1.本发明属于反恶意代码
技术领域:
:,尤其涉及一种病毒自动化检测方法、装置及电子设备。
背景技术:
::2.杀毒软件,也称反病毒软件或防毒软件,是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件,其核心组成部分为反病毒引擎,它代表了一款杀毒软件的质量水平,一般反病毒引擎主要包括了扫描速度、资源占用、清毒能力、对于多态病毒的检测,脱壳能力、解密能力、对抗改入口点的变种病毒的能力等对抗变种病毒、免杀的能力。3.反病毒引擎为了提高检测效率,会制定基于外部检测策略的判定标准,对于符合标准的样本将被认定为黑样本,根据该样本的文件结构提取特征,从而达到对该样本以及其相似样本检出。目前,现有各病毒厂家的病毒自动化检测方案,都是依靠本公司员工不断的更新病毒样本,进一步的根据此病毒样本提取特征,然后对目标文件进行病毒检测。由于各个厂家各自为政,无法较好利用其他病毒厂商提供的变种病毒样本,从而导致无法对变种病毒进行检出,降低了病毒检测的效果及效率。技术实现要素:4.有鉴于此,本发明实施例提供一种病毒自动化检测方法、装置及电子设备,用于解决现有病毒自动化检测方案,反病毒引擎中的病毒特征得不到及时更新,导致无法对变种病毒进行检出,降低了病毒检测的效果及效率问题。本发明能够自动根据变种病毒样本集合,得到检测变种病毒的对应关系表,对目标文件进行变种病毒的检测,达到了及时地更新病毒特征,提高了变种病毒的检测效果及效率。5.第一方面,本发明实施例提供一种病毒自动化检测方法,包括:6.获取已知的目标变种病毒样本集合;7.提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合;8.将所述数据集合中的所有数据进行对比,确定所有数据中相同的数据段;其中,所述相同的数据段为内容相同且在所述指定位置中的偏移值相同的数据段;9.提取所有数据中相同的数据段,并将提取的每个数据段及其在所述指定位置中的偏移值对应存储,得到用于检测目标变种病毒的第一对应关系表;10.基于所述第一对应关系表检测目标文件是否是目标变种病毒。11.结合第一方面,在第一方面的第一种实施方式中,所述在得到用于检测目标变种病毒的第一对应关系表之后,所述基于所述第一对应关系表检测目标文件是否是目标变种病毒之前,还包括:12.使用所述第一对应关系表中存储的每个数据段扫描预设白名单;13.若当前用于扫描的数据段命中所述白名单中的数据,则将所述第一对应关系表中存储的当前用于扫描的数据段的相关记录删除,随后返回执行所述使用所述第一对应关系表中存储的每个数据段扫描预设白名单的步骤,直至所述第一对应关系表中存储的所有数据段均被用于扫描所述白名单后截止。14.结合第一方面,在第一方面的第二种实施方式中,所述样本文件为样本的pe文件,所述样本文件在同一指定位置的数据为所述样本的pe文件的第一个节的数据。15.结合第一方面、第一方面的第一种实施方式或第一方面的第二种实施方式,在第一方面的第三种实施方式中,所述提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合,包括:16.提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据;17.将当前提取的各样本文件在同一指定位置的数据均统一为预设进制的数据,得到数据集合。18.第二方面,本发明实施例提供一种病毒自动化检测装置,包括:19.样本获取模块,用于获取已知的目标变种病毒样本集合;20.数据提取模块,用于提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合;21.数据段确定模块,用于将所述数据集合中的所有数据进行对比,确定所有数据中相同的数据段;其中,所述相同的数据段为内容相同且在所述指定位置中的偏移值相同的数据段;22.第一关系表获取模块,用于提取所有数据中相同的数据段,并将提取的每个数据段及其在所述指定位置中的偏移值对应存储,得到用于检测目标变种病毒的第一对应关系表;23.病毒检测模块,用于基于所述第一对应关系表检测目标文件是否是目标变种病毒。24.结合第二方面,在第二方面的第一种实施方式中,所述的病毒自动化检测装置,还包括:25.扫描模块,用于在所述第一关系表获取模块得到用于检测目标变种病毒的第一对应关系表后,使用所述第一对应关系表中存储的每个数据段扫描预设白名单;26.删除模块,用于在当前用于扫描的数据段命中所述白名单中的数据时,将所述第一对应关系表中存储的当前用于扫描的数据段的相关记录删除,随后触发所述扫描模块使用所述第一对应关系表中存储的另一个数据段扫描预设白名单,直至所述第一对应关系表中存储的所有数据段均被用于扫描所述白名单后截止。27.结合第二方面,在第二方面的第二种实施方式中,所述样本文件为样本的pe文件,所述样本文件在同一指定位置的数据为所述样本的pe文件的第一个节的数据。28.结合第二方面、第二方面的第一种实施方式或第二方面的第二种实施方式,在第二方面的第三种实施方式中,所述数据提取模块,包括:29.提取单元,用于提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据;30.数据集合获取单元,用于将当前提取的各样本文件在同一指定位置的数据均统一为预设进制的数据,得到数据集合。31.第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一项实施例所述的病毒自动化检测方法。32.第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一项实施例所述的病毒自动化检测方法。33.本发明提供的一种病毒自动化检测方法、装置及电子设备,首先获取已知的变种病毒样本集合,接着从此集合中的样本文件提取指定位置的数据得到数据集合,并从数据集合中得到相同的数据段及对应的偏移值得到变种病毒的对应关系表,最后基于此关系表检测目标文件是否是目标变种病毒。本发明能够自动根据变种病毒样本集合,得到检测变种病毒的对应关系表,对目标文件进行变种病毒的检测,达到了及时地更新病毒特征,提高了变种病毒的检测效果及效率。附图说明34.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。35.图1为本发明实施例提供的一种病毒自动化检测方法实施例一流程图;36.图2为本发明实施例提供的一种病毒自动化检测方法实施例二流程图;37.图3为本发明实施例提供的一种病毒自动化检测装置实施例一结构示意图;38.图4为本发明实施例提供的一种病毒自动化检测装置实施例二结构示意图;39.图5为本发明实施例提供的一种病毒自动化检测装置实施例三结构示意图;40.图6为本发明提供的一种电子设备的结构示意图。具体实施方式41.下面结合附图对本发明实施例进行详细描述。42.应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。43.图1为本发明实施例提供的一种病毒自动化检测方法实施例一流程图。参见图1,该方法包括如下步骤s101-s105:44.s101:获取已知的目标变种病毒样本集合。45.本实施例中,已知的目标变种病毒样本,可以来源于大量其他厂商独家检出的同变种病毒样本,也可以来源于己方检出的同变种病毒样本,从而保证了变种病毒样本的全面性,进一步的保证了变种病毒的特征得到及时、准确的更新,提高了变种病毒检出的准确性,并且可以充分的利用其他厂商独家检出的同变种病毒样本,能够快速支持己方无法检出的变种病毒。46.s102:提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合。47.本实施例中,所述样本文件为样本的pe文件,所述样本文件在同一指定位置的数据为所述样本的pe文件的第一个节的数据。其中,pe文件的全称是portableexecutable,意为可移植的可执行的文件,常见的exe、dll、ocx、sys、com都是pe文件,pe文件是微软windows操作系统上的程序文件(可能是间接被执行,如dll),pe文件的内容被分割为不同的节(即区块、区段等),其第一个节存储的往往是代码,同一种恶意代码普遍会有相似的地方,因此提取pe文件的第一个节的数据,便于得出恶意代码的特征,便于用此特征对文件中的变种病毒进行检出。48.s103:将所述数据集合中的所有数据进行对比,确定所有数据中相同的数据段。49.其中,所述相同的数据段为内容相同且在所述指定位置中的偏移值相同的数据段。50.s104:提取所有数据中相同的数据段,并将提取的每个数据段及其在所述指定位置中的偏移值对应存储,得到用于检测目标变种病毒的第一对应关系表。51.s105:基于所述第一对应关系表检测目标文件是否是目标变种病毒。52.本实施例中,提取pe文件的第一个节的数据,并将相同的数据部分(数据形式可采用二进制)提取出来并保存、记录该段二进制数据的长度以及基于第一个节的文件偏移。将所有相同部分的二进制信息提取出来并组成一个二进制信息表(即第一对应关系表),使用该二进制信息表与其他未知文件进行比对,比对成功则可暂时认为该未知文件是某一病毒变种,从而实现了对变种病毒的检出。53.本发明实施例提供的一种病毒自动化检测方法,首先获取已知的变种病毒样本集合,接着从此集合中的样本文件提取指定位置的数据得到数据集合,并从数据集合中得到相同的数据段及对应的偏移值得到变种病毒的对应关系表,最后基于此关系表检测目标文件是否是目标变种病毒。本发明能够自动根据变种病毒样本集合,得到检测变种病毒的对应关系表,对目标文件进行变种病毒的检测,达到了及时地更新病毒特征,提高了变种病毒的检测效果及效率。54.图2为本发明实施例提供的一种病毒自动化检测方法实施例二流程图。如图2所示,可以包括以下步骤:55.s201:获取已知的目标变种病毒样本集合;56.s202:提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合。57.s203:将所述数据集合中的所有数据进行对比,确定所有数据中相同的数据段;58.s204:提取所有数据中相同的数据段,并将提取的每个数据段及其在所述指定位置中的偏移值对应存储,得到用于检测目标变种病毒的第一对应关系表;59.s205:获取第一对应关系表中存储的数据段数量n;60.s206:使用所述第一对应关系表中存储的第i条数据段扫描预设白名单;61.其中,i的初始值为1;62.s207:判断第i条数据段是否命中所述预设白名单中的数据;是则执行s208,否则执行s209;63.s208:将所述第一对应关系表中存储的第i条数据段的相关记录删除;64.s209:判断i是否等于n;是则执行步骤s211,否则执行步骤s210;65.s210:设置i=i+1,并返回执行步骤s206;66.s211:基于所述第一对应关系表检测目标文件是否是目标变种病毒。67.优选地,所述步骤s202,可以包括如下步骤s301-s302:68.s301:提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据;69.s302:将当前提取的各样本文件在同一指定位置的数据均统一为预设进制的数据,得到数据集合。70.本实施例中,所述预设进制为二进制,二进制是计算机语言,可以有效地提高计算机执行的效率。71.本实施例提供的一种病毒自动化检测方法,首先获取已知的变种病毒样本集合,接着从此集合中的样本文件提取指定位置的数据得到数据集合,并从数据集合中得到相同的数据段及对应的偏移值得到变种病毒的对应关系表,进一步地,删除对应关系表中为预设白名单的数据段,最后基于此关系表检测目标文件是否是目标变种病毒。本发明不仅能够自动得到检测变种病毒的对应关系表对目标文件进行变种病毒的检测,而且对关系表中的数据进行白名单匹配,删除与白名单中的数据相匹配的数据段,有效地提高了检测变种病毒的准确性和效率。72.图3为本发明实施例提供的一种病毒自动化检测装置实施例一结构示意图。如图3所示,所述装置,包括:73.样本获取模块1,用于获取已知的目标变种病毒样本集合;74.数据提取模块2,用于提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据,得到数据集合;优选地,所述样本的pe文件的第一个节的数据。75.数据段确定模块3,用于将所述数据集合中的所有数据进行对比,确定所有数据中相同的数据段;其中,所述相同的数据段为内容相同且在所述指定位置中的偏移值相同的数据段;76.第一关系表获取模块4,用于提取所有数据中相同的数据段,并将提取的每个数据段及其在所述指定位置中的偏移值对应存储,得到用于检测目标变种病毒的第一对应关系表;77.病毒检测模块5,用于基于所述第一对应关系表检测目标文件是否是目标变种病毒。78.本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。79.图4为本发明实施例提供的一种病毒自动化检测装置实施例二结构示意图。如图4所示,本实施例的装置在图3所示装置结构的基础上,进一步地,所述病毒自动化检测装置,还包括:80.扫描模块6,用于在所述第一关系表获取模块得到用于检测目标变种病毒的第一对应关系表后,使用所述第一对应关系表中存储的每个数据段扫描预设白名单,若当前用于扫描的数据段未命中所述白名单中的数据,则继续使用所述第一对应关系表中存储的另一个数据段扫描预设白名单;81.删除模块7,用于在当前用于扫描的数据段命中所述白名单中的数据时,将所述第一对应关系表中存储的当前用于扫描的数据段的相关记录删除,随后触发所述扫描模块使用所述第一对应关系表中存储的另一个数据段扫描预设白名单,直至所述第一对应关系表中存储的所有数据段均被用于扫描所述白名单后截止。82.本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。83.图5为本发明实施例提供的一种病毒自动化检测装置实施例三结构示意图。如图5所示,本实施例的装置在图4所示装置结构的基础上,进一步地,所述数据提取模块2,包括:84.提取单元21,用于提取所述目标变种病毒样本集合中各样本文件在同一指定位置的数据;85.数据集合获取单元22,用于将当前提取的各样本文件在同一指定位置的数据均统一为预设进制的数据,得到数据集合。优选地,所述预设进制为二进制。86.本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。87.本发明实施例还提供一种电子设备。图6为本发明提供的一种电子设备的结构示意图,可以实现本发明图1、图2所示实施例的流程,如图5所示,上述电子设备可以包括:壳体91、处理器92、存储器93、电路板94和电源电路95,其中,电路板94安置在壳体91围成的空间内部,处理器92和存储器93设置在电路板94上;电源电路95,用于为上述电子设备的各个电路或器件供电;存储器93用于存储可执行程序代码;处理器92通过读取存储器93中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的一种病毒自动化检测方法。88.该电子设备以多种形式存在,包括但不限于:89.(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iphone)、多媒体手机、功能性手机,以及低端手机等。90.(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等,例如ipad。91.(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放模块(例如ipod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。92.(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。93.(5)其他具有数据交互功能的电子设备。94.第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种病毒自动化检测方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。95.需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。96.本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。97.为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。98.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。99.以上所述,仅为本发明的具体实施方式,但本发明的防护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的防护范围之内。因此,本发明的防护范围应以权利要求的防护范围为准。当前第1页12当前第1页12