| 发明名称 | ELF文件中的恶意代码检测方法及装置 | ||
| 摘要 | 本发明公开了一种ELF文件中的恶意代码检测方法,包括:获取ELF文件中的函数以及函数的代码指令偏移与代码指令长度;根据函数的代码指令偏移与代码指令长度获取对应的指令代码段;对指令代码段进行反汇编解析,并根据反汇编解析后的指令代码段生成特征码;检测特征码是否存在于预设的恶意代码特征库中;以及如果检测特征码存在于预设的恶意代码特征库中,则判断ELF文件具有恶意代码。本发明实施例的方法,取消了现有技术中主流检测手段中的“起始偏移与连续二进制片段”这两个限制,能够更加灵活地对ELF文件进行恶意代码检测,具有更高的启发性检测能力。本发明还公开了一种ELF文件中的恶意代码检测装置。 | ||
| 申请公布号 | CN104504333A | 申请公布日期 | 2015.04.08 |
| 申请号 | CN201410687208.5 | 申请日期 | 2014.11.25 |
| 申请人 | 武汉安天信息技术有限责任公司 | 发明人 | 袁海涛;乐东;胡雪飞;潘宣辰 |
| 分类号 | G06F21/56(2013.01)I | 主分类号 | G06F21/56(2013.01)I |
| 代理机构 | 北京清亦华知识产权代理事务所(普通合伙) 11201 | 代理人 | 张大威 |
| 主权项 | 一种ELF文件中的恶意代码检测方法,其特征在于,包括以下步骤:获取ELF文件中的函数以及所述函数的代码指令偏移与代码指令长度;根据所述函数的代码指令偏移与代码指令长度获取对应的指令代码段;对所述指令代码段进行反汇编解析,并根据反汇编解析后的指令代码段生成特征码;检测所述特征码是否存在于预设的恶意代码特征库中;以及如果检测所述特征码存在于所述预设的恶意代码特征库中,则判断所述ELF文件具有恶意代码。 | ||
| 地址 | 430000 湖北省武汉市东湖开发区光谷创业街6栋11楼 | ||