[发明专利]文件识别系统和方法

说明书

技术领域

本申请涉及一种文件识别系统和方法，更具体地讲，涉及一种用于确认文件是否属于微软文件的系统和方法。

背景技术

识别微软文件在病毒查杀方面通常有很大的应用，例如，一些杀毒引擎中增加了启发式杀毒，有时微软文件可能会被启发式杀毒软件识别为病毒并被清除，造成严重后果。除此之外，在云的白名单收集上，也必须要区分哪些文件是微软的文件，以便对这些文件做一些策略处理。因此需要一种识别微软文件的方法。

目前存在一些识别微软文件的方法，例如，1)可查看资源上版本的公司信息是不是Microsoft Corporation，2)在判断资源上版本的公司信息是不是Microsoft Corporation的基础上再利用数字签名进行验证。然而，以上两种方案均存在缺陷，对于方案1)，目前的病毒经常将自己的文件的公司名改为Microsoft Corporation来混淆杀毒辅助工具的文件识别，因此很难起到准确识别微软文件的作用。对于方案2)，由于验证数字签名的速度通常较慢，因此也很难实现快速识别微软文件。此外，在WINDOWS XP系统上，微软文件的签名信息没有直接嵌入到文件中，而是依赖于系统中的相关文件，而在一些盗版系统、优化系统中，往往会把这些文件删除，造成签名验证失败，从而使得无法正确的识别出微软文件。

因此，需要一种准确、快速地识别微软文件的方法。

发明内容

本发明的目的在于提供一种可识别微软文件的文件识别系统和方法。

此外，本发明至少可解决上述问题和/或缺点并将提供至少以下描述的优点，并且本发明能够解决的技术问题不限于说明书中描述的技术问题。

根据本发明的一方面，提供了一种文件识别系统，所述系统包括：信息提取单元，被配置为从可移植可执行文件的调试信息提取符号的路径信息；地址生成单元，被配置为使用提取的符号的路径信息生成文件识别地址；请求单元，被配置为使用生成的文件识别地址向用于验证文件的符号服务器发出请求，以识别所述可移植可执行文件是否是特定类型的文件。

当请求单元使用生成的文件识别地址向所述符号服务器发出请求时，如果所述符号服务器对所述请求进行响应，则可确定所述可移植可执行文件是所述特定类型的文件，如果所述符号服务器没有对所述请求进行响应，则可确定所述可移植可执行文件不是所述特定类型的文件。

所述特定类型的文件可以是微软的可移植可执行文件，并且所述服务器可以是微软的符号服务器。

所述文件识别地址可以是统一资源标识符地址。

根据本发明的另一方面，提供了一种文件识别方法，所述方法包括：从可移植可执行文件的调试信息提取路径的符号信息；使用提取的符号的路径信息生成文件识别地址；使用生成的文件识别地址向用于验证文件的符号服务器发出请求，以识别所述可移植可执行文件是否是特定类型的文件。

当使用生成的文件识别地址向所述符号服务器发出请求时，如果所述符号服务器对所述请求进行响应，则可确定所述可移植可执行文件是所述特定类型的文件，如果所述符号服务器没有对所述请求进行响应，则可确定所述可移植可执行文件不是所述特定类型的文件。

所述特定类型的文件可以是微软的可移植可执行文件，并且所述服务器可以是微软的符号服务器。

所述文件识别地址可以是统一资源标识符地址。

有益效果

通过使用本发明的方案，不仅能够快速地识别和收集微软文件，还能够在启发报警时，快速验证检测的文件是否是微软文件，以避免误报。

附图说明

通过下面结合示例对附图进行的描述，本发明的上述和其他目的和特点将会变得更加清楚，其中：

图1是示出根据本发明的实施例的文件识别系统；

图2是示出根据本发明的实施例的可移植执行文件(PE文件)结构；

图3是示出根据本发明的实施例的文件识别方法。

具体实施方式

提供以下参照附图进行的描述以帮助全面理解由权利要求及其等同物限定的本发明的示例性实施例。所述描述包括各种特定细节以帮助理解，但这些细节被认为仅是示例性的。因此，本领域的普通技术人员将认识到：在不脱离本发明的范围和精神的情况下，可对这里描述的实施例进行各种改变和修改。此外，为了清楚和简明，可省略已知功能和构造的描述。