用于检测可在虚拟堆栈机上执行的有害文件的系统和方法与流程

技术特征：

1.一种用于检测在虚拟堆栈机上执行的有害文件的方法，所述方法包括：

通过硬件处理器从在所述虚拟堆栈机上执行的文件识别数据，所述数据包括所述文件的文件节段的参数和由所述虚拟堆栈机执行的所述文件的函数的参数中的至少一者；

基于所识别的所述数据，通过所述硬件处理器在数据库中搜索安全文件的至少一个群集，所述安全文件的至少一个群集包含以下中的至少一者：所述文件节段的所述参数中的一个参数的超过第一阈值的值、和所述函数的所述参数中的一个参数的超过第二阈值的值；

至少部分地基于所识别的所述安全文件的至少一个群集，通过所述硬件处理器创建由所述虚拟堆栈机执行的所述文件的数据的群集；

通过所述硬件处理器计算所创建的所述由所述虚拟堆栈机执行的所述文件的数据的群集的至少一个校验和；

通过所述硬件处理器访问有害文件的校验和的数据库；以及

如果所计算的所述至少一个校验和匹配所述有害文件的校验和的数据库中的校验和，则通过所述硬件处理器确定在所述虚拟堆栈机上执行的所述文件是有害文件。

2.根据权利要求1所述的方法，其中，所述文件的所述文件节段的所述参数包括以下中的至少一者：代码、名称、标题类型、数据在所述文件节段中的偏移量、和所述数据在所述文件节段中的大小。

3.根据权利要求1所述的方法，其中，所述文件的所述函数的所述参数包括以下中的至少一者：函数体索引、函数代码在所述文件节段中的位置和长度、函数描述符索引、在执行所述函数时堆栈的最大深度、由所述函数所使用的局部变量的数目、所述函数的名称、操作数的数目、和能够返回的数据类型。

4.根据权利要求1所述的方法，其中，所述第一阈值为文件节段的类型的数目。

5.根据权利要求1所述的方法，其中，所述第二阈值为由所述函数所使用的局部变量的数目。

6.根据权利要求1所述的方法，其中，计算所述至少一个校验和包括通过计算集合MD5来计算模糊校验和，所述集合MD5包括：包含节段标题类型和这些节段的大小的群集、包含由所述文件的所述函数所使用的局部变量的数目的群集、和包含能够由所述虚拟堆栈机执行的所述函数的名称的群集。

7.根据权利要求6所述的方法，其中，确定能够在所述虚拟堆栈机上执行的所述文件是有害文件包括：确定所述集合MD5的所述群集的至少两个校验和匹配所述有害文件的校验和的数据库中的至少两个校验和。

8.根据权利要求1所述的方法，其中，创建所述文件的所述数据的群集根据集群规则来执行，所述集群规则包括以下中的至少一者：将所识别的所述数据以从所述文件识别所述数据的顺序布置在连续的群集中；如果所述文件节段的所述数据的大小等于零，则不使用所述文件节段的所述参数来创建所述数据的群集；如果由所述函数所使用的局部变量的数目等于零，则不使用所述文件的所述函数的所述参数来创建所述数据的群集；以及不使用从在安全文件的群集的所述数据库中识别的所述群集所识别的数据来创建所述数据的群集。

9.一种用于检测在虚拟堆栈机上执行的有害文件的系统，所述系统包括：

至少一个数据库，所述至少一个数据库被配置成存储安全文件的群集和有害文件的校验和的群集；以及

硬件处理器，所述硬件处理器被配置成：

从在所述虚拟堆栈机上执行的文件识别数据，所述数据包括所述文件的文件节段的参数和由所述虚拟堆栈机执行的所述文件的函数的参数中的至少一者；

基于所识别的所述数据，在所述数据库中搜索安全文件的至少一个群集，所述安全文件的至少一个群集包含以下中的至少一者：所述文件节段的所述参数中的一个参数的超过第一阈值的值、和所述函数的所述参数中的一个参数的超过第二阈值的值；

至少部分地基于所识别的所述安全文件的至少一个群集，创建由所述虚拟堆栈机执行的所述文件的数据的群集；

计算所创建的所述由所述虚拟堆栈机执行的所述文件的数据的群集的至少一个校验和；

访问有害文件的校验和的数据库；以及

如果所计算的所述至少一个校验和匹配所述有害文件的校验和的数据库中的校验和，则确定在所述虚拟堆栈机上执行的所述文件是有害文件。

10.根据权利要求9所述的系统，其中，所述文件的所述文件节段的所述参数包括以下中的至少一者：代码、名称、标题类型、数据在所述文件节段中的偏移量、和所述数据在所述文件节段中的大小。

11.根据权利要求9所述的系统，其中，所述文件的所述函数的所述参数包括以下中的至少一者：函数体索引、函数代码在所述文件节段中的位置和长度、函数描述符索引、在执行所述函数时堆栈的最大深度、由所述函数所使用的局部变量的数目、所述函数的名称、操作数的数目、和能够返回的数据类型。

12.根据权利要求9所述的系统，其中，所述第一阈值为文件节段的类型的数目。

13.根据权利要求9所述的系统，其中，所述第二阈值为由所述函数所使用的局部变量的数目。

14.根据权利要求9所述的系统，其中，所述硬件处理器还被配置成：通过计算集合MD5来计算模糊校验和从而计算所述至少一个校验和，所述集合MD5包括：包含节段标题类型和这些节段的大小的群集、包含由所述文件的所述函数所使用的局部变量的数目的群集、和包含能够由所述虚拟堆栈机执行的所述函数的名称的群集。

15.根据权利要求14所述的系统，其中，所述硬件处理器还被配置成：通过确定所述集合MD5的所述群集的至少两个校验和匹配所述有害文件的校验和的数据库中的至少两个校验和，来确定能够在所述虚拟堆栈机上执行的所述文件是有害文件。

16.根据权利要求9所述的系统，其中，所述硬件处理器还被配置成：根据集群规则来创建所述文件的所述数据的群集，所述集群规则包括以下中的至少一者：将所识别的所述数据以从所述文件识别所述数据的顺序布置在连续的群集中；如果所述文件节段的所述数据的大小等于零，则不使用所述文件节段的所述参数来创建所述数据的群集；如果由所述函数所使用的局部变量的数目等于零，则不使用所述文件的所述函数的所述参数来创建所述数据的群集；以及不使用从在安全文件的群集的所述数据库中识别的所述群集所识别的数据来创建所述数据的群集。