[发明专利]病毒特征码处理方法及装置

说明书

本发明公开了一种病毒特征码处理方法及装置；方法包括：对携带有病毒的恶意样本进行反汇编处理，将得到的反汇编代码进行分割得到所述恶意样本的多个代码块；遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的应用程序接口函数，以及调用所述应用程序接口函数的次数；基于所述代码块中调用的应用程序接口函数、以及调用所述应用程序接口函数的次数构建相应的代码块特征；将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码。实施本发明，能够提升病毒特征码的广谱性和时效性。

技术领域

本发明涉及安全技术，尤其涉及一种病毒特征码处理方法及装置。

背景技术

计算机病毒也称为病毒，是编制者在终端(智能手机、电脑和服务器等各种计算终端)中植入的破坏终端的功能或者数据等恶意目的代码。

病毒在终端中通常作为(如加壳)独立的应用程序欺骗用户运行以实现恶意目的，或者嵌入到二次封装的常规应用程序中，在常规应用程序的运行过程中实现恶意目的。

目前基于特征码的反病毒引擎扫描病毒时，将待检测的样本与病毒的特征码进行匹配，包括将样本的哈希值与特征码中的哈希值进行匹配，以及将样本的二进制字节数(即以字节数表示的样本的体积)与特征码中的文件字节数进行匹配。

然而，实际应用中，存在以下两方面的原因使得特征码容易失效，影响特征码检测病毒的广谱性：

一方面，病毒作者可以通过对病毒源码进行少量的修改即可达到改变病毒的哈希值和文件字节数的目的，从而使得原先能检测到病毒的特征码失效，需要不断更新病毒的特征码，导致检测病毒存在滞后性；

另一方面，大部分编译器存在指令重排、寄存器重分配等优化机制，使得即使是相同的源码编译出来的目标文件的二进制内容也可能不一致，导致基于特征码中字节数检测病毒时会出现漏检测或误检测的情况。

可以看出，相关技术提供的特征码对于对病毒的变化极其敏感，不具备检测病毒的广谱性，对于新病毒的检测存在滞后性。

发明内容

本发明实施例提供一种病毒特征码处理方法及装置，能够提升病毒特征码的广谱性和时效性。

本发明实施例的技术方案是这样实现的：

第一方面，本发明实施例提供一种病毒特征码处理方法，包括：

对携带有病毒的恶意样本进行反汇编处理以得到反汇编代码，确定所述反汇编代码的代码树中的多个级别的路径，将每个级别的路径下的代码划分到一个单独的代码块，以得到所述恶意样本中与所述多个级别路径对应的多个代码块；

遍历所述代码块得到所述代码块中执行的函数调用，将所述函数调用的目标路径与应用程序接口函数的路径比较，确定所述代码块中调用的用于表征所述恶意样本实现恶意目的的语义特性的应用程序接口函数，以及调用所述应用程序接口函数的次数；

基于所述代码块中调用的每个应用程序接口函数的标识、以及相应的应用程序接口函数在所述代码块中的调用次数形成特征元素，基于所述代码块中调用的各所述应用程序接口函数对应的特征元素，构建相应的代码块特征；

将所述恶意样本的各所述代码块的代码块特征合并形成所述恶意样本的病毒特征码；

计算待检测样本的特征码，比较所述待检测样本的特征码与所述病毒特征码得到特征码的相似度，基于所述相似度判断所述待检测样本是否携带所述病毒。

第二方面，本发明实施例提供一种病毒特征码处理装置，包括：