在計算機存儲設備上查找有害程序的方法
2023-05-31 20:37:41 1
專利名稱:在計算機存儲設備上查找有害程序的方法
技術領域:
本發明涉及一種計算機有害程序查找的實現技術,更具體的說,涉及一種在計算機存儲設備中,查找某類或某個特定可執行程序的方法。
背景技術:
隨著計算機應用的日益普及,各種各樣的電腦程式存在於計算機存儲設備中。對於網吧等公用計算機、或單位中的辦公用機等,違法或違反本單位規定的程序很容易被存放在其存儲設備中,而且難於被發現。
對於這種情況,管理人員經常感到束手無策,因為單憑人力,甄別每個程序是否為有害程序是一件工作量龐大的事情,而部分軟體,不需要安裝,複製後就可直接使用,使用windows的用戶權限管理也不能很好的解決該類程序擴散的問題。
因此,使用專用軟體,對有害程序的特徵進行提取,並基於生成的特徵庫,在計算機中自動進行查找,為解決這個問題提供了一種簡單快捷的方法。
發明內容
本發明的目的在於,提供一種快速掃描存儲設備中可能存在的有害程序的方法,並且在使用上簡單易用,方便快捷。
在計算機存儲設備上查找有害程序的方法,至少包含以下幾個步驟步驟1有害程序分析提取有害程序相關(通用或專有的)信息生成特徵庫;步驟2查找前預處理如果需要,提供與本次查找相關的信息,並準備必要的軟硬體環境;步驟3有害程序查找使用專用查找程序,遍歷文件系統,分析每個可執行程序(或包含可執行文件的壓縮包)的特徵,並依據上述特徵庫來判斷該程序是否是有害程序;步驟4結果顯示將查找到的有害程序及相關信息匯總形成列表;步驟5備份輸出如果需要,可將確定的或可疑的可執行程序備份,供進一步分析與更新特徵庫之用。
本發明的主要特點在於,在特徵提取時,區分了有害程序的通用特徵和專有特徵。其通用特徵,包含該類別程序代碼段的共有部分、可預知的程序行為(如硬體訪問、網絡使用等等)、所執行的系統API調用以及這些調用的次序關係、與其它文件(動態連結庫文件、配置文件、媒體文件等等)之間的關係等,以及其他通過分析該類別程序的類似性可提取的特徵;其專有特徵,包含該程序的長度、PE結構、代碼段內容、資源段內容等等,以及其他通過分析該可執行文件本身的數據內容可提取的特徵。通過通用特徵,可以判斷某程序是否可能為某類有害程序,並根據分析計算,提供它是有害程序的確信度;通過專用特徵,則可判斷某程序是否為某個確定的有害程序。
本發明的另一個主要特點在於,查找過程包括快速特徵匹配、確定特徵匹配、模糊特徵匹配三個階段。在分析初期利用某些快速特徵進行預判,可以大大提高分析的效率,利用模糊特徵進行擴展分析,可以增加有害程序被發現的機率,並提供一種自我完善系統專有特徵庫的方法。
圖1為本發明的一個特徵提取流程。
圖2為本發明分析某文件是否為有害程序的流程圖。
圖3為本發明軟體結構框圖具體實施方式
下面結合附圖和具體實施方式
對本發明做進一步的詳細說明參見圖1,在本發明的一個實現中,進行特徵提取的流程,用戶將需要查找的有害程序以及相關文件打包,通過專用庫管理程序按固定格式存入原始程序庫中,除了添加外,使用庫管理程序還可以對這些原始程序修改或進行刪除。對原始程序庫,使用特徵提取工具可以自動分析,並生成快速特徵庫、確定特徵庫、模糊特徵庫和特徵關聯庫等四個特徵庫。快速特徵庫用於快速特徵匹配,確定特徵庫用於確定特徵匹配,模糊特徵庫用於模糊特徵匹配,而特徵關聯庫,則記錄了有害程序的說明,以及幾個庫之間的關聯關係等等。此外,在特徵提取過程中還要進行相同特徵過濾的操作,將不同有害程序中完全相同的文件剔出,以避免在分析時無法確定該文件到底屬於哪個有害程序。
參見圖2,在本發明的一個實現中,在遍歷文件系統時,對某個文件一個簡化的判斷流程為先根據已確定列表,判斷該文件是否是已分析到的某個有害程序相關的文件,如果是則無需重複判斷,直接跳過即可,如果不是進入判斷流程。
首先,進行快速特徵匹配,提取該文件的快速特徵,與快速特徵表進行比對,判斷它是否有可能是某有害程序,如果沒有懷疑的對象,則跳過該文件分析下一個文件。
如果再快速特徵匹配中有懷疑的對象,那麼先進行確定特徵匹配,以判斷該文件是否屬於某特定的有害程序,其方法是逐一比對懷疑目標的確定特徵,如果完全一致,則可確定為該有害程序,如果都不一致,則進入模糊特徵匹配階段。
模糊匹配的方法也類似,逐一比對懷疑目標的模糊特徵,並計算其確信度,直到某一懷疑目標的確信度達到百分之百,如果所有懷疑目標的確信度都為未達到百分之百,那麼取其中最大的一個(存在多個相同最大確信度的懷疑目標時,先匹配到的優先),為防止誤配,在確定是否將其判斷為有害程序前,判斷其確信度是否高於某個預設的閥值,如果高於才判斷其為某有害程序。
如果在上述過程中,判定了該文件屬於某有害程序,那麼將該結果進行記錄及顯示,並且要將該有害程序的其他相關文件加入到已確定列表中,當以後分析到該文件時便可跳過,以提高分析速度。
此外,在本發明的一個實現中,還利用了壓棧的方式,對上述匹配的順序進行了調整,如在某一目錄或子目錄下,先匹配的可執行程序、先進行所有文件的確定匹配再進行模糊匹配等等,以進一步提高查找效率和精確度。
權利要求
1.在計算機存儲設備上查找有害程序的方法,其特徵為至少包含以下步驟步驟1有害程序分析提取通用或專有的有害程序相關信息生成特徵庫;步驟2查找前預處理如果需要,提供與本次查找相關的信息,並準備必要的軟硬體環境;步驟3有害程序查找使用專用查找程序,遍歷文件系統,分析每個可執行程序或包含可執行文件的壓縮包的特徵,並依據上述特徵庫來判斷該程序是否是有害程序;步驟4結果顯示將查找到的有害程序及相關信息匯總形成列表;步驟5備份輸出如果需要,可將確定的或可疑的可執行程序備份,供進一步分析與更新特徵庫之用。
2.根據權利要求1所述的查找有害程序特徵的方法,其特徵是設有包含分析該有害程序的通用特徵和專有特徵,其中通用特徵為其所屬類別所有有害程序的共同特徵,專有特徵為該程序自身所特有的特徵。
3.根據權利要求1或2所述的查找有害程序通用特徵的方法,其特徵是設有分析該類別程序代碼段的共有部分、可預知的硬體訪問、網絡使用程序行為、所執行的系統API調用以及這些調用的次序關係、與動態連結庫文件、配置文件或媒體文件文件之間的關係,以及其他通過分析該類別程序的類似性可提取的特徵。
4.根據權利要求1或2所述的查找有害程序專有特徵的方法,其特徵是設有分析該程序的長度、PE結構、代碼段內容、資源段內容等等,以及其他通過分析該可執行文件本身的數據內容可提取的特徵。
5.根據權利要求1或2所述的查找有害程序特徵的方法,其特徵是通過程序自動分析源文件完成,或人工或半人工分析完成。
6.根據權利要求1所述的查找有害程序特徵的方法,其特徵是查找過程包括快速特徵匹配、確定特徵匹配、模糊特徵匹配三個階段。
7.根據權利要求1或6所述的查找有害程序特徵的方法,其特徵是快速特徵匹配,是為提高查找效率時可選用的一個方法,使用一些可快速獲得的特徵進行匹配,用於快速過濾掉不需要分析的文件。
8.根據權利要求1或7所述的查找有害程序特徵的方法,其特徵是確定特徵匹配,是指為確定該文件是否是某特定有害程序時,所需要進行的專有特徵匹配。
9.根據權利要求1或7所述的查找有害程序特徵的方法,其特徵是模糊特徵匹配,是指當需要分析文件是否可能為某一類有害程序時,所需要進行的通用特徵匹配,它的分析結果為該文件可能是某類有害程序的確信度。
10.根據權利要求1或7所述的查找有害程序特徵的方法,其特徵是模糊特徵匹配用於發現特徵庫中不包含的未知有害程序或不同版本的有害程序,在該有害程序被確定後,可以添加進專有特徵庫中,以便在下次查找中提高查找的效率。
全文摘要
在計算機存儲設備上查找有害程序的方法,至少包含以下步驟有害程序分析提取通用或專有的有害程序相關信息生成特徵庫;查找前預處理如果需要,提供與本次查找相關的信息,並準備必要的軟硬體環境;有害程序查找使用專用查找程序,遍歷文件系統,分析每個可執行程序或包含可執行文件的壓縮包的特徵,並依據上述特徵庫來判斷該程序是否是有害程序;結果顯示將查找到的有害程序及相關信息匯總形成列表;備份輸出如果需要,可將確定的或可疑的可執行程序備份,供進一步分析與更新特徵庫之用。本發明適合在計算機中查找各種違法違規程序,優點是準確率好,效率高。
文檔編號G06F17/30GK1838136SQ20061003984
公開日2006年9月27日 申請日期2006年4月24日 優先權日2006年4月24日
發明者蔡聖聞, 陳勇, 伍衛民, 吳劍洪 申請人:南京樹聲科技有限公司