一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置制造方法
【專(zhuān)利摘要】本發(fā)明實(shí)施例公開(kāi)了一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置�,一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法,包括:提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�、文件大小以及文件信息熵;將待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名��、文件特征值�,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值進(jìn)行比較��,根據(jù)比較結(jié)果�����,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)是否一致�,其中,待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值�,樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值。與現(xiàn)有技術(shù)相比�����,用戶(hù)修改待識(shí)別動(dòng)態(tài)鏈接庫(kù)的一個(gè)字符�����,本發(fā)明方法仍能識(shí)別出修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)的類(lèi)型�����。
【專(zhuān)利說(shuō)明】一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)安全【技術(shù)領(lǐng)域】�,特別涉及一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置?��!颈尘凹夹g(shù)】
[0002]動(dòng)態(tài)鏈接庫(kù)是微軟公司在微軟視窗操作系統(tǒng)(即Windows操作系統(tǒng))中實(shí)現(xiàn)共享函數(shù)庫(kù)的一種方式����。動(dòng)態(tài)鏈接庫(kù)包含一定數(shù)目的代碼和數(shù)據(jù)����,多個(gè)程序可以同時(shí)使用動(dòng)態(tài)鏈接庫(kù)中的代碼和數(shù)據(jù),以實(shí)現(xiàn)其相應(yīng)的功能���。例如�����,一些大型網(wǎng)頁(yè)游戲在運(yùn)行時(shí)�����,需要通過(guò)加載動(dòng)態(tài)鏈接庫(kù)來(lái)實(shí)現(xiàn)背景音樂(lè)播放等功能����。有時(shí),在程序加載動(dòng)態(tài)鏈接庫(kù)之前���,用戶(hù)希望確定這個(gè)動(dòng)態(tài)鏈接庫(kù)是否為該程序需要加載的目標(biāo)動(dòng)態(tài)鏈接庫(kù)�����,以避免加載惡意動(dòng)態(tài)鏈接庫(kù)�。
[0003]目前�����,已經(jīng)存在一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法���,該方法具體為:提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的特征碼���,將該特征碼與樣本動(dòng)態(tài)鏈接庫(kù)的特征碼進(jìn)行比較,依據(jù)比較結(jié)果����,確定待識(shí)別動(dòng)態(tài)鏈接庫(kù)的類(lèi)型,其中��,樣本動(dòng)態(tài)鏈接庫(kù)可以為官方動(dòng)態(tài)鏈接庫(kù)或惡意動(dòng)態(tài)鏈接庫(kù)�����。例如�����,當(dāng)樣本動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)時(shí)�,首先,通過(guò)hash算法提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的hash值,然后,將該hash值與惡意動(dòng)態(tài)鏈接庫(kù)的hash值進(jìn)行比較,如果待識(shí)別動(dòng)態(tài)鏈接庫(kù)的hash值與惡意動(dòng)態(tài)鏈接庫(kù)的hash值相同���,則判斷該待識(shí)別動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)�。
[0004]然而��,用戶(hù)修改待識(shí)別動(dòng)態(tài)鏈接庫(kù)的一個(gè)字符�,修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)的特征碼就會(huì)發(fā)生改變,因此很容易地繞過(guò)現(xiàn)有方法的識(shí)別��。
【發(fā)明內(nèi)容】
[0005]為解決上述問(wèn)題�����,本發(fā)明實(shí)施例公開(kāi)了一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置,以達(dá)到有效識(shí)別動(dòng)態(tài)鏈接庫(kù)類(lèi)型的目的����。具體技術(shù)方案如下:
[0006]一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法,該方法包括:
[0007]提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件大小以及文件信息熵�����;
[0008]將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名����、文件特征值,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名���、文件特征值進(jìn)行比較���,根據(jù)比較結(jié)果,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致�,其中���,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值�。
[0009]優(yōu)選的����,所述將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值�,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值進(jìn)行比較����,根據(jù)比較結(jié)果,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致�,具體包括:
[0010]將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較;[0011]若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同��,則進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較�����;
[0012]若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍��,則判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致����。
[0013]優(yōu)選的���,所述將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值����,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值進(jìn)行比較�����,根據(jù)比較結(jié)果�,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致,具體包括:
[0014]將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較���;
[0015]若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍�����,則進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較�;
[0016]若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同�,則判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致。
[0017]優(yōu)選的,所述樣本動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)���。
[0018]優(yōu)選的�����,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)����。
[0019]優(yōu)選的����,所述待識(shí)別的動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)�����,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)�����;該方法還包括:
[0020]判斷出所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述官方動(dòng)態(tài)鏈接庫(kù)不一致后����,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式。
[0021]一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置,該裝置包括:
[0022]信息提取模塊���,用于提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名���、文件大小以及文件信息摘;
[0023]判斷模塊,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件特征值�����,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名��、文件特征值進(jìn)行比較�����,根據(jù)比較結(jié)果���,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致�,其中����,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值���,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值。
[0024]優(yōu)選的��,所述判斷模塊�����,包括:
[0025]第一比較子模塊����,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較�����;
[0026]第二比較子模塊�����,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下�����,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較;
[0027]第一判斷子模塊���,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下���,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致。[0028]優(yōu)選的�����,所述判斷模塊���,包括:
[0029]第三比較子模塊��,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較�;
[0030]第四比較子模塊��,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下��,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較��;
[0031]第二判斷子模塊�����,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致�。
[0032]優(yōu)選的,所述樣本動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)��。
[0033]優(yōu)選的�,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)。
[0034]優(yōu)選的�,所述待識(shí)別的動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù),所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)�����;該裝置還包括:
[0035]推送模塊�,用于在所述判斷模塊判斷出所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述官方動(dòng)態(tài)鏈接庫(kù)不一致后,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式�����。
[0036]上述技術(shù)方案中��,通過(guò)將待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�、文件特征值��,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�、文件特征值進(jìn)行比較�,根據(jù)比較結(jié)果�,以達(dá)到判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致的目的。
[0037]與現(xiàn)有技術(shù)相比���,用戶(hù)修改待識(shí)別動(dòng)態(tài)鏈接庫(kù)的一個(gè)字符���,修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名,以及文件特征值并不會(huì)同時(shí)改變�����,本發(fā)明方法仍能識(shí)別出修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)的類(lèi)型�����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0038]為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案��,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹�����,顯而易見(jiàn)地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例��,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講,在不付出創(chuàng)造性勞動(dòng)的前提下��,還可以根據(jù)這些附圖獲得其他的附圖���。
[0039]圖1為本發(fā)明實(shí)施例提供的識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法的第一種流程圖��;
[0040]圖2為本發(fā)明實(shí)施例提供的識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法的第二種流程圖����;
[0041]圖3為本發(fā)明實(shí)施例提供的識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法的第三種流程圖�����;
[0042]圖4為本發(fā)明實(shí)施例提供的識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法的第四種流程圖����;
[0043]圖5為本發(fā)明實(shí)施例提供的一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置的結(jié)構(gòu)示意圖;
[0044]圖6為本發(fā)明實(shí)施例提供的判斷模塊的一種結(jié)構(gòu)示意圖����;
[0045]圖7為本發(fā)明實(shí)施例提供的判斷模塊的另一種結(jié)構(gòu)示意圖�;
[0046]圖8為本發(fā)明實(shí)施例提供的另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0047]下面將結(jié)合本發(fā)明實(shí)施例中的附圖��,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述�����,顯然�����,所描述的實(shí)施例僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例?��;诒景l(fā)明中的實(shí)施例����,本領(lǐng)域普通技術(shù)人員在沒(méi)有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�����,都屬于本發(fā)明保護(hù)的范圍�。
[0048]現(xiàn)有技術(shù)中,識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法為:提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的特征碼��,將該特征碼與樣本動(dòng)態(tài)鏈接庫(kù)的特征碼進(jìn)行比較���,依據(jù)比較結(jié)果�����,確定待識(shí)別動(dòng)態(tài)鏈接庫(kù)的類(lèi)型�。然而,用戶(hù)修改待識(shí)別動(dòng)態(tài)鏈接庫(kù)的一個(gè)字符�����,修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)的特征碼就會(huì)發(fā)生改變�����,該修改后的待識(shí)別動(dòng)態(tài)鏈接庫(kù)就能很容易地繞過(guò)現(xiàn)有方法的檢測(cè)��。為此���,本發(fā)明提出了一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法及裝置��。
[0049]下面通過(guò)具體實(shí)施例�����,對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明��。
[0050]圖1為本發(fā)明實(shí)施例提供的識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法的第一種流程圖�����,該方法包括以下步驟:
[0051]SlOl:提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名���、文件大小以及文件信息熵;
[0052]其中���,動(dòng)態(tài)鏈接庫(kù)是一個(gè)包含一定數(shù)目的代碼和數(shù)據(jù)的庫(kù)����,多個(gè)程序可以同時(shí)使用該庫(kù)中的代碼和數(shù)據(jù)���;它是實(shí)現(xiàn)代碼和數(shù)據(jù)共享的一種方式�;
[0053]導(dǎo)出函數(shù)是目標(biāo)動(dòng)態(tài)鏈接庫(kù)的執(zhí)行入口標(biāo)識(shí)����,程序可以根據(jù)該標(biāo)識(shí)獲取該目標(biāo)動(dòng)態(tài)鏈接庫(kù)內(nèi)的代碼和數(shù)據(jù);
[0054]文件信息熵表征文件的字節(jié)碼的混亂程度或者文件可被壓縮的壓縮比����,文件信息熵的數(shù)值越大�����,表明文件的字節(jié)越混亂�����,或者文件能被壓縮的程度越低����;文件信息熵是0-1之間的數(shù)字����,不能為O或1,它是一個(gè)沒(méi)有單位的數(shù)值���。
[0055]可以理解的是�,不同類(lèi)型的動(dòng)態(tài)鏈接庫(kù)具有不同的導(dǎo)出函數(shù)�、文件大小以及文件信息熵,例如�����,動(dòng)態(tài)鏈接庫(kù)0000D260NetDll.dll含有導(dǎo)出函數(shù)名為GetVTable、GetDllVersion>DestroyNetFactory>CreateNetFactory 的 4 個(gè)導(dǎo)出函數(shù)����,該動(dòng)態(tài)鏈接庫(kù)的文件大小為80.0KB (81.931bytes),該動(dòng)態(tài)鏈接庫(kù)的文件信息熵為0.618211�����。
[0056]另外需要說(shuō)明的是�����,本發(fā)明實(shí)施例可以采用現(xiàn)有技術(shù)中任意一種能達(dá)到提取動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名��、文件大小以及文件信息熵的目的的方法����,本發(fā)明實(shí)施例對(duì)此不進(jìn)行具體限制���。
[0057]S102:將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件特征值���,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件特征值進(jìn)行比較��,根據(jù)比較結(jié)果��,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致��;
[0058]其中����,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值�����,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值����。
[0059]可以理解的是,由于動(dòng)態(tài)鏈接庫(kù)的文件信息熵是一個(gè)沒(méi)有單位的數(shù)值���,文件信息熵與文件大小的乘積值也沒(méi)有數(shù)值單位上的意義�。
[0060]在本實(shí)施例中,仍以動(dòng)態(tài)鏈接庫(kù)0000D260NetDll.dll為例進(jìn)行說(shuō)明���,已知它的導(dǎo)出函數(shù)有 GetVTable����、GetDllVersion�����、DestroyNetFactory����、CreateNetFactory,文件大小為80.0KB (81����,931bytes),文件信息熵為 0.618211�,文件特征值 50650.645441 (81931 乘以0.618211)。
[0061]本發(fā)明實(shí)施例提供的判斷模塊���,根據(jù)待識(shí)別動(dòng)態(tài)鏈接庫(kù)中的導(dǎo)出函數(shù)是否也為GetVTable���、GetDllVersion�、DestroyNetFactory�����、CreateNetFactory,文件特征值是否也為50650.645441����,來(lái)判斷待識(shí)別的動(dòng)態(tài)鏈接庫(kù)與動(dòng)態(tài)鏈接庫(kù)0000D260NetDll.dll是不是同
一類(lèi)型。
[0062]可以理解的是�����,在本發(fā)明實(shí)施例中��,樣本動(dòng)態(tài)鏈接庫(kù)可以為官方動(dòng)態(tài)鏈接庫(kù)�����,也可以為惡意動(dòng)態(tài)鏈接庫(kù)�����,本發(fā)明實(shí)施例對(duì)此不做具體限制��。其中�,官方動(dòng)態(tài)鏈接庫(kù)是從目標(biāo)軟件的官方網(wǎng)站上獲取到的文件����,惡意動(dòng)態(tài)鏈接庫(kù)是被惡意利用的��、與官方動(dòng)態(tài)鏈接庫(kù)名相同的���、但沒(méi)有官方動(dòng)態(tài)鏈接庫(kù)的功能的文件����。
[0063]上述實(shí)施例的方案并沒(méi)有對(duì)導(dǎo)出函數(shù)名���、文件特征值的比較順序做出具體限制��。在實(shí)際應(yīng)用中,可以對(duì)比較順序進(jìn)行細(xì)化��,鑒于此�����,本發(fā)明實(shí)施例提供了另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法�,如圖2所示,該方法可以包括以下步驟:
[0064]S201�����,提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件大小以及文件信息熵�。
[0065]S202,比較待識(shí)別動(dòng)態(tài)鏈接庫(kù)文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)文件特征值的近似度是否符合預(yù)設(shè)范圍�����;
[0066]如果是���,則轉(zhuǎn)到S203 ;否則�����,轉(zhuǎn)到S205�����。
[0067]S203�,比較待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名是否相同�;
[0068]如果是,則轉(zhuǎn)到S204 ;否則���,轉(zhuǎn)到S205��。
[0069]S204,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)一致���。
[0070]S205��,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)不一致���。
[0071]本實(shí)施例中的S201與前一實(shí)施例中的SlOl相同,在這里���,不再贅述�。本實(shí)施例對(duì)導(dǎo)出函數(shù)名���、文件特征值的比較順序做了具體限制�,即先比較文件特征值��,再比較導(dǎo)出函數(shù)名��。
[0072]可以理解的是��,文件特征值和導(dǎo)出函數(shù)名只要有一項(xiàng)不一致�����,則待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)的類(lèi)型就不一致��。
[0073]另外需要說(shuō)明的是���,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)文件特征值的近似度可以通過(guò)計(jì)算兩者的差值或比值來(lái)獲得����;通常情況下�,依據(jù)經(jīng)驗(yàn)值,預(yù)設(shè)范圍設(shè)置為低于或高于對(duì)比文件的10%的范圍���;另外還可以根據(jù)實(shí)際需要����,對(duì)預(yù)設(shè)范圍進(jìn)行設(shè)定���,本發(fā)明實(shí)施例對(duì)此不進(jìn)行具體限制����。
[0074]然而在實(shí)際應(yīng)用中���,考慮到識(shí)別效率的問(wèn)題����,本發(fā)明實(shí)施例提供了另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法,如圖3所示���,該方法可以包括以下步驟:
[0075]S301���,提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件大小以及文件信息熵�。
[0076]S302,比較待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名是否相同���;
[0077]如果是��,則轉(zhuǎn)到S303 ;否則����,轉(zhuǎn)到S305����。
[0078]S303,比較待識(shí)別動(dòng)態(tài)鏈接庫(kù)文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)文件特征值的近似值是否符合預(yù)設(shè)范圍���;
[0079]如果是��,則轉(zhuǎn)到S304 ;否則�����,轉(zhuǎn)到S305�。
[0080]S304,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)一致���。
[0081]S305�,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)不一致��。
[0082]本實(shí)施例中的S301與前一實(shí)施例中的S201相同��,在這里不再贅述�����。本實(shí)施例對(duì)導(dǎo)出函數(shù)名�����、文件特征值的比較順序做了具體限制��,即先比較導(dǎo)出函數(shù)名,再比較文件特征值�。
[0083]可以理解的是,相比于從動(dòng)態(tài)鏈接庫(kù)中提取文件信息熵的繁瑣��,對(duì)導(dǎo)出函數(shù)名的提取更容易����,導(dǎo)出函數(shù)名的比較也更為直觀(guān),如果導(dǎo)出函數(shù)名不一致��,則直接可以判斷待識(shí)別的動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)不一致����,省去了提取文件信息熵的繁瑣步驟。
[0084]在待識(shí)別動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)�����,樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)的情況下����,本發(fā)明實(shí)施例提供了另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法,如圖4所示�,該方法可以包括:
[0085]S401,提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�、文件大小及文件信息熵����。
[0086]S402�����,比較待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名與官方動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名是否相同�����,兩庫(kù)文件特征值的近似度是否符合預(yù)設(shè)范圍���;
[0087]如果待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名與官方動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名是相同,且兩庫(kù)文件特征值的近似度是符合預(yù)設(shè)范圍�,則轉(zhuǎn)到S404 ;否則,轉(zhuǎn)到S403�����。
[0088]S403�,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式。
[0089]S404,判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與樣本動(dòng)態(tài)鏈接庫(kù)一致�����。
[0090]本實(shí)施例中的S401與前面實(shí)施例中的SlOl相同,在這里不再贅述�。在S402中,待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名���、文件特征值與官方動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名�、文件特征值的比較�,可以按照前面實(shí)施例中的S202、S203的順序進(jìn)行比較��,也可以按照前面實(shí)施例中的S302�����、S303的順序進(jìn)行比較����。在新增的S403中,在用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)與官方動(dòng)態(tài)鏈接庫(kù)不一致之后�,可以提供給用戶(hù)獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式,用戶(hù)可以根據(jù)實(shí)際需要選擇是否獲取該庫(kù)�����。需要說(shuō)明的是��,這里的快捷方式可以是網(wǎng)址鏈接,也可以是該官方鏈接庫(kù)文件���,本實(shí)施例對(duì)此不做具體限制����。
[0091]可以理解的是����,官方動(dòng)態(tài)鏈接庫(kù)是安全的��,當(dāng)待識(shí)別的動(dòng)態(tài)鏈接庫(kù)與官方動(dòng)態(tài)鏈接庫(kù)不同時(shí)�����,該待識(shí)別的動(dòng)態(tài)鏈接庫(kù)可能存在安全隱患����,考慮到安全性,可以向用戶(hù)提供獲取官方動(dòng)態(tài)鏈接庫(kù)的快捷方式���。
[0092]由此可見(jiàn)�,本實(shí)施例中�����,在待識(shí)別動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù),樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)的情況下�,當(dāng)待識(shí)別的動(dòng)態(tài)鏈接庫(kù)與官方動(dòng)態(tài)鏈接庫(kù)不一致后,向用戶(hù)提供獲取官方動(dòng)態(tài)鏈接庫(kù)的快捷方式�����,用戶(hù)可以根據(jù)該快捷方式獲取安全的動(dòng)態(tài)鏈接庫(kù)��,提高了安全性��。
[0093]相應(yīng)于上面的方法實(shí)施例��,本發(fā)明還提供一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置�,參見(jiàn)圖5所示,該裝置可以包括:
[0094]信息提取模塊501����,用于提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件大小以及文件
信息熵��;
[0095]判斷模塊502��,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值��,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名����、文件特征值進(jìn)行比較,根據(jù)比較結(jié)果�����,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致����;
[0096]其中�,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值���。[0097]本發(fā)明實(shí)施例提供的另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置�,如圖6所示�,所述識(shí)別模塊502可以包括:
[0098]第一比較子模塊502a,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較�����;
[0099]第二比較子模塊502b��,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較�����;
[0100]第一判斷子模塊502c���,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下���,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致。
[0101]需要說(shuō)明的是���,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)文件特征值的近似度可以通過(guò)計(jì)算兩者的差值或比值來(lái)獲得�;通常情況下��,依據(jù)經(jīng)驗(yàn)值���,預(yù)設(shè)范圍設(shè)置為低于或高于對(duì)比文件的10%的范圍�;另外還可以根據(jù)實(shí)際需要�,對(duì)預(yù)設(shè)范圍進(jìn)行設(shè)定,本發(fā)明實(shí)施例對(duì)此不進(jìn)行具體限制���。
[0102]本發(fā)明實(shí)施例還提供了另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置�����,如圖7所示����,所述識(shí)別模塊502可以包括:
[0103]第三比較子模塊502c,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值����,與樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較;
[0104]第四比較子模塊502d���,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下��,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較;
[0105]第二判斷子模塊502e����,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)—致���。
[0106]在待識(shí)別動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)���,樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)的情況下��,本發(fā)明實(shí)施例還提供了另一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置��,如圖8所示����,該裝置可以包括:
[0107]信息提取模塊501���、判斷模塊502�����,以及推送模塊503 ��;
[0108]其中����,推送模塊503�,用于在判斷出所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述官方動(dòng)態(tài)鏈接庫(kù)不一致后,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式�。
[0109]本實(shí)施例中的信息提取模塊501、判斷模塊502與第一個(gè)裝置實(shí)施例中的信息提取模塊501�、判斷模塊502相同�,這里不再贅述���。
[0110]本實(shí)施例中�,在待識(shí)別動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)����、樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)的情況下,當(dāng)判斷待識(shí)別動(dòng)態(tài)鏈接庫(kù)與官方動(dòng)態(tài)鏈接庫(kù)不一致后�,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式,用戶(hù)可以根據(jù)該快捷方式獲取安全的動(dòng)態(tài)鏈接庫(kù)�����,提聞了安全性���。
[0111]為了描述的方便�,描述以上裝置時(shí)以功能分為各種單元分別描述��。當(dāng)然�,在實(shí)施本發(fā)明時(shí)可以把各單元的功能在同一個(gè)或多個(gè)軟件和/或硬件中實(shí)現(xiàn)��。
[0112]需要說(shuō)明的是����,在本文中���,諸如第一和第二等之類(lèi)的關(guān)系術(shù)語(yǔ)僅僅用來(lái)將一個(gè)實(shí)體或者操作與另一個(gè)實(shí)體或操作區(qū)分開(kāi)來(lái),而不一定要求或者暗示這些實(shí)體或操作之間存在任何這種實(shí)際的關(guān)系或者順序�����。而且�����,術(shù)語(yǔ)“包括”�����、“包含”或者其任何其他變體意在涵蓋非排他性的包含����,從而使得包括一系列要素的過(guò)程、方法���、物品或者設(shè)備不僅包括那些要素���,而且還包括沒(méi)有明確列出的其他要素�����,或者是還包括為這種過(guò)程��、方法�����、物品或者設(shè)備所固有的要素��。在沒(méi)有更多限制的情況下�,由語(yǔ)句“包括一個(gè)……”限定的要素����,并不排除在包括所述要素的過(guò)程、方法����、物品或者設(shè)備中還存在另外的相同要素。
[0113]本說(shuō)明書(shū)中的各個(gè)實(shí)施例均采用相關(guān)的方式描述�,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處��。尤其���,對(duì)于裝置實(shí)施例而言����,由于其基本相似于方法實(shí)施例����,所以描述的比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可�。
[0114]本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施方式中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成,所述的程序可以存儲(chǔ)于計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中�,這里所稱(chēng)得的存儲(chǔ)介質(zhì),如:R0M/RAM���、磁碟�����、光盤(pán)等���。
[0115]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍�����。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換����、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)���。`
【權(quán)利要求】
1.一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的方法�,其特征在于�,該方法包括: 提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件大小以及文件信息熵����; 將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值�,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值進(jìn)行比較����,根據(jù)比較結(jié)果,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致�,其中,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值���,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值��。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件特征值���,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�����、文件特征值進(jìn)行比較����,根據(jù)比較結(jié)果���,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致����,具體包括: 將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較; 若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同�,則進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較; 若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍��,則判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致���。
3.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名��、文件特征值��,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名�、文件特征值進(jìn)行比較,根據(jù)比較結(jié)果���,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致��,具體包括: 將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較���; 若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍,則進(jìn)一步將所述待`識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較��; 若所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同,則判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致��。
4.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述樣本動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)����。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)����。
6.根據(jù)權(quán)利要求5所述的方法�,其特征在于,所述待識(shí)別的動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù)�����,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)���;該方法還包括: 判斷出所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述官方動(dòng)態(tài)鏈接庫(kù)不一致后�,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式。
7.一種識(shí)別動(dòng)態(tài)鏈接庫(kù)的裝置�����,其特征在于�,該裝置包括: 信息提取模塊,用于提取待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名����、文件大小以及文件信息熵; 判斷模塊�,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名、文件特征值��,分別與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名��、文件特征值進(jìn)行比較�,根據(jù)比較結(jié)果,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)是否一致����,其中,所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件大小與所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值��,所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值為所述樣本動(dòng)態(tài)鏈接庫(kù)的文件大小與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件信息熵的乘積值��。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于���,所述判斷模塊���,包括: 第一比較子模塊,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較��; 第二比較子模塊��,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下�,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較; 第一判斷子模塊����,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下�����,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致��。
9.根據(jù)權(quán)利要求7所述的裝置����,其特征在于���,所述判斷模塊,包括: 第三比較子模塊�,用于將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值進(jìn)行比較; 第四比較子模塊�����,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的文件特征值與所述樣本動(dòng)態(tài)鏈接庫(kù)的文件特征值的近似度符合預(yù)設(shè)范圍的情況下���,進(jìn)一步將所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名進(jìn)行比較�; 第二判斷子模塊���,用于在所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名與所述樣本動(dòng)態(tài)鏈接庫(kù)的導(dǎo)出函數(shù)名相同的情況下����,判斷所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述樣本動(dòng)態(tài)鏈接庫(kù)一致���。
10.根據(jù)權(quán)利要求7所述的裝置�,其特征在于���,所述樣本動(dòng)態(tài)鏈接庫(kù)為惡意動(dòng)態(tài)鏈接庫(kù)����。`
11.根據(jù)權(quán)利要求7所述的裝置,其特征在于��,所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)����。
12.根據(jù)權(quán)利要求11所述的裝置,其特征在于����,所述待識(shí)別的動(dòng)態(tài)鏈接庫(kù)為用戶(hù)提交的動(dòng)態(tài)鏈接庫(kù),所述樣本動(dòng)態(tài)鏈接庫(kù)為官方動(dòng)態(tài)鏈接庫(kù)����;該裝置還包括: 推送模塊,用于在所述判斷模塊判斷出所述待識(shí)別動(dòng)態(tài)鏈接庫(kù)與所述官方動(dòng)態(tài)鏈接庫(kù)不一致后���,向用戶(hù)提供獲取該官方動(dòng)態(tài)鏈接庫(kù)的快捷方式。
【文檔編號(hào)】G06F21/57GK103886042SQ201410086815
【公開(kāi)日】2014年6月25日 申請(qǐng)日期:2014年3月10日 優(yōu)先權(quán)日:2014年3月10日
【發(fā)明者】李敏怡, 姚輝, 劉桂峰 申請(qǐng)人:珠海市君天電子科技有限公司