; 字段提取模块,用于提取所述待检测PE文件的全部未使用字段; 特征检测模块,用于将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。6.如权利要求5所述的系统,其特征在于,所述特征码库包括:壳特征码库和病毒特征码库。7.如权利要求5所述的系统,其特征在于,所述未使用字段包括:D0S结构、PE结构及DOS-Stub 字段。8.如权利要求5所述的系统,其特征在于,所述的将所述未使用字段逐一与特征码库中的特征匹配,具体为:通过启发式检测或特征码检测进行匹配。
【专利摘要】本发明提出了一种基于PE文件中未使用字段的恶意代码检测方法及系统,包括:加载特征码库;获取待检测PE文件,并解析待检测PE文件格式,判断是否为PE文件,如果是,则继续检测,否则结束检测;提取所述待检测PE文件的全部未使用字段;将所述未使用字段逐一与特征码库中的特征匹配,若匹配成功,则所述待检测PE文件为恶意,否则所述待检测PE文件非恶意。本发明通过对PE文件的格式进行解析,获取一些特定的字段进行检测,加快了检测的速度,减小了内存使用,并且对于利用这些字段进行反抗检测软件的行为能够有效检出。
【IPC分类】G06F21/56
【公开号】CN105488403
【申请号】CN201410807630
【发明人】董雷, 童志明, 张栗伟
【申请人】哈尔滨安天科技股份有限公司
【公开日】2016年4月13日
【申请日】2014年12月23日
最新回复(0)