[发明专利]一种提取病毒文件的病毒特征的方法及其装置

权利要求书

1.一种提取病毒文件的病毒特征的方法，其特征在于，包括以下步骤：

步骤一、根据所述病毒文件的文件头查找PE文件；

步骤二、根据壳的特征代码库识别PE文件的壳代码，并将所述PE文件进行脱壳处理，所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码，所述脱壳处理是分析出所述壳代码的嵌入式二进制代码；所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库；步骤三、将所述脱壳处理后的PE文件标识为特征区域和非特征区域，所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域，所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域；

步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。

2.根据权利要求1所述的方法，其特征在于：

步骤三所述的非特征区域为所述PE文件的壳代码。

3.根据权利要求1所述的方法，其特征在于：

步骤二中，如果识别不出PE文件的壳代码，将该PE文件作为特征区域，之后执行步骤四。

4.根据权利要求1所述的方法，其特征在于，所述步骤三之前还包括：

根据编译器的特征代码库识别所述脱壳处理后PE文件的编译器类型；所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库；

步骤三所述非特征区域根据所述编译器类型进行标识。

5.根据权利要求4所述的方法，其特征在于：

如果无法识别所述脱壳处理后的PE文件的编译器类型，则将所述脱壳处理后的PE文件作为特征区域。

6.根据权利要求1至5任一项所述的提取病毒文件的病毒特征的方法，其特征在于：所述PE文件是Windows可以识别的程序文件。

7.一种提取病毒文件的病毒特征的方法，其特征在于，包括以下步骤：

步骤一、根据所述病毒文件的文件头查找PE文件；

步骤二、根据编译器的特征代码库识别所述PE文件的编译器类型；所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库；

步骤三、根据识别出的编译器类型对该PE文件标识非特征区域和特征区域；所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域，所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域；

步骤四、在所述特征区域提取病毒特征并生成病毒特征文件。

8.根据权利要求7所述的提取病毒文件的病毒特征的方法，其特征在于：步骤二还包括：如果识别不出所述PE文件的编译器的类型，将该PE文件标识为特征区域，之后执行步骤四。

9.一种提取病毒文件的病毒特征的装置，其特征在于：包括，

查找模块，其用于根据病毒文件的文件头查找PE文件；

壳识别模块，其用于根据壳的特征代码库识别所述PE文件的壳代码，且对识别出有壳代码的PE文件进行脱壳处理；所述壳代码为对所述PE文件进行加密和压缩的嵌入式二进制代码，所述脱壳处理是分析出所述PE文件的壳代码的嵌入式二进制代码，所述壳的特征代码库为对所述壳的特征代码提取对比特征所形成的库；

第一标识模块，其用于根据所述脱壳处理后的PE文件标识非特征区域和特征区域；所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域，所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域；

特征提取生成模块，其用于在所述特征区域提取病毒特征并生成病毒特征文件。

10.根据权利要求9所述的提取病毒文件的病毒特征的装置，其特征在于，还包括：

编译器识别模块，其用于根据编译器的特征代码库识别所述脱壳处理后的PE文件的编译器类型；所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库；

第二标识模块，其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域；

所述特征提取生成模块提取病毒特征的所述特征区域为所述第一标识模块和/或第二标识模块所标识的特征区域。

11.一种提取病毒文件的病毒特征的装置，其特征在于：包括，

查找模块，其用于根据病毒文件的文件头查找PE文件；

编译器识别模块，其用于根据编译器的特征代码库识别所述PE文件的编译器类型；所述编译器的特征代码库为对各编译器生成的PE文件的二进制代码区域提取对比特征所形成的库；

第二标识模块，其用于根据识别出的编译器类型对所述PE文件标识非特征区域和特征区域；所述非特征区域是所述PE文件中不存在病毒特征的嵌入式二进制代码的区域，所述特征区域是所述PE文件中可能存在病毒特征的嵌入式二进制代码的区域；

特征提取生成模块，其用于在所述特征区域提取病毒特征并生成病毒特征文件。