[发明专利]基于密码算法分析的计算机病毒检测方法及系统

权利要求书

1.一种计算机病毒检测方法，其特征在于，包括以下步骤：

对病毒文件进行处理，判断病毒文件的加壳状态，所述加壳状态包括存在已知壳、存在未知壳或不存在壳中的任意一种；

对病毒文件进行静态分析，获得病毒文件的静态数据信息；

对病毒文件进行动态分析，获得病毒文件的动态数据信息。

2.根据权利要求1所述的方法，其特征在于，

所述对病毒文件进行处理，判断病毒文件的加壳状态，所述加壳状态包括存在已知壳、存在未知壳或不存在壳中的任意一种的步骤包括：

获取病毒文件的壳的壳特征码，通过特定工具将壳特征码与现有已知壳的特征码进行比较，如果存在与壳特征码一致的特征码，加壳状态存在已知壳。

3.根据权利要求2所述的方法，其特征在于，

在所述获取病毒文件的壳的壳特征码，通过特定工具将壳特征码与现有已知壳的特征码进行比较后还包括：

如果不存在与壳特征码一致的特征码，则计算病毒文件每部分数据的熵Ei和该部分大小Ni；

通过以下公式加权求和，得到整个病毒PE文件的熵，包括：

Entropy＝∑Ei*Ni/∑Ni(i＝1,2…n)；

T为预设值；

若Entropy>T，则该病毒文件的状态为存在未知壳；若Entropy<T，则该病毒文件的状态为不存在壳。

4.根据权利要求1所述的方法，其特征在于，

所述对病毒文件进行静态分析，获得病毒文件的静态数据信息的步骤包括：

获取病毒文件的静态特征码，根据静态特征码的密码算法确定该静态特征码为Hash函数、分组密码算法以及公钥密码算法中的任意一种。

5.根据权利要求4所述的方法，其特征在于，

所述对病毒文件进行静态分析，获得病毒文件的静态数据信息的步骤包括：

对病毒文件进行反汇编，获得病毒文件的静态特征码。

6.根据权利要求1所述的方法，其特征在于，

所述对病毒文件进行动态分析，获得病毒文件的动态数据信息的步骤包括：

通过分析虚拟机获取病毒文件的调用数据、执行数据以及镜像数据；

所述执行数据包括病毒文件创建新文件、修改文件、删除文件、读取文件、下载文件、屏幕截图；

所述镜像数据包括病毒文件的内存镜像以及病毒文件的客户机的完整内存镜像。

7.根据权利要求1所述的方法，其特征在于，

所述对病毒文件进行动态分析，获得病毒文件的动态数据信息的步骤包括：

识别病毒程序执行过程中加载的密码算法动态链接库；

通过API函数的HOOK确定该病毒文件加密函数及传递参数，并对函数名和传递参数进行识别生成调用序列，获得病毒文件中密码算法的调用流程及多类密码算法的组合。

8.根据权利要求1所述的方法，其特征在于，

所述对病毒文件进行动态分析，获得病毒文件的动态数据信息的步骤包括：

获取病毒文件的pcap文件，并根据pcap文件确定病毒文件使用的加密通信协议、IP地址以及端口信息。

9.一种计算机病毒检测系统，其特征在于，包括以下模块：

加壳状态判断模块：用于对病毒文件进行处理，判断病毒文件的加壳状态，所述加壳状态包括存在已知壳、存在未知壳或不存在壳中的任意一种；

静态分析模块：用于对病毒文件进行静态分析，获得病毒文件的静态数据信息；

动态分析模块：用于对病毒文件进行动态分析，获得病毒文件的动态数据信息。

10.根据权利要求9所述的系统，其特征在于，

所述加壳状态判断模块包括已知壳判断模块，所述已知壳判断模块用于获取病毒文件的壳的壳特征码，通过特定工具将壳特征码与现有已知壳的特征码进行比较，如果存在与壳特征码一致的特征码，加壳状态存在已知壳。