CN106446686B - 恶意文档的检测方法及装置 - Google Patents

恶意文档的检测方法及装置 Download PDF

Info

Publication number
CN106446686B
CN106446686B CN201610875684.9A CN201610875684A CN106446686B CN 106446686 B CN106446686 B CN 106446686B CN 201610875684 A CN201610875684 A CN 201610875684A CN 106446686 B CN106446686 B CN 106446686B
Authority
CN
China
Prior art keywords
document
suspicious
malicious
decrypted
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610875684.9A
Other languages
English (en)
Other versions
CN106446686A (zh
Inventor
田阗
边亮
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Qizhi Software Beijing Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd, Qizhi Software Beijing Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201610875684.9A priority Critical patent/CN106446686B/zh
Publication of CN106446686A publication Critical patent/CN106446686A/zh
Application granted granted Critical
Publication of CN106446686B publication Critical patent/CN106446686B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种恶意文档的检测方法及装置,涉及计算机安全技术领域,解决了现有恶意文档检测精度低的问题,本发明的主要技术方案为:根据预置逻辑操作对可疑文档进行解密;检测所述解密的可疑文档中是否包含恶意执行程序;若包含,则确定所述可疑文档为恶意文档。本发明主要用于检测恶意文档。

Description

恶意文档的检测方法及装置
技术领域
本发明涉及计算机安全技术领域,特别是涉及一种恶意文档的检测方法及装置。
背景技术
软件漏洞的成因是由于开发语言本身的局限性,或是由于软件作者因开发期时期编写程序不完善或安全意识不够而疏忽大意而造成的。恶意文档,就是根据加载文档的软件存在的漏洞而故意制作的不正常文件,恶意文档具体可以为DOC,PDF,XLS,PPT等文档,根据加载该文档的软件存在的漏洞而特制的文档,在特定的环境下打开恶意文档后会成功执行恶意文档当中嵌入的恶意执行程序,并通过执行恶意程序对计算机进行攻击。
目前,通过特征码匹配的方式检测文档是否为恶意文档,然而某些恶意执行程序以加密形式嵌入到文档中的,而加密的恶意执行程序将会躲过特征码匹配的检测机制,因此现有技术中恶意文档的检测精度低。
发明内容
有鉴于此,本发明提供一种恶意文档的检测方法及装置,主要目的在于提高恶意文档的检测精度。
依据本发明一个方面,提供了一种恶意文档的检测方法,该方法包括:
根据预置逻辑操作对可疑文档进行解密;
检测所述解密的可疑文档中是否包含恶意执行程序;
若包含,则确定所述可疑文档为恶意文档。
依据本发明另一个方面,提供了一种恶意文档的检测装置,该装置包括:
解密单元,用于根据预置逻辑操作对可疑文档进行解密;
检测单元,用于检测所述解密的可疑文档中是否包含恶意执行程序;
确定单元,用于若所述解密的可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。
借由上述技术方案,本发明实施例提供的技术方案至少具有下列优点:
本发明实施例提供了一种恶意文档的检测方法及装置,首先根据预置逻辑操作对可疑文档进行解密,然后检测所述解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。与目前通过特征码匹配的方式检测文档是否为恶意文档相比,本发明实施例首先根据预置逻辑操作对可疑文档进行解密,然后检测解密的可疑文档中是否包含恶意执行程序,从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明实施例提供的一种恶意文档的检测方法流程图;
图2示出了本发明实施例提供的另一种恶意文档的检测方法流程图;
图3示出了本发明实施例提供的一种恶意文档的检测装置的结构框图;
图4示出了本发明实施例提供的另一种恶意文档的检测装置的结构框图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例提供了一种恶意文档的检测方法,如图1所示,所述方法包括:
101、根据预置逻辑操作对可疑文档进行解密。
其中,所述可疑文档可以为PDF文档、Word文档、TXT文档、图片文档、视频文档等,本发明实施例不做具体限定。需要说明的是,由于攻击者在文档中嵌入的程序是经过加密的,因此若想获知加密的程序是否为恶意的程序,需要对可疑文档进行解密,并通过解密的程序判断可疑文档中是否包恶意执行程序。所述预置逻辑操作具体可以为同或逻辑操作、异或逻辑操作等,本发明实施例不做具体限定。在本发明实施例中除了可以通过预置逻辑操作对可疑文档进行解密,还可以通过预置逻辑操作对可执行程序进行解密,本发明实施例不做具体限定。
对于本发明实施例,根据异或逻辑(XOR)如果a、b两个值不相同,则异或结果为1,如果a、b两个值相同,异或结果为0的原理对可疑文档进行解密。在本发明实施例中,异或逻辑可通过一个相同的数值进行加密解密,如果该数值为十六进制00-FF的情况下,也就是256种情况,通过暴力解密方法对该数值进行异或运算,即将可疑文档与十六进制数00-FF依次异或,每异或一次就检查可疑文档中是否包含恶意执行程序的标记,如果检查到恶意执行程序的标记就可以将可疑文档顺利的解密出来。
对于本发明实施例,根据同或逻辑(XNOR)如果a、b两个值相同,则同或结果为1,如果a、b两个值不相同,同或结果为0的原理对可疑文档进行解密。在本发明实施例中,同或逻辑可通过一个相同的数值进行加密解密,如果该数值为十六进制00-FF的情况下,也就是256种情况,通过暴力解密方法对该数值进行同或运算,即将可疑文档与十六进制数00-FF依次异或,每同或一次就检查可疑文档中是否包含恶意执行程序的标记,如果检查到恶意执行程序的标记就可以将可疑文档顺利的解密出来。
102、检测所述解密的可疑文档中是否包含恶意执行程序。
其中,所述恶意执行程序为可执行文件,具体可以为.exe文件。在本发明实施例中可以静态检测解密的可疑文档中是否包含恶意执行程序,也可通过动态检测解密的可疑文档中是否包含恶意执行程序,还可以通过静态与动态结合的方式检测解密的可疑文档中是否包含恶意执行程序,本发明实施例不做具体限定。
在本发明实施例中,检测所述解密的可疑文档中是否包含恶意执行程序的过程具体可以为:首先对解密的可疑文档进行静态检测,即对所述待检测解密的可疑文档中满足预设可疑要求的关键字段进行统计分析,如果统计分析结果指示待检测解密的可疑文档中满足预设可疑要求的关键字超过预置阈值,则确定可疑文档为恶意文档;若可疑文档中满足预设可疑要求的关键字小于预置阈值,则对解密的可疑文档进行动态检测,即判断所述待检测解密的可疑文档中是否包含触发JavaScript执行的函数,如果是,则确定所述可疑文档中为恶意文档。其中,所述预置阈值可以根据实际需求进行设置,如所述预置阈值可以为20、30、50等,本发明实施例不做具体限定。
103、若包含,则确定所述可疑文档为恶意文档。
其中,恶意文档就是根据加载文档的软件存在的漏洞而故意制作的不正常文件,恶意文档具体可以为DOC,PDF,XLS,PPT等文档,根据加载该文档的软件存在的漏洞而特制的文档,在特定的环境下打开恶意文档后会成功执行恶意文档当中嵌入的恶意执行程序,并通过执行恶意程序对计算机进行攻击。
对于本发明实施例,首先根据预置逻辑操作对可疑文档进行解密,然后通过静态或动态检测解密的可疑文档中是否包含恶意执行程序,即检测解密的可疑文档中是否包含有可执行文件,若可疑文档中包含可执行文件,则确定所述可疑文档为恶意文档。从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
本发明实施例提供了一种恶意文档的检测方法,首先根据预置逻辑操作对可疑文档进行解密,然后检测所述解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。与目前通过特征码匹配的方式检测文档是否为恶意文档相比,本发明实施例首先根据预置逻辑操作对可疑文档进行解密,然后检测解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
本发明实施例提供了另一种恶意文档的检测方法,如图2所示,所述方法包括:
201、根据预置规则获取可疑文档。
其中,所述预置规则可以根据正常文档实际执行的情况进行设置,如正常文档的进程启动关系、正常文档中包含的函数等进行设置,本发明实施例不做具体限定。对于本发明实施例,所述可疑文档可以为PDF文档、 Word文档、TXT文档、图片文档、视频文档等,本发明实施例不做具体限定。例如,存在一个Word文档,当该Word文档被Word执行程序执行时,则通过正常Word文档在Word执行程序中的进程启动关系,正常Word文档中包含的函数,判断该Word文档是否为可疑文档。
对于本发明实施例,所述根据预置规则获取所述可疑文档包括:根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;若不合法,则确定所述执行的文档为可疑文档。其中, Shellcode实际是一段代码,是用来发送到服务器利用特定漏洞的代码,一般可以获取权限。另外,Shellcode一般是作为数据发送给受攻击服务器的。 Shellcode是溢出程序和蠕虫病毒的核心,提到它自然就会和漏洞联想在一起,Shellcode只对没有打补丁的主机有用武之地。漏洞利用中最关键的是 Shellcode的编写。所述崩溃进程指启动的进程为未响应状态。例如,当脚本搜索引擎启发后在执行文档中扫描到一些未知的函数时,或执行文档的启用进程出现错误时,启动文档的进程出现未响应现象时,可将执行的文档确定为可疑文档。
202、根据预置脚本引擎获取所述可疑文档中的加密数据。
在本发明实施例中,所述预置脚本引擎是根据现有文档脚本设置的,如Word脚本、PDF脚本、CAJ脚本等,本发明实施例不做具体限定。如果可疑文档为Word文档,则通过Word脚本引擎扫描该Word文档,将该 Word文档中一些未知的函数、不确定的函数和包含加密信息的函数确定为加密数据。
203、根据异或逻辑操作对所述加密数据进行解密。
在本发明实施例中,由于攻击者在文档中嵌入的程序是经过加密的,因此若想获知加密的程序是否为恶意的程序,需要对可疑文档进行解密,并通过解密的可疑文档判断可疑文档中是否包恶意执行程序。需要说明的是,在本发明实施例中除了可以通过异或逻辑操作对可疑文档进行解密,还可以通过异或逻辑操作对可执行程序进行解密,本发明实施例不做具体限定。
对于本发明实施例,根据异或逻辑(XOR)如果a、b两个值不相同,则异或结果为1,如果a、b两个值相同,异或结果为0的原理对可疑文档进行解密。在本发明实施例中,异或逻辑可通过一个相同的数值进行加密解密,如果该数值为十六进制数00-FF的情况下,也就是256种情况,通过暴力解密方法对该数值进行异或运算,即将可疑文档与十六进制数00-FF依次异或,每异或一次就检查可疑文档中是否包含恶意执行程序的标记,如果检查到恶意执行程序的标记就可以将可疑文档顺利的解密出来。
对于本发明实施例,所述根据异或逻辑操作对所述加密数据进行解密包括:通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。其中,预置异或算法规则可以为逐字节异或、间隔字节异或、递减异或、递增异或等,本发明实施例不做具体限定。在本发明实施例中,对加密数据间隔字节进行逐字节异或,具体可以对加密数据逐字节逻辑异或十六进制数0-F。对加密数据进行间隔字节异或,具体可以对加密数据中的1,3,5, 7,9,11……字节逻辑异或十六进制数0-F,对加密数据中的2,4,6,8,10, 12……字节逻辑异或十六进制数A-F。对加密数据间隔字节进行递增异或,具体可以为对加密数据中的第一个字节异或A,加密数据中的第二个字节异或B,加密数据中的第三个字节异或C,加密数据中的第四个字节异或D,加密数据中的第五个字节异或E,加密数据中的第六个字节异或F,加密数据中的第七个字节异或G,以此类推进行递增异或解密加密数据。
在本发明实施例中,对加密数据间隔字节进行递减异或,具体可以为对加密数据中的第一个字节异或10,加密数据中的第二个字节异或9,加密数据中的第三个字节异或8,加密数据中的第四个字节异或7,加密数据中的第五个字节异或6,加密数据中的第六个字节异或5,加密数据中的第七个字节异或4,以此类推进行递减异或解密加密数据。
在本发明实施例中,所述通过预置异或算法规则对所述加密数据进行异或逻辑操作解密包括:对所述加密数据进行逐字节异或相同的数解密;或对所述加密数据进行逐字节异或不同的数解密。例如,对所述加密数据进行逐字节异或相同的数FF进行解密;对所述加密数据进行逐字节异或不同的数0-F进行解密,具体可以为对加密数据中的第一个字节异或A,加密数据中的第二个字节异或B,加密数据中的第三个字节异或C,加密数据中的第四个字节异或D,加密数据中的第五个字节异或E,加密数据中的第六个字节异或F,加密数据中的第七个字节异或G,以此类推进行递增或递减异或解密加密数据。
204、检测所述解密的数据是否为恶意执行程序。
其中,所述恶意执行程序为可执行文件,具体可以为.exe文件,恶意执行程序被执行将会攻击用户的终端。在本发明实施例中可以静态检测解密的可疑文档中是否包含恶意执行程序,也可通过动态检测解密的可疑文档中是否包含恶意执行程序,还可以通过静态与动态结合的方式检测解密的可疑文档中是否包含恶意执行程序,本发明实施例不做具体限定。
在本发明实施例中,检测所述解密的可疑文档中是否包含恶意执行程序的过程具体可以为:首先对解密的可疑文档进行静态检测,即对所述待检测解密的可疑文档中满足预设可疑要求的关键字段进行统计分析,如果统计分析结果指示待检测解密的可疑文档中满足预设可疑要求的关键字超过预置阈值,则确定可疑文档为恶意文档;若可疑文档中满足预设可疑要求的关键字小于预置阈值,则对解密的可疑文档进行动态检测,即判断所述待检测解密的可疑文档中是否包含触发JavaScript执行的函数,如果是,则确定所述可疑文档中为恶意文档。
205、若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
在本发明实施例中,首先根据预置规则获取可疑文档,然后根据预置脚本引擎获取所述可疑文档中的加密数据,并根据异或逻辑操作对所述加密数据进行解密,最后检测所述解密的数据是否为恶意执行程序,若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。由于本发明实施例首先通过逻辑异或操作对加密数据进行解密,然后检测解密的数据是否为恶意执行程序,若是则确定所述可疑文档为恶意文档,从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
本发明实施例提供了一种恶意文档的检测方法,首先根据异或逻辑操作对可疑文档进行解密,然后检测所述解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。与目前通过特征码匹配的方式检测文档是否为恶意文档相比,本发明实施例首先根据异或逻辑操作对可疑文档进行解密,然后检测解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
进一步地,本发明实施例提供一种恶意文档的检测装置,如图3所示,所述装置包括:解密单元31、检测单元32、确定单元33。
解密单元31,用于根据预置逻辑操作对可疑文档进行解密;
检测单元32,用于检测所述解密的可疑文档中是否包含恶意执行程序;
确定单元33,用于若所述解密的可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。
需要说明的是,本发明实施例提供的一种恶意文档的检测装置所涉及各功能单元的其他相应描述,可以参考图1所示方法的对应描述,在此不再赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
本发明实施例提供了一种恶意文档的检测装置,首先根据预置逻辑操作对可疑文档进行解密,然后检测所述解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。与目前通过特征码匹配的方式检测文档是否为恶意文档相比,本发明实施例首先根据预置逻辑操作对可疑文档进行解密,然后检测解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
进一步地,本发明实施例提供另一种恶意文档的检测装置,如图4所示,所述装置包括:解密单元41、检测单元42、确定单元43。
解密单元41,用于根据预置逻辑操作对可疑文档进行解密;
检测单元42,用于检测所述解密的可疑文档中是否包含恶意执行程序;
确定单元43,用于若所述解密的可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。
所述解密单元41,具体用于根据异或逻辑操作对可疑文档进行解密。
进一步地,所述装置还包括:获取单元;
所述获取单元44,用于根据预置脚本引擎获取所述可疑文档中的加密数据;
所述解密单元41,用于根据异或逻辑操作对所述加密数据进行解密。
所述检测单元42,用于检测所述解密的数据是否为恶意执行程序;
所述确定单元43,用于若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
所述解密单元41,用于通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。
所述解密单元41,具体用于对所述加密数据进行逐字节异或相同的数解密;或对所述加密数据进行逐字节异或不同的数解密。
所述获取单元44,还用于根据预置规则获取所述可疑文档。
对于本发明实施例,所述获取单元44包括:
判断模块441,用于根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;
确定模块442,用于若执行的文档不合法,则确定所述执行的文档为可疑文档。
需要说明的是,本发明实施例提供的一种恶意文档的检测装置所涉及各功能单元的其他相应描述,可以参考图2所示方法的对应描述,在此不再赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
本发明实施例提供了另一种恶意文档的检测装置,首先根据预置逻辑操作对可疑文档进行解密,然后检测所述解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。与目前通过特征码匹配的方式检测文档是否为恶意文档相比,本发明实施例首先根据预置逻辑操作对可疑文档进行解密,然后检测解密的可疑文档中是否包含恶意执行程序,若可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。从而通过本发明实施例解决了现有技术中加密的恶意执行程序将会躲过特征码匹配的检测机制的问题,进而提高了恶意文档的检测精度。
本发明公开了A1、一种恶意文档的检测方法,包括:
根据预置逻辑操作对可疑文档进行解密;
检测所述解密的可疑文档中是否包含恶意执行程序;
若包含,则确定所述可疑文档为恶意文档。
A2、如A1所述的方法,所述根据预置逻辑操作对可疑文档进行解密包括:
根据异或逻辑操作对所述可疑文档进行解密。
A3、如A2所述的方法,所述根据异或逻辑操作对可疑文档进行解密之前,所述方法还包括:
根据预置脚本引擎获取所述可疑文档中的加密数据;
所述根据异或逻辑操作对可疑文档进行解密包括:
根据异或逻辑操作对所述加密数据进行解密。
A4、如A3所述的方法,所检测所述解密的可疑文档中是否包含恶意执行程序包括:
检测所述解密的数据是否为恶意执行程序;
所述若包含,则确定所述可疑文档为恶意文档包括:
若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
A5、如A3所述的方法,所述根据异或逻辑操作对所述加密数据进行解密包括:
通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。
A6、如A5所述的方法,所述通过预置异或算法规则对所述加密数据进行异或逻辑操作解密包括:
对所述加密数据进行逐字节异或相同的数解密;或
对所述加密数据进行逐字节异或不同的数解密。
A7、如A2所述的方法,所述根据异或逻辑操作对可疑文档进行解密之前,所述方法还包括:
根据预置规则获取所述可疑文档。
A8、如A7所述的方法,所述根据预置规则获取所述可疑文档包括:
根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;
若不合法,则确定所述执行的文档为可疑文档。
B9、一种恶意文档的检测装置,包括:
解密单元,用于根据预置逻辑操作对可疑文档进行解密;
检测单元,用于检测所述解密的可疑文档中是否包含恶意执行程序;
确定单元,用于若所述解密的可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档。
B10、如B9所述的装置,
所述解密单元,具体用于根据异或逻辑操作对可疑文档进行解密。
B11、如B10所述的装置,所述装置还包括:获取单元;
所述获取单元,用于根据预置脚本引擎获取所述可疑文档中的加密数据;
所述解密单元,用于根据异或逻辑操作对所述加密数据进行解密。
B12、如B11所述的装置,
所述检测单元,用于检测所述解密的数据是否为恶意执行程序;
所述确定单元,用于若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
B13、如B11所述的装置,
所述解密单元,用于通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。
B14、如B13所述的装置,
所述解密单元,具体用于对所述加密数据进行逐字节异或相同的数解密;或对所述加密数据进行逐字节异或不同的数解密。
B15、如B10所述的装置,
所述获取单元,还用于根据预置规则获取所述可疑文档。
B16、如B15所述的装置,所述获取单元包括:
判断模块,用于根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;
确定模块,用于若执行的文档不合法,则确定所述执行的文档为可疑文档。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的恶意文档的检测方法及装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (16)

1.一种恶意文档的检测方法,其特征在于,包括:
根据预置逻辑操作对可疑文档进行解密,所述预置逻辑操作具体为同或逻辑操作或异或逻辑操作,所述可疑文档具体可以为PDF文档、Word文档、TXT文档、图片文档、视频文档;
检测所述解密的可疑文档中是否包含恶意执行程序,所述恶意执行程序为可执行文件;
若包含,则确定所述可疑文档为恶意文档;
检测所述解密的可疑文档中是否包含恶意执行程序的步骤包括:
对解密的可疑文档进行静态检测,所述静态检测为对所述解密的可疑文档中满足预设可疑要求的关键字段进行统计分析;
若统计分析的结果指示所述解密的可疑文档中满足预设可疑要求的关键字超过预置阈值,则确定所述解密的可疑文档中包含恶意执行程序;
若所述解密的可疑文档中满足预设可疑要求的关键字小于预置阈值,则对所述解密的可疑文档进行动态检测,所述动态检测为判断所述解密的可疑文档中是否包含触发JavaScript执行的函数,如果是,则确定所述解密的可疑文档中包含恶意执行程序。
2.根据权利要求1所述的方法,其特征在于,所述根据预置逻辑操作对可疑文档进行解密包括:
根据异或逻辑操作对所述可疑文档进行解密。
3.根据权利要求2所述的方法,其特征在于,所述根据异或逻辑操作对可疑文档进行解密之前,所述方法还包括:
根据预置脚本引擎获取所述可疑文档中的加密数据;
所述根据异或逻辑操作对可疑文档进行解密包括:
根据异或逻辑操作对所述加密数据进行解密。
4.根据权利要求3所述的方法,其特征在于,所述检测所述解密的可疑文档中是否包含恶意执行程序包括:
检测所述解密的数据是否为恶意执行程序;
所述若包含,则确定所述可疑文档为恶意文档包括:
若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
5.根据权利要求3所述的方法,其特征在于,所述根据异或逻辑操作对所述加密数据进行解密包括:
通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。
6.根据权利要求5所述的方法,其特征在于,所述通过预置异或算法规则对所述加密数据进行异或逻辑操作解密包括:
对所述加密数据进行逐字节异或相同的数解密;或
对所述加密数据进行逐字节异或不同的数解密。
7.根据权利要求2所述的方法,其特征在于,所述根据异或逻辑操作对可疑文档进行解密之前,所述方法还包括:
根据预置规则获取所述可疑文档。
8.根据权利要求7所述的方法,其特征在于,所述根据预置规则获取所述可疑文档包括:
根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;
若不合法,则确定所述执行的文档为可疑文档。
9.一种恶意文档的检测装置,其特征在于,包括:
解密单元,用于根据预置逻辑操作对可疑文档进行解密,所述预置逻辑操作具体为同或逻辑操作或异或逻辑操作,所述可疑文档具体可以为PDF文档、Word文档、TXT文档、图片文档、视频文档;
检测单元,用于检测所述解密的可疑文档中是否包含恶意执行程序,所述恶意执行程序为可执行文件;
确定单元,用于若所述解密的可疑文档中包含恶意执行程序,则确定所述可疑文档为恶意文档;
所述检测单元检测所述解密的可疑文档中是否包含恶意执行程序时对解密的可疑文档进行静态检测,所述静态检测为对所述解密的可疑文档中满足预设可疑要求的关键字段进行统计分析;若统计分析的结果指示所述解密的可疑文档中满足预设可疑要求的关键字超过预置阈值,则确定所述解密的可疑文档中包含恶意执行程序;若所述解密的可疑文档中满足预设可疑要求的关键字小于预置阈值,则对所述解密的可疑文档进行动态检测,所述动态检测为判断所述解密的可疑文档中是否包含触发JavaScript执行的函数,如果是,则确定所述解密的可疑文档中包含恶意执行程序。
10.根据权利要求9所述的装置,其特征在于,
所述解密单元,具体用于根据异或逻辑操作对可疑文档进行解密。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:获取单元;
所述获取单元,用于根据预置脚本引擎获取所述可疑文档中的加密数据;
所述解密单元,用于根据异或逻辑操作对所述加密数据进行解密。
12.根据权利要求11所述的装置,其特征在于,
所述检测单元,用于检测所述解密的数据是否为恶意执行程序;
所述确定单元,用于若所述解密的数据为恶意执行程序,则确定所述可疑文档为恶意文档。
13.根据权利要求11所述的装置,其特征在于,
所述解密单元,用于通过预置异或算法规则对所述加密数据进行异或逻辑操作解密。
14.根据权利要求13所述的装置,其特征在于,
所述解密单元,具体用于对所述加密数据进行逐字节异或相同的数解密;或对所述加密数据进行逐字节异或不同的数解密。
15.根据权利要求11所述的装置,其特征在于,
所述获取单元,还用于根据预置规则获取所述可疑文档。
16.根据权利要求15所述的装置,其特征在于,所述获取单元包括:
判断模块,用于根据进程启动关系、崩溃进程、填充数据Shellcode、扫描到的函数判断执行的文档是否合法;
确定模块,用于若执行的文档不合法,则确定所述执行的文档为可疑文档。
CN201610875684.9A 2016-09-30 2016-09-30 恶意文档的检测方法及装置 Active CN106446686B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610875684.9A CN106446686B (zh) 2016-09-30 2016-09-30 恶意文档的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610875684.9A CN106446686B (zh) 2016-09-30 2016-09-30 恶意文档的检测方法及装置

Publications (2)

Publication Number Publication Date
CN106446686A CN106446686A (zh) 2017-02-22
CN106446686B true CN106446686B (zh) 2020-10-20

Family

ID=58171814

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610875684.9A Active CN106446686B (zh) 2016-09-30 2016-09-30 恶意文档的检测方法及装置

Country Status (1)

Country Link
CN (1) CN106446686B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112613034B (zh) * 2020-12-18 2022-12-02 北京中科网威信息技术有限公司 恶意文档检测方法及系统、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102592080A (zh) * 2011-12-26 2012-07-18 北京奇虎科技有限公司 flash恶意文件检测方法及装置
CN103310150A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种检测pdf漏洞的方法和装置
CN104281815A (zh) * 2013-07-05 2015-01-14 中国移动通信集团北京有限公司 文件加解密的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102592080A (zh) * 2011-12-26 2012-07-18 北京奇虎科技有限公司 flash恶意文件检测方法及装置
CN103310150A (zh) * 2012-03-13 2013-09-18 百度在线网络技术(北京)有限公司 一种检测pdf漏洞的方法和装置
CN104281815A (zh) * 2013-07-05 2015-01-14 中国移动通信集团北京有限公司 文件加解密的方法和系统

Also Published As

Publication number Publication date
CN106446686A (zh) 2017-02-22

Similar Documents

Publication Publication Date Title
Feng et al. Apposcopy: Semantics-based detection of android malware through static analysis
Carmony et al. Extract Me If You Can: Abusing PDF Parsers in Malware Detectors.
Wang et al. Sigfree: A signature-free buffer overflow attack blocker
US20130160125A1 (en) Method and system for rapid signature search over encrypted content
US8561198B2 (en) Detection of malicious system calls
CN109784007B (zh) 一种字节码加密的方法、字节码解密的方法及终端
EP3262557A1 (en) A method to identify known compilers functions, libraries and objects inside files and data items containing an executable code
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
Glanz et al. Hidden in plain sight: Obfuscated strings threatening your privacy
CN105262589A (zh) 数据安全校验方法、装置及校验设备
EP3028212A1 (en) Irrelevant code identification
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
CN105791250B (zh) 应用程序检测方法及装置
CN110135154B (zh) 应用程序的注入攻击检测系统及方法
CN105760721A (zh) 一种软件加固方法和系统
JP6297425B2 (ja) 攻撃コード検出装置、攻撃コード検出方法、及びプログラム
CN106446686B (zh) 恶意文档的检测方法及装置
CN106407815B (zh) 漏洞检测方法及装置
US20090112521A1 (en) Secure digital forensics
Jang et al. Function‐Oriented Mobile Malware Analysis as First Aid
JP6169497B2 (ja) 接続先情報判定装置、接続先情報判定方法、及びプログラム
Kim et al. Detection and blocking method against dll injection attack using peb-ldr of ics ews in smart iot environments
US20160210474A1 (en) Data processing apparatus, data processing method, and program
Zhang Polymorphic and metamorphic malware detection
CN109492392B (zh) 一种核心函数的检测方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220714

Address after: Room 801, 8th floor, No. 104, floors 1-19, building 2, yard 6, Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

Patentee before: Qizhi software (Beijing) Co.,Ltd.