[发明专利]一种样本文件分析方法及装置

说明书

技术领域

本发明涉及计算机安全技术领域，特别是指一种样本文件分析方法及装置。

背景技术

在反病毒领域，每日样本增量都是海量的，通过人工方式进行识别将浪费大量时间，因此，样本文件的自动分析成了反病毒领域的一个核心问题。

目前已有的样本文件自动分析技术可以分为两类：

（1）静态自动分析，即通过反汇编代码分析、文件静态内容比对以及一系列启发式规则对比来给文件定性；这种做法的优点是：快速、吞吐量高，可以应对每日的海量文件，并给出分析结果；但缺点是：精准度一般，无法给出样本的恶意行为，对加密处理过的样本存在较多的误报和漏报。

（2）动态自动分析，即通过动态执行样本并记录运行过程，进行动态行为分析，利用分析结果对样本文件进行定性；这种做法的优点是：精准度非常高，可以明确指出样本恶意行为并可以精确对其定性；但缺点是：低速，吞吐量低，若想应对海量的样本文件，需要大量硬件资源投入。

发明内容

本发明要解决的技术问题是提供一种样本文件分析方法及装置，从二进制格式的样本文件中提取可见字符串，作为判断文件是否是病毒的依据，并加以对可见字符串的有效性过滤，有效减小样本文件的分析结果集合，大大提升病毒查杀效率。

为解决上述技术问题，本发明的实施例提供一种样本文件分析方法，包括：

获得二进制格式的样本文件；

将所述二进制格式的样本文件映射到内存；

对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件；

输出所述过滤后的二进制格式的样本文件。

其中，所述对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件的步骤包括：

根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配，获得匹配不成功的字符串；

过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件。

其中，所述根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配的步骤包括：

对映射到内存的所述二进制格式的样本文件与所述字符编码集中的字符串相匹配，获得匹配不成功的无意义的字符串以及匹配成功的字符串对应的样本文件；

对所述匹配成功的字符串对应的样本文件与所述病毒家族库中的特征串进行匹配，获得匹配不成功的待过滤串。

其中，对所述匹配成功的字符串组成的样本文件与所述病毒家族库中的特征串进行匹配，获得匹配不成功的待过滤串的步骤包括：

计算所述匹配成功的字符串对应的样本文件中的字符串的哈希值；

计算所述病毒家族库中的特征串的哈希值；

将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较，若不相等，认为相比较的两个字符串匹配不成功，并获得匹配不成功的待过滤串，否则认为匹配成功。

其中，将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较的步骤包括：

采用一条处理器指令将所述二进制格式的样本文件中的字符串的哈希值与所述病毒家族库中的特征串的哈希值进行比较。

其中，所述过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件的步骤包括：

过滤掉所述匹配不成功的无意义的字符串以及所述匹配不成功的待过滤串，得到过滤后的二进制格式的样本文件。

其中，所述字符编码集包括：UNICODE，UFT-8，GBK，GB2312和/或MBCS字符编码。

本发明的实施例还提供一种样本文件分析装置，包括：

获得模块，用于获得二进制格式的样本文件；

映射模块，用于将所述二进制格式的样本文件映射到内存；

分析模块，用于对映射到内存的所述二进制格式的样本文件进行全文字符串过滤分析，得到过滤后的二进制格式的样本文件；

输出模块，用于输出所述过滤后的二进制格式的样本文件。

其中，所述分析模块包括：

第一分析子模块，用于根据字符编码集和病毒家族库的特征串，对映射到内存的所述二进制格式的样本文件进行全文字符串匹配，获得匹配不成功的字符串；

第二分析子模块，用于过滤掉所述匹配不成功的字符串，得到过滤后的二进制格式的样本文件。

其中，所述第一分析子模块包括：