[發明專利]一種防御哈希碰撞躲避反病毒檢測的方法及系統有效
| 申請號: | 201711461021.3 | 申請日: | 2017-12-28 |
| 公開(公告)號: | CN108090358B | 公開(公告)日: | 2021-07-20 |
| 發明(設計)人: | 白淳升;李柏松;肖新光 | 申請(專利權)人: | 哈爾濱安天科技集團股份有限公司 |
| 主分類號: | G06F21/56 | 分類號: | G06F21/56 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150028 黑龍江省哈爾濱市高新技術產*** | 國省代碼: | 黑龍江;23 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 防御 碰撞 躲避 病毒 檢測 方法 系統 | ||
1.一種防御哈希碰撞躲避反病毒檢測的方法,其特征在于,包括:
選定修改白名單文件和待檢測樣本的預處理策略;
基于選定的預處理策略修改白名單文件并計算哈希值生成白名單庫;
基于選定的預處理策略修改待檢測樣本并計算哈希值;
將待檢測樣本的哈希值與白名單庫匹配,若匹配成功,則待檢測樣本為白名單文件,否則進行后續檢測;
所述預處理策略,包括:
以待修改文件自身的全部數據為單位,按預定倍數增添在頭部或尾部;
刪除待修改文件預定位置的預定大小的數據塊;
在待修改文件的除頭部和尾部以外的預定位置插入預定大小的數據塊;
將待修改文件的預定位置的預定大小的數據塊替換成預定的數據塊;或者,將待修改文件的兩個不同位置、不同內容的數據塊交換;
其中,所述待修改文件包括白名單文件和待檢測樣本。
2.如權利要求1所述的方法,其特征在于,所述預定倍數和數據塊的內容任意選取;所述預定位置為待修改文件的小于等于10%的位置處;所述預定大小根據待修改文件自身大小選取。
3.一種防御哈希碰撞躲避反病毒檢測的系統,其特征在于,包括:
預處理策略選定模塊,用于選定修改白名單文件和待檢測樣本的預處理策略;
白名單文件修改模塊,用于基于選定的預處理策略修改白名單文件并計算哈希值生成白名單庫;
待檢測樣本修改模塊,用于基于選定的預處理策略修改待檢測樣本并計算哈希值;
白名單匹配模塊,用于將待檢測樣本的哈希值與白名單庫匹配,若匹配成功,則待檢測樣本為白名單文件,否則進行后續檢測;
所述預處理策略,包括:
以待修改文件自身的全部數據為單位,按預定倍數增添在頭部或尾部;
刪除待修改文件預定位置的預定大小的數據塊;
在待修改文件的除頭部和尾部以外的預定位置插入預定大小的數據塊;
將待修改文件的預定位置的預定大小的數據塊替換成預定的數據塊;或者,將待修改文件的兩個不同位置、不同內容的數據塊交換;
其中,所述待修改文件包括白名單文件和待檢測樣本。
4.如權利要求3所述的系統,其特征在于,所述預定倍數和數據塊的內容任意選取;所述預定位置為待修改文件的小于等于10%的位置處;所述預定大小根據待修改文件自身大小選取。
5.一種非臨時性計算機可讀存儲介質,其上存儲有計算機程序,其特征在于,該程序被處理器執行時實現如權利要求1-2中任一所述的一種防御哈希碰撞躲避反病毒檢測的方法。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于哈爾濱安天科技集團股份有限公司,未經哈爾濱安天科技集團股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201711461021.3/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種計算機信息安全控制方法及裝置
- 下一篇:一種應用程序監測方法及應用服務器
