技術領域

本發明涉及計算機安全技術領域，特別涉及一種識別動態鏈接庫的方法及裝置。

背景技術

動態鏈接庫是微軟公司在微軟視窗操作系統(即Windows操作系統)中實現共享函數庫的一種方式。動態鏈接庫包含一定數目的代碼和數據，多個程序可以同時使用動態鏈接庫中的代碼和數據，以實現其相應的功能。例如，一些大型網頁游戲在運行時，需要通過加載動態鏈接庫來實現背景音樂播放等功能。有時，在程序加載動態鏈接庫之前，用戶希望確定這個動態鏈接庫是否為該程序需要加載的目標動態鏈接庫，以避免加載惡意動態鏈接庫。

目前，已經存在一種識別動態鏈接庫的方法，該方法具體為：提取待識別動態鏈接庫的特征碼，將該特征碼與樣本動態鏈接庫的特征碼進行比較，依據比較結果，確定待識別動態鏈接庫的類型，其中，樣本動態鏈接庫可以為官方動態鏈接庫或惡意動態鏈接庫。例如，當樣本動態鏈接庫為惡意動態鏈接庫時，首先，通過hash算法提取待識別動態鏈接庫的hash值，然后，將該hash值與惡意動態鏈接庫的hash值進行比較，如果待識別動態鏈接庫的hash值與惡意動態鏈接庫的hash值相同，則判斷該待識別動態鏈接庫為惡意動態鏈接庫。

然而，用戶修改待識別動態鏈接庫的一個字符，修改后的待識別動態鏈接庫的特征碼就會發生改變，因此很容易地繞過現有方法的識別。

發明內容

為解決上述問題，本發明實施例公開了一種識別動態鏈接庫的方法及裝置，以達到有效識別動態鏈接庫類型的目的。具體技術方案如下：

一種識別動態鏈接庫的方法，該方法包括：

提取待識別動態鏈接庫的導出函數名、文件大小以及文件信息熵；

將所述待識別動態鏈接庫的導出函數名、文件特征值，分別與樣本動態鏈接庫的導出函數名、文件特征值進行比較，根據比較結果，判斷所述待識別動態鏈接庫與所述樣本動態鏈接庫是否一致，其中，所述待識別動態鏈接庫的文件特征值為所述待識別動態鏈接庫的文件大小與所述待識別動態鏈接庫的文件信息熵的乘積值，所述樣本動態鏈接庫的文件特征值為所述樣本動態鏈接庫的文件大小與所述樣本動態鏈接庫的文件信息熵的乘積值。

優選的，所述將所述待識別動態鏈接庫的導出函數名、文件特征值，分別與樣本動態鏈接庫的導出函數名、文件特征值進行比較，根據比較結果，判斷所述待識別動態鏈接庫與所述樣本動態鏈接庫是否一致，具體包括：

將所述待識別動態鏈接庫的導出函數名與樣本動態鏈接庫的導出函數名進行比較；

若所述待識別動態鏈接庫的導出函數名與所述樣本動態鏈接庫的導出函數名相同，則進一步將所述待識別動態鏈接庫的文件特征值與所述樣本動態鏈接庫的文件特征值進行比較；

若所述待識別動態鏈接庫的文件特征值與所述樣本動態鏈接庫的文件特征值的近似度符合預設范圍，則判斷所述待識別動態鏈接庫與所述樣本動態鏈接庫一致。

優選的，所述將所述待識別動態鏈接庫的導出函數名、文件特征值，分別與樣本動態鏈接庫的導出函數名、文件特征值進行比較，根據比較結果，判斷所述待識別動態鏈接庫與所述樣本動態鏈接庫是否一致，具體包括：

將所述待識別動態鏈接庫的文件特征值與樣本動態鏈接庫的文件特征值進行比較；

若所述待識別動態鏈接庫的文件特征值與所述樣本動態鏈接庫的文件特征值的近似度符合預設范圍，則進一步將所述待識別動態鏈接庫的導出函數名與所述樣本動態鏈接庫的導出函數名進行比較；

若所述待識別動態鏈接庫的導出函數名與所述樣本動態鏈接庫的導出函數名相同，則判斷所述待識別動態鏈接庫與所述樣本動態鏈接庫一致。

優選的，所述樣本動態鏈接庫為惡意動態鏈接庫。

優選的，所述樣本動態鏈接庫為官方動態鏈接庫。

優選的，所述待識別的動態鏈接庫為用戶提交的動態鏈接庫，所述樣本動態鏈接庫為官方動態鏈接庫；該方法還包括：

判斷出所述待識別動態鏈接庫與所述官方動態鏈接庫不一致后，向用戶提供獲取該官方動態鏈接庫的快捷方式。

一種識別動態鏈接庫的裝置，該裝置包括：

信息提取模塊，用于提取待識別動態鏈接庫的導出函數名、文件大小以及文件信息熵；