软件的可信检测方法及装置[发明专利]

(12)发明专利申请

(10)申请公布号 CN 110135153 A(43)申请公布日 2019.08.16

(21)申请号 201811295818.5(22)申请日 2018.11.01

(71)申请人 哈尔滨安天科技股份有限公司

地址 150000 黑龙江省哈尔滨市高新技术

产业开发区高科技创业中心南岗17号楼红旗大街162号506室(72)发明人 黄磊　童志明　何公道　

(74)专利代理机构 北京清亦华知识产权代理事

务所(普通合伙) 11201

代理人 张润(51)Int.Cl.

G06F 21/56(2013.01)

权利要求书1页 说明书7页 附图2页

()发明名称

软件的可信检测方法及装置(57)摘要

本发明公开了一种软件的可信检测方法及装置，其中，方法包括以下步骤：检测待测可信软件是否可信；如果待测软件可信，则提取待测可信软件的PE文件中多个信标；检测多个信标是否均属于可信信标库，并在多个信标中任意一个信标不属于可信信标库时，判定待测可信软件被仿冒或篡改。该方法可以有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。

CN 110135153 ACN 110135153 A

权　利　要　求　书

1/1页

1.一种软件的可信检测方法，其特征在于，包括以下步骤：检测待测软件是否可信；如果所述待测软件可信，则提取所述待测可信软件的PE文件中多个信标；以及检测所述多个信标是否均属于可信信标库，并在所述多个信标中任意一个信标不属于所述可信信标库时，判定所述待测可信软件被仿冒或篡改。

2.根据权利要求1所述的软件的可信检测方法，其特征在于，还包括：采集可信软件厂商列表，以生成可信软件公司名称信息库；

爬取所述可信软件公司名称信息库的所有可信软件厂商的所有信标，以构建所述可信信标库。

3.根据权利要求1所述的软件的可信检测方法，其特征在于，所述检测待测软件是否可信，进一步包括：

根据PE结构对所述PE文件进行静态解析，以获取所述PE文件的标识信息，其中，所述标识信息包括PE属性和数字签名，所述PE属性包括原始文件名、版权、产品名称和商标中的一项或多项，数字签名包括签名者信息；

根据所述PE文件的标识信息识别所述PE文件的可信软件公司名称，并检测是否属于可信软件厂商。

4.根据权利要求3所述的软件的可信检测方法，其特征在于，所述提取所述待测可信软件的PE文件中多个信标，进一步包括：

如果属于所述可信软件厂商，则对所述PE文件进行静态或动态分析，以提取所述PE文件内嵌或动态访问的所述多个信标。

5.根据权利要求1-4任一项所述的软件的可信检测方法，其特征在于，所述多个信标包括URL信标、IP信标和Domain信标。

6.一种软件的可信检测装置，其特征在于，包括：第一检测模块，用于检测待测可信软件是否可信；提取模块，用于在所述待测软件可信时，提取所述待测可信软件的PE文件中多个信标；以及

第二检测模块，用于检测所述多个信标是否均属于可信信标库，并在所述多个信标中任意一个信标不属于所述可信信标库时，判定所述待测可信软件被仿冒或篡改。

7.根据权利要求6所述的软件的可信检测装置，其特征在于，还包括：采集模块，用于采集可信软件厂商列表，以生成可信软件公司名称信息库；爬取模块，用于爬取所述可信软件公司名称信息库的所有可信软件厂商的所有信标，以构建所述可信信标库。

8.一种计算机设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如权利要求1-5中任一所述的软件的可信检测方法。

9.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-5中任一所述的软件的可信检测方法。

10.一种计算机程序产品，其特征在于，当所述计算机程序产品中的指令由处理器执行时，执行如权利要求1-5中任一所述的软件的可信检测方法。

2

CN 110135153 A

说　明　书

软件的可信检测方法及装置

1/7页

技术领域

[0001]本发明涉通信技术领域，特别涉及一种软件的可信检测方法及装置。

背景技术

[0002]目前，恶意用户通过对流行的可信软件(如Adobe)进行仿冒或篡改，从而达到让受害者信任、点击并执行恶意行为的目的。其中，为了躲避查杀，仿冒或篡改的可信软件往往作为下载器，然而下载器本身并无恶意行为，但可通过内嵌恶意URL(Uniform Resource Locator，统一资源定位符)实现下载真正恶意代码的目的。[0003]具体而言，通过修改可信软件执行流程，达到内嵌恶意URL(如对可信软件安装包进行解压后，篡改安装脚本，内嵌恶意URL，然后重新打包)的目的，使得在可信软件正常执行前或执行后，执行内嵌的恶意URL，实现下载真正恶意代码的目的。[0004]然而，相关技术中，往往无法有效检测通过内嵌恶意URL而达到下载恶意代码的行为，从而无法有效检测可信软件是否已经被仿冒或篡改，大大降低检测的准确性，无法有效避免用户遭受恶意代码攻击，降低用户使用体验，亟待解决。发明内容

[0005]本发明旨在至少在一定程度上解决相关技术中的技术问题之一。[0006]为此，本发明的第一个目的在于提出一种软件的可信检测方法，该方法有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[0007]本发明的第二目的在于提出一种软件的可信检测装置。[0008]本发明的第三个目的在于提出一种计算机设备。

[0009]本发明的第四个目的在于提出一种非临时性计算机可读存储介质。[0010]本发明的第五个目的在于提出一种计算机程序产品。[0011]为达到上述目的，本发明第一方面实施例提出了一种软件的可信检测方法，包括以下步骤：检测待测可信软件的是否可信；如果所述待测软件可信，则提取所述待测可信软件的PE(Portable Executable，可移植文件)文件中多个信标；检测所述多个信标是否均属于可信信标库，并在所述多个信标中任意一个信标不属于所述可信信标库时，判定所述待测可信软件被仿冒或篡改。

[0012]本发明实施例的软件的可信检测方法，在待测可信软件的PE文件中多个信标中任意一个不属于可信信标库时，判定待测可信软件被篡改或仿冒，从而有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[0013]另外，根据本发明上述实施例的软件的可信检测方法还可以具有以下附加的技术特征：

[0014]进一步地，在本发明的一个实施例中，还包括：采集可信软件厂商列表，以生成可

3

CN 110135153 A

说　明　书

2/7页

信软件公司名称信息库；爬取所述可信软件公司名称信息库的所有可信软件厂商的所有信标，以构建所述可信信标库。[0015]进一步地，在本发明的一个实施例中，所述检测待测软件是否可信，进一步包括：根据PE结构对所述PE文件进行静态解析，以获取所述PE文件的标识信息，其中，所述标识信息包括PE属性和数字签名，所述PE属性包括原始文件名、版权、产品名称和商标中的一项或多项，数字签名包括签名者信息；根据所述PE文件的标识信息识别所述PE文件的可信软件公司名称，并检测是否属于可信软件厂商。[0016]进一步地，在本发明的一个实施例中，所述提取所述待测可信软件的PE文件中多个信标，进一步包括：如果属于所述可信软件厂商，则对所述PE文件进行静态或动态分析，以提取所述PE文件内嵌或动态访问的所述多个信标。[0017]进一步地，在本发明的一个实施例中，所述多个信标包括URL信标、IP信标和Domain信标。

[0018]为达到上述目的，本发明第二方面实施例提出了一种软件的可信检测装置，包括：第一检测模块，用于检测待测可信软件是否可信；提取模块，用于在所述待测软件可信时，提取所述待测可信软件的PE文件中多个信标；第二检测模块，用于检测所述多个信标是否均属于可信信标库，并在所述多个信标中任意一个信标不属于所述可信信标库时，判定所述待测可信软件被仿冒或篡改。

[0019]本发明实施例的软件的可信检测装置，在待测可信软件的PE文件中多个信标中任意一个不属于可信信标库时，判定待测可信软件被篡改或仿冒，从而有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[0020]另外，根据本发明上述实施例的软件的可信检测装置还可以具有以下附加的技术特征：

[0021]进一步地，在本发明的一个实施例中，还包括：采集模块，用于采集可信软件厂商列表，以生成可信软件公司名称信息库；爬取模块，用于爬取所述可信软件公司名称信息库的所有可信软件厂商的所有信标，以构建所述可信信标库。[0022]进一步地，在本发明的一个实施例中，所述提取模块进一步用于根据PE结构对所述PE文件进行静态解析，以获取所述PE文件的标识信息，根据所述PE文件的标识信息识别所述PE文件的可信软件公司名称，并检测是否属于可信软件厂商，并在属于所述可信软件厂商，对所述PE文件进行静态或动态分析，以提取所述PE文件内嵌或动态访问的所述多个信标。

[0023]进一步地，在本发明的一个实施例中，所述标识信息包括PE属性和数字签名，其中，所述PE属性包括原始文件名、版权、产品名称和商标中的一项或多项，数字签名包括签名者信息。

[0024]进一步地，在本发明的一个实施例中，所述多个信标包括URL信标、IP信标和Domain信标。

[0025]为达到上述目的，本发明第三方面实施例还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现上述实施例所述的软件的可信检测方法。

4

CN 110135153 A[0026]

说　明　书

3/7页

为达到上述目的，本发明第四方面实施例还提出了一种非临时性计算机可读存储

介质，其上存储有计算机程序，该程序被处理器执行时实现如上述实施例所述的软件的可信检测方法。

[0027]为达到上述目的，本发明第五方面实施例还提出了一种计算机程序产品，当所述计算机程序产品中的指令由处理器执行时，执行上述实施例所述的软件的可信检测方法。[0028]本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。附图说明

[0029]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

[0030]图1为根据本发明一个实施例的软件的可信检测方法的流程图；[0031]图2为根据本发明一个具体实施例的软件的可信检测方法的流程图；

[0032]图3为根据本发明一个实施例的利用可信软件内嵌非可信信标来判定是否被仿冒和篡改示例图；

[0033]图4为根据本发明一个实施例的软件的可信检测装置的结构示意图。

具体实施方式

[0034]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的。[0035]下面参照附图描述根据本发明实施例提出的软件的可信检测方法及装置，首先将参照附图描述根据本发明实施例提出的软件的可信检测方法。

[0036]图1是本发明一个实施例的软件的可信检测方法的流程图。[0037]如图1所示，该软件的可信检测方法包括以下步骤：[0038]在步骤S101中，检测待测可信软件是否可信。[0039]可以理解的是，可信条件可以为待测可信软件中的PE文件的PE属性和数字签名等来自于流行的可信软件公司。本发明实施例通过判断PE文件的PE属性和数字签名等是否来自于流行的可信软件公司，从而检测待测可信软件是否可信。其中，可信软件为正规软件厂商编制，具有正常数字签名的软件；PE文件为可移植的可执行的文件，是微软Windows操作系统上的程序文件，如EXE、DLL、OCX、SYS、COM等都可以是PE文件。[0040]进一步地，在本发明的一个实施例中，所述检测待测软件是否可信，进一步包括：根据PE结构对所述PE文件进行静态解析，以获取所述PE文件的标识信息，其中，所述标识信息包括PE属性和数字签名，所述PE属性包括原始文件名、版权、产品名称和商标中的一项或多项，数字签名包括签名者信息；根据所述PE文件的标识信息识别所述PE文件的可信软件公司名称，并检测是否属于可信软件厂商。[0041]可以理解的是，本发明实施例构建流行软件厂商名称列表，通过PE属性(包括原始文件名、版权、产品名称、合法商标等)、数字签名(签名者信息)识别软件归属厂商。[0042]具体而言，本发明实施例首先通过判断PE文件的PE属性(包括但不限于文件名、公

5

CN 110135153 A

说　明　书

4/7页

司名称等)、数字签名等是否来自于流行的可信软件公司。[0043]在步骤S102中，如果待测软件可信，则提取待测可信软件的PE文件中多个信标。[0044]可以理解的是，本发明实施例在确认PE文件来自于流行的可信软件公司时，提取待测可信软件的PE文件中多个信标。其中，在本发明的一个实施例中，多个信标包括URL信标、IP信标和Domain信标。[0045]进一步地，在本发明的一个实施例中，提取待测可信软件的PE文件中多个信标，进一步包括：如果属于可信软件厂商，则对PE文件进行静态或动态分析，以提取PE文件内嵌或动态访问的多个信标。[0046]可以理解的是，如果来自于可信软件公司，则通过对PE文件进行静动态分析，提取PE文件内嵌或动态访问的所有URL、IP、Domain。[0047]在步骤S103中，检测多个信标是否均属于可信信标库，并在多个信标中任意一个信标不属于可信信标库时，判定待测可信软件被仿冒或篡改。[0048]可以理解的是，本发明实施例可以通过分析PE结构提取内嵌信标，且用其与收集建立的流行软件公司的可信信标进行对比，来检测程序是否仿冒、篡改可信软件。也就是说，本发明实施例通过将静动态分析PE结构获取的信标(URL、IP、Domain)与流行软件厂商可信信标库进行对比，来判定软件是否为仿冒或篡改自可信软件，并且在在待测可信软件的PE文件中多个信标中任意一个不属于可信信标库时，判定待测可信软件被篡改或仿冒，从而有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性。[0049]需要说明的是，仿冒可信软件：恶意软件通过伪装可信软件的图标、属性、文件名等信息来仿冒可信软件；篡改可信软件：恶意软件通过对可信软件进行修改，篡改可信软件的执行流程，内嵌恶意代码或恶意URL。另外，本发明实施例构建流行软件厂商可信信标库，并定期对流行软件厂商进行信标爬取，更新可信信标库，从而可以有效避免因信标库未及时更新造成待测可信软件被误检测为篡改或仿冒，可信信标库的定期更新可以有效保证软件的可信检测的准确性和可靠性。

[0050]本发明实施例判定待测可信软件被仿冒或篡改的原理为：可信软件公司发布的软件在执行过程中访问的URL、IP、Domain都是本公司或其他可信软件公司的相关服务，如果访问了非本公司或非可信软件公司的服务，则此次访问具有可疑行为。因此可以通过检测可信软件中访问的url、ip和domain等是否来自于本公司或其他可信软件公司的服务来判断该软件是否被仿冒或篡改。[0051]根据上述原理，本发明实施例将提取出的所有信标与事先构造的软件公司可信信标库进行匹配搜索，找出不在软件公司可信信标库中的可疑信标URL、IP、Domain，即可疑信标URL、IP、Domain非所属软件公司所注册，则可判定该软件为仿冒或篡改的软件。[0052]具体而言，(1)构建软件公司可信信标库，通过收集每个可信软件公司的官网、域名、IDC等所有相关信标。[0053](2)将提取出的所有信标(URL、IP、Domain)与软件公司可信信标库进行匹配搜索，找出不在软件公司可信信标库中的可疑信标URL、IP、Domain。[00](3)如果发现的可疑信标URL、IP、Domain非所属软件公司所注册，则可判定该软件为仿冒或篡改的软件。

6

CN 110135153 A[0055]

说　明　书

5/7页

下面将结合图2对软件的可信检测方法进行进一步阐述，具体包括：

[0056]S01：获取流行软件厂商名称列表[0057]收集整理流行软件厂商列表名称，形成可信软件公司名称信息库，包括但不限于微软、google、Adobe、阿里、腾讯、百度等。[0058]S02：爬取流行软件厂商包含的所有信标(URL、IP、域名)[0059]对主流软件厂商所包含的所有主域名、子域名、IP、URL进行爬取，按照一定深度进行爬取，并可定期进行重新爬取，以便及时更新信标数据。[0060]S03：构建流行软件厂商可信信标库

[0061]对S02爬取的流行软件厂商包含的所有信标(URL、IP、域名)形成特征库，方便后续查询，同时可根据S02重新爬取结果进行更新。[0062]S04：解析待检测PE文件

[0063]对待检测PE文件按照PE结构进行静态解析，包括但不限于PE属性(包括原始文件名、版权、产品名称、合法商标等)、数字签名(签名者信息)等可用于标识PE文件所属公司的信息。

[00]S05：识别PE文件归属公司[0065]根据S01分析的结果，识别PE文件所属公司名称，如PE属性中版权为RealVNC Ltd.2002-2008，则该PE文件归属于RealVNC公司。[0066]S06：归属公司流行度、可信度判别

[0067]对S02中识别的软件公司名称进行流行度、可信度判断，主要是与S06中收集整理的流行(可信)软件公司列表进行模糊匹配查找，若匹配成功则PE文件归属于流行公司，跳至S07，否则该文件是否恶意未知。[0068]S07：静态、动态分析提取内嵌信标(URL、IP、Domain)[0069]对PE文件进行静动态分析，提取PE文件内嵌或动态访问的所有信标(URL、IP、Domain)。

[0070]S08～S09：与流行软件厂商可信信标库进行对比。[0071]将S07中提取的所有信标(URL、IP、Domain)，在S03构建的流行软件厂商可信信标库中进行查找，若S07中提取的所有信标均可在流行软件厂商可信信标库中查找到，则该软件可信，否则该软件为仿冒或篡改自可信软件。[0072]进一步地，将通过一个具体示例对软件的可信检测方法进行阐述。[0073]如图3所示，利用可信软件内嵌非可信信标来判定是否被仿冒和篡改示例：未知PE文件A，其属性、数字签名等信息显示为adobe公司开发，对A文件进行分析，提取所有信标，其中存在一个URL为http://xx.xx.com/virus.exe，对URL进行处理，提取出域名xx.xx.com，然后将URL、域名与事先收集整理的adobe公司所有的可信信标进行对比，发现该URL和Domain均不存在于可信信标库中，则A文件极有可能为仿冒或篡改的可信软件。[0074]综上，本发明实施例基于建立的可信软件信标库(URL、IP、Domain)，对网络、终端上的软件的可信度进行评估，快速发现仿冒可信软件、篡改可信软件的恶意程序。本发明实施例的方法具有如下优点：[0075](1)不依赖于恶意代码特征进行匹配检测，仅通过检测内嵌的信标是否可信即可判定程序恶意，可显著减少病毒库特征量。

7

CN 110135153 A[0076]

说　明　书

6/7页

(2)本发明实施例一方面可以启发式检测仿冒、篡改可信软件的恶意程序，另一方

面还可以针对发现的PE中内嵌可疑URL，及时对URL进行处理，也可下载URL对应的恶意文件进行处理。

[0077]根据本发明实施例提出的软件的可信检测方法，在待测可信软件的PE文件中多个信标中任意一个不属于可信信标库时，判定待测可信软件被篡改或仿冒，从而有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[0078]其次参照附图描述根据本发明实施例提出的软件的可信检测装置。[0079]图4是本发明一个实施例的软件的可信检测装置的结构示意图。[0080]如图4所示，该软件的可信检测装置10包括：第一检测模块100、提取模块200和第二检测模块300。[0081]其中，第一检测模块100用于检测待测可信软件是否可信。提取模块200用于在PE文件待测软件可信时，提取待测可信软件的PE文件中多个信标。第二检测模块300用于检测多个信标是否均属于可信信标库，并在多个信标中任意一个信标不属于可信信标库时，判定待测可信软件被仿冒或篡改。本发明实施例的装置10可以有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[0082]进一步地，在本发明的一个实施例中，本发明实施例的装置10还包括：采集模块和爬取模块。

[0083]其中，采集模块用于采集可信软件厂商列表，以生成可信软件公司名称信息库。爬取模块用于爬取可信软件公司名称信息库的所有可信软件厂商的所有信标，以构建可信信标库。

[0084]进一步地，在本发明的一个实施例中，提取模块200进一步用于根据PE结构对PE文件进行静态解析，以获取PE文件的标识信息，根据PE文件的标识信息识别PE文件的可信软件公司名称，并检测是否属于可信软件厂商，并在属于可信软件厂商，对PE文件进行静态或动态分析，以提取PE文件内嵌或动态访问的多个信标。[0085]进一步地，在本发明的一个实施例中，标识信息包括PE属性和数字签名，其中，PE属性包括原始文件名、版权、产品名称和商标中的一项或多项，数字签名包括签名者信息。[0086]进一步地，在本发明的一个实施例中，多个信标包括URL信标、IP信标和Domain信标。

[0087]需要说明的是，前述对软件的可信检测方法实施例的解释说明也适用于该实施例的软件的可信检测装置，此处不再赘述。

[0088]根据本发明实施例提出的软件的可信检测装置，在待测可信软件的PE文件中多个信标中任意一个不属于可信信标库时，判定待测可信软件被篡改或仿冒，从而有效检测对可信软件的仿冒或篡改，尤其是可以准确检测内嵌恶意信标而实现恶意目的的行为，提高检测的准确性和可靠性，有效避免用户遭受恶意代码攻击，提高用户使用体验。[00]为了实现上述实施例，本发明实施例还提出了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行程序时，实现如上述实施例描述的软件的可信检测方法。

8

CN 110135153 A[0090]

说　明　书

7/7页

为了实现上述实施例，本发明实施例还提出了一种非临时性计算机可读存储介

质，该程序被处理器执行时实现如上述实施例描述的软件的可信检测方法。[0091]为了实现上述实施例，本发明实施例还提出了一种计算机程序产品，当计算机程序产品中的指令由处理器执行时，执行如上述实施例描述的软件的可信检测方法。[0092]此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。[0093]在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

[0094]尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

9

CN 110135153 A

说　明　书　附　图

1/2页

图1

图2

10

CN 110135153 A

说　明　书　附　图

2/2页

图3

图4

11