[发明专利]基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质

说明书

本发明涉及pe文件特征码生成技术领域，尤其涉及一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质；本发明所公开的基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质，特征码生成方法，包括以下步骤：提取pe格式文件的rich头部信息；根据rich头部信息，计算哈希值，生成基于rich头部信息特征码；rich头部信息与编译环境、编译器密切相关，在恶意软件生命周期中这些环境很少变化，提高标识该恶意软件准确性；即使pe格式恶意软件采用加壳等软件进行混淆和规避，导致常规特征码无法识别恶意软件，但是由于加壳软件并不改变rich头部信息，因此仍然可以基于rich头部信息标识恶意软件。

技术领域

本发明涉及pe文件特征码生成技术领域，尤其涉及一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质。

背景技术

特征码是安全公司在分析恶意软件时，确定的只有该恶意软件才可能会有的一系列二进制串，由这些特征可以与其它病毒或正常程序区别，通常是对程序块、字符串、常量值进行哈希运算获取特征值。

常规恶意软件静态查杀是指安全防护软件，根据已有的恶意软件特征码，从pe程序中提取对应位置数据，进行比较，判断pe程序是否是恶意软件。

PE是目前Windows平台上主流的可执行文件格式，包括常见的可执行程序EXE文件、动态链接库DLL文件等。

自Visual Studio 97SP3编译器发行以来，在Microsoft编译后的pe文件的DOS和PE头之间，增加了rich头部信息，它包含了编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。2019版本visualstudio依然包括rich头部信息。这些信息在pe文件编译后就不会更改，而且常见的加壳软件对pe文件进行处理后，这些信息也不会变化，所以可以有效标识pe文件唯一性。

现有的恶意软件通常采用加壳等方法对pe文件进行处理，从而规避特征码检测。恶意软件源代码较小改变，或者采用不同加壳软件，特征值完全改变。因此恶意软件经常通过加壳方法，规避现有特征码检测方法。

因此，为了解决上述问题，急需发明一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质。

发明内容

本发明的目的在于：提供一种基于rich头部标识的pe文件特征码生成方法、系统、电子设备及存储介质，作为现有特征码补充和改进。

本发明提供了下述方案：

一种基于rich头部标识的pe文件特征码生成方法，包括以下步骤：

提取pe格式文件的rich头部信息；

根据rich头部信息，计算哈希值，生成基于rich头部信息特征码。

还包括：

利用基于rich头部信息特征码，与其他特征码一起唯一识别pe格式恶意软件。

rich头部信息，包括编译环境、产品标识、其内部版本号以及在构建过程中使用该产品的次数的信息。

rich头部信息的格式包括起始DanS，代码0x536E6144；结束Rich，代码0x68636952；以及编译环境。

一种实现所述的基于rich头部标识的pe文件特征码生成方法的基于rich头部标识的pe文件特征码生成系统，包括：

提取模块，用于提取pe格式文件的rich头部信息；

生成模块，用于根据rich头部信息，计算哈希值，生成基于rich头部信息特征码。

还包括：