一種提取PE文件特征的方法及裝置制造方法及圖紙

本發明專利技術實施例公開了一種提取PE文件特征的方法及裝置，所述方法包括：對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的附加數據或目標PE文件的資源節；提取所述特征代碼的hash特征；根據所述特征代碼的hash特征生成目標PE文件的特征，所述目標PE文件的特征用于檢測所述目標PE文件是否被病毒感染。殺毒軟件利用通過本發明專利技術實施提供的方法提取的特征進行病毒檢測時不易被繞過，且能夠提高殺毒軟件利用該特征進行病毒檢測時的通用性，且應用本發明專利技術實施例可以提高提取目標PE文件特征的速度。

Method and device for extracting characteristic of PE file

The embodiment of the invention discloses a method and a device for extracting PE file feature, the method includes: to target PE file source code analysis, obtain the characteristics of the code in the source code; the code for the following characteristics of any one or several combinations of additional data or target PE file the code section, the target PE file object PE file of the resource section; Hash feature extraction the feature code generation; according to the characteristics of target hash characteristics of the PE file of the feature code and feature of the target PE file for the detection of the target PE document is infected by the virus. Is not easy to bypass antivirus software by using the method of feature extraction provided by the invention for virus detection, and can use the features of the general utility of virus detection to improve the anti-virus software, and the application of the embodiment of the invention can improve the extraction speed characteristics of the target PE file.

【技術實現步驟摘要】
一種提取PE文件特征的方法及裝置
本專利技術涉及數據安全
，特別涉及一種提取PE文件特征的方法及裝置。
技術介紹
PE（PortableExecute）文件被稱為可移植的執行體，例如，exe文件、dll文件、ocx文件、sys文件和com文件等均為PE文件。由于實際應用中PE文件感染計算機病毒的現象越來越常見，因此，用戶在獲得某一PE文件后，通常先通過殺毒軟件檢測該PE文件是否已被計算機病毒感染。應用殺毒軟件檢測待檢測PE文件是否已被計算機病毒感染時，首先要提取待檢測PE文件的特征?，F有技術中，提取待檢測PE文件的全文hash（哈希）特征是較常見的一種PE文件特征提取方法。在提取全文hash特征時，其計算范圍為待檢測PE文件中的所有字節，因此，該特征可以精確的描述待檢測文件的特征。但是，全文hash特征對數據比較敏感，即使改變文件中的一個字節也會帶來全文hash特征的改變，例如，兩個PE文件的核心代碼是一樣的，但是非核心代碼稍有區別，則全文hash特征可能存在很大差別，因此，殺毒軟件利用全文hash特征匹配法進行病毒檢測時，全文hash特征的通用性較弱。另外，一般PE文件中會存在多處可以隨意修改但是不影響文件正常運行的結構，例如，節縫隙等等，因此，實際應用中病毒程序可以通過修改這些地方而改變待檢測文件的全文hash特征，從而繞過殺毒軟件的檢測。再者，由于提取全文hash特征時，需覆蓋待檢測PE文件中的所有字節，因此，提取全文hash特征時，速度慢、消耗資源高。
技術實現思路
本專利技術實施例公開了一種提取PE文件特征的方法及裝置，以使得殺毒軟件利用該特征進行病毒檢測時不易被繞過，且提高利用該特征進行病毒檢測時的通用性，及提取目標PE文件特征的速度。為達到上述目的，本專利技術實施例公開了一種提取PE文件特征的方法，所述方法包括：對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的附加數據或目標PE文件的資源節；提取所述特征代碼的hash特征；根據所述特征代碼的hash特征生成目標PE文件的特征，所述目標PE文件的特征用于檢測所述目標PE文件是否被病毒感染。較佳的，所述提取所述特征代碼的hash值，包括：根據預設規則對特征代碼進行分段；提取分段后各個代碼段預設位置對應的子代碼段；提取各個子代碼段的hash特征；根據各個子代碼段的hash特征生成特征代碼的hash特征。較佳的，所述預設位置，包括：從代碼段的開始位置，向后，長度為預設的第一閾值的代碼區間；或從代碼段的結束位置，向前，長度為預設的第二閾值的代碼區間；或從代碼段的中間位置，向前和向后，長度均為預設的第三閾值的代碼區間。較佳的，在分析得知所述目標PE文件包括多個代碼節的情況下，所述獲得所述源代碼中的特征代碼，包括：獲得所述源代碼中的一個或多個代碼節。較佳的，所述獲得所述源代碼中的一個代碼節，包括：獲得所述源代碼中長度最長的代碼節；或獲得所述源代碼中包含入口代碼的代碼節。為達到上述目的，本專利技術實施例公開了一種提取PE文件特征的裝置，所述裝置包括：特征代碼獲得模塊，用于對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的附加數據或目標PE文件的資源節；hash特征提取模塊，用于提取所述特征代碼的hash特征；PE文件特征生成模塊，用于根據所述特征代碼的hash特征生成目標PE文件的特征，所述目標PE文件的特征用于檢測所述目標PE文件是否被病毒感染。較佳的，所述hash特征提取模塊，包括：特征代碼分段子模塊、子代碼段提取子模塊、子代碼段hash特征提取子模塊和hash特征生成子模塊；所述特征代碼分段子模塊，用于根據預設規則對特征代碼進行分段；所述子代碼段提取子模塊，用于提取分段后各個代碼段預設位置對應的子代碼段；所述子代碼段hash特征提取子模塊，用于提取各個子代碼段的hash特征；所述hash特征生成子模塊，用于根據各個子代碼段的hash特征生成特征代碼的hash特征。較佳的，所述子代碼段提取子模塊，具體用于提取分段后各個代碼段以下位置對應的子代碼段，從代碼段的開始位置，向后，長度為預設的第一閾值的代碼區間；或從代碼段的結束位置，向前，長度為預設的第二閾值的代碼區間；或從代碼段的中間位置，向前和向后，長度均為預設的第三閾值的代碼區間。較佳的，所述特征代碼獲得模塊，具體用于對目標PE文件的源代碼進行分析，在分析得知所述目標PE文件的源代碼中包括多個代碼節的情況下，獲得所述源代碼中的一個或多個代碼節。較佳的，所述特征代碼獲得模塊，具體用于對目標PE文件的源代碼進行分析，獲得所述源代碼中長度最長的代碼節；或具體用于對目標PE文件的源代碼進行分析，獲得所述源代碼中包含入口代碼的代碼節。由以上可見，本方案中，通過提取目標PE文件特征代碼的hash特征來生成該目標PE文件的特征，以使得殺毒軟件利用該目標PE文件的特征檢測該目標PE文件是否被計算機病毒感染。與現有技術相比，由于全文hash特征對數據比較敏感，改變文件中的一個字節即可引起全文hash特征的改變，而PE文件的特征代碼部分為PE文件的核心代碼，且不能夠被隨意修改，因此，用特征代碼的hash特征生成目標PE文件的特征，可以使得殺毒軟件利用該特征進行病毒檢測時不易被繞過，且能夠提高殺毒軟件利用該特征進行病毒檢測時的通用性，又由于本方案中只提取目標PE文件的特征代碼的特征而非全文的特征，因此提高了提取目標PE文件特征的速度。附圖說明為了更清楚地說明本專利技術實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本專利技術的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本專利技術實施例提供的一種提取PE文件特征的方法的流程示意圖；圖2為本專利技術實施例提供的提取特征代碼的hash特征方法的流程示意圖；圖3為本專利技術實施例提供的一種病毒檢測方法的流程示意圖；圖4為本專利技術實施例提供的一種提取PE文件特征的裝置的結構示意圖；圖5為本專利技術實施例提供的一種hash特征提取模塊的結構示意圖。具體實施方式現有技術中，常通過提取全文hash特征的方法獲得待檢測PE文件的特征，雖然全文hash特征能夠精確的描述待檢測PE文件的特征，但是其對數據比較敏感，殺毒軟件利用該特征進行病毒檢測時，通用性差且易被病毒繞過，又由于提取全文hash特征時，需覆蓋待檢測PE文件的所有字節，因此該提取PE文件特征的方法速度慢。鑒于現有提取PE文件的方法中存在上述問題，本專利技術實施例提供了一種提取PE文件特征的方法及裝置，以使得殺毒軟件利用該特征進行病毒檢測時不易被繞過，且提高利用該特征進行病毒檢測時的通用性，及提取目標PE文件特征的速度。下面將結合本專利技術實施例中的附圖，對本專利技術實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本專利技術一部分實施例，而不是全部的實施例?；诒緦＠夹g中的實施例，本領域普通技術人員在沒有作出創造性勞動前提下所獲得的所有其本文檔來自技高網...

【技術保護點】
一種提取PE文件特征的方法，其特征在于，所述方法包括：對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的附加數據或目標PE文件的資源節；其中，所述代碼節為PE文件的關鍵代碼；所述附加數據為PE文件的源代碼中最后一個節的末尾至文件末尾之間的區域對應的數據；所述資源節為PE文件中用于存放外圍數據的節區域；提取所述特征代碼的hash特征；根據所述特征代碼的hash特征生成目標PE文件的特征，所述目標PE文件的特征用于檢測所述目標PE文件是否被病毒感染。

【技術特征摘要】
1.一種提取PE文件特征的方法，其特征在于，所述方法包括：對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的附加數據或目標PE文件的資源節；其中，所述代碼節為PE文件的關鍵代碼；所述附加數據為PE文件的源代碼中最后一個節的末尾至文件末尾之間的區域對應的數據；所述資源節為PE文件中用于存放外圍數據的節區域；提取所述特征代碼的hash特征；根據所述特征代碼的hash特征生成目標PE文件的特征，所述目標PE文件的特征用于檢測所述目標PE文件是否被病毒感染。2.根據權利要求1所述的方法，其特征在于，所述提取所述特征代碼的hash值，包括：根據預設規則對特征代碼進行分段；提取分段后各個代碼段預設位置對應的子代碼段；提取各個子代碼段的hash特征；根據各個子代碼段的hash特征生成特征代碼的hash特征。3.根據權利要求2所述的方法，其特征在于，所述預設位置，包括：從代碼段的開始位置，向后，長度為預設的第一閾值的代碼區間；或從代碼段的結束位置，向前，長度為預設的第二閾值的代碼區間；或從代碼段的中間位置，向前和向后，長度均為預設的第三閾值的代碼區間。4.根據權利要求1-3中任一項所述的方法，其特征在于，在分析得知所述目標PE文件包括多個代碼節的情況下，所述獲得所述源代碼中的特征代碼，包括：獲得所述源代碼中的一個或多個代碼節。5.根據權利要求4所述的方法，其特征在于，所述獲得所述源代碼中的一個代碼節，包括：獲得所述源代碼中長度最長的代碼節；或獲得所述源代碼中包含入口代碼的代碼節。6.一種提取PE文件特征的裝置，其特征在于，所述裝置包括：特征代碼獲得模塊，用于對目標PE文件的源代碼進行分析，獲得所述源代碼中的特征代碼；所述特征代碼為以下幾種中任意一種或幾種的組合，目標PE文件的代碼節、目標PE文件的...

【專利技術屬性】
技術研發人員：王鑫，姚輝，劉桂峰，
申請(專利權)人：珠海市君天電子科技有限公司，
類型：發明
國別省市：廣東,44