技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)反病毒領(lǐng)域，特別涉及一種提取病毒文件的病毒特征的方法及其裝置。

背景技術(shù)

目前互聯(lián)網(wǎng)中最流行的病毒和木馬不再是單個(gè)活動(dòng)，而是一類的大量變種在互聯(lián)網(wǎng)中活動(dòng)，并且可頻繁升級(jí)，所以很容易發(fā)生大量的病毒和木馬爆發(fā)的局面。這對(duì)反病毒產(chǎn)品升級(jí)的周期提出了更高的要求，反病毒產(chǎn)品的升級(jí)速度對(duì)是否能有效防殺大量的病毒和木馬起到重要的作用。

目前反病毒最成熟的方法之一是特征法。特征法一般包括病毒分析、特征提取、病毒庫制作及升級(jí)等過程，在這些過程中對(duì)病毒特征提取是否快速無誤是特征法重要的過程之

目前病毒特征的提取方式主要是手工提取和半自動(dòng)提取。手工提取病毒特征是病毒分析員使用反匯編工具軟件將病毒文件反匯編；通過對(duì)反匯編后的文件的詳細(xì)分析，從病毒文件中提取可以作為這個(gè)病毒文件特征的二進(jìn)制特征串；之后按照引擎要求編寫查毒腳本，這個(gè)查毒腳本即是病毒特征。半自動(dòng)提取病毒特征的方法是在編寫查毒腳本的時(shí)候用輔助工具來編寫，其他步驟和手工提取病毒特征一樣。

但上述兩種提取病毒特征的方法需要人工的參與，降低了提取病毒特征的速度；而且在提取病毒文件的病毒特征的二進(jìn)制特征串這個(gè)過程中，容易錯(cuò)把一些非病毒文件特征的二進(jìn)制序列串當(dāng)成病毒文件特征的二進(jìn)制特征串，造成誤報(bào)，提取的不是病毒特征。

發(fā)明內(nèi)容

本發(fā)明提供了一種提取病毒文件的病毒特征的方法及其裝置，其能縮短提取病毒文件的病毒特征的時(shí)間，并提高提取病毒文件的病毒特征的準(zhǔn)確度。

本發(fā)明的技術(shù)方案是：第一種提取病毒文件的病毒特征的方法，包括以下步驟：

步驟一、根據(jù)所述病毒文件的文件頭查找PE文件；

步驟二、根據(jù)殼的特征代碼庫識(shí)別PE文件的殼代碼，并將所述PE文件進(jìn)行脫殼處理；所述殼代碼為對(duì)所述PE文件進(jìn)行加密和壓縮的嵌入式二進(jìn)制代碼，所述脫殼處理是分析出所述PE文件的殼代碼的嵌入式二進(jìn)制代碼；所述殼的特征代碼庫為對(duì)所述殼的特征代碼提取對(duì)比特征所形成的庫；

步驟三、將所述脫殼處理后的PE文件標(biāo)識(shí)為特征區(qū)域和非特征區(qū)域；所述非特征區(qū)域是所述PE文件中不存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域，所述特征區(qū)域是所述PE文件中可能存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域；

步驟四、在所述特征區(qū)域提取病毒特征并生成病毒特征文件。

第二種提取病毒文件的病毒特征的方法，包括以下步驟：

步驟一、根據(jù)所述病毒文件的文件頭查找PE文件；

步驟二、根據(jù)編譯器的特征代碼庫識(shí)別所述PE文件的編譯器類型；所述編譯器的特征代碼庫為對(duì)各編譯器生成的PE文件的二進(jìn)制代碼區(qū)域提取對(duì)比特征所形成的庫；

步驟三、根據(jù)識(shí)別出的編譯器類型對(duì)該P(yáng)E文件標(biāo)識(shí)非特征區(qū)域和特征區(qū)域；所述非特征區(qū)域是所述PE文件中不存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域，所述特征區(qū)域是所述PE文件中可能存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域；

步驟四、在所述特征區(qū)域提取病毒特征并生成病毒特征文件。

相應(yīng)的本發(fā)明的第一種提取病毒文件的病毒特征的裝置，包括，

查找模塊，其用于根據(jù)病毒文件的文件頭查找PE文件；

殼識(shí)別模塊，其用于根據(jù)殼的特征代碼庫識(shí)別所述PE文件的殼代碼，將所述PE文件進(jìn)行脫殼處理；所述殼代碼為對(duì)所述PE文件進(jìn)行加密和壓縮的嵌入式二進(jìn)制代碼，所述脫殼處理是分析出所述PE文件的殼代碼的嵌入式二進(jìn)制代碼；所述殼的特征代碼庫為對(duì)所述殼的特征代碼提取對(duì)比特征所形成的庫；

第一標(biāo)識(shí)模塊，其用于根據(jù)所述脫殼處理后的PE文件標(biāo)識(shí)非特征區(qū)域和特征區(qū)域；所述非特征區(qū)域是所述PE文件中不存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域，所述特征區(qū)域是所述PE文件中可能存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域；

特征生成模塊，其用于在所述特征區(qū)域提取病毒特征并生成病毒特征文件。

相應(yīng)的本發(fā)明的第二種提取病毒文件的病毒特征的裝置，包括，

查找模塊，其用于根據(jù)病毒文件的文件頭查找PE文件；

編譯器識(shí)別模塊，其用于根據(jù)編譯器的特征代碼庫識(shí)別所述PE文件的編譯器類型；所述編譯器的特征代碼庫為對(duì)各編譯器生成的PE文件的二進(jìn)制代碼區(qū)域提取對(duì)比特征所形成的庫；

第二標(biāo)識(shí)模塊，其用于根據(jù)識(shí)別出的編譯器類型對(duì)所述PE文件標(biāo)識(shí)非特征區(qū)域和特征區(qū)域；所述非特征區(qū)域是所述PE文件中不存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域，所述特征區(qū)域是所述PE文件中可能存在病毒特征的嵌入式二進(jìn)制代碼的區(qū)域；

特征提取生成模塊，其用于在所述特征區(qū)域提取病毒特征并生成病毒特征文件。