[发明专利]一种利用EBP判断恶意文件的方法有效
| 申请号: | 201610478251.X | 申请日: | 2016-06-24 |
| 公开(公告)号: | CN106203076B | 公开(公告)日: | 2020-03-17 |
| 发明(设计)人: | 侯贺明;程波 | 申请(专利权)人: | 武汉绿色网络信息服务有限责任公司 |
| 主分类号: | G06F21/52 | 分类号: | G06F21/52 |
| 代理公司: | 北京和信华成知识产权代理事务所(普通合伙) 11390 | 代理人: | 胡剑辉 |
| 地址: | 430073 湖北省武汉市东湖新技术开*** | 国省代码: | 湖北;42 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | 本发明涉及一种利用EBP判断恶意文件的方法,其基于恶意样本文件,建立一套函数栈帧信息数据库;然后,获取要判断的未知样本文件的函数栈帧信息,在数据库中进行匹配,根据匹配的结果和预制的规则判定获取的未知样本文件的安全性,其中,函数栈帧信息是基于EBP寄存器的值计算得到的;通过本发明,可以准确判断恶意文件。 | ||
| 搜索关键词: | 一种 利用 ebp 判断 恶意 文件 方法 | ||
【主权项】:
一种利用EBP判断恶意文件的方法,其基于恶意样本文件,建立一套函数栈帧信息数据库;然后,获取要判断的未知样本文件的函数栈帧信息,在数据库中进行匹配,根据匹配的结果和预制的规则判定获取的未知样本文件的安全性,其特征在于,所述方法具体包括:函数栈帧信息数据库的建立步骤,其包括:步骤101,采集恶意样本文件;步骤102,恶意样本文件插桩执行或者调试运行,步骤103,获取A类型结点;步骤104,过滤系统函数;步骤105,计算B类型结点;步骤106,包含函数栈帧计算的C类型结点计算;步骤107,包含函数栈帧信息入数据库的C类型结点入库;未知样本的自动化判定步骤,其包括:步骤201,未知样本文件插桩执行或者调试运行;步骤202,获取A类型结点;步骤203,过滤系统函数;步骤204,计算B类型结点;步骤205,包含函数栈帧计算的C类型结点计算;步骤206,包含函数栈帧信息数据库查询的C类型结点数据库查询;步骤207,根据规则判定未知样本的恶意程度;其中,函数栈帧信息是基于EBP寄存器的值计算得到的,函数栈帧信息数据库存储了恶意样本文件运行时的函数调用路径上的所有函数的栈帧长度信息,并且把每个函数的栈帧长度作为一个结点,各个结点又组成了一个链表,结点的数值是此函数栈帧长度,几个相邻的结点表示这几个函数运行时相互间的调用关系,其表征了函数之间的联系。
下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于武汉绿色网络信息服务有限责任公司,未经武汉绿色网络信息服务有限责任公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/patent/201610478251.X/,转载请声明来源钻瓜专利网。
