| 发明名称 | 一种可执行文件处理方法和装置 | ||
| 摘要 | 本发明公开了一种可执行文件处理方法和装置,所述方法包括:基于可执行文件入口点文件偏移,查找文件入口点,并创建指令流栈;以预先设定的分析步数X为基准,依次对所述入口点后的各指令进行分析,获取可执行文件入口点后X条指令的操作码opcode,得到opcode组;以所述opcode组为分类条件,对各所述可执行文件进行分类处理。所述装置包括:入口点查找模块、指令分析模块和分类处理模块。本发明所述方法和装置,采用可执行文件内部特征的分类技术,具有强抗干扰性,且不会出现文件无法分类的情况。另外,所述分类技术还具有分类速度快、分类效果好等优点,可以实现对海量可执行文件的分类。 | ||
| 申请公布号 | CN102855119B | 申请公布日期 | 2014.10.22 |
| 申请号 | CN201210262975.2 | 申请日期 | 2012.07.26 |
| 申请人 | 北京奇虎科技有限公司;奇智软件(北京)有限公司 | 发明人 | 周辉;徐传宇;李智鹏 |
| 分类号 | G06F9/30(2006.01)I;G06F17/30(2006.01)I;G06F21/56(2013.01)I | 主分类号 | G06F9/30(2006.01)I |
| 代理机构 | 工业和信息化部电子专利中心 11010 | 代理人 | 梁军 |
| 主权项 | 一种可执行文件处理方法,其特征在于,包括: 基于可执行文件入口点文件偏移,查找可执行文件入口点; 以预先设定的分析步数X为基准,依次对所述入口点后的各指令进行分析,获取可执行文件入口点后X条指令的操作码opcode,得到opcode组;其中,对入口点后各指令进行分析,包括:创建指令流栈,判断当前分析的指令是否为Transfer指令,若是,则获取指令的跳转目标地址后压入所述指令流栈,并分析所述指令以及所述指令流栈内目标地址对应的指令流,获取各指令的opcode;若不是,则获取指令的opcode后,按着指令长度定位下一指令的方式,分析下一指令; 以所述opcode组作为可执行文件的分类特征,将相同opcode组的可执行文件分为一类。 | ||
| 地址 | 100088 北京市西城区新街口外大街28号D座112室(德胜园区) | ||