[00003382]一种基于函数特征的恶意程序检测方法
技术详细介绍
一种基于函数特征的恶意程序检测方法,步骤如下:(1)恶意程序的功能函数选择:通过对恶意程序样本的选取,经反汇编和人工分析,指定与恶意行为紧密关联的函数为功能函数;(2)函数特征的提取:对与恶意行为紧密关联函数的函数体代码进行处理,去除干扰指令,识别条件判断语句、循环语句,转换为其等价的表示形式,作为函数特征;(3)恶意程序特征库的建立:利用恶意程序样本库,将提取到的各恶意程序样本的功能函数的函数特征,建立一个作为恶意程序模型的恶意程序特征库;(4)恶意程序检测:依据恶意程序特征库,对待测程序分析其所有函数的函数特征集合,判断是否与恶意程序特征库中特征模型相一致,以识别待测程序是否恶意程序。
