[发明专利]ELF文件中的恶意代码检测方法及装置

说明书

技术领域

本发明涉及计算机技术领域，尤其涉及一种ELF(Executable and Linkable Format，可执行与可链接格式)文件中的恶意代码检测装置。

背景技术

目前，ELF文件格式被广泛应用,同样也被越来越多的恶意代码广泛利用。但其检测手段并没有非常大的变化，主要检测手段依旧是“文件偏移地址+一定长度的连续二进制片段”。该方法是：在ELF文件中，找到文件的一个偏移地址，然后从该地址开始匹配一段连续的二进制片段，如果匹配到的二进制片段含有恶意代码即确定该ELF文件中含有恶意代码。

但是存在的问题是，由于被匹配的是一段连续的、未处理的二进制片段，因此与原始文件强相关，对新出现的恶意代码启发性不强，稍微改动即可绕过检测，从而导致检测结果不准确。

发明内容

本发明的目的旨在至少在一定程度上解决上述的技术问题之一。

为此，本发明的第一个目的在于提出一种ELF文件中的恶意代码检测方法。该方法能够更加灵活地对ELF文件进行恶意代码检测，具有更高的启发性检测能力。

本发明的第二个目的在于提出一种ELF文件中的恶意代码检测装置。

为了实现上述目的，本发明第一方面实施例的ELF文件中的恶意代码检测方法，包括：获取ELF文件中的函数以及所述函数的代码指令偏移与代码指令长度；根据所述函数的代码指令偏移与代码指令长度获取对应的指令代码段；对所述指令代码段进行反汇编解析，并根据反汇编解析后的指令代码段生成特征码；检测所述特征码是否存在于预设的恶意代码特征库中；以及如果检测所述特征码存在于所述预设的恶意代码特征库中，则判断所述ELF文件具有恶意代码。

根据本发明实施例的ELF文件中的恶意代码检测方法，可先获取ELF文件中的函数以及函数的代码指令偏移与代码指令长度，之后可根据函数的代码指令偏移与代码指令长度获取对应的指令代码段，然后对该指令代码段进行反汇编解析，并根据反汇编解析后的指令代码段生成特征码，之后检测该特征码是否存在于预设的恶意代码特征库中，若存在，则判断该ELF文件具有恶意代码，这样取消了现有技术中主流检测手段中的“起始偏移与连续二进制片段”这两个限制，能够更加灵活地对ELF文件进行恶意代码检测，具有更高的启发性检测能力。

为了实现上述目的，本发明第二方面实施例的ELF文件中的恶意代码检测装置，包括：第一获取模块，用于获取ELF文件中的函数以及所述函数的代码指令偏移与代码指令长度；第二获取模块，用于根据所述函数的代码指令偏移与代码指令长度获取对应的指令代码段；生成模块，用于对所述指令代码段进行反汇编解析，并根据反汇编解析后的指令代码段生成特征码；检测模块，用于检测所述特征码是否存在于预设的恶意代码特征库中；以及判断模块，用于在检测所述特征码存在于所述预设的恶意代码特征库中时，判断所述ELF文件具有恶意代码。

根据本发明实施例的ELF文件中的恶意代码检测装置，可通过第一获取模块获取ELF文件中的函数以及函数的代码指令偏移与代码指令长度，第二获取模块根据函数的代码指令偏移与代码指令长度获取对应的指令代码段，生成模块对指令代码段进行反汇编解析，并根据反汇编解析后的指令代码段生成特征码，检测模块检测特征码是否存在于预设的恶意代码特征库中，判断模块在检测特征码存在于预设的恶意代码特征库中时，判断ELF文件具有恶意代码，这样取消了现有技术中主流检测手段中的“起始偏移与连续二进制片段”这两个限制，能够更加灵活地对ELF文件进行恶意代码检测，具有更高的启发性检测能力。

本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，

图1是根据本发明一个实施例的ELF文件中的恶意代码检测方法的流程图；

图2是根据本发明一个实施例的获取函数代码指令偏移与代码指令长度的流程图；

图3是根据本发明一个实施例的获取函数代码指令偏移与代码指令长度的示例图；

图4是根据本发明一个实施例的ELF文件中的恶意代码检测装置的结构示意图；

图5是根据本发明一个实施例的第一获取模块的结构示意图；以及

图6是根据本发明一个实施例的生成模块的结构示意图。

具体实施方式