[发明专利]文件识别方法及介质

说明书

本发明实施例公开了文件识别方法及介质，所述方法包括：获取目标文件，所述目标文件为异常文件；计算所述目标文件所包含的可执行区段的熵值总和；当所述熵值总和大于预设阈值，且所述目标文件中存在与预设数据库所包含的所有区段标识均不相同的区段标识所标识的区段时，将所述目标文件识别为加壳文件。采用本发明实施例，可有效提高加壳文件识别的准确率。

技术领域

本发明涉及互联网技术领域，尤其涉及文件识别方法及介质。

背景技术

可移植的执行体(Portable Executable，PE)文件是微软Windows操作系统上的程序文件，PE文件的格式为PE格式，PE格式是目前Windows操作系统的主流可执行文件格式，例如PE格式为EXE、DLL、OCX、SYS或COM的文件都是PE文件。服务器会对客户端上运行的PE文件进行分析，以识别该PE文件是否为异常文件。非法用户通过加壳技术阻碍服务器的文件分析，从而影响服务器对异常文件的识别。其中，壳是专用加密软件技术的一种称呼。壳附加在原始程序上，通过Windows加载器加入内存后，先于原始程序执行，以得到控制权，在执行过程中对原始程序进行解密、还原，还原后把控制权还给原始程序，执行原始程序。

基于此，识别PE文件是否加壳尤为重要，传统的识别方法为：获取PE文件的文件熵值，当文件熵值小于6.5时，确定该PE文件为无壳文件；当文件熵值大于6.5且小于6.75时，确定该PE文件可能为加壳文件；当文件熵值大于6.75时，确定该PE文件为加壳文件。通过该方法对3205个无壳文件进行测试，将其中的754个PE文件识别为加壳文件，即误判率为23.52％，由此可见，通过该方法识别得到加壳文件的准确率较低。

发明内容

本发明实施例提供了一种文件识别方法及介质，在目标文件所包含的可执行区段的熵值总和大于预设阈值，且目标文件中存在异常区段标识所标识的区段时，将目标文件识别为加壳文件，可有效提高加壳文件识别的准确率。

为了解决上述技术问题，第一方面，本发明实施例提供了一种文件识别方法，所述方法包括：

获取目标文件，所述目标文件为异常文件；

计算所述目标文件所包含的可执行区段的熵值总和；

当所述熵值总和大于预设阈值，且所述目标文件中存在与预设数据库所包含的所有区段标识均不相同的区段标识所标识的区段时，将所述目标文件识别为加壳文件。

第二方面，本发明实施例提供了另一种文件识别方法，所述方法包括：

获取在客户端中运行的文件；

对所述文件进行识别，得到识别为异常文件的文件，并将得到的文件作为目标文件；

将所述目标文件发送给服务器，以使所述服务器计算所述目标文件所包含的可执行区段的熵值总和，当所述熵值总和大于预设阈值，且所述目标文件中存在与预设数据库所包含的所有区段标识均不相同的区段标识所标识的区段时，所述服务器将所述目标文件识别为加壳文件。

第二方面，本发明实施例提供了一种服务器，所述服务器包括用于执行第一方面所述的方法的单元。

第三方面，本发明实施例提供了一种客户端，所述客户端包括用于执行第二方面所述的方法的单元。

第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被服务器执行时使所述服务器执行如第一方面所述的方法。

第五方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被客户端执行时使所述客户端执行如第二方面所述的方法。