[发明专利]脱壳文件的验证方法及装置、存储介质、计算机设备

说明书

本申请公开了一种脱壳文件的验证方法及装置、存储介质、计算机设备，该方法包括：在虚拟机中执行带壳文件，并在执行结束后从所述虚拟机的执行内存中获取所述带壳文件对应的脱壳文件；分别对所述带壳文件以及所述脱壳文件进行字符串提取，统计所述带壳文件的字符串数量以及所述脱壳文件的字符串数量；根据所述带壳文件的字符串数量以及所述脱壳文件的字符串数量，计算所述脱壳文件的字符串膨胀比；若所述字符串膨胀比大于或等于预设字符串膨胀阈值，则确定所述带壳文件脱壳成功。本申请可以快速有效的判断虚拟机执行的样本是否脱壳成功，帮助虚拟机开发人员、以及样本运营人员快速的筛选出未脱壳文件，及时分析虚拟机潜在的问题。

技术领域

本申请涉及计算机安全技术领域，尤其是涉及到一种脱壳文件的验证方法及装置、存储介质、计算机设备。

背景技术

对二进制文件加壳已经成为计算机信息安全领域应用比较广泛的一种技术手段，壳大致分为：压缩壳、加密壳、保护壳等种类，主要用于防止商业软件被逆向工程，压缩软件、躲避反病毒软件查杀这些方向上。

现有的反病毒软件为了查杀加壳恶意软件，通常会对加壳恶意软件进行脱壳操作，并对产生的新的脱壳后二进制数据进行特征匹配去查杀，对目标可执行文件进行脱壳，更多的是使用静态脱壳的方式，就是对每个壳进行分析，继而进行编码，以达到脱壳的目的。恶意软件作者为了对抗查杀，会对加壳恶意软件进行修改，但是基于上述的脱壳方法对于每款壳，都需要进行单独的分析，编码才能脱壳，如果发布了新版本或者修改版，亦需要重新进行分析与编码，需要投入相当大的人力物力。

文件脱壳是病毒查杀的基础，如何验证文件脱壳是否成功是本领域亟待解决的基础问题。

发明内容

有鉴于此，本申请提供了一种脱壳文件的验证方法及装置、存储介质、计算机设备。

根据本申请的一个方面，提供了一种脱壳文件的验证方法，包括：

在虚拟机中执行带壳文件，并在执行结束后从所述虚拟机的执行内存中获取所述带壳文件对应的脱壳文件；

分别对所述带壳文件以及所述脱壳文件进行字符串提取，统计所述带壳文件的字符串数量以及所述脱壳文件的字符串数量；

根据所述带壳文件的字符串数量以及所述脱壳文件的字符串数量，计算所述脱壳文件的字符串膨胀比；

若所述字符串膨胀比大于或等于预设字符串膨胀阈值，则确定所述带壳文件脱壳成功。

具体地，所述若所述字符串膨胀比大于或等于预设脱壳成功阈值，则确定所述带壳文件脱壳成功，具体包括：

若所述字符串膨胀比大于或等于预设脱壳成功阈值，则根据所述脱壳文件的文件大小以及所述带壳文件的文件大小，计算所述脱壳文件的文件大小增量；

若所述文件大小增量大于或等于预设文件大小增量阈值，则确定所述带壳文件脱壳成功。

具体地，所述脱壳文件的字符串膨胀比＝(所述脱壳文件的字符串数量-所述带壳文件的字符串数量)/所述带壳文件的字符串数量。

具体地，所述在虚拟机中执行带壳文件，并在执行结束后从所述虚拟机的执行内存中获取所述带壳文件对应的脱壳文件，具体包括：

利用所述虚拟机的内存管理模块在所述虚拟机中为所述带壳文件分配相应的执行内存块，以使所述带壳文件在所述虚拟机中执行时利用所述带壳文件的壳本身包含的脱壳程序在所述执行内存块中释放出所述目标程序对应的所述脱壳文件；

获取所述内存管理模块为所述带壳文件分配的所述执行内存块；

在所述带壳文件执行结束后，备份所述执行内存块，并从所述执行内存块的备份文件中提取出所述脱壳文件。

具体地，所述在虚拟机中执行带壳文件之前，所述方法还包括：