| 发明名称 | PE文件的处理方法和装置 | ||
| 摘要 | 本发明实施例公开了一种PE文件的处理方法和装置,涉及程序检测领域,能够降低库函数对PE文件分类聚类的影响,提高分类聚类的准确性。本发明实施例的PE文件的处理方法,包括:将PE文件进行反汇编处理,得到所述PE文件的函数结点,所述函数结点将所述PE文件分为若干个函数段;加载库函数特征库,并根据所述库函数特征库中的特征逐次判断各个所述函数段是否为库函数;若所述函数段是库函数,则脱去所述函数段。 | ||
| 申请公布号 | CN102982043B | 申请公布日期 | 2015.12.02 |
| 申请号 | CN201110264040.3 | 申请日期 | 2011.09.07 |
| 申请人 | 腾讯科技(深圳)有限公司 | 发明人 | 高小明 |
| 分类号 | G06F17/30(2006.01)I | 主分类号 | G06F17/30(2006.01)I |
| 代理机构 | 北京中博世达专利商标代理有限公司 11274 | 代理人 | 申健 |
| 主权项 | 一种PE文件的处理方法,其特征在于,包括:将PE文件进行反汇编处理,得到所述PE文件的函数结点,所述函数结点将所述PE文件分为若干个函数段,所述将PE文件进行反汇编处理,包括:对分支调用进行反汇编和对导入表、导出表的内容进行反汇编;加载库函数特征库,并根据所述库函数特征库中的特征逐次判断各个所述函数段是否为库函数;若所述函数段是库函数,则脱去所述函数段;其中,所述脱去所述函数段包括:修改所述函数段的属性,将所述函数段转换为不可执行的程序文本;对脱去库函数的所述PE文件按照分类规则进行分类聚类。 | ||
| 地址 | 518000 广东省深圳市福田区赛格科技园2栋东403室 | ||