[發明專利]主機白名單機制下一種快速實現文件鑒別的方法有效
| 申請號: | 201811314027.2 | 申請日: | 2018-11-06 |
| 公開(公告)號: | CN109558752B | 公開(公告)日: | 2021-05-07 |
| 發明(設計)人: | 李君生 | 申請(專利權)人: | 北京威努特技術有限公司 |
| 主分類號: | G06F21/64 | 分類號: | G06F21/64;G06F21/62 |
| 代理公司: | 北京中海智圣知識產權代理有限公司 11282 | 代理人: | 楊樹芬 |
| 地址: | 100085 北京市*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 主機 名單 機制 一種 快速 實現 文件 鑒別 方法 | ||
1.主機白名單機制下一種快速實現文件鑒別的方法,其特征在于,包括以下步驟:
步驟1、分片算法一:按照固定大小依次分片并依次計算HASH值并記錄在數據庫;
步驟2、分片算法二,按照固定大小分片,將相鄰的若干分片組合并計算HASH值,記錄在數據庫,允許分組有重疊以實現多重校驗并減少HASH數據總條數;
步驟3、分片算法三:按照PE文件的section進行分片并將section的屬性字段與section數據體部分聯合起來,作為基本白名單校驗單元,計算HASH值并記錄和校驗;
步驟4、分片算法四,按照PE文件的section進行分片并將section的屬性字段與section數據體部分聯合起來,并將相鄰分片聯合作為校驗單元,計算HASH并記錄和校驗。
2.根據權利要求1所述的主機白名單機制下一種快速實現文件鑒別的方法,其特征在于,所述步驟1包括以下步驟:
步驟1.1、預備階段,根據操作系統版本和位數、文件系統確定分片大小,默認為4096字節;
步驟1.2、建立和學習白名單階段:讀取目標PE文件,按照4096字節為單位,將完整文件分割成為若干個段;
步驟1.3、對每一個段計算其HASH值,將文件名、序號、偏移位置、數據長度、HASH值存儲入結構化數據庫;
步驟1.4、對尾部不足4096字節的數據,采用預設字符填充至4096字節,計算HASH值,將文件名、序號、偏移位置、數據長度、HASH值存儲入結構化數據庫;
步驟1.5、對完整文件仍然計算HASH值,存儲入結構化數據庫;
步驟1.6、重復步驟1.2至步驟1.5,直至學習白名單階段結束,固化白名單;
步驟1.7、進入白名單校驗階段,啟動白名單報警模式或防護模式,通過安裝文件驅動HOOK住操作系統每一次對PE文件的讀取操作;
步驟1.8、獲取Windows欲讀取的偏移量和長度,同步獲取所加載的文件buffer,擴展讀取到分片長度單位4096字節;
步驟1.9、在HASH列表中查找完全覆蓋所述buffer的HASH塊,讀取HASH值;
步驟1.10、逐片計算分片的HASH值,并與數據庫中已存儲的值作比較;
步驟1.11、比較結果為相同,繼續進行下一步,如果比較結果不同,則觸發報警或防護操作。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于北京威努特技術有限公司,未經北京威努特技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201811314027.2/1.html,轉載請聲明來源鉆瓜專利網。
