[发明专利]一种样本检测方法及装置在审
| 申请号: | 201710142638.2 | 申请日: | 2017-03-10 |
| 公开(公告)号: | CN108573149A | 公开(公告)日: | 2018-09-25 |
| 发明(设计)人: | 高坤;张耕毓;刘宇豪;马志远 | 申请(专利权)人: | 武汉安天信息技术有限责任公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 暂无信息 | 代理人: | 暂无信息 |
| 地址: | 430000 湖北省武汉市东湖新技术开*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 样本 样本检测 待检测样本 预定义规则 结构一致 描述文件 数据结构 所有文件 特征参数 预设规则 自动生成 检测包 预定义 自定义 字符串 检测 检出 聚类 | ||
1.一种样本检测方法,其特征在于,包括以下步骤:
获取待检测样本dex文件中预定义特征值,所述特征为用于描述文件数据结构的参数;
当样本的特征值与第一预设规则进行匹配时,判断样本为自定义加壳样本;当样本的特征值与第二预设规则进行匹配时,判断样本为框架自动生成样本。
2.如权利要求1所述的检测方法,其特征在于,获取待检测样本dex文件中预定义特征值的方法包括从待检测样本文件的dex文件头中提取预定义特征值。
3.如权利要求1所述的检测方法,其特征在于,所述预定义特征包括主特征和辅特征,预设第一规则和/或第二规则为当主特征值满足要求时,再判断辅特征值是否满足要求。
4.如权利要求3所述的检测方法,其特征在于,当辅特征存在多个时,每个辅特征值均满足要求才判断样本为自定义加壳样本。
5.一种样本检测装置,其特征在于,包括:
特征获取模块,用于获取待检测样本dex文件中预定义特征值,所述特征为用于描述文件数据结构的参数;
判断模块,用于当样本的特征值与第一预设规则进行匹配时,判断样本为自定义加壳样本;当样本的特征值与第二预设规则进行匹配时,判断样本为框架自动生成样本。
6.如权利要求5所述的检测装置,其特征在于,所述特征获取模块获取待检测样本dex文件中预定义特征值的方法包括从待检测样本文件的dex文件头中提取预定义特征值。
7.如权利要求5所述的检测装置,其特征在于,所述预定义特征包括主特征和辅特征,预设第一规则和/或第二规则为当主特征值满足要求时,再判断辅特征值是否满足要求。
8.如权利要求7所述的检测装置,其特征在于,所述判断模块还用于当辅特征存在多个时,每个辅特征值均满足要求才判断样本为自定义加壳样本。
9.如权利要求2所述的检测方法或权利要6所述的检测装置,其特征在于,从待检测样本文件的dex文件头中提取预定义特征值的方法包括:以字节流读取dex文件,按照dex文件头的指定格式从文件头字节序列中按指定字节偏移值提取子序列的值。
10.如权利要求3所述的检测方法或权利要7所述的检测装置,其特征在于,所述主特征为定义的类的总数,所述辅特征包括字符串表中的字符串、类型表中类型、方法原型表中的方法原型、字段表中的字段、dex文件中的方法中的至少一种。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉安天信息技术有限责任公司,未经武汉安天信息技术有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201710142638.2/1.html,转载请声明来源钻瓜专利网。
