技術領域

本發明涉及計算機領域，并且特別地，涉及一種文件類型的確定方法和裝置。

背景技術

近年來，全球范圍內的惡意程序數量呈幾何級增長，基于這種爆發式的增速，用于查殺惡意程序的特征庫的生成與更新往往是存在滯后性，也就是說，特征庫中惡意程序的特征碼的補充無法跟上層出不窮的未知惡意程序。

隨著惡意程序制作者對免殺技術的應用，通過對惡意程序加殼或修改該惡意程序的特征碼的手法已經出現；另外，目前的許多木馬程序采用了更多以及更頻繁快速的自動變形。因此，上述對惡意程序的處理，都會導致通過惡意行為和/或惡意特征對惡意程序進行判定的難度越來越大，從而增大對惡意程序進行查殺或清理的難度。

可移植的執行體(Portable?Execute，簡稱為PE)文件是一種常見的文件，例如，EXE、DLL、OCX、SYS、COM都是PE文件，PE文件是微軟Windows操作系統上的程序文件(可能是間接被執行的，如DLL)

對于傳統殺毒軟件，在對文件進行掃描時，其僅僅提取病毒特征，無法提正常文件的屬性特征，并且，傳統殺毒軟件的提特征方式比較被動，發現一個特征提取一個特征，而且提取的特征不一定是最流行的特征。并且，由于提取的特征是特定惡意程序的特定特征，因此，傳統的提取可執行文件的特征方式中，一個特征只能解決小范圍內的一類樣本，具有滯后性和片面性，從而導致確定文件類型的處理準確度差、效率低。

針對相關技術中確定文件類型時處理準確度差、效率低的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中確定文件類型時處理準確度差、效率低的問題，本發明提出一種文件類型的確定方法和裝置，能夠根據待確定文件的屬性特征確定文件的類型。

本發明的技術方案是這樣實現的：

根據本發明的一個方面，提供了一種文件類型的確定方法，該方法包括：

提取待確定的文件的屬性特征信息；

將提取的屬性特征信息與規則集中預先保存的每個類型的文件所對應的屬性特征信息進行比較；

將規則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對應的類型確定為待確定的文件的類型。

其中，該方法進一步包括：

對預先給定的多個文件的共有屬性特征進行提取，將提取的共有屬性特征的屬性特征信息作為預先給定的文件的類型所對應的屬性特征信息并存儲至規則集中。

并且，對預先給定的文件的共有屬性特征進行提取包括：

對預先給定的多個文件，提取用戶指定的屬性特征，并根據提取的屬性特征確定該多個文件的類型。

在確定預先給定的多個文件是否屬于惡意文件類型時，根據情況參照一條提取的屬性特征或多條屬性特征的組合進行判斷，該提取的屬性特征包括以下至少之一導入導出表和/或代碼段循環冗余校驗碼CRC；

在確定待確定的多個文件是否屬于普通文件類型時，提取的屬性特征至少包括代碼段CRC。

此外，規則集中預先保存的每個類型的文件所對應的屬性特征包括以下至少之一：文件結構、編譯器信息、版本信息、數字簽名、程序入口點值、代碼段CRC、導入導出表CRC、Section?CRC、附加數據偏移、Tls值、圖標、作者開發環境、制作CRC規則步驟及描述。

優選地，待確定的文件為可移植的執行體文件。

優選地，待確定的文件為具有相同屬性特征信息的一類文件。

根據本發明的另一個方面，提供了一種文件類型的確定裝置，該裝置包括：

提取模塊，用于提取待確定的文件的屬性特征信息；

比較模塊，用于將提取的屬性特征信息與規則集中預先保存的每個類型的文件所對應的屬性特征信息進行比較；

確定模塊，用于將規則集中與待確定的文件的屬性特征信息相符合的屬性特征信息所對應的類型確定為待確定的文件的類型。

并且，規則集中預先保存的每個類型的文件所對應的屬性特征包括以下至少之一：文件結構、編譯器信息、版本信息、數字簽名、代碼段CRC、導入導出表CRC、Section?CRC、附加數據偏移、Tls值、圖標、作者開發環境、制作CRC規則步驟及描述。

此外，可選地，待確定的文件為可移植的執行體文件。