[發明專利]電子裝置及檢測惡意文件的方法有效
| 申請號: | 201611182164.6 | 申請日: | 2016-12-20 |
| 公開(公告)號: | CN108205624B | 公開(公告)日: | 2021-09-17 |
| 發明(設計)人: | 孫明功;黃瓊瑩;蔡東霖;賴谷鑫;陳嘉玫;張子敬 | 申請(專利權)人: | 安碁資訊股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 北京律誠同業知識產權代理有限公司 11006 | 代理人: | 梁揮;許志影 |
| 地址: | 中國臺灣臺北市10*** | 國省代碼: | 臺灣;71 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 電子 裝置 檢測 惡意 文件 方法 | ||
1.一種檢測惡意文件的方法,其特征在于,包括:
搜尋一執行文件,并拆解該執行文件以得到一導入表,其中該導入表至少包括一第一動態連結函式庫的名稱及一第二動態連結函式庫的名稱;
計算該第一動態連結函式庫與該第二動態連結函式庫之間的一距離;
判斷該距離是否超過一門檻值,該門檻值是相關于多個正常動態連結函式庫之間的距離的一平均值及一標準差;
若該距離未超過該門檻值,則判斷該執行文件為正常文件;以及
若該距離超過該門檻值,則檢查該執行文件中是否存在與該導入表重復的內容,若該執行文件中存在與該導入表重復的內容,則判斷該執行文件為惡意文件。
2.根據權利要求1所述的方法,其特征在于,若該執行文件中不存在與該導入表重復的內容,則判斷該執行文件為正常文件。
3.根據權利要求1所述的方法,其特征在于,該導入表更包括該第一動態連結函式庫中的多個第一函式的名稱與該些第一函式的地址,以及該第二動態連結函式庫中的多個第二函式的名稱與該些第二函式的地址,該距離為該些第一函式中的最后一個第一函式的地址與該些第二函式中的第一個第二函式的地址相減而得。
4.根據權利要求3所述的方法,其特征在于,該些第一函式的地址及該些第二函式的地址為相對虛擬地址。
5.根據權利要求3所述的方法,其特征在于,該門檻值為該平均值加上兩倍的該標準差。
6.根據權利要求1所述的方法,其特征在于,該門檻值大于300位元組。
7.一種檢測惡意文件的方法,其特征在于,包括:
搜尋一執行文件,并拆解該執行文件以得到一導入表,其中該導入表至少包括一第一動態連結函式庫的名稱及一第二動態連結函式庫的名稱;
檢查該執行文件中是否存在另一導入表的部分內容與該導入表的全部內容重復;以及
若該執行文件中存在與該導入表重復的內容,則判斷該執行文件為惡意文件。
8.一種電子裝置,其特征在于,包括:
一儲存單元,用以儲存一執行文件;以及
一處理器,用以搜尋該執行文件,并拆解該執行文件以得到一導入表,其中該導入表至少包括一第一動態連結函式庫的名稱及一第二動態連結函式庫的名稱;
該處理器計算該第一動態連結函式庫與該第二動態連結函式庫之間的一距離,并判斷該距離是否超過一門檻值,該門檻值是相關于多個正常動態連結函式庫之間的距離的一平均值及一標準差;
其中若距離未超過該門檻值,則該處理器判斷該執行文件為正常文件;
若該距離超過該門檻值,則該處理器檢查該執行文件中是否存在與該導入表重復的內容,若該執行文件中存在與該導入表重復的內容,則該處理器判斷該執行文件為惡意文件。
9.根據權利要求8所述的電子裝置,其特征在于,若該執行文件中不存在與該導入表重復的內容,則該處理器判斷該執行文件為正常文件。
10.根據權利要求8所述的電子裝置,其特征在于,該導入表更包括該第一動態連結函式庫中的多個第一函式的名稱與該些第一函式的地址,以及該第二動態連結函式庫中的多個第二函式的名稱與該些第二函式的地址,該處理器將該些第一函式中的最后一個第一函式的地址與該些第二函式中的第一個第二函式的地址相減得到該距離。
11.根據權利要求10所述的電子裝置,其特征在于,該些第一函式對應的地址及該些第二函式對應的地址為相對虛擬地址。
12.根據權利要求8所述的電子裝置,其特征在于,該門檻值為該平均值加上兩倍的該標準差。
13.根據權利要求8所述的電子裝置,其特征在于,該門檻值大于300位元組。
14.一種電子裝置,其特征在于,包括:
一儲存單元,用以儲存一執行文件;以及
一處理器,用以搜尋該執行文件,并拆解該執行文件以得到一導入表,其中該導入表至少包括一第一動態連結函式庫的名稱及一第二動態連結函式庫的名稱;
該處理器檢查該執行文件中是否存在另一導入表的部分內容與該導入表的全部內容重復;以及
若該執行文件中存在與該導入表重復的內容,則該處理器判斷該執行文件為惡意文件。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于安碁資訊股份有限公司,未經安碁資訊股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201611182164.6/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:用于共享目錄的方法和裝置
- 下一篇:信息處理方法及裝置、存儲介質、電子設備
