• 中国计算机学会会刊
  • 中国科技核心期刊
  • 中文核心期刊

J4 ›› 2010, Vol. 32 ›› Issue (7): 1-3.doi: 10.3969/j.issn.1007130X.2010.

• 论文 •    下一篇

基于带权欧拉距离的PE文件壳检测技术

陈勤,黄剑军,褚一平,方海英   

  1. (杭州电子科技大学软件与智能技术研究所,浙江 杭州 310018)
  • 收稿日期:2009-05-21 修回日期:2009-08-26 出版日期:2010-06-25 发布日期:2010-06-25
  • 通讯作者: 黄剑军 E-mail:huan121212@163.com
  • 作者简介:陈勤(1962),男,浙江义乌人,教授,研究方向为智能识别与信息安全;黄剑军,硕士生;褚一平,博士;方海英,硕士生。
  • 基金资助:

    现代通信国家重点实验室基金资助项目(9140C1102060703);杭州电子科技大学校科学研究基金资助项目(KYF071506005)

Packed PE File Detection Based on Weighted Euclidean Distance Analysis

CHEN Qin,HUANG Jianjun,CHU Yiping,FANG Haiying   

  1. (Institute of Software and Intelligent Technology,Hangzhou Dianzi University,Hangzhou 310018,China)
  • Received:2009-05-21 Revised:2009-08-26 Online:2010-06-25 Published:2010-06-25
  • Contact: HUANG Jianjun E-mail:huan121212@163.com

PDF

601

摘要:

越来越多的恶意软件出现在网络上。恶意软件作者通过网络将软件中的恶意代码植入用户的电脑中,从而达到诸如获得用户名与密码的非法目的。为了阻止它们对用户电脑的侵害,软件分析人员必须分析恶意软件的工作原理。但是,如果这些恶意软件加壳,那么分析它们就会变得非常困难,因此必须对他们进行脱壳。脱壳的第一步即检测这些恶意软件是否加壳。本文通过对未加壳和已经加壳的软件PE头部进行分析与比较,提出了带权欧拉距离PE文件壳检测(PDWED)算法,其中包括构造一个含有10个元素的向量,并为每个向量中每个元素分配一个权重值,计算向量的带权欧拉距离。实验结果表明,PDWED能够比较快速而又准确地检测软件是否加壳。

关键词: PE头部, 壳检测, 带权欧拉距离

Abstract:

More and more malware is appearing on the Internet, the authors of the malware want to gain illegal purposes by inserting malicious code into the users’ computers, such as achieving the users’ names and passwords. In order to prevent computers from being attcked, software analyzers need to analyze the principle of the malware, however, if the malware is packed, it is very difficult to analyze. We must unpack the malware and the first step of unpacking is to detect whether the malware is packed or not. This paper proposes a packed PE file detection method based on a weighted Euclidean distance analysis (PDWED) algorithm by analyzing and comparing the differences between the unpacked and the packed software on the PE header, which includes constructing a vector of 10 elements,distributing weighted value for each element,and calculating the weighted Euclidean distance of the vector. The experimental results show that PDWED can detect whether the software is packed or not quickly and accurately.

Key words: PE header;packed detection;weighted Euclidean distance

湘公网安备 43010502000083号

湘ICP备10006030号

版权所有 © 《计算机工程与科学》 编辑部

地址:中国湖南省长沙市开福区德雅路109号(410073) 电话:0731-87002567 Email: jsjgcykx@vip.163.com

本系统由北京玛格泰克科技发展有限公司设计开发 技术支持:support@magtech.com.cn