一种提取pe文件特征的方法及装置制造方法

一种提取pe文件特征的方法及装置制造方法【专利摘要】本发明实施例公开了一种提取PE文件特征的方法及装置，所述方法包括：对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；提取所述特征代码的hash特征；根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。杀毒软件利用通过本发明实施提供的方法提取的特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，且应用本发明实施例可以提高提取目标PE文件特征的速度。【专利说明】一种提取PE文件特征的方法及装置【
技术领域：
】[0001]本发明涉及数据安全【
技术领域：
】，特别涉及一种提取PE文件特征的方法及装置。【
背景技术：
】[0002]PE(PortableExecute)文件被称为可移植的执行体,例如，exe文件、dll文件、OCX文件、sys文件和com文件等均为PE文件。由于实际应用中PE文件感染计算机病毒的现象越来越常见，因此，用户在获得某一PE文件后，通常先通过杀毒软件检测该PE文件是否已被计算机病毒感染。[0003]应用杀毒软件检测待检测PE文件是否已被计算机病毒感染时，首先要提取待检测PE文件的特征。现有技术中，提取待检测PE文件的全文hash(哈希)特征是较常见的一种PE文件特征提取方法。在提取全文hash特征时，其计算范围为待检测PE文件中的所有字节，因此，该特征可以精确的描述待检测文件的特征。但是，全文hash特征对数据比较敏感，即使改变文件中的一个字节也会带来全文hash特征的改变，例如，两个PE文件的核心代码是一样的，但是非核心代码稍有区别，则全文hash特征可能存在很大差别，因此，杀毒软件利用全文hash特征匹配法进行病毒检测时，全文hash特征的通用性较弱。另外，一般PE文件中会存在多处可以随意修改但是不影响文件正常运行的结构，例如，节缝隙等等，因此,实际应用中病毒程序可以通过修改这些地方而改变待检测文件的全文hash特征，从而绕过杀毒软件的检测。再者，由于提取全文hash特征时，需覆盖待检测PE文件中的所有字节，因此，提取全文hash特征时，速度慢、消耗资源高。【
发明内容】[0004]本发明实施例公开了一种提取PE文件特征的方法及装置，以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且提高利用该特征进行病毒检测时的通用性，及提取目标PE文件特征的速度。[0005]为达到上述目的，本发明实施例公开了一种提取PE文件特征的方法，所述方法包括:[0006]对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；[0007]提取所述特征代码的hash特征；[0008]根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。[0009]较佳的，所述提取所述特征代码的hash值，包括:[0010]根据预设规则对特征代码进行分段；[0011]提取分段后各个代码段预设位置对应的子代码段；[0012]提取各个子代码段的hash特征；[0013]根据各个子代码段的hash特征生成特征代码的hash特征。[0014]较佳的，所述预设位置，包括:[0015]从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或[0016]从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或[0017]从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。[0018]较佳的，在分析得知所述目标PE文件包括多个代码节的情况下，[0019]所述获得所述源代码中的特征代码，包括:[0020]获得所述源代码中的一个或多个代码节。[0021]较佳的，所述获得所述源代码中的一个代码节，包括:[0022]获得所述源代码中长度最长的代码节；或[0023]获得所述源代码中包含入口代码的代码节。[0024]为达到上述目的，本发明实施例公开了一种提取PE文件特征的装置，所述装置包括:[0025]特征代码获得模块，用于对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；[0026]hash特征提取模块，用于提取所述特征代码的hash特征；[0027]PE文件特征生成模块，用于根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。[0028]较佳的，所述hash特征提取模块，包括:特征代码分段子模块、子代码段提取子模块、子代码段hash特征提取子模块和hash特征生成子模块；[0029]所述特征代码分段子模块，用于根据预设规则对特征代码进行分段；[0030]所述子代码段提取子模块，用于提取分段后各个代码段预设位置对应的子代码段；[0031]所述子代码段hash特征提取子模块，用于提取各个子代码段的hash特征；[0032]所述hash特征生成子模块，用于根据各个子代码段的hash特征生成特征代码的hash特征。[0033]较佳的，所述子代码段提取子模块，具体用于提取分段后各个代码段以下位置对应的子代码段，[0034]从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或[0035]从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或[0036]从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。[0037]较佳的，所述特征代码获得模块，具体用于对目标PE文件的源代码进行分析，在分析得知所述目标PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。[0038]较佳的，所述特征代码获得模块，[0039]具体用于对目标PE文件的源代码进行分析，获得所述源代码中长度最长的代码节;或[0040]具体用于对目标PE文件的源代码进行分析，获得所述源代码中包含入口代码的代码节。[0041]由以上可见，本方案中，通过提取目标PE文件特征代码的hash特征来生成该目标PE文件的特征，以使得杀毒软件利用该目标PE文件的特征检测该目标PE文件是否被计算机病毒感染。与现有技术相比，由于全文hash特征对数据比较敏感，改变文件中的一个字节即可引起全文hash特征的改变，而PE文件的特征代码部分为PE文件的核心代码，且不能够被随意修改，因此，用特征代码的hash特征生成目标PE文件的特征，可以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，又由于本方案中只提取目标PE文件的特征代码的特征而非全文的特征，因此提高了提取目标PE文件特征的速度。【专利附图】【附图说明】[0042]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。[0043]图1为本发明实施例提供的一种提取PE文件特征的方法的流程示意图；[0044]图2为本发明实施例提供的提取特征代码的hash特征方法的流程示意图；[0045]图3为本发明实施例提供的一种病毒检测方法的流程示意图；[0046]图4为本发明实施例提供的一种提取PE文件特征的装置的结构示意图；[0047]图5为本发明实施例提供的一种hash特征提取模块的结构示意图。【具体实施方式】[0048]现有技术中，常通过提取全文hash特征的方法获得待检测PE文件的特征，虽然全文hash特征能够精确的描述待检测PE文件的特征，但是其对数据比较敏感，杀毒软件利用该特征进行病毒检测时，通用性差且易被病毒绕过，又由于提取全文hash特征时，需覆盖待检测PE文件的所有字节，因此该提取PE文件特征的方法速度慢。鉴于现有提取PE文件的方法中存在上述问题，本发明实施例提供了一种提取PE文件特征的方法及装置，以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且提高利用该特征进行病毒检测时的通用性，及提取目标PE文件特征的速度。[0049]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。[0050]图1为本发明实施例提供的一种提取PE文件特征的方法的流程示意图，该方法包括以下步骤:[0051]SlOl:对目标PE文件的源代码进行分析，获得所述源代码中的特征代码。[0052]其中，特征代码可以包括:以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节等等，本申请不对目标PE文件特征代码的具体表现形式进行限定，可以根据目标PE文件的具体代码结构确定。[0053]实际应用中，由于常用的PE文件的代码节属于PE文件的关键代码，其被随意修改后，很容易导致文件运行错误，所以，通常情况下，PE文件的代码节部分不易被自动化工具修改，可以选取代码节作为PE文件的特征代码。[0054]一个PE文件中可以包括一个代码节也可以包括多个代码节，当分析得知当前PE文件包括多个代码节时，可以选取其中的一个或多个代码节作为当前目标PE文件的特征代码。当当前PE文件的源代码中包括多个代码节，而只选取其中的一个代码节作为特征代码时，可以选取各个代码节中长度最长的代码节作为特征代码，也可以选取包含入口代码的代码节作为特征代码。[0055]除了选取上述的一个或多个代码节作为PE文件的特征代码外，一个或多个代码节还可以与PE文件的头信息或附加数据组合作为PE文件的特征代码。[0056]其中，附加数据是指PE文件的源代码中最后一个节的末尾至文件末尾之间的区域对应的数据。[0057]实际应用中，还存在另外一种类型的PE文件，该类型的PE文件含有大量框架代码，不同文件之间PE头信息和所有节的数据几乎一样，但是其附加数据的内容不同，例如:脚本驱动类型的PE文件。这一类型的PE文件可以选取附加数据或者资源节或者两者的组合等作为特征代码。[0058]其中，资源节是指PE文件中用于存放外围数据的节区域，例如，编译器通常将PE文件的图标、版本信息、界面对话框等等信息存放于资源节区域内。[0059]S102:提取所述特征代码的hash特征。[0060]在本发明的一个具体实施例中，提供了一种提取所述特征代码的hash特征的具体实现方式，图2为本发明实施例提供的提取特征代码的hash特征方法的流程示意图，该方法包括以下步骤:[0061]S102A:根据预设规则对特征代码进行分段。[0062]上述的预设规则可以是从特征代码的起始位置开始，按照固定值依次对特征代码进行分段，各段之间不重叠。例如:选取长度为0x10000的代码节作为特征代码，则可以从特征代码的起始位置开始，每0x1000长度的代码段为一段，将特征代码分段，即:[0x0000，OxOFFF]、[0x1000,OxlFFF],[0x2000,0x2FFF]......[0063]上述的预设规则还可以是从特征代码的起始位置开始，按照固定值依次对特征代码进行分段，各段之间部分重叠。例如:上述特征代码按照该预设规则分段后各段的区间为:[0x0000，OxlOOF]、[0x0FF5，0x200F]......[0064]当然，本申请只是以上述为例进行说明，实际应用中预设规则的具体形式不仅限于此，例如:分段间隔还可以是非固定值等等。[0065]S102B:提取分段后各个代码段预设位置对应的子代码段。[0066]其中，预设位置，可以是:[0067]从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或[0068]从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或[0069]从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间等等。[0070]具体的，上述按照固定值对特征代码分段，且各段之间不重叠的情况，可以选择分段后各个代码段的中间位置、长度为0x100的代码区间作为子代码段。[0071]S102C:提取各个子代码段的hash特征。[0072]S102D:根据各个子代码段的hash特征生成特征代码的hash特征。[0073]本步骤中，可以通过计算各个子代码段的hash特征的hash特征，生成目标PE文件的特征代码的hash特征。[0074]S103:根据所述特征代码的hash特征生成目标PE文件的特征。[0075]由以上可见，本方案中，通过提取目标PE文件特征代码的hash特征来生成该目标PE文件的特征，以使得杀毒软件利用该目标PE文件的特征检测该目标PE文件是否被计算机病毒感染。与现有技术相比，由于全文hash特征对数据比较敏感，改变文件中的一个字节即可引起全文hash特征的改变，而PE文件的特征代码部分为PE文件的核心代码，且不能够被随意修改，因此，用特征代码的hash特征生成目标PE文件的特征，可以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，又由于本方案中只提取目标PE文件的特征代码的特征而非全文的特征，因此提高了提取目标PE文件特征的速度。[0076]杀毒软件进行病毒检测时，首先需提取待检测PE文件的特征，再根据所提取的特征对待检测PE文件进行病毒检测。其中，提取待检测PE文件的特征可以采用图1所示实施例提供的提取PE文件特征的方法进行。具体的，杀毒软件进行病毒检测，可以分为以下三种情况:[0077]第一种情况，待检测PE文件存储于客户端，客户端通过图1所示实施例提供的提取PE文件特征的方法提取待检测PE文件的特征，并将该特征与存储于客户端的预设的特征病毒库匹配，进行病毒检测；[0078]第二种情况，待检测PE文件存储于客户端，客户端通过图1所示实施例提供的提取PE文件特征的方法提取待检测PE文件的特征，并将该特征发送给服务器端，服务器端接收到该特征后，将该特征与存储于服务器端的预设的特征病毒库匹配，进行病毒检测；[0079]第三种情况，待检测PE文件存储于服务器端，服务器端通过图1所示实施例提供的提取PE文件特征的方法提取待检测PE文件的特征，并将该特征与存储于服务器端的预设的特征病毒库匹配，进行病毒检测。[0080]其中，预设的特征病毒库中的特征是通过图1所示实施例提供的提取PE文件特征的方法提取样本PE文件得到的。[0081]下面通过具体实施例进行详细说明。[0082]图3为本发明实施例提供的一种病毒检测方法的流程示意图，该方法包括:[0083]S301:确定待检测PE文件的特征信息。[0084]实际应用中，待检测PE文件的特征信息可以是客户端提取存储于客户端的待检测PE文件的特征信息后，发送给服务器端的特征信息、服务器端提取的存储于服务器端的待检测PE文件的特征信息或客户端提取的存储于客户端的待检测PE文件的特征信息。其中，提取待检测PE文件的特征信息可以通过图1所示实施例提供的方法实现。[0085]待检测PE文件的特征信息是指:待检测PE文件的特征代码对应的特征信息。每一个待检测PE文件的源代码都可以按照各部分代码的不同的功能划分为不同的代码段，其中，有些代码段可以随意修改而不会影响文件的正常运行，而有些代码段一旦修改即可导致文件运行错误。待检测PE文件源代码中修改后会导致文件运行错误的代码段，称为待检测PE文件的特征代码。[0086]具体的，待检测PE文件的特征代码可以是待检测PE文件的代码节、待检测PE文件的附加数据或待检测PE文件的资源节等等，也可以是上述几种的任意组合。[0087]S302:将所述特征信息与预设的特征病毒库中的特征进行匹配，获得第一匹配结果O[0088]通常情况下，预设的特征病毒库中会包含多个已被病毒感染的样本文件的特征信息，在S301确定待检测PE文件的特征信息后，将该特征信息与预设的特征病毒库中的特征逐个进行匹配，若与该病毒库中的任一特征相匹配，则说明待检测PE文件已被与待检测PE文件的特征相匹配的特征对应的病毒感染，否则，则说明待检测PE文件未被预设的特征病毒库中特征对应的病毒感染。[0089]其中，预设的特征病毒库中的特征是通过图1所示实施例提供的提取PE文件特征的方法提取样本PE文件得到的。[0090]S103:根据第一匹配结果生成病毒检测报告。[0091]本步骤中生成的病毒检测报告中可以包括:待检测PE文件是否已被病毒感染、已感染病毒的类型、对待检测PE文件的处理建议等等，当然，实际应用中，病毒检测报告所包括的内容不仅限于上述几种。[0092]由以上可见，本方案中，通过将待检测PE文件的特征与预设的特征病毒库中的特征相匹配的方法进行病毒检测。由于现有的全文hash特征匹配法中，全文hash特征对数据比较敏感，改变文件中的一个字节即可引起全文hash特征的改变，因此,全文hash特征通用性较弱，而应用图1所示实施例提供的提取PE文件特征的方法提取的待检测PE文件的特征通用性较强，用该特征进行病毒检测，可以降低病毒检测的误报率。[0093]图4为本发明实施例提供的一种提取PE文件特征的装置的结构示意图，该装置包括:特征代码获得模块401、hash特征提取模块402和PE文件特征生成模块403。[0094]其中，特征代码获得模块401，用于对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；[0095]hash特征提取模块402，用于提取所述特征代码的hash特征；[0096]PE文件特征生成模块403，用于根据所述hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。[0097]在本发明的一个具体实施例中，提供了一种hash特征提取模块402的具体实现方式，图5为本发明实施例提供的一种hash特征提取模块的结构示意图，具体包括:特征代码分段子模块4021、子代码段提取子模块4022、子代码段hash特征提取子模块4023和hash特征生成子模块4024。[0098]所述特征代码分段子模块4021，用于根据预设规则对特征代码进行分段；[0099]所述子代码段提取子模块4022，用于提取分段后各个代码段预设位置对应的子代码段；[0100]所述子代码段hash特征提取子模块4023，用于提取各个子代码段的hash特征；[0101]所述hash特征生成子模块4024，用于根据各个子代码段的hash特征生成特征代码的hash特征。[0102]其中，所述子代码段提取子模块4022，可以具体用于提取分段后各个代码段以下位置对应的子代码段，[0103]从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或[0104]从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或[0105]从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。[0106]本实施例中，所述特征代码获得模块401，可以具体用于对目标PE文件的源代码进行分析，在分析得知所述目标PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。[0107]本实施例中，所述特征代码获得模块401，[0108]可以具体用于对目标PE文件的源代码进行分析，获得所述源代码中长度最长的代码节；或[0109]可以具体用于对目标PE文件的源代码进行分析，获得所述源代码中包含入口代码的代码节。[0110]由以上可见，本方案中，通过提取目标PE文件特征代码的hash特征来生成该目标PE文件的特征，以使得杀毒软件利用该目标PE文件的特征检测该目标PE文件是否被计算机病毒感染。与现有技术相比，由于全文hash特征对数据比较敏感，改变文件中的一个字节即可引起全文hash特征的改变，而PE文件的特征代码部分为PE文件的核心代码，且不能够被随意修改，因此，用特征代码的hash特征生成目标PE文件的特征，可以使得杀毒软件利用该特征进行病毒检测时不易被绕过，且能够提高杀毒软件利用该特征进行病毒检测时的通用性，又由于本方案中只提取目标PE文件的特征代码的特征而非全文的特征，因此提高了提取目标PE文件特征的速度。`[0111]对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。[0112]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[0113]本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如:R0M/RAM、磁碟、光盘等。[0114]以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。【权利要求】1.一种提取PE文件特征的方法，其特征在于，所述方法包括:对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；提取所述特征代码的hash特征；根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。2.根据权利要求1所述的方法，其特征在于，所述提取所述特征代码的hash值，包括:根据预设规则对特征代码进行分段；提取分段后各个代码段预设位置对应的子代码段；提取各个子代码段的hash特征；根据各个子代码段的hash特征生成特征代码的hash特征。3.根据权利要求2所述的方法，其特征在于，所述预设位置，包括:从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或从代码段的中间位置，向前和向后`，长度均为预设的第三阈值的代码区间。4.根据权利要求1-3中任一项所述的方法，其特征在于，在分析得知所述目标PE文件包括多个代码节的情况下，所述获得所述源代码中的特征代码，包括:获得所述源代码中的一个或多个代码节。5.根据权利要求4所述的方法，其特征在于，所述获得所述源代码中的一个代码节，包括:获得所述源代码中长度最长的代码节；或获得所述源代码中包含入口代码的代码节。6.一种提取PE文件特征的装置，其特征在于，所述装置包括:特征代码获得模块，用于对目标PE文件的源代码进行分析，获得所述源代码中的特征代码；所述特征代码为以下几种中任意一种或几种的组合，目标PE文件的代码节、目标PE文件的附加数据或目标PE文件的资源节；hash特征提取模块，用于提取所述特征代码的hash特征；PE文件特征生成模块，用于根据所述特征代码的hash特征生成目标PE文件的特征，所述目标PE文件的特征用于检测所述目标PE文件是否被病毒感染。7.根据权利要求6所述的装置，其特征在于，所述hash特征提取模块，包括:特征代码分段子模块、子代码段提取子模块、子代码段hash特征提取子模块和hash特征生成子模块；所述特征代码分段子模块，用于根据预设规则对特征代码进行分段；所述子代码段提取子模块，用于提取分段后各个代码段预设位置对应的子代码段；所述子代码段hash特征提取子模块，用于提取各个子代码段的hash特征；所述hash特征生成子模块，用于根据各个子代码段的hash特征生成特征代码的hash特征。8.根据权利要求7所述的装置，其特征在于，所述子代码段提取子模块，具体用于提取分段后各个代码段以下位置对应的子代码段，从代码段的开始位置，向后，长度为预设的第一阈值的代码区间；或从代码段的结束位置，向前，长度为预设的第二阈值的代码区间；或从代码段的中间位置，向前和向后，长度均为预设的第三阈值的代码区间。9.根据权利要求6-8中任一项所述的装置，其特征在于，所述特征代码获得模块，具体用于对目标PE文件的源代码进行分析，在分析得知所述目标PE文件的源代码中包括多个代码节的情况下，获得所述源代码中的一个或多个代码节。10.根据权利要求9所述的装置，其特征在于，所述特征代码获得模块，具体用于对目标PE文件的源代码进行分析，获得所述源代码中长度最长的代码节；或具体用于对目标PE文件的源代码进行分析，获得所述源代码中包含入口代码的代码节。`【文档编号】G06F21/10GK103886229SQ201410086803【公开日】2014年6月25日申请日期:2014年3月10日优先权日:2014年3月10日【发明者】王鑫,姚辉,刘桂峰申请人:珠海市君天电子科技有限公司