專利名稱::一種檢測加殼可執(zhí)行文件的方法、裝置和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及信息安全領(lǐng)域��,具體涉及一種檢測加殼可執(zhí)行文件的方法����、裝置和系統(tǒng)���。
背景技術(shù):
:現(xiàn)有技術(shù)中���,通過統(tǒng)計可知有超過80%的惡意程序使用了加殼技術(shù)��。加殼后的可執(zhí)行文件與原可執(zhí)行文件在文件內(nèi)容上具有差異���。而對于以特征碼檢測為主要技術(shù)的反病毒廠商,脫殼就成為了必不可少的一個重要環(huán)節(jié)����。因而需要對PE(PortableExecutable,可執(zhí)行程序)文件是否加殼進(jìn)行準(zhǔn)確的檢測,即檢測出加殼可執(zhí)行文件���。其中����,PE是Win32可執(zhí)行文件的標(biāo)準(zhǔn)格式�,常見可執(zhí)行文件包括EXE、DLL����、OCX、SYS�、COM等。現(xiàn)有技術(shù)中對PE文件的檢測主要是基于特征碼匹配�����,典型的工具是PEID(PE編輯器,PEiDentifier)����,PEID檢測PE文件是否加殼的方法為基于特征匹配,即病毒分析員將PE文件中具有特殊含義的二進(jìn)制數(shù)據(jù)作為殼特征進(jìn)行匹配�,通常選擇殼代碼的二進(jìn)制數(shù)據(jù)作為殼特征。具體包括基于PE文件節(jié)特征�����,即病毒分析員將病毒PE文件中一個節(jié)作為其文件特征����,在特定的節(jié)中提取特征;以及基于PE文件入口點特征���,由于多數(shù)加殼PE文件的入口處特點明顯�����,通常提取入口點處的代碼作為特征。由于現(xiàn)有技術(shù)的加殼可執(zhí)行文件檢測方法基于特征匹配��,病毒作者可以使用多態(tài)技術(shù)繞過特征。病毒作者可以在靜態(tài)程序中不存在進(jìn)行匹配的特征�����,當(dāng)程序加載到內(nèi)存時動態(tài)解密出殼�����。這樣就繞過了現(xiàn)有技術(shù)中基于特征匹配的加殼檢測�。因此,現(xiàn)有技術(shù)中存在病毒作者可以通過修改特定匹配特征來繞過加殼可執(zhí)行文件檢測�����,導(dǎo)致無法將加殼可執(zhí)行文件檢測出來的問題����。
發(fā)明內(nèi)容鑒于上述問題,提出了本發(fā)明以便提供一種檢測加殼可執(zhí)行文件的方法和相應(yīng)的檢測加殼可執(zhí)行文件的系統(tǒng)���,以及檢測加殼可執(zhí)行文件的裝置���。依據(jù)本發(fā)明的一個方面,提供了一種檢測加殼可執(zhí)行文件的方法���,該方法包括根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)�����,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量���;應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值�����;計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值�����,使用所述權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和�,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件��。依據(jù)本發(fā)明的另一個方面����,提供了一種檢測加殼可執(zhí)行文件的系統(tǒng),該系統(tǒng)包括服務(wù)器和客戶端�����,所述服務(wù)器包括樣本存儲模塊�,用于存儲加殼可執(zhí)行文件樣本;技術(shù)指標(biāo)設(shè)置模塊��,用于根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)�����,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量�;權(quán)重值計算模塊,用于應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值����;參量發(fā)送模塊,用將設(shè)置的技術(shù)指標(biāo)和得出的權(quán)重值發(fā)送給客戶端�;所述客戶端包括參量存儲模塊,用于保存服務(wù)器發(fā)送的技術(shù)指標(biāo)和權(quán)重值���;加殼檢測模塊��,用于根據(jù)參量存儲模塊中保存的技術(shù)指標(biāo)計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值����,使用參量存儲模塊中保存的權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和���,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件��。依據(jù)本發(fā)明的另一個方面�����,提供了一種檢測加殼可執(zhí)行文件的裝置�����,該裝置包括樣本存儲模塊��,用于存儲加殼可執(zhí)行文件樣本�;技術(shù)指標(biāo)設(shè)置模塊,用于根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)�����,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量�����;權(quán)重值計算模塊��,用于應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值;加殼檢測模塊�,用于計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值,使用所述權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和���,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)彳了文件。根據(jù)本發(fā)明的技術(shù)方案��,其中�,根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo),應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值���,計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值����,使用權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和���,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件����。通過采用技術(shù)指標(biāo)將可執(zhí)行文件符合加殼可執(zhí)行文件的特征的程度進(jìn)行量化��,即使可執(zhí)行文件不完全符合某個特征�����,也可以確定可執(zhí)行文件的特性與該特征的接近程度,進(jìn)而對可執(zhí)行文件進(jìn)行更加精確的分析�。通過加權(quán)求和能夠?qū)蓤?zhí)行文件的多個特征符合程度進(jìn)行綜合衡量,依據(jù)綜合衡量的結(jié)果判斷可執(zhí)行文件是否加殼���,這樣��,即使病毒作者修改匹配特征���,仍然可以依據(jù)對可執(zhí)行文件符合特征程度的綜合衡量結(jié)果檢測出可執(zhí)行文件加殼,使得病毒作者修改匹配特征對檢測的最終結(jié)果影響較小���。由此�,解決了病毒作者可以通過修改匹配特征繞過加殼可執(zhí)行文件檢測�,導(dǎo)致無法將加殼可執(zhí)行文件檢測出來的問題,取得了提高加殼可執(zhí)行文件被檢測出的可能性的有益效果�。上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段�����,而可依照說明書的內(nèi)容予以實施��,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點能夠更明顯易懂��,以下特舉本發(fā)明的具體實施方式���。通過閱讀下文優(yōu)選實施方式的詳細(xì)描述��,各種其他的優(yōu)點和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了����。附圖僅用于示出優(yōu)選實施方式的目的��,而并不認(rèn)為是對本發(fā)明的限制���。而且在整個附圖中,用相同的參考符號表示相同的部件��。在附圖中圖I示出了根據(jù)本發(fā)明一個實施例的檢測加殼可執(zhí)行文件的方法的流程圖2示出了根據(jù)本發(fā)明一個實施例的求導(dǎo)技術(shù)指標(biāo)權(quán)重值的方法的流程�;圖3示出了根據(jù)本發(fā)明一個實施例的根據(jù)技術(shù)指標(biāo)的均值求導(dǎo)權(quán)重值的方法的流程;圖4示出根據(jù)本發(fā)明一個實施例的采用粒子群算法得出權(quán)重值來檢測加殼可執(zhí)行文件的方法的流程圖���;圖5示出根據(jù)本發(fā)明一個實施例的采用粒子群算法得出權(quán)重值的流程圖����;圖6示出根據(jù)本發(fā)明一個實施例的采用遺傳算法得出權(quán)重值的流程圖;圖7示出了根據(jù)本發(fā)明一個實施例的檢測加殼可執(zhí)行文件的系統(tǒng)的結(jié)構(gòu)圖���;圖8示出了根據(jù)本發(fā)明一個實施例的檢測加殼可執(zhí)行文件的裝置的結(jié)構(gòu)圖���。圖9示出了根據(jù)本發(fā)明一個實施例的權(quán)重值計算模塊的結(jié)構(gòu)圖;以及圖10示出了根據(jù)本發(fā)明一個實施例的權(quán)重值求導(dǎo)子模塊的結(jié)構(gòu)圖�。具體實施例方式下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例���,然而應(yīng)當(dāng)理解���,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反��,提供這些實施例是為了能夠更透徹地理解本公開���,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。參見圖1�����,示出了根據(jù)本發(fā)明一個實施例的檢測加殼可執(zhí)行文件的方法的流程圖,所述方法包括如下步驟���。步驟S100���,根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)。所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量�����。步驟S200�,應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值。步驟S300�����,計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值���,使用權(quán)重值將各項技術(shù)指標(biāo)的值加權(quán)求和,依據(jù)加權(quán)求和的結(jié)果判斷該待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件��。本方案提供了高效的針對新殼查殼方法���。采用本方案能夠結(jié)合特征匹配��、靜態(tài)分析的特點�����,一方面保證了對已知殼的檢測�,另一方面提高了對未知殼的檢測。例如��,測試證明����,對于不常見的加殼軟件diProtector、DiskDupe���、DJoin���、PUNiSHER>QrYPtOr等的加殼,都可以檢測出來�����。在一實施例中���,在執(zhí)行步驟S300前��,將待檢測的可執(zhí)行文件與預(yù)設(shè)的特征項進(jìn)行匹配���,如果匹配成功����,則待檢測的可執(zhí)行文件加殼����,不執(zhí)行步驟S300,如果不匹配��,則沒有檢測出待檢測的可執(zhí)行文件加殼�,執(zhí)行步驟S300。這樣���,將特征匹配的方式與加權(quán)求和的方式相結(jié)合��,使得本實施例中技術(shù)方案具有較高的擴(kuò)展性。開發(fā)人員���,或者病毒分析人員�����,通過遵從一定的規(guī)范��,添加新的加殼可執(zhí)行文件的特征���,仍可實現(xiàn)特征匹配所達(dá)到的檢測效果��。在一實施例中���,步驟SlOO可以按如下方式實現(xiàn)。所述根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩個技術(shù)指標(biāo)具體包括從加殼可執(zhí)行文件樣本如下特征中選擇至少兩項特征�,所述特征包括非正常區(qū)段特征、導(dǎo)入函數(shù)量特征��、代碼熵特征和附加特征��,所述代碼熵為可執(zhí)行文件中代碼段大小與數(shù)據(jù)段大小的比值��,所述附加特征包括如下子特征中的一項或多項����,所述子特征包括可執(zhí)行文件包含附加數(shù)據(jù)段、可執(zhí)行文件的資源節(jié)入口在第一區(qū)段����、可執(zhí)行文件中包含大小為O的區(qū)段���、可執(zhí)行文件的入口點在第一或第二區(qū)段、可執(zhí)行文件包含名稱為空的區(qū)段����、和可執(zhí)行文件包含預(yù)設(shè)的敏感字符串;根據(jù)選擇的特征對技術(shù)指標(biāo)進(jìn)行如下設(shè)置當(dāng)非正常區(qū)段特征被選擇時����,根據(jù)非正常區(qū)段特征將非正常區(qū)段指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件中包含除預(yù)設(shè)的正常區(qū)段之外的區(qū)段時,非正常區(qū)段指標(biāo)的值為1����,否則,非正常區(qū)段指標(biāo)的值為O;當(dāng)導(dǎo)入函數(shù)量特征被選擇時����,根據(jù)導(dǎo)入函數(shù)量特征將導(dǎo)入函數(shù)量指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件從外部導(dǎo)入的函數(shù)的數(shù)量大于等于預(yù)設(shè)閥值時,導(dǎo)入函數(shù)量指標(biāo)的值為1���,否貝U��,導(dǎo)入函數(shù)量指標(biāo)的值為導(dǎo)入函數(shù)數(shù)量除以所述閥值的商;當(dāng)代碼熵特征被選擇時�,根據(jù)代碼熵特征將代碼熵指標(biāo)設(shè)置為當(dāng)代碼熵的值小于等于預(yù)設(shè)的下限閥值時�,代碼熵指標(biāo)的值為0����,當(dāng)代碼熵的值大于等于預(yù)設(shè)的上限閥值時,代碼熵指標(biāo)的值為1��,當(dāng)代碼熵的值在所述下限閥值和所述上限閥值之間時����,代碼熵指標(biāo)的值為權(quán)利要求1.一種檢測加殼可執(zhí)行文件的方法,該方法包括根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)��,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量�;應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值;計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值���,使用所述權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和�,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件����。2.如權(quán)利要求I所述的方法,其中�,所述應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值具體包括求出每項技術(shù)指標(biāo)在各個加殼可執(zhí)行文件樣本中的值的均值;依據(jù)各項技術(shù)指標(biāo)的均值得出各項技術(shù)指標(biāo)的權(quán)重值。3.如權(quán)利要求2所述的方法���,其中���,所述依據(jù)各項技術(shù)指標(biāo)的均值得出各項技術(shù)指標(biāo)的權(quán)重值具體包括以各項技術(shù)指標(biāo)的權(quán)重值集合為權(quán)重值組,為權(quán)重值組設(shè)置多組初始值�;應(yīng)用各項技術(shù)指標(biāo)的均值對各組初始值進(jìn)行迭代優(yōu)化;依據(jù)初始值評價標(biāo)準(zhǔn)����,從優(yōu)化后的多組初始值中選出最優(yōu)的初始值作為各項技術(shù)指標(biāo)的權(quán)重值。4.如權(quán)利要求3所述的方法�����,其中�����,所述應(yīng)用各項技術(shù)指標(biāo)的均值對各組初始值進(jìn)行迭代優(yōu)化具體包括根據(jù)初始值中分量值與對應(yīng)技術(shù)指標(biāo)的均值間絕對差值計算各組初始值的適應(yīng)度�����,依據(jù)各組初始值的適應(yīng)度對各組初始值進(jìn)行迭代優(yōu)化��;所述適應(yīng)度為用于表示初始值趨向最優(yōu)解的程度的參量,適應(yīng)度的值越高表示越接近最優(yōu)解�。5.如權(quán)利要求4所述的方法����,其中,所述依據(jù)初始值評價標(biāo)準(zhǔn)�,從優(yōu)化后的多組初始值中選出最優(yōu)的初始值作為各項技術(shù)指標(biāo)的權(quán)重值具體包括以初始值的適應(yīng)度為初始值評價標(biāo)準(zhǔn),從優(yōu)化后的多組初始值中選擇適應(yīng)度的值最高的初始值作為各項技術(shù)指標(biāo)的權(quán)重值���。6.如權(quán)利要求4或5所述的方法�����,其中��,所述依據(jù)各組初始值的適應(yīng)度對各組初始值進(jìn)行迭代優(yōu)化具體包括以初始值為群體中的個體��,以初始值的適應(yīng)度為群體中個體的適應(yīng)度��,應(yīng)用粒子群算法或遺傳算法對各組初始值進(jìn)行迭代優(yōu)化���。7.如權(quán)利要求I至5中任一項權(quán)利要求所述的方法,其中�����,所述根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩個技術(shù)指標(biāo)具體包括從加殼可執(zhí)行文件樣本如下特征中選擇至少兩項特征,所述特征包括非正常區(qū)段特征���、導(dǎo)入函數(shù)量特征���、代碼熵特征和附加特征,所述代碼熵為可執(zhí)行文件中代碼段大小與數(shù)據(jù)段大小的比值���,所述附加特征包括如下子特征中的一項或多項�,所述子特征包括可執(zhí)行文件包含附加數(shù)據(jù)段����、可執(zhí)行文件的資源節(jié)入口在第一區(qū)段、可執(zhí)行文件中包含大小為O的區(qū)段�、可執(zhí)行文件的入口點在第一或第二區(qū)段、可執(zhí)行文件包含名稱為空的區(qū)段�、和可執(zhí)行文件包含預(yù)設(shè)的敏感字符串;根據(jù)選擇的特征設(shè)置技術(shù)指標(biāo)當(dāng)非正常區(qū)段特征被選擇時���,根據(jù)非正常區(qū)段特征將非正常區(qū)段指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件中包含除預(yù)設(shè)的正常區(qū)段之外的區(qū)段時�,非正常區(qū)段指標(biāo)的值為1��,否則,非正常區(qū)段指標(biāo)的值為O;當(dāng)導(dǎo)入函數(shù)量特征被選擇時���,根據(jù)導(dǎo)入函數(shù)量特征將導(dǎo)入函數(shù)量指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件從外部導(dǎo)入的函數(shù)的數(shù)量大于等于預(yù)設(shè)閥值時�,導(dǎo)入函數(shù)量指標(biāo)的值為1��,否則��,導(dǎo)入函數(shù)量指標(biāo)的值為導(dǎo)入函數(shù)數(shù)量除以所述閥值的商�;當(dāng)代碼熵特征被選擇時����,根據(jù)代碼熵特征將代碼熵指標(biāo)設(shè)置為當(dāng)代碼熵的值小于等于預(yù)設(shè)的下限閥值時,代碼熵指標(biāo)的值為O�,當(dāng)代碼熵的值大于等于預(yù)設(shè)的上限閥值時,代碼熵指標(biāo)的值為1�,當(dāng)代碼熵的值在所述下限閥值和所述上限閥值之間時,代碼熵指標(biāo)的值為唭中��,e為代碼熵�,Rdown為下限閥值,Rup為上限閥值�;1SiplIom'11當(dāng)附加特征被選擇時,根據(jù)附加特征將附加指標(biāo)設(shè)置為附加指標(biāo)的值為可執(zhí)行文件滿足的子特征數(shù)量除以附加特征所包含的子特征總量的商���。8.—種檢測加殼可執(zhí)行文件的系統(tǒng)���,該系統(tǒng)包括服務(wù)器和客戶端�,所述服務(wù)器包括樣本存儲模塊���,用于存儲加殼可執(zhí)行文件樣本�;技術(shù)指標(biāo)設(shè)置模塊���,用于根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)���,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量;權(quán)重值計算模塊�����,用于應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值����;參量發(fā)送模塊,用將設(shè)置的技術(shù)指標(biāo)和得出的權(quán)重值發(fā)送給客戶端�;所述客戶端包括參量存儲模塊,用于保存服務(wù)器發(fā)送的技術(shù)指標(biāo)和權(quán)重值����;加殼檢測模塊���,用于根據(jù)參量存儲模塊中保存的技術(shù)指標(biāo)計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值,使用參量存儲模塊中保存的權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和�,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件。9.如權(quán)利要求8所述的系統(tǒng)���,其中�����,所述權(quán)重值計算模塊具體包括均值計算子模塊,用于求出每項技術(shù)指標(biāo)在各個加殼可執(zhí)行文件樣本中的值的均值����;權(quán)重值求導(dǎo)子模塊,用于依據(jù)各項技術(shù)指標(biāo)的均值得出各項技術(shù)指標(biāo)的權(quán)重值�����。10.如權(quán)利要求9所述的系統(tǒng)����,其中���,所述權(quán)重值求導(dǎo)子模塊具體包括設(shè)置單元,用于以各項技術(shù)指標(biāo)的權(quán)重值集合為權(quán)重值組��,為權(quán)重值組設(shè)置多組初始值�;迭代優(yōu)化單元,用于應(yīng)用各項技術(shù)指標(biāo)的均值對各組初始值進(jìn)行迭代優(yōu)化�����;選取單元�,用于依據(jù)初始值評價標(biāo)準(zhǔn),從優(yōu)化后的多組初始值中選出最優(yōu)的初始值作為各項技術(shù)指標(biāo)的權(quán)重值��。11.如權(quán)利要求10所述的系統(tǒng)��,其中����,所述迭代優(yōu)化單元具體用于根據(jù)初始值中分量值與對應(yīng)技術(shù)指標(biāo)的均值間絕對差值計算各組初始值的適應(yīng)度,依據(jù)各組初始值的適應(yīng)度對各組初始值進(jìn)行迭代優(yōu)化����;所述適應(yīng)度為用于表示初始值趨向最優(yōu)解的程度的參量,適應(yīng)度的值越高表示越接近最優(yōu)解。12.如權(quán)利要求11所述的系統(tǒng)��,其中�����,所述選取單元具體用于以初始值的適應(yīng)度為初始值評價標(biāo)準(zhǔn)���,從優(yōu)化后的多組初始值中選擇適應(yīng)度的值最高的初始值作為各項技術(shù)指標(biāo)的權(quán)重值�。13.如權(quán)利要求11或12所述的系統(tǒng)����,其中,所述迭代優(yōu)化單元具體用于以初始值為群體中的個體���,以初始值的適應(yīng)度為群體中個體的適應(yīng)度,應(yīng)用粒子群算法或遺傳算法對各組初始值進(jìn)行迭代優(yōu)化�����。14.如權(quán)利要求8至12中任一項權(quán)利要求所述的系統(tǒng)�,其中,所述技術(shù)指標(biāo)設(shè)置模塊具體用于從加殼可執(zhí)行文件樣本如下特征中選擇至少兩項特征�����,所述特征包括非正常區(qū)段特征、導(dǎo)入函數(shù)量特征��、代碼熵特征和附加特征�,所述代碼熵為可執(zhí)行文件中代碼段大小與數(shù)據(jù)段大小的比值,所述附加特征包括如下子特征中的一項或多項��,所述子特征包括可執(zhí)行文件包含附加數(shù)據(jù)段���、可執(zhí)行文件的資源節(jié)入口在第一區(qū)段�����、可執(zhí)行文件中包含大小為O的區(qū)段�����、可執(zhí)行文件的入口點在第一或第二區(qū)段�、可執(zhí)行文件包含名稱為空的區(qū)段�����、和可執(zhí)行文件包含預(yù)設(shè)的敏感字符串�����;根據(jù)選擇的特征設(shè)置技術(shù)指標(biāo)當(dāng)非正常區(qū)段特征被選擇時,根據(jù)非正常區(qū)段特征將非正常區(qū)段指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件中包含除預(yù)設(shè)的正常區(qū)段之外的區(qū)段時����,非正常區(qū)段指標(biāo)的值為1,否則�,非正常區(qū)段指標(biāo)的值為O;當(dāng)導(dǎo)入函數(shù)量特征被選擇時,根據(jù)導(dǎo)入函數(shù)量特征將導(dǎo)入函數(shù)量指標(biāo)設(shè)置為當(dāng)可執(zhí)行文件從外部導(dǎo)入的函數(shù)的數(shù)量大于等于預(yù)設(shè)閥值時�,導(dǎo)入函數(shù)量指標(biāo)的值為1,否則��,導(dǎo)入函數(shù)量指標(biāo)的值為導(dǎo)入函數(shù)數(shù)量除以所述閥值的商���;當(dāng)代碼熵特征被選擇時���,根據(jù)代碼熵特征將代碼熵指標(biāo)設(shè)置為當(dāng)代碼熵的值小于等于預(yù)設(shè)的下限閥值時,代碼熵指標(biāo)的值為0�����,當(dāng)代碼熵的值大于等于預(yù)設(shè)的上限閥值時�����,代碼熵指標(biāo)的值為1��,當(dāng)代碼熵的值在所述下限閥值和所述上限閥值之間時����,代碼熵指標(biāo)的值,其中����,e為代碼熵,Rdown為下限_值��,Rup為±限_值���;updown當(dāng)附加特征被選擇時�����,根據(jù)附加特征將附加指標(biāo)設(shè)置為附加指標(biāo)的值為可執(zhí)行文件滿足的子特征數(shù)量除以附加特征所包含的子特征總量的商���。15.一種檢測加殼可執(zhí)行文件的裝置,該裝置包括樣本存儲模塊����,用于存儲加殼可執(zhí)行文件樣本��;技術(shù)指標(biāo)設(shè)置模塊�,用于根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)���,所述技術(shù)指標(biāo)為用于表示可執(zhí)行文件符合加殼可執(zhí)行文件特征的程度的參量�����;權(quán)重值計算模塊���,用于應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值;加殼檢測模塊�����,用于計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值�,使用所述權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件��?����!と恼景l(fā)明公開了一種檢測加殼可執(zhí)行文件的方法����、裝置和系統(tǒng),該方法包括根據(jù)加殼可執(zhí)行文件樣本的特征設(shè)置至少兩項技術(shù)指標(biāo)�����;應(yīng)用加殼可執(zhí)行文件樣本得出各項技術(shù)指標(biāo)的權(quán)重值����;計算待檢測的可執(zhí)行文件的各項技術(shù)指標(biāo)的值,使用權(quán)重值將所述各項技術(shù)指標(biāo)的值加權(quán)求和�����,依據(jù)加權(quán)求和的結(jié)果判斷所述待檢測的可執(zhí)行文件是否為加殼可執(zhí)行文件����。本發(fā)明適用于信息安全領(lǐng)域,能夠解決現(xiàn)有技術(shù)中存在病毒作者可以通過修改特定匹配特征來繞過加殼可執(zhí)行文件檢測�����,導(dǎo)致無法將加殼可執(zhí)行文件檢測出來的問題�。文檔編號G06F21/56GK102855440SQ20121034023公開日2013年1月2日申請日期2012年9月13日優(yōu)先權(quán)日2012年9月13日發(fā)明者馬茂剛申請人:北京奇虎科技有限公司,奇智軟件(北京)有限公司