技术总结
本发明公开了用于检测可在虚拟堆栈机上执行的有害文件的系统和方法。一种示例性方法包括:从在虚拟堆栈机上执行的文件识别数据,该数据包括该文件的文件节段的参数和/或该文件的函数的参数;在数据库中搜索安全文件的至少一个群集,该安全文件的至少一个群集包含以下中的至少一者:文件节段的参数中的超过第一阈值的值、和函数的参数中的超过第二阈值的值;基于所识别的安全文件的群集,创建该文件的数据的群集;计算所创建的该文件的数据的群集的校验和;以及如果所计算的校验和匹配有害文件的校验和的数据库中的校验和,则确定该文件是有害文件。
技术研发人员:安东·M·伊万诺夫;亚历山大·V·利斯金
受保护的技术使用者:卡巴斯基实验室股份制公司
文档号码:201610113527
技术研发日:2016.02.29
技术公布日:2017.01.11