一種啟發(fā)式自解壓包和安裝包檢測方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全技術(shù)領(lǐng)域,尤其涉及一種啟發(fā)式自解壓包和安裝包檢測方法及系統(tǒng)。
【背景技術(shù)】
[0002]通常自解壓包或安裝包是由負(fù)責(zé)解壓目標(biāo)數(shù)據(jù)的通用程序和待解壓數(shù)據(jù)組成,所述通用程序?yàn)橛蓧嚎s軟件或安裝包制作程序提供,可以稱之為“自解壓頭”。對于這些自解壓頭,需要先通過各種方法獲取其程序或者收集其制作好的文件,然后提取特征碼,最后進(jìn)行檢測。
[0003]傳統(tǒng)檢測方法主要的問題在于,只能針對已知或者已捕獲的樣本有效,對于未知的或者已知但版本更新的自解壓頭無能為力。
【發(fā)明內(nèi)容】
[0004]本發(fā)明提供了一種啟發(fā)式自解壓包和安裝包檢測方法及系統(tǒng),該方法通過對已知自解壓包和/或安裝包進(jìn)行圖標(biāo)相關(guān)信息獲取,并基于圖標(biāo)相關(guān)信息提取匹配特征,基于同樣的方法獲取待檢測PE文件的特征,通過將所述特征與所述匹配特征進(jìn)行相似度匹配,從而確定待檢測PE文件是否是自解壓包和/或安裝包。該方法對于未知的或者已更新升級后的自解壓包和/或安裝包有很好的識別能力。
[0005]本發(fā)明采用如下方法來實(shí)現(xiàn):一種啟發(fā)式自解壓包和安裝包檢測方法,包括: 收集已知自解壓包和/或安裝包,并獲取基本信息;所述基本信息包括自解壓包和/或安裝包的類型或者版本;
解析已知自解壓包和/或安裝包的PE文件結(jié)構(gòu),獲取圖標(biāo)相關(guān)信息;
基于已知自解壓包和/或安裝包的圖標(biāo)相關(guān)信息提取匹配特征;
獲取待檢測PE文件,遍歷待檢測PE文件資源節(jié),獲取待檢測PE文件的圖標(biāo)相關(guān)信息;基于待檢測PE文件的圖標(biāo)相關(guān)信息提取特征;所述匹配特征與所述特征的提取方法相同;
將所述特征與匹配特征進(jìn)行相似性匹配,若存在相似度達(dá)到指定閾值的匹配特征,則匹配成功,并反饋與所述匹配特征相應(yīng)的基本信息。
[0006]進(jìn)一步地,所述圖標(biāo)相關(guān)信息包括應(yīng)用在不同環(huán)境中的不同尺寸的圖標(biāo)信息。
[0007]一種啟發(fā)式自解壓包和安裝包檢測系統(tǒng),包括:
特征庫準(zhǔn)備模塊,用于收集已知自解壓包和/或安裝包,并獲取基本信息;所述基本信息包括自解壓包和/或安裝包的類型或者版本;
特征庫解析模塊,用于解析已知自解壓包和/或安裝包的PE文件結(jié)構(gòu),獲取圖標(biāo)相關(guān)信息;基于已知自解壓包和/或安裝包的圖標(biāo)相關(guān)信息提取匹配特征;
特征庫,用于存儲特征庫解析模塊提取的匹配特征;
待檢測文件獲取模塊,用于獲取待檢測PE文件,遍歷待檢測PE文件資源節(jié),獲取待檢測PE文件的圖標(biāo)相關(guān)信息;
待檢測特征提取模塊,用于基于待檢測PE文件的圖標(biāo)相關(guān)信息提取特征;
特征匹配模塊,用于將待檢測特征提取模塊提取的特征與特征庫中存儲的匹配特征進(jìn)行相似性匹配,若存在相似度達(dá)到指定閾值的匹配特征,則匹配成功,并反饋與所述匹配特征相應(yīng)的基本信息;
所述匹配特征與所述特征的提取方法相同。
[0008]進(jìn)一步地,特征庫解析模塊和待檢測文件獲取模塊中的所述圖標(biāo)相關(guān)信息包括應(yīng)用在不同環(huán)境中的不同尺寸的圖標(biāo)信息。
[0009]綜上所述,本發(fā)明提供了一種啟發(fā)式自解壓包和安裝包檢測方法及系統(tǒng),本發(fā)明所提供的技術(shù)方案首先收集已知的自解壓包和/或安裝包,并對已知的自解壓包和/或安裝包進(jìn)行PE文件格式解析,從而獲取圖標(biāo)相關(guān)信息,并進(jìn)一步基于設(shè)定方式提取匹配特征。獲取待檢測PE文件的圖標(biāo)相關(guān)信息,并基于相同的設(shè)定方式提取特征,將所述特征與之前所有的已知自解壓包和/或安裝包的匹配特征進(jìn)行相似度匹配,若存在相似度達(dá)到指定閾值的匹配特征,則將所述匹配特征對應(yīng)的已知自解壓包或者、安裝包的基本信息反饋給用戶。從而可以知道待檢測PE文件所屬的自解壓包或安裝包的類型和其他基本信息。從而,基于版本的更新等雖然會導(dǎo)致自解壓頭變化,但是其圖標(biāo)相關(guān)信息通常不會改變的事實(shí),對于未知的自解壓包或者安裝包,或者是已知自解壓包或者安裝包的升級版本,本發(fā)明所述的技術(shù)方案都能夠高效并準(zhǔn)確地識別出來。
【附圖說明】
[0010]為了更清楚地說明本發(fā)明的技術(shù)方案,下面將對實(shí)施例中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
[0011]圖1為本發(fā)明提供的啟發(fā)式自解壓包和安裝包檢測方法中匹配特征獲取流程圖; 圖2為本發(fā)明提供的啟發(fā)式自解壓包和安裝包檢測方法流程圖;
圖3為本發(fā)明提供的啟發(fā)式自解壓包和安裝包檢測系統(tǒng)結(jié)構(gòu)圖。
【具體實(shí)施方式】
[0012]本發(fā)明給出了一種啟發(fā)式自解壓包和安裝包檢測方法及系統(tǒng),為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案,并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂,下面結(jié)合附圖對本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明:
本發(fā)明首先提供了啟發(fā)式自解壓包和安裝包檢測方法匹配特征獲取實(shí)施例,如圖1所示,包括:
SlOl收集已知自解壓包和/或安裝包,并獲取基本信息;所述基本信息包括自解壓包和/或安裝包的類型或者版本;其中,已知自解壓包和/或安裝包包括:RAR、NSIS或者Zip等;
S102解析已知自解壓包和/或安裝包的PE文件結(jié)構(gòu),獲取圖標(biāo)相關(guān)信息;
S103基于已知自解壓包和/或安裝包的圖標(biāo)相關(guān)信息提取匹配特征。
[0013]本發(fā)明其次提供了啟發(fā)式自解壓包和安裝包檢測方法實(shí)施例,如圖2所示,包括: S201獲取待檢測PE文件,遍歷待檢測PE文件資源節(jié),獲取待檢測PE文件的圖標(biāo)相關(guān)信息;所述資源節(jié)即PE文件結(jié)構(gòu)中的rsrc部分;
S202基于待檢測PE文件的圖標(biāo)相關(guān)信息提取特征;所述匹配特征與所述特征的提取方法相同;其中,提取方法可以為哈?;蛘吣:5龋?br> S203將所述特征與匹配特征進(jìn)行相似性匹配,并判斷是否存在相似度達(dá)