一种启发式自解压包和安装包检测方法及系统的制作方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种启发式自解压包和安装包检测方法及系统。
【背景技术】
[0002]通常自解压包或安装包是由负责解压目标数据的通用程序和待解压数据组成,所述通用程序为由压缩软件或安装包制作程序提供,可以称之为“自解压头”。对于这些自解压头,需要先通过各种方法获取其程序或者收集其制作好的文件,然后提取特征码,最后进行检测。
[0003]传统检测方法主要的问题在于,只能针对已知或者已捕获的样本有效,对于未知的或者已知但版本更新的自解压头无能为力。
【发明内容】
[0004]本发明提供了一种启发式自解压包和安装包检测方法及系统,该方法通过对已知自解压包和/或安装包进行图标相关信息获取,并基于图标相关信息提取匹配特征,基于同样的方法获取待检测PE文件的特征,通过将所述特征与所述匹配特征进行相似度匹配,从而确定待检测PE文件是否是自解压包和/或安装包。该方法对于未知的或者已更新升级后的自解压包和/或安装包有很好的识别能力。
[0005]本发明采用如下方法来实现:一种启发式自解压包和安装包检测方法,包括: 收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;
基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;基于待检测PE文件的图标相关信息提取特征;所述匹配特征与所述特征的提取方法相同;
将所述特征与匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息。
[0006]进一步地,所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
[0007]一种启发式自解压包和安装包检测系统,包括:
特征库准备模块,用于收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;
特征库解析模块,用于解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;基于已知自解压包和/或安装包的图标相关信息提取匹配特征;
特征库,用于存储特征库解析模块提取的匹配特征;
待检测文件获取模块,用于获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;
待检测特征提取模块,用于基于待检测PE文件的图标相关信息提取特征;
特征匹配模块,用于将待检测特征提取模块提取的特征与特征库中存储的匹配特征进行相似性匹配,若存在相似度达到指定阈值的匹配特征,则匹配成功,并反馈与所述匹配特征相应的基本信息;
所述匹配特征与所述特征的提取方法相同。
[0008]进一步地,特征库解析模块和待检测文件获取模块中的所述图标相关信息包括应用在不同环境中的不同尺寸的图标信息。
[0009]综上所述,本发明提供了一种启发式自解压包和安装包检测方法及系统,本发明所提供的技术方案首先收集已知的自解压包和/或安装包,并对已知的自解压包和/或安装包进行PE文件格式解析,从而获取图标相关信息,并进一步基于设定方式提取匹配特征。获取待检测PE文件的图标相关信息,并基于相同的设定方式提取特征,将所述特征与之前所有的已知自解压包和/或安装包的匹配特征进行相似度匹配,若存在相似度达到指定阈值的匹配特征,则将所述匹配特征对应的已知自解压包或者、安装包的基本信息反馈给用户。从而可以知道待检测PE文件所属的自解压包或安装包的类型和其他基本信息。从而,基于版本的更新等虽然会导致自解压头变化,但是其图标相关信息通常不会改变的事实,对于未知的自解压包或者安装包,或者是已知自解压包或者安装包的升级版本,本发明所述的技术方案都能够高效并准确地识别出来。
【附图说明】
[0010]为了更清楚地说明本发明的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0011]图1为本发明提供的启发式自解压包和安装包检测方法中匹配特征获取流程图; 图2为本发明提供的启发式自解压包和安装包检测方法流程图;
图3为本发明提供的启发式自解压包和安装包检测系统结构图。
【具体实施方式】
[0012]本发明给出了一种启发式自解压包和安装包检测方法及系统,为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明:
本发明首先提供了启发式自解压包和安装包检测方法匹配特征获取实施例,如图1所示,包括:
SlOl收集已知自解压包和/或安装包,并获取基本信息;所述基本信息包括自解压包和/或安装包的类型或者版本;其中,已知自解压包和/或安装包包括:RAR、NSIS或者Zip等;
S102解析已知自解压包和/或安装包的PE文件结构,获取图标相关信息;
S103基于已知自解压包和/或安装包的图标相关信息提取匹配特征。
[0013]本发明其次提供了启发式自解压包和安装包检测方法实施例,如图2所示,包括: S201获取待检测PE文件,遍历待检测PE文件资源节,获取待检测PE文件的图标相关信息;所述资源节即PE文件结构中的rsrc部分;
S202基于待检测PE文件的图标相关信息提取特征;所述匹配特征与所述特征的提取方法相同;其中,提取方法可以为哈希或者模糊哈希等;
S203将所述特征与匹配特征进行相似性匹配,并判断是否存在相似度达