本發(fā)明涉及信息安全技術(shù)領(lǐng)域，具體為一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法及系統(tǒng)。

背景技術(shù)：

對(duì)二進(jìn)制文件加殼已經(jīng)成為計(jì)算機(jī)信息安全領(lǐng)域應(yīng)用比較廣泛的一種技術(shù)手段，殼大致分為：壓縮殼、加密殼、保護(hù)殼等種類，主要用于防止商業(yè)軟件被逆向工程，壓縮軟件、躲避反病毒軟件查殺這些方向上。

現(xiàn)有的反病毒軟件為了查殺加殼惡意軟件，通常會(huì)對(duì)加殼惡意軟件進(jìn)行脫殼操作，并對(duì)產(chǎn)生的新的脫殼后二進(jìn)制數(shù)據(jù)進(jìn)行特征匹配去查殺，惡意軟件作者為了對(duì)抗查殺，會(huì)對(duì)加殼惡意軟件進(jìn)行修改，例如：修改校驗(yàn)和，使反病毒軟件脫殼失敗，從而達(dá)到躲避查殺的目的，本專利所要解決的就是人為修改加殼惡意軟件導(dǎo)致反病毒軟件無法查殺的問題。

技術(shù)實(shí)現(xiàn)要素：

為了克服現(xiàn)有技術(shù)方案的不足,本發(fā)明提供一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法，能夠針對(duì)人為篡改加殼惡意軟件導(dǎo)致反病毒軟件脫殼失敗，進(jìn)而躲避反病毒軟件查殺這種手段，可以有效的增加未知檢測(cè)能力。

本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是：一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法，包括如下步驟：

(s101)獲取并分析待檢測(cè)文件，判斷待檢測(cè)文件是否加殼，若是則判斷該殼的種類是否為驗(yàn)證校驗(yàn)和的加殼方法；

(s102)若是，則從加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

(s103)對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼；

(s104)計(jì)算進(jìn)行脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

(s105)判斷加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和與脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和是否相同；

(s106)若不同且脫殼能夠成功，則判定待檢測(cè)文件為病毒。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述步驟(s101)中判斷待檢測(cè)文件是否加殼方法包括二進(jìn)制規(guī)則或識(shí)別代碼。

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述步驟(s103)中對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼后，保存脫殼后產(chǎn)生的新緩沖區(qū)：

作為本發(fā)明一種優(yōu)選的技術(shù)方案，所述步驟(s104)中計(jì)算方法為根據(jù)殼的校驗(yàn)和方法，包括對(duì)加殼文件和脫殼后產(chǎn)生的新緩沖區(qū)計(jì)算。

另外本發(fā)明還設(shè)計(jì)了一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)系統(tǒng)，包括：

判斷模塊一，用于獲取并分析待檢測(cè)文件，判斷待檢測(cè)文件是否加殼，若是則判斷該殼的種類是否為驗(yàn)證校驗(yàn)和的加殼方法；

提取模塊，用于從加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

脫殼模塊，用于對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼；

計(jì)算模塊，用于計(jì)算進(jìn)行脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

判斷模塊二，用于判斷加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和與脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和是否相同，若不同且脫殼能夠成功，則判定待檢測(cè)文件為病毒。

與現(xiàn)有技術(shù)相比，本發(fā)明的有益效果是：本發(fā)明針對(duì)人為篡改加殼惡意軟件導(dǎo)致反病毒軟件脫殼失敗，進(jìn)而躲避反病毒軟件查殺的這種手段，創(chuàng)新的利用驗(yàn)證校驗(yàn)和一致性這種啟發(fā)式的檢測(cè)方法，可以有效的增加未知檢測(cè)能力。

附圖說明

圖1為本發(fā)明一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法流程圖；

圖2為本發(fā)明一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)系統(tǒng)結(jié)構(gòu)圖。

具體實(shí)施方式

下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。

實(shí)施例：

如圖1所示，本發(fā)明給出了一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法實(shí)施例，包括如下步驟：

s101、獲取并分析待檢測(cè)文件，判斷待檢測(cè)文件是否加殼，若是則判斷該殼的種類是否為驗(yàn)證校驗(yàn)和的加殼方法；

s102、若是，則從加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

s103、對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼；

s104、計(jì)算進(jìn)行脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

s105、判斷加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和與脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和是否相同；

s106、若不同且脫殼能夠成功，則判定待檢測(cè)文件為病毒。

所述判斷待檢測(cè)文件是否加殼方法包括二進(jìn)制規(guī)則或識(shí)別代碼；所述對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼后，保存脫殼后產(chǎn)生的新緩沖區(qū)；所述計(jì)算方法為根據(jù)殼的校驗(yàn)和方法，包括對(duì)加殼文件和脫殼后產(chǎn)生的新緩沖區(qū)計(jì)算。

如圖2所示，本發(fā)明還給出了一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)系統(tǒng)實(shí)施例，包括：

判斷模塊一201，用于獲取并分析待檢測(cè)文件，判斷待檢測(cè)文件是否加殼，若是則判斷該殼的種類是否為驗(yàn)證校驗(yàn)和的加殼方法；

提取模塊202，用于從加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

脫殼模塊203，用于對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼；

計(jì)算模塊204，用于計(jì)算進(jìn)行脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；

判斷模塊二205，用于判斷加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和與脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和是否相同，若不同且脫殼能夠成功，則判定待檢測(cè)文件為病毒。

本說明書中系統(tǒng)的實(shí)施例采用遞進(jìn)的方式描述，對(duì)于方法的實(shí)施例而言，由于其基本相似于系統(tǒng)實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。本發(fā)明提出一種基于加殼文件校驗(yàn)和的惡意軟件檢測(cè)方法，包括：獲取并分析待檢測(cè)文件，判斷待檢測(cè)文件是否加殼，若是則判斷該殼的種類是否為驗(yàn)證校驗(yàn)和的加殼方法；若是，則從加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；對(duì)加殼的待檢測(cè)文件進(jìn)行脫殼；計(jì)算進(jìn)行脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和；判斷加殼的待檢測(cè)文件中提取出加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和與脫殼后的待檢測(cè)文件的加殼和脫殼后該待檢測(cè)文件的校驗(yàn)和是否相同，若不同且脫殼能夠成功，則判定待檢測(cè)文件為病毒。本發(fā)明針對(duì)人為篡改加殼惡意軟件導(dǎo)致反病毒軟件脫殼失敗，進(jìn)而躲避反病毒軟件查殺的這種手段，創(chuàng)新的利用驗(yàn)證校驗(yàn)和一致性這種啟發(fā)式的檢測(cè)方法，可以有效的增加未知檢測(cè)能力。

對(duì)于本領(lǐng)域技術(shù)人員而言，顯然本發(fā)明不限于上述示范性實(shí)施例的細(xì)節(jié)，而且在不背離本發(fā)明的精神或基本特征的情況下，能夠以其他的具體形式實(shí)現(xiàn)本發(fā)明。因此，無論從哪一點(diǎn)來看，均應(yīng)將實(shí)施例看作是示范性的，而且是非限制性的，本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定，因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。