| 发明名称 |
一种基于编译器识别的APT检测方法及系统 |
| 摘要 |
本发明公开了一种基于编译器识别的APT检测方法及系统,首先,获取待检测的PE文件,并检测所述PE文件在特定位置处是否存在编译器特征码,若存在,则判定所述PE文件为非病毒程序,否则检测所述PE文件在除特定位置外的其他位置是否存在编译器特征码,若存在,则判定所述PE文件为病毒程序,否则判定所述PE文件为加壳程序,对所述PE文件进行脱壳处理后,继续进行检测;本发明所述的方法可以脱离对庞大病毒库的依赖,有效检测已知病毒和未知病毒。 |
| 申请公布号 |
CN103902901A |
申请公布日期 |
2014.07.02 |
| 申请号 |
CN201310423516.2 |
申请日期 |
2013.09.17 |
| 申请人 |
北京安天电子设备有限公司 |
发明人 |
童志明;沈长伟;张栗伟 |
| 分类号 |
G06F21/56(2013.01)I |
主分类号 |
G06F21/56(2013.01)I |
| 代理机构 |
|
代理人 |
|
| 主权项 |
一种基于编译器识别的APT检测方法,其特征在于,包括:步骤1、获取待检测的PE文件,并检测所述PE文件在特定位置处是否存在编译器特征码,若存在,则判定所述PE文件为非病毒程序,否则执行步骤2;步骤2、检测所述PE文件在除特定位置外的其他位置是否存在编译器特征码,若存在,则判定所述PE文件为病毒程序,否则判定所述PE文件为加壳程序,对所述PE文件进行脱壳处理后,继续执行步骤1;所述特定位置是不同程序经相同编译器编译后具有相同框架代码的位置,至少包括:程序入口点或者程序开始执行的位置;所述编译器特征码是从经编译器编译后的程序的所述特定位置处提取的特征码。 |
| 地址 |
100080 北京市海淀区中关村大街1号海龙大厦14层1415室 |
