[發(fā)明專利]一種惡意文件的修復(fù)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)在審
| 申請(qǐng)?zhí)枺?/td> | 201911422504.1 | 申請(qǐng)日: | 2019-12-31 |
| 公開(公告)號(hào): | CN113127865A | 公開(公告)日: | 2021-07-16 |
| 發(fā)明(設(shè)計(jì))人: | 位凱志;官恩洋 | 申請(qǐng)(專利權(quán))人: | 深信服科技股份有限公司 |
| 主分類號(hào): | G06F21/56 | 分類號(hào): | G06F21/56 |
| 代理公司: | 深圳市深佳知識(shí)產(chǎn)權(quán)代理事務(wù)所(普通合伙) 44285 | 代理人: | 王兆林 |
| 地址: | 518055 廣東省深圳市南*** | 國(guó)省代碼: | 廣東;44 |
| 權(quán)利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關(guān)鍵詞: | 一種 惡意 文件 修復(fù) 方法 裝置 電子設(shè)備 存儲(chǔ) 介質(zhì) | ||
1.一種惡意文件的修復(fù)方法,其特征在于,包括:
提取惡意文件的文件特征;其中,所述文件特征包括文件屬性和家族公共特征串,所述文件屬性包括文件大小、節(jié)數(shù)量和節(jié)權(quán)限中任一項(xiàng)或任幾項(xiàng)的組合,所述家族公共特征串包括文件偏移地址、入口點(diǎn)偏移地址和節(jié)偏移地址中任一項(xiàng)或任幾項(xiàng)的組合;
根據(jù)所述文件特征確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族;
對(duì)所述惡意文件執(zhí)行所述目標(biāo)感染型病毒家族對(duì)應(yīng)的文件修復(fù)操作。
2.根據(jù)權(quán)利要求1所述修復(fù)方法,其特征在于,根據(jù)所述文件特征確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族包括:
基于多模字符串匹配算法將所述文件特征與目標(biāo)特征庫(kù)進(jìn)行匹配;其中,所述目標(biāo)特征庫(kù)中包括所述感染型病毒家族對(duì)應(yīng)的預(yù)設(shè)文件屬性和預(yù)設(shè)家族公共特征串;
根據(jù)匹配結(jié)果確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族。
3.根據(jù)權(quán)利要求2所述修復(fù)方法,其特征在于,根據(jù)匹配結(jié)果確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族包括:
根據(jù)所述匹配結(jié)果將與所述惡意文件具有相同文件屬性和家族公共特征串的感染型病毒家族設(shè)置為所述目標(biāo)感染型病毒家族。
4.根據(jù)權(quán)利要求2所述修復(fù)方法,其特征在于,根據(jù)匹配結(jié)果確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族包括:
根據(jù)所述匹配結(jié)果判斷所述文件特征是否符合第一感染型病毒家族對(duì)應(yīng)的標(biāo)準(zhǔn)特征規(guī)則或第二感染型病毒家族對(duì)應(yīng)的泛化特征規(guī)則;其中,所述第一感染型病毒家族為具有靜態(tài)規(guī)則的感染型病毒家族,所述第二感染型病毒家族不具有靜態(tài)規(guī)則的感染型病毒家族;
若所述文件特征符合所述第一感染型病毒家族對(duì)應(yīng)的標(biāo)準(zhǔn)特征規(guī)則,則將與所述文件特征對(duì)應(yīng)的第一感染型病毒家族設(shè)置為所述目標(biāo)感染型病毒家族;
若所述文件特征符合所述第二感染型病毒家族對(duì)應(yīng)的泛化特征規(guī)則,則通過硬編碼的方式對(duì)所述惡意文件執(zhí)行文件解析操作,并根據(jù)文件解析結(jié)果遍歷所有所述第二感染型病毒家族的識(shí)別代碼,根據(jù)遍歷結(jié)果確定所述目標(biāo)感染型病毒家族。
5.根據(jù)權(quán)利要求4所述修復(fù)方法,其特征在于,所述通過硬編碼的方式對(duì)所述惡意文件執(zhí)行文件解析操作包括:
通過硬編碼的方式對(duì)所述惡意文件執(zhí)行解密操作和/或虛擬執(zhí)行操作。
6.根據(jù)權(quán)利要求1所述修復(fù)方法,其特征在于,根據(jù)所述文件特征確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族包括:
將所述文件特征輸入分類模型得到分類結(jié)果,根據(jù)所述分類結(jié)果確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族。
7.根據(jù)權(quán)利要求1至6任一項(xiàng)所述修復(fù)方法,其特征在于,對(duì)所述惡意文件執(zhí)行所述目標(biāo)感染型病毒家族對(duì)應(yīng)的文件修復(fù)操作包括:
查詢與所述目標(biāo)感染型病毒家族對(duì)應(yīng)的修復(fù)方案;其中,所述修復(fù)方案通過對(duì)所述目標(biāo)感染型病毒家族的病毒感染方式逆向分析得到;
根據(jù)所述修復(fù)方案對(duì)所述惡意文件執(zhí)行所述目標(biāo)感染型病毒家族對(duì)應(yīng)的文件修復(fù)操作。
8.一種惡意文件的修復(fù)裝置,其特征在于,包括:
特征提取模塊,用于提取惡意文件的文件特征;其中,所述文件特征包括文件屬性和家族公共特征串,所述文件屬性包括文件大小、節(jié)數(shù)量和節(jié)權(quán)限中任一項(xiàng)或任幾項(xiàng)的組合,所述家族公共特征串包括文件偏移地址、入口點(diǎn)偏移地址和節(jié)偏移地址中任一項(xiàng)或任幾項(xiàng)的組合;
家族確定模塊,用于根據(jù)所述文件特征確定所述惡意文件對(duì)應(yīng)的目標(biāo)感染型病毒家族;
文件修復(fù)模塊,用于對(duì)所述惡意文件執(zhí)行所述目標(biāo)感染型病毒家族對(duì)應(yīng)的文件修復(fù)操作。
9.一種電子設(shè)備,其特征在于,包括存儲(chǔ)器和處理器,所述存儲(chǔ)器中存儲(chǔ)有計(jì)算機(jī)程序,所述處理器調(diào)用所述存儲(chǔ)器中的計(jì)算機(jī)程序時(shí)實(shí)現(xiàn)如權(quán)利要求1至7任一項(xiàng)所述惡意文件的修復(fù)方法的步驟。
10.一種存儲(chǔ)介質(zhì),其特征在于,所述存儲(chǔ)介質(zhì)中存儲(chǔ)有計(jì)算機(jī)可執(zhí)行指令,所述計(jì)算機(jī)可執(zhí)行指令被處理器加載并執(zhí)行時(shí),實(shí)現(xiàn)如上權(quán)利要求1至7任一項(xiàng)所述惡意文件的修復(fù)方法的步驟。
該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息,商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于深信服科技股份有限公司,未經(jīng)深信服科技股份有限公司許可,擅自商用是侵權(quán)行為。如果您想購(gòu)買此專利、獲得商業(yè)授權(quán)和技術(shù)合作,請(qǐng)聯(lián)系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911422504.1/1.html,轉(zhuǎn)載請(qǐng)聲明來(lái)源鉆瓜專利網(wǎng)。
- 同類專利
- 專利分類
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備,如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程
- 惡意特征數(shù)據(jù)庫(kù)的建立方法、惡意對(duì)象檢測(cè)方法及其裝置
- 用于檢測(cè)惡意鏈接的方法及系統(tǒng)
- 惡意信息識(shí)別方法、惡意信息識(shí)別裝置及系統(tǒng)
- 主動(dòng)式移動(dòng)終端惡意軟件網(wǎng)絡(luò)流量數(shù)據(jù)集獲取方法及系統(tǒng)
- 一種大數(shù)據(jù)告警平臺(tái)系統(tǒng)及其方法
- 一種追溯惡意進(jìn)程的方法、裝置及存儲(chǔ)介質(zhì)
- 一種相似惡意軟件推薦方法、裝置、介質(zhì)和設(shè)備
- 軟件惡意行為檢測(cè)方法及系統(tǒng)
- 惡意樣本增強(qiáng)方法、惡意程序檢測(cè)方法及對(duì)應(yīng)裝置
- 惡意語(yǔ)音樣本的確定方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種數(shù)據(jù)庫(kù)讀寫分離的方法和裝置
- 一種手機(jī)動(dòng)漫人物及背景創(chuàng)作方法
- 一種通訊綜合測(cè)試終端的測(cè)試方法
- 一種服裝用人體測(cè)量基準(zhǔn)點(diǎn)的獲取方法
- 系統(tǒng)升級(jí)方法及裝置
- 用于虛擬和接口方法調(diào)用的裝置和方法
- 線程狀態(tài)監(jiān)控方法、裝置、計(jì)算機(jī)設(shè)備和存儲(chǔ)介質(zhì)
- 一種JAVA智能卡及其虛擬機(jī)組件優(yōu)化方法
- 檢測(cè)程序中方法耗時(shí)的方法、裝置及存儲(chǔ)介質(zhì)
- 函數(shù)的執(zhí)行方法、裝置、設(shè)備及存儲(chǔ)介質(zhì)
