公开(公告)号：CN108171020A

公开(公告)日：2018-06-15

申请号：CN201711427799.2

申请日：2017-12-26

申请人： 哈尔滨安天科技股份有限公司

发明人： 童志明 ,  王天博 ,  张启迪 ,  叶佳旭

IPC分类号： G06F21/14 ,  G06F21/62

CPC分类号： G06F21/14 ,  G06F21/6209 ,  G06F2221/2107

摘要： 本发明提出了一种基于文件结构的压缩壳识别方法、系统及存储介质，所述方法根据压缩壳文件的特性，进行未知压缩壳的识别，通过确定可执行文件的第一个节的实际大小为0，但虚拟大小不为0，且第一个节的权限包括可读、可写、可执行，并同时具有解压缩代码，能够确定当前待检测文件具有未知的压缩壳。同时本发明还提出相应系统及存储介质。通过本发明的方法及系统，能够在不依赖传统的特征匹配的条件下，快速判断待检测文件是否带有压缩壳，弥补了传统的基于特征比较的可识别方式对未知壳无法识别的缺陷，提高了对未知压缩壳的反应速度。

公开(公告)号：CN106570398A

公开(公告)日：2017-04-19

申请号：CN201610811571.2

申请日：2016-09-09

申请人： 哈尔滨安天科技股份有限公司

发明人： 王天博 ,  童志明 ,  肖新光

IPC分类号： G06F21/56

CPC分类号： G06F21/563

摘要： 本发明提供一种基于结构特性的恶意代码启发式检测方法，包括：获取并分析待检测样本；若所述待检测样本为特定结构的可执行文件，则继续判定是否包含可疑字符串结构；若包含则与已知恶意样本库进行匹配，若匹配则判定为恶意样本，若不匹配则定位可疑字符串结构；判定所述可疑字符串结构中是否包含可疑字符串，若包含则判定为恶意样本，并将可疑字符串加入已知恶意样本库中。解决了传统检测方法中的只能通过检测恶意代码，检测导入表等局限性的问题，同时能够有效提高非传统格式PE文件的检出率和准确性，提高了检测速度。