一种识别动态链接库的方法及装置制造方法

文档序号:6540044阅读:185来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
一种识别动态链接库的方法及装置制造方法
【专利摘要】本发明实施例公开了一种识别动态链接库的方法及装置,一种识别动态链接库的方法,包括:提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;将待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断待识别动态链接库与样本动态链接库是否一致,其中,待识别动态链接库的文件特征值为待识别动态链接库的文件大小与待识别动态链接库的文件信息熵的乘积值,样本动态链接库的文件特征值为样本动态链接库的文件大小与样本动态链接库的文件信息熵的乘积值。与现有技术相比,用户修改待识别动态链接库的一个字符,本发明方法仍能识别出修改后的待识别动态链接库的类型。
【专利说明】一种识别动态链接库的方法及装置
【技术领域】
[0001]本发明涉及计算机安全【技术领域】,特别涉及一种识别动态链接库的方法及装置。【背景技术】
[0002]动态链接库是微软公司在微软视窗操作系统(即Windows操作系统)中实现共享函数库的一种方式。动态链接库包含一定数目的代码和数据,多个程序可以同时使用动态链接库中的代码和数据,以实现其相应的功能。例如,一些大型网页游戏在运行时,需要通过加载动态链接库来实现背景音乐播放等功能。有时,在程序加载动态链接库之前,用户希望确定这个动态链接库是否为该程序需要加载的目标动态链接库,以避免加载恶意动态链接库。
[0003]目前,已经存在一种识别动态链接库的方法,该方法具体为:提取待识别动态链接库的特征码,将该特征码与样本动态链接库的特征码进行比较,依据比较结果,确定待识别动态链接库的类型,其中,样本动态链接库可以为官方动态链接库或恶意动态链接库。例如,当样本动态链接库为恶意动态链接库时,首先,通过hash算法提取待识别动态链接库的hash值,然后,将该hash值与恶意动态链接库的hash值进行比较,如果待识别动态链接库的hash值与恶意动态链接库的hash值相同,则判断该待识别动态链接库为恶意动态链接库。
[0004]然而,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的特征码就会发生改变,因此很容易地绕过现有方法的识别。

【发明内容】

[0005]为解决上述问题,本发明实施例公开了一种识别动态链接库的方法及装置,以达到有效识别动态链接库类型的目的。具体技术方案如下:
[0006]一种识别动态链接库的方法,该方法包括:
[0007]提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
[0008]将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
[0009]优选的,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
[0010]将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;[0011]若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
[0012]若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则判断所述待识别动态链接库与所述样本动态链接库一致。
[0013]优选的,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括:
[0014]将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
[0015]若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
[0016]若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则判断所述待识别动态链接库与所述样本动态链接库一致。
[0017]优选的,所述样本动态链接库为恶意动态链接库。
[0018]优选的,所述样本动态链接库为官方动态链接库。
[0019]优选的,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该方法还包括:
[0020]判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
[0021]一种识别动态链接库的装置,该装置包括:
[0022]信息提取模块,用于提取待识别动态链接库的导出函数名、文件大小以及文件信息摘;
[0023]判断模块,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
[0024]优选的,所述判断模块,包括:
[0025]第一比较子模块,用于将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较;
[0026]第二比较子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
[0027]第一判断子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。[0028]优选的,所述判断模块,包括:
[0029]第三比较子模块,用于将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较;
[0030]第四比较子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
[0031]第二判断子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
[0032]优选的,所述样本动态链接库为恶意动态链接库。
[0033]优选的,所述样本动态链接库为官方动态链接库。
[0034]优选的,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该装置还包括:
[0035]推送模块,用于在所述判断模块判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
[0036]上述技术方案中,通过将待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,以达到判断所述待识别动态链接库与所述样本动态链接库是否一致的目的。
[0037]与现有技术相比,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的导出函数名,以及文件特征值并不会同时改变,本发明方法仍能识别出修改后的待识别动态链接库的类型。
【专利附图】

【附图说明】
[0038]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0039]图1为本发明实施例提供的识别动态链接库的方法的第一种流程图;
[0040]图2为本发明实施例提供的识别动态链接库的方法的第二种流程图;
[0041]图3为本发明实施例提供的识别动态链接库的方法的第三种流程图;
[0042]图4为本发明实施例提供的识别动态链接库的方法的第四种流程图;
[0043]图5为本发明实施例提供的一种识别动态链接库的装置的结构示意图;
[0044]图6为本发明实施例提供的判断模块的一种结构示意图;
[0045]图7为本发明实施例提供的判断模块的另一种结构示意图;
[0046]图8为本发明实施例提供的另一种识别动态链接库的装置的结构示意图。
【具体实施方式】
[0047]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0048]现有技术中,识别动态链接库的方法为:提取待识别动态链接库的特征码,将该特征码与样本动态链接库的特征码进行比较,依据比较结果,确定待识别动态链接库的类型。然而,用户修改待识别动态链接库的一个字符,修改后的待识别动态链接库的特征码就会发生改变,该修改后的待识别动态链接库就能很容易地绕过现有方法的检测。为此,本发明提出了一种识别动态链接库的方法及装置。
[0049]下面通过具体实施例,对本发明进行详细说明。
[0050]图1为本发明实施例提供的识别动态链接库的方法的第一种流程图,该方法包括以下步骤:
[0051]SlOl:提取待识别动态链接库的导出函数名、文件大小以及文件信息熵;
[0052]其中,动态链接库是一个包含一定数目的代码和数据的库,多个程序可以同时使用该库中的代码和数据;它是实现代码和数据共享的一种方式;
[0053]导出函数是目标动态链接库的执行入口标识,程序可以根据该标识获取该目标动态链接库内的代码和数据;
[0054]文件信息熵表征文件的字节码的混乱程度或者文件可被压缩的压缩比,文件信息熵的数值越大,表明文件的字节越混乱,或者文件能被压缩的程度越低;文件信息熵是0-1之间的数字,不能为O或1,它是一个没有单位的数值。
[0055]可以理解的是,不同类型的动态链接库具有不同的导出函数、文件大小以及文件信息熵,例如,动态链接库0000D260NetDll.dll含有导出函数名为GetVTable、GetDllVersion>DestroyNetFactory>CreateNetFactory 的 4 个导出函数,该动态链接库的文件大小为80.0KB (81.931bytes),该动态链接库的文件信息熵为0.618211。
[0056]另外需要说明的是,本发明实施例可以采用现有技术中任意一种能达到提取动态链接库的导出函数名、文件大小以及文件信息熵的目的的方法,本发明实施例对此不进行具体限制。
[0057]S102:将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致;
[0058]其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
[0059]可以理解的是,由于动态链接库的文件信息熵是一个没有单位的数值,文件信息熵与文件大小的乘积值也没有数值单位上的意义。
[0060]在本实施例中,仍以动态链接库0000D260NetDll.dll为例进行说明,已知它的导出函数有 GetVTable、GetDllVersion、DestroyNetFactory、CreateNetFactory,文件大小为80.0KB (81,931bytes),文件信息熵为 0.618211,文件特征值 50650.645441 (81931 乘以0.618211)。
[0061]本发明实施例提供的判断模块,根据待识别动态链接库中的导出函数是否也为GetVTable、GetDllVersion、DestroyNetFactory、CreateNetFactory,文件特征值是否也为50650.645441,来判断待识别的动态链接库与动态链接库0000D260NetDll.dll是不是同
一类型。
[0062]可以理解的是,在本发明实施例中,样本动态链接库可以为官方动态链接库,也可以为恶意动态链接库,本发明实施例对此不做具体限制。其中,官方动态链接库是从目标软件的官方网站上获取到的文件,恶意动态链接库是被恶意利用的、与官方动态链接库名相同的、但没有官方动态链接库的功能的文件。
[0063]上述实施例的方案并没有对导出函数名、文件特征值的比较顺序做出具体限制。在实际应用中,可以对比较顺序进行细化,鉴于此,本发明实施例提供了另一种识别动态链接库的方法,如图2所示,该方法可以包括以下步骤:
[0064]S201,提取待识别动态链接库的导出函数名、文件大小以及文件信息熵。
[0065]S202,比较待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度是否符合预设范围;
[0066]如果是,则转到S203 ;否则,转到S205。
[0067]S203,比较待识别动态链接库导出函数名与样本动态链接库导出函数名是否相同;
[0068]如果是,则转到S204 ;否则,转到S205。
[0069]S204,判断待识别动态链接库与样本动态链接库一致。
[0070]S205,判断待识别动态链接库与样本动态链接库不一致。
[0071]本实施例中的S201与前一实施例中的SlOl相同,在这里,不再赘述。本实施例对导出函数名、文件特征值的比较顺序做了具体限制,即先比较文件特征值,再比较导出函数名。
[0072]可以理解的是,文件特征值和导出函数名只要有一项不一致,则待识别动态链接库与样本动态链接库的类型就不一致。
[0073]另外需要说明的是,所述待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度可以通过计算两者的差值或比值来获得;通常情况下,依据经验值,预设范围设置为低于或高于对比文件的10%的范围;另外还可以根据实际需要,对预设范围进行设定,本发明实施例对此不进行具体限制。
[0074]然而在实际应用中,考虑到识别效率的问题,本发明实施例提供了另一种识别动态链接库的方法,如图3所示,该方法可以包括以下步骤:
[0075]S301,提取待识别动态链接库的导出函数名、文件大小以及文件信息熵。
[0076]S302,比较待识别动态链接库导出函数名与样本动态链接库导出函数名是否相同;
[0077]如果是,则转到S303 ;否则,转到S305。
[0078]S303,比较待识别动态链接库文件特征值与样本动态链接库文件特征值的近似值是否符合预设范围;
[0079]如果是,则转到S304 ;否则,转到S305。
[0080]S304,判断待识别动态链接库与样本动态链接库一致。
[0081]S305,判断待识别动态链接库与样本动态链接库不一致。
[0082]本实施例中的S301与前一实施例中的S201相同,在这里不再赘述。本实施例对导出函数名、文件特征值的比较顺序做了具体限制,即先比较导出函数名,再比较文件特征值。
[0083]可以理解的是,相比于从动态链接库中提取文件信息熵的繁琐,对导出函数名的提取更容易,导出函数名的比较也更为直观,如果导出函数名不一致,则直接可以判断待识别的动态链接库与样本动态链接库不一致,省去了提取文件信息熵的繁琐步骤。
[0084]在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,本发明实施例提供了另一种识别动态链接库的方法,如图4所示,该方法可以包括:
[0085]S401,提取待识别动态链接库的导出函数名、文件大小及文件信息熵。
[0086]S402,比较待识别动态链接库导出函数名与官方动态链接库导出函数名是否相同,两库文件特征值的近似度是否符合预设范围;
[0087]如果待识别动态链接库导出函数名与官方动态链接库导出函数名是相同,且两库文件特征值的近似度是符合预设范围,则转到S404 ;否则,转到S403。
[0088]S403,向用户提供获取该官方动态链接库的快捷方式。
[0089]S404,判断待识别动态链接库与样本动态链接库一致。
[0090]本实施例中的S401与前面实施例中的SlOl相同,在这里不再赘述。在S402中,待识别动态链接库导出函数名、文件特征值与官方动态链接库导出函数名、文件特征值的比较,可以按照前面实施例中的S202、S203的顺序进行比较,也可以按照前面实施例中的S302、S303的顺序进行比较。在新增的S403中,在用户提交的动态链接库与官方动态链接库不一致之后,可以提供给用户获取该官方动态链接库的快捷方式,用户可以根据实际需要选择是否获取该库。需要说明的是,这里的快捷方式可以是网址链接,也可以是该官方链接库文件,本实施例对此不做具体限制。
[0091]可以理解的是,官方动态链接库是安全的,当待识别的动态链接库与官方动态链接库不同时,该待识别的动态链接库可能存在安全隐患,考虑到安全性,可以向用户提供获取官方动态链接库的快捷方式。
[0092]由此可见,本实施例中,在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,当待识别的动态链接库与官方动态链接库不一致后,向用户提供获取官方动态链接库的快捷方式,用户可以根据该快捷方式获取安全的动态链接库,提高了安全性。
[0093]相应于上面的方法实施例,本发明还提供一种识别动态链接库的装置,参见图5所示,该装置可以包括:
[0094]信息提取模块501,用于提取待识别动态链接库的导出函数名、文件大小以及文件
信息熵;
[0095]判断模块502,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致;
[0096]其中,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。[0097]本发明实施例提供的另一种识别动态链接库的装置,如图6所示,所述识别模块502可以包括:
[0098]第一比较子模块502a,用于将所述待识别动态链接库导出函数名与样本动态链接库的导出函数名进行比较;
[0099]第二比较子模块502b,用于在所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较;
[0100]第一判断子模块502c,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
[0101]需要说明的是,所述待识别动态链接库文件特征值与样本动态链接库文件特征值的近似度可以通过计算两者的差值或比值来获得;通常情况下,依据经验值,预设范围设置为低于或高于对比文件的10%的范围;另外还可以根据实际需要,对预设范围进行设定,本发明实施例对此不进行具体限制。
[0102]本发明实施例还提供了另一种识别动态链接库的装置,如图7所示,所述识别模块502可以包括:
[0103]第三比较子模块502c,用于将所述待识别动态链接库的文件特征值,与样本动态链接库的文件特征值进行比较;
[0104]第四比较子模块502d,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较;
[0105]第二判断子模块502e,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库—致。
[0106]在待识别动态链接库为用户提交的动态链接库,样本动态链接库为官方动态链接库的情况下,本发明实施例还提供了另一种识别动态链接库的装置,如图8所示,该装置可以包括:
[0107]信息提取模块501、判断模块502,以及推送模块503 ;
[0108]其中,推送模块503,用于在判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
[0109]本实施例中的信息提取模块501、判断模块502与第一个装置实施例中的信息提取模块501、判断模块502相同,这里不再赘述。
[0110]本实施例中,在待识别动态链接库为用户提交的动态链接库、样本动态链接库为官方动态链接库的情况下,当判断待识别动态链接库与官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式,用户可以根据该快捷方式获取安全的动态链接库,提闻了安全性。
[0111]为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
[0112]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0113]本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
[0114]本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:R0M/RAM、磁碟、光盘等。
[0115]以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。`
【权利要求】
1.一种识别动态链接库的方法,其特征在于,该方法包括: 提取待识别动态链接库的导出函数名、文件大小以及文件信息熵; 将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
2.根据权利要求1所述的方法,其特征在于,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括: 将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较; 若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较; 若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则判断所述待识别动态链接库与所述样本动态链接库一致。
3.根据权利要求1所述的方法,其特征在于,所述将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,具体包括: 将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较; 若所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围,则进一步将所述待`识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较; 若所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同,则判断所述待识别动态链接库与所述样本动态链接库一致。
4.根据权利要求1所述的方法,其特征在于,所述样本动态链接库为恶意动态链接库。
5.根据权利要求1所述的方法,其特征在于,所述样本动态链接库为官方动态链接库。
6.根据权利要求5所述的方法,其特征在于,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该方法还包括: 判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
7.一种识别动态链接库的装置,其特征在于,该装置包括: 信息提取模块,用于提取待识别动态链接库的导出函数名、文件大小以及文件信息熵; 判断模块,用于将所述待识别动态链接库的导出函数名、文件特征值,分别与样本动态链接库的导出函数名、文件特征值进行比较,根据比较结果,判断所述待识别动态链接库与所述样本动态链接库是否一致,其中,所述待识别动态链接库的文件特征值为所述待识别动态链接库的文件大小与所述待识别动态链接库的文件信息熵的乘积值,所述样本动态链接库的文件特征值为所述样本动态链接库的文件大小与所述样本动态链接库的文件信息熵的乘积值。
8.根据权利要求7所述的装置,其特征在于,所述判断模块,包括: 第一比较子模块,用于将所述待识别动态链接库的导出函数名与样本动态链接库的导出函数名进行比较; 第二比较子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,进一步将所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值进行比较; 第一判断子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
9.根据权利要求7所述的装置,其特征在于,所述判断模块,包括: 第三比较子模块,用于将所述待识别动态链接库的文件特征值与样本动态链接库的文件特征值进行比较; 第四比较子模块,用于在所述待识别动态链接库的文件特征值与所述样本动态链接库的文件特征值的近似度符合预设范围的情况下,进一步将所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名进行比较; 第二判断子模块,用于在所述待识别动态链接库的导出函数名与所述样本动态链接库的导出函数名相同的情况下,判断所述待识别动态链接库与所述样本动态链接库一致。
10.根据权利要求7所述的装置,其特征在于,所述样本动态链接库为恶意动态链接库。`
11.根据权利要求7所述的装置,其特征在于,所述样本动态链接库为官方动态链接库。
12.根据权利要求11所述的装置,其特征在于,所述待识别的动态链接库为用户提交的动态链接库,所述样本动态链接库为官方动态链接库;该装置还包括: 推送模块,用于在所述判断模块判断出所述待识别动态链接库与所述官方动态链接库不一致后,向用户提供获取该官方动态链接库的快捷方式。
【文档编号】G06F21/57GK103886042SQ201410086815
【公开日】2014年6月25日 申请日期:2014年3月10日 优先权日:2014年3月10日
【发明者】李敏怡, 姚辉, 刘桂峰 申请人:珠海市君天电子科技有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:李敏怡;姚辉;刘桂峰
  • 技术所有人:珠海市君天电子科技有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
无线识别装置相关技术
装置开停车风险识别相关技术
usb装置无法识别相关技术
图像识别装置相关技术
车牌识别装置相关技术
无法配置生物识别装置相关技术
射频识别装置相关技术
形状识别装置相关技术
语音识别装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2