[发明专利]病毒特征码处理方法及装置

权利要求书

1.一种病毒特征码处理方法，其特征在于，包括：

对携带有病毒的恶意样本进行反汇编处理以得到反汇编代码，确定所述反汇编代码的代码树中的多个级别的路径，将每个级别的路径下的代码划分到一个单独的代码块，以得到所述恶意样本中与所述多个级别路径对应的多个代码块；

遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的用于表征所述恶意样本实现恶意目的的语义特性的应用程序接口函数，以及调用所述应用程序接口函数的次数；

基于所述代码块中调用的每个应用程序接口函数的标识、以及相应的应用程序接口函数在所述代码块中的调用次数形成特征元素，基于所述代码块中调用的各所述应用程序接口函数对应的特征元素，构建相应的代码块特征；

将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码；

计算待检测样本的特征码，比较所述待检测样本的特征码与所述病毒特征码得到特征码的相似度，基于所述相似度判断所述待检测样本是否携带所述病毒。

2.如权利要求1所述的方法，其特征在于，所述方法还包括：

以函数为粒度分割所述反汇编代码按照函数得到多个代码块。

3.如权利要求1所述的方法，其特征在于，所述将所述函数调用的目标路径与应用程序接口函数的路径比较，包括：

获取终端的操作系统中提供的应用程序接口函数，和/或所述终端中第三方的应用程序接口函数，将所述函数调用的目标路径与所获取的应用程序接口函数的路径进行比较。

4.如权利要求3所述的方法，其特征在于，所述将所述函数调用的目标路径与所获取的应用程序接口函数的路径进行比较，包括：

对所获取的终端的操作系统中提供的应用程序接口函数，和/或终端中第三方的应用程序接口函数的路径进行编码，将所述函数调用的目标路径的编码结果与所述应用程序接口函数的路径的编码结果进行比较。

5.如权利要求4所述的方法，其特征在于，所述将所述函数调用的目标路径的编码结果与所述应用程序接口函数的路径的编码结果进行比较，包括：

将所获取应用程序接口函数的路径的编码结果、以及为相应应用程序接口函数分配的标识存入函数库，将所述函数调用的目标路径的编码结果，与所述函数库中应用程序接口函数的路径的编码结果进行比较。

6.如权利要求1所述的方法，其特征在于，所述基于所述代码块中调用的各所述应用程序接口函数对应的特征元素构建相应的代码块特征，包括：

基于所述代码块中调用的各所述应用程序接口函数对应的特征元素形成集合，对所述集合进行编码形成所述代码块特征。

7.如权利要求1所述的方法，其特征在于，所述比较所述待检测样本的特征码与所述病毒的特征码得到特征码的相似度，包括：

比较所述待检测样本的特征码所包括的代码块特征与所述病毒特征码所包括的代码块特征，得到所述待检测样本和恶意样本共有的代码块特征，计算所述共有的代码块特征与所述病毒特征码所包括的代码块特征的数量比值。

8.如权利要求1所述的方法，其特征在于，所述计算待检测样本的特征码，包括：

将所述待检测样本的各代码块中函数调用的目标路径与所述应用程序接口函数的路径比较，基于比较得到的所述代码块中调用的应用程序接口函数，以及所述应用程序接口函数的调用次数，构建相应的代码块特征；将所述待检测样本的代码块特征合并形成所述待检测样本的特征码。