发明名称 |
一种基于统计方法的加壳可执行程序文件识别方法及系统 |
摘要 |
本发明公开了一种基于统计方法的加壳可执行文件识别方法及系统,方法步骤包括:1)读入已知未加壳的可执行程序文件;2)以单字节和双字节的形式统计可执行程序文件中各数字出现的次数和总字节数;3)求出单字节数值和双字节数值在未加壳可执行程序文件中的概率,求出各相邻单字节数值的条件分布;4)读入未知可执行程序文件,计算出该文件中单个字节和双字节数据出现的概率,与步骤3)中的数据进行比较,计算出差异值;5)单字节和双字节的差异值,分别小于指定的阀值,则确定该可执行文件加壳。本发明的方法不但可以识别出已知壳的加壳程序,而且对于未掌握特征码的大量未知壳的加壳程序,也有非常准确的识别能力,且分析效率大幅提高。 |
申请公布号 |
CN101388062B |
申请公布日期 |
2010.06.16 |
申请号 |
CN200810224318.2 |
申请日期 |
2008.10.17 |
申请人 |
北京锐安科技有限公司 |
发明人 |
安丙春 |
分类号 |
G06F21/22(2006.01)I |
主分类号 |
G06F21/22(2006.01)I |
代理机构 |
北京君尚知识产权代理事务所(普通合伙) 11200 |
代理人 |
余功勋 |
主权项 |
一种基于统计方法的加壳可执行程序文件识别方法,其步骤包括:1)读入已知未加壳的可执行程序文件;2)以单字节和双字节为统计单位统计可执行程序文件中各数字出现的次数和总字节数;3)求出单字节和双字节在未加壳可执行程序文件中的概率,求出各相邻单字节数值的条件分布;4)读入未知可执行程序文件,计算出该文件中单字节和双字节出现的概率,与所述步骤3)中的数据进行比较,计算出差异值;5)单字节和双字节的差异值,分别大于指定的阀值,则确定该可执行程序文件加壳。 |
地址 |
100044 北京市海淀区中关村南大街乙56号方圆大厦9层 |