【摘要】 本发明公开了一种基于统计方法的加壳可执行文件识别方法及系统,方法步骤包括:1)读入已知未加壳的可执行程序文件;2)以单字节和双字节的形式统计可执行程序文件中各数字出现的次数和总字节数;3)求出单字节数值和双字节数值在未加壳可执行程序文件中的概率,求出各相邻单字节数值的条件分布;4)读入未知可执行程序文件,计算出该文件中单个字节和双字节数据出现的概率,与步骤3)中的数据进行比较,计算出差异值;5)单字节和双字节的差异值,分别小于指定的阀值,则确定该可执行文件加壳。本发明的方法不但可以识别出已知壳的加壳程序,而且对于未掌握特征码的大量未知壳的加壳程序,也有非常准确的识别能力,且分析效率大幅提高。 【专利类型】发明授权 【申请人】北京锐安科技有限公司 【申请人类型】企业 【申请人地址】100044 北京市海淀区中关村南大街乙56号方圆大厦9层 【申请人地区】中国 【申请人城市】北京市 【申请人区县】海淀区 【申请号】CN200810224318.2 【申请日】2008-10-17 【申请年份】2008 【公开公告号】CN101388062B 【公开公告日】2010-06-16 【公开公告年份】2010 【授权公告号】CN101388062B 【授权公告日】2010-06-16 【授权公告年份】2010.0 【IPC分类号】G06F21/22; G06F21/52 【发明人】安丙春 【主权项内容】一种基于统计方法的加壳可执行程序文件识别方法,其步骤包括:1)读入已知未加壳的可执行程序文件;2)以单字节和双字节为统计单位统计可执行程序文件中各数字出现的次数和总字节数;3)求出单字节和双字节在未加壳可执行程序文件中的概率,求出各相邻单字节数值的条件分布;4)读入未知可执行程序文件,计算出该文件中单字节和双字节出现的概率,与所述步骤3)中的数据进行比较,计算出差异值;5)单字节和双字节的差异值,分别大于指定的阀值,则确定该可执行程序文件加壳。 【当前权利人】北京锐安科技有限公司 【当前专利权人地址】北京市海淀区中关村南大街乙56号方圆大厦9层 【专利权人类型】有限责任公司 【统一社会信用代码】91110108746736751Q 【家族被引证次数】4
