| 发明名称 | 一种检测加壳可执行文件的方法、装置和系统 | ||
| 摘要 | 本发明公开了一种检测加壳可执行文件的方法、装置和系统,该方法包括:根据加壳可执行文件样本的特征设置至少两项技术指标;应用加壳可执行文件样本得出各项技术指标的权重值;计算待检测的可执行文件的各项技术指标的值,使用权重值将所述各项技术指标的值加权求和,依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件。本发明适用于信息安全领域,能够解决现有技术中存在病毒作者可以通过修改特定匹配特征来绕过加壳可执行文件检测,导致无法将加壳可执行文件检测出来的问题。 | ||
| 申请公布号 | CN102855440B | 申请公布日期 | 2015.09.02 |
| 申请号 | CN201210340234.1 | 申请日期 | 2012.09.13 |
| 申请人 | 北京奇虎科技有限公司;奇智软件(北京)有限公司 | 发明人 | 马茂刚 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京市隆安律师事务所 11323 | 代理人 | 权鲜枝 |
| 主权项 | 一种检测加壳可执行文件的方法,该方法包括:根据加壳可执行文件样本的特征设置至少两项技术指标,所述技术指标为用于表示可执行文件符合加壳可执行文件特征的程度的参量;应用加壳可执行文件样本得出各项技术指标的权重值;计算待检测的可执行文件的各项技术指标的值,使用所述权重值将所述各项技术指标的值加权求和,依据加权求和的结果判断所述待检测的可执行文件是否为加壳可执行文件;其中,所述应用加壳可执行文件样本得出各项技术指标的权重值具体包括:求出每项技术指标在各个加壳可执行文件样本中的值的均值;依据各项技术指标的均值得出各项技术指标的权重值;所述依据各项技术指标的均值得出各项技术指标的权重值具体包括:以各项技术指标的权重值集合为权重值组,为权重值组设置多组初始值;应用各项技术指标的均值对各组初始值进行迭代优化;依据初始值评价标准,从优化后的多组初始值中选出最优的初始值作为各项技术指标的权重值。 | ||
| 地址 | 100088 北京市西城区新街口外大街28号D座112室(德胜园区) | ||