[发明专利]文件样本属性的确定方法及装置

权利要求书

1.一种文件样本属性的确定方法，其特征在于，包括：

获得当前文件样本和所有已知样本类型信息，其中，每一个已知样本类型信息中均包含对应样本类型的属性和判定信息，所述获得所有已知样本类型信息包括：获取文件样本的多个关键信息，其中，所述关键信息为从安卓安装包文件提取一项或者几项特征信息，然后去掉与行为不相干的信息后的特征信息；分别从所述多个关键信息中选取部分关键信息的组合作为不同样本类型的判定信息，分别使用所述判定信息对所述文件样本进行分类，将与对应样本类型的判定信息内容完全一致的文件样本作为同一类型的样本；以及从每一个样本类型包含的所有样本中选取部分样本进行分析，将分析结果作为当前样本类型的属性；以及

从已知样本类型中选择一个样本类型作为当前样本类型，根据当前样本类型的判定信息从所述当前文件样本中提取关键信息，将所提取的关键信息与所述判定信息进行比较，根据比较结果确定所述当前文件样本的属性；

所述根据比较结果确定所述当前文件样本的属性包括：若所提取的关键信息与所述判定信息完全一致，则将所述当前文件样本归属于所述当前样本类型，且继承所述当前样本类型的属性；若所提取的关键信息与所述判定信息不完全一致，则继续重复从已知样本类型中选择一个样本类型作为当前样本类型的操作，直至当前文件样本归属于当前样本类型；

若当前文件样本不归属于任何一个已知样本类型，则以所述当前文件样本的关键信息创建新的样本类型，并对所述当前文件样本进行属性分析，将分析出的属性作为所述新的样本类型的属性和将所述当前文件样本的关键信息作为所述新的样本类型的判定信息。

2.根据权利要求1所述的方法，其特征在于，所述获取文件样本的多个关键信息包括：

获取安装文件中包含的可执行文件中的头信息和数据信息以及所述可执行文件中的可扩展标记语言XML的描述文件中不同类入口的操作码信息中的一种或几种；

将获取到的信息以预定格式进行记录。

3.根据权利要求2所述的方法，其特征在于，所述不同类入口包括服务类入口、接收器类入口和控件容器类入口；所述操作码信息包括操作码、指令码和操作符中的一种或几种。

4.根据权利要求3所述的方法，其特征在于，所述获取不同类入口的操作码信息包括：

获得对应类入口的操作码的第一列信息。

5.根据权利要求3所述的方法，其特征在于，所述将获取到的信息以预定格式进行记录包括：

将获取到的信息以二进制、十六进制或哈希值形式进行记录。

6.一种文件样本属性的确定装置，其特征在于，包括：

获得模块，用于获得当前文件样本和所有已知样本类型信息，其中，每一个已知样本类型信息中均包含对应样本类型的属性和判定信息；

所述获得模块，包括：获取单元，用于获取文件样本的多个关键信息，其中，所述关键信息为从安卓安装包文件提取一项或者几项特征信息，然后去掉与行为不相干的信息后的特征信息；归类单元，用于分别从所述多个关键信息中选取部分关键信息的组合作为不同样本类型的判定信息，分别使用所述判定信息对所述文件样本进行分类，将与对应样本类型的判定信息内容完全一致的文件样本作为同一类型的样本；以及获得单元，用于从每一个样本类型包含的所有样本中选取部分样本进行分析，将分析结果作为当前样本类型的属性；以及

确定模块，用于从已知样本类型中选择一个样本类型作为当前样本类型，根据当前样本类型的判定信息从所述当前文件样本中提取关键信息，将所提取的关键信息与所述判定信息进行比较，根据比较结果确定所述当前文件样本的属性；

所述确定模块，具体用于：若所提取的关键信息与所述判定信息完全一致，则将所述当前文件样本归属于所述当前样本类型，且继承所述当前样本类型的属性；若所提取的关键信息与所述判定信息不完全一致，则继续重复从已知样本类型中选择一个样本类型作为当前样本类型的操作，直至当前文件样本归属于当前样本类型；

若当前文件样本不归属于任何一个已知样本类型，则以所述当前文件样本的关键信息创建新的样本类型，并对所述当前文件样本进行属性分析，将分析出的属性作为所述新的样本类型的属性和将所述当前文件样本的关键信息作为所述新的样本类型的判定信息。