CN106919811B - 文件检测方法和装置 - Google Patents

Abstract

本申请公开了一种文件检测方法和装置。其中，该方法包括：获取输入的非可执行文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；若加密信息符合可执行文件的文件特征，则检测出非可执行文件中内嵌有可执行文件。本申请解决了使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

Description

文件检测方法和装置

技术领域

本申请涉及计算机领域，具体而言，涉及一种文件检测方法和装置。

背景技术

在计算机反病毒技术发展过程中，病毒和木马为了逃避查杀，也在不断发展演变，产生出不同的加密和变形手段，从而可以绕过杀毒软件查杀形成有效攻击，这种查杀和攻击技术不断对垒演变的过程通常称为对抗过程。病毒和木马为了逃避检测，会进行加密和变形进而隐藏起来，其中一类比较常用的加密方法是通过对文件进行逐字节异或加密，或者逐次对异或密钥key进行等差变换后进行异或加密，或者逐字节循环移位加密，或者上述几种方式的组合加密等。这类加密方式，在更换异或key或循环移位次数重新加密后，旧的检测签名就会失效，从而逃过杀毒软件的检测。

对于APT攻击来说，通常由邮件或网页中附带非PE格式的文档(比如Office文档、PDF文档等)发起攻击。这些文档通常会内嵌加密的病毒或木马，而病毒或木马一般都是PE文件。由于PE文件本身直接执行太容易被检测，所以一般都要经过加密后内嵌在非PE文件中，用户在不知情时打开这些非PE文档，如果系统有漏洞，并且该非PE文件有漏洞利用代码形成有效攻击的话，就有可能解密激活内嵌的病毒或木马，从而形成真正的攻击，由此，检测内嵌在非PE文件中的加密的病毒或木马就成为了检测APT攻击的一个很重要的技术手段。比较常见的检测技术是许多杀毒软件常用的签名算法，这类检测技术的特点是只能针对已知病毒或木马进行检测，一旦病毒或木马重新加密或变形后，原先的签名无效，用签名算法就无法检测到了。

针对上述使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种文件检测方法和装置，以至少解决使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

根据本申请实施例的一个方面，提供了一种文件检测方法，该方法包括：获取输入的非可执行文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

根据本申请实施例的另一方面，还提供了一种文件检测装置，该文件检测装置包括：获取单元，用于获取输入的非可执行文件；检测单元，用于在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；确定单元，用于若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

在本申请实施例中，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的可执行文件，若非可执行文件中内嵌有加密的可执行文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过可执行文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于可执行文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例的一种文件检测方法的计算机终端的硬件结构框图；

图2是根据本申请实施例的文件检测方法的流程图一；

图3是根据本申请实施例的文件检测方法的流程图二；

图4是根据本申请实施例的文件检测方法的流程图三；

图5是根据本申请实施例的文件检测装置的示意图一；

图6是根据本申请实施例的文件检测装置的示意图二；以及

图7是根据本申请实施例的一种计算机终端的网络环境示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先，对本申请实施例涉及的术语解释如下：

签名算法：通过从文件中提取的特征串作为签名标识串，采用签名串来检测病毒的算法。

非签名算法：凡不属于签名检测算法的检测技术都属于非签名算法。

谛听：一种静态文件内容分析引擎，主要基于非签名检测算法。

PE：Portable Executable，一种Windows采用的主要可执行文件格式，例如EXE文件就是一种PE文件，动态链接库DLL文件也是PE文件，该DLL文件可简洁地被执行，大部分病毒或木马都是PE文件。

高级持续性威胁：Advanced Persistent Threat，即APT。其特点是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用漏洞进行攻击。

实施例1

根据本申请实施例，还提供了一种文件检测方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本申请实施例的一种文件检测方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。

存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的文件检测方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的文件检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(Network Interface Controller，NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(Radio Frequency，RF)模块，其用于通过无线方式与互联网进行通讯。

在上述运行环境下，本申请提供了如图2所示的文件检测方法。图2是根据本申请实施例的文件检测方法的流程图一。如图2所示，该方法可以包括如下步骤：

步骤S202，获取输入的非可执行文件，其中，可执行文件为当前终端的操作系统可执行的程序文件，也即，非可执行文件不是当前终端的操作系统可执行的程序文件；

步骤S204，检测非可执行文件中是否存在加密信息；

步骤S206，在非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；

步骤S208，加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

在检测出非可执行文件为非法文件之后，该方法还包括，输出检测成功的标志，还可以将该非可执行文件作为可疑的病毒或木马文件。

采用本申请上述实施例，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的可执行文件(即PE文件)，若非可执行文件中内嵌有加密的PE文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过PE文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于PE文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

上述实施例中的文件检测方法可以应用在杀毒软件中，杀毒软件对需要查杀病毒或木马的非可执行文件，先检测该非可执行文件中的加密信息是否为加密信息，具体地，对于计算机来讲，“hello”可以是明文，对该“hello”加密后可能为：“4rt57896e542h”，可以通过该种规则，判断非可执行文件中的加密信息是否为加密信息。在非可执行文件中的加密信息为加密信息的情况下，利用PE文件的文件特征检测该非PE文件中是否内嵌有PE文件，如，若该非PE文件的加密信息对应的明文信息命中PE文件的文件特征，则认为，该非PE文件中内嵌有加密的PE文件，并确认该非PE文件为病毒文件或木马文件。

在上述实施例中，可以预先获取PE文件的文件特征，如文件标记(即DOS头的标记)、文件头标记(NT头的标记)等的信息，如果该非PE文件中的加密信息命中PE文件的文件特征，则认为该非PE文件中内嵌有病毒或木马文件。由于该PE文件的文件特征是固定不变的，不会因为PE文件采用不同的算法而发生变化，从而使用PE文件的文件特征对其进行检测，准确率很高，且不会漏检。

在本申请的上述实施例中，在通过杀毒软件检测病毒或木马的应用场景中，在获取非PE文件之后，从非PE文件的起始位置可以逐字节扫描该文件，在检测到该非PE文件中出现密文数据(即上述的加密信息)之后，利用PE文件的文件特征对该加密信息进行检测，得到检测结果。

需要说明的是，上述的逐字节扫描的过程实质上是一个循环的过程，在每扫描到以字节的时候，需按照上述的检测方式对非PE文件进行检测，直至检测出该非PE文件中内嵌有PE文件，或检测到该非PE文件的最后一个字节。

根据本申请的上述实施例，检测加密信息是否符合可执行文件的文件特征可以包括：基于PE文件的文件特征确定非PE文件中加密信息的解密密钥；利用解密密钥校验加密信息是否符合PE文件的文件特征。

由于PE文件的文件特征固定不变，在检测到非PE文件中存在加密信息的时候，需破解该加密信息的解密密钥，我们假定该加密信息为加密的PE文件信息，使用该PE文件的文件特征破解该加密信息的解密密钥，如果利用该解密密钥校验加密信息符合PE文件的文件特征，则检测出加密信息符合PE文件的文件特征，如果利用该解密密钥校验加密信息不符合PE文件的文件特征，则检测出加密信息不符合该PE文件的文件特征。

在上述实施例中，如果利用该解密密钥校验加密信息不符合PE文件的文件特征，则我们初始的假定不正确，也即该加密信息不是加密的PE文件的信息，则检测结果(加密信息不符合该PE文件的文件特征)的结果是正确的。由此，通过上述实施例，可以准确地检测非PE文件中是否内嵌有加密的PE文件。

下面对现有技术中的方案和本申请的方案作对比说明：

现有的检测技术主要基于签名算法，其特点是，提取病毒和木马的特征串作为签名，用该签名作为标识符来进行检测。如果病毒和木马在变形或重新加密后，原先提取的特征串就不再适用，这就导致原签名失效，从而无法检测到变形后的病毒或木马。

而本申请采用的是非签名技术，采用的是固定不变的文件特征的检测方式，由于不依靠签名进行检测，在病毒或木马依原有算法重新加密变形后，依然可以检测到。

具体地，由于现有技术中的文件加密方式有很多，其中一类是比较简单有效的由基本的数字加减、异或运算、循环移位等方式组合起来逐字节对病毒或木马进行加密的方式。在采用加密方法病毒的方式逃避检测的方案中，在需要激活实施攻击时，会进行还原和解密，这要求加密方法是可逆和可解密的，这里以异或加密方式，举例说明如下该类算法的加解密原理：

在计算机中，假设A异或B＝C，(假设A为明文，B为密钥，C为密文)；

则有：

C异或B＝A(通过密钥和密文解密还原明文)；

C异或A＝B(通过密文和明文破解密钥)。

也就是说，可以在已知密钥key时解密还原明文，也可以在已知密文时，破解原密钥key。在破解密钥key之后，就可以解密还原明文，本申请采用这种原理破解加密信息的解密密钥。

采用上述原理，基于PE文件的文件特征确定非PE文件中加密信息的解密密钥可以包括：获取PE文件的文件特征中的标记信息，其中，标记信息用于标记PE文件；从加密信息的当前位置提取文件标记；将标记信息作为明文数据，将文件标记作为密文数据；对明文数据和密文数据作破解操作，得到解密密钥，其中，破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。

本申请上述的密钥破解操作仅用作举例说明，不排除对符合本申请操作方式的其他破解操作。

基于上述算法可逆的原理，可以将固定不变的PE文件的文件特征作为明文，将加密信息作为密文，尝试求解解密密钥。可选地，PE文件的标记信息一般存在与PE文件的起始位置，从该加密信息的当前位置中提取文件标记，将该文件标记作为密文，将标记信息作为明文，求解解密密钥。

在求解解密密钥的过程中，如果是异或加密，就求异或key；如果key本身是等差数列变化的，也可以前后两次匹配相减求出这个差值；如果是循环移位加密，可以从1到8做尝试移位，至到成功找到移位次数为止；如果有字节顺序交换的，也要尝试交换字节进行扫描。这个破解过程，可以是一种上述操作，也可以是上述多种操作的组合。

在该申请中可以利用文件特征中的DOS头，也可以尝试其他固定字符串标识的DOS头。以PE文件的DOS头标记(对应上文中的标记信息)，PE文件中的e_magic字段用于记录PE的DOS头标记，该DOS头固定为“MZ”，该的“MZ”的信息交换码标准代码ASCII码，即：0x4D5A。将该“MZ”的加密信息作为明文，将提取到的文件标记作为密文，得到解码密钥，然后使用该解密密钥验证加密信息是否符合PE文件的文件特征。

在一个可选的实施例中，利用解密密钥校验加密信息是否符合PE文件的文件特征可以包括：利用解密密钥解密加密信息，得到解密信息，判断该解密信息中是否存在PE文件的文件特征，若存在，则校验出加密信息符合PE文件的文件特征；若不存在，则校验出加密信息不符合PE文件的文件特征。

在该实施例中的文件特征可以为：偏移指针指向的文件头(NT头)标记；若解密信息中偏移指针指向的解密字段信息与文件头(NT头)标记一致，则判断出该解密信息中存在PE文件的文件特征；若解密信息中偏移指针指向的解密字段信息与文件头(NT头)标记不一致，则判断出该解密信息中不存在PE文件的文件特征。

在另一个可选地实施例中，文件特征中至少记录有第一偏移量和预定字段信息，其中，利用解密密钥校验加密信息是否符合PE文件的文件特征可以包括：获取距离当前位置为第一偏移量的第一位置，其中，第一偏移量指向PE文件的文件头的偏移指针；从加密信息中的第二位置读取加密的偏移指针；使用解密密钥解密加密的偏移指针，得到偏移指针；获取加密信息中偏移指针所指向的加密字段信息；使用解密密钥、加密字段信息以及文件特征中的预定字段信息校验加密信息是否符合PE文件的文件特征。

具体地，使用解密密钥、加密字段信息以及文件特征中的预定字段信息校验加密信息是否符合PE文件的文件特征可以包括：使用解密密钥对加密字段信息进行解密，得到解密的字段信息；判断解密的字段信息与文件特征中记录的预定字段信息是否一致；若解密的字段信息与文件特征中记录的预定字段信息一致，则校验出加密信息符合PE文件的文件特征。

下面结合表1和图3详述下述实施例。

为了描述本申请的方案，简单说明PE文件头的格式，如表1所示，PE文件的文件头包括：

表1

其中：

DOS头，用于兼容MS-DOS操作系统中的可执行文件，对于32为的PE文件来说，DOS所起的作用就是显示一行文字，提示用户：我需要在32位windouws上才可以运行。

e_magic：一个word类型，值是一个常数0x4D5A，用文本编辑器查看该值为“MZ”，可以执行文件必须都是“MZ”开头。

e_lfanew：为32位可执行文件扩展的域，用来表示DOS头之后的NT头相对文件起始地址的偏移。该字段为DOS头的最后一个成员，在固定偏移0x3C处，用于存放NT头的偏移指针，该值可变，为描述方便，假设其值为pointer_pe。

signature：是NT头的标记，类似于DOS头中的e_magic，其偏移由DOS头的e_lfanew定义(此处用pointer_pe表示偏移值)，大小为4个字节，其中低2字节固定为“PE”的ASCII码0x4550，高2字节一般为0。

可以根据上面3个字段扫描非PE文件，检查发现是否具有内嵌加密的PE文件。

如图3所示，该方法可以通过如下步骤实现：

步骤S301，输入的非PE文件中存在加密信息。

可以将文件偏移作为循环变量，从头到尾逐字节扫描该文件的加密信息。

步骤S302，利用加密信息的当前位置的信息求解解密key。

在该步骤中，如果是异或加密，就求异或key，如果key本身是等差数列变化的，也可以前后两次匹配相减求出这个差值，如果是循环移位加密，可以从1到8做尝试移位，至到成功找到移位次数为止，如果有字节顺序交换的，也要尝试交换字节进行扫描。这个过程，可以是一种或多种上述操作或组合。主要尝试找到MZ或其他固定字符串标识的DOS头。

步骤S303，在当前位置偏移+0x3C附近取1-4个字节，使用解密key解密得到NT头偏移。

具体地，可以利用前面找到的DOS头，在当前位置(也即上述的加密信息的当前位置)偏移0x3C(即上述的第一偏移量)附近1-4个字节获取NT头的加密的偏移指针，并用前面的解密key解密还原这个偏移指针，根据这个偏移指针，进一步找到NT头。

步骤S304：在偏移指针指向的NT头偏移附近取1-4个字节。

步骤S305:用于解密key解密，验证解密结果是否正确。

若验证结果正确，则执行步骤S306：输出检测成功标志；若验证结果不正确，则执行步骤S307。

在NT头附件取signature或其他具有固定含义的PE的预定义字段，并用解密key解密后验证其值是否符合PE定义。比如，如果是signatue，可以检查其内容是否是“PE”；如果是其他预定义字段，要看其值是否合法等。

步骤S307：将文件偏移量加1。

步骤S308：判断是否达到文件尾。

若达到文件尾，则结束检测；若未到达文件尾，则返回执行步骤S302。

根据NT头的验证结果，如果通过验证，就输出检测成功标志，否则把文件偏移+1做下次扫描，直到成功检测或遇到文件尾为止。

在另一个可选的实施例中，使用解密密钥、加密字段信息以及文件特征中的预定字段信息校验加密信息是否符合PE文件的文件特征可以包括：将文件特征中记录的预定字段信息作为明文数据，将加密字段信息作为密文数据；对明文数据和密文数据进行密钥破解操作，得到破解密钥，其中，密钥破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作；判断破解密钥是否与解密密钥一致；若破解密钥与解密密钥一致，则校验出加密信息符合PE文件的文件特征。

本申请上述的密钥破解操作仅用作举例说明，不排除对符合本申请操作方式的其他破解操作。

可选地，预定字段信息可以包括：PE文件的文件头标记的字段信息。

为进一步描述本技术方案，以检测逐字节异或加密的PE文件，且该加密PE文件内嵌在某非PE格式的文件中为例，结合图4所示的异或加密检测流程图，详细描述该检测技术详细流程。

如图4所示，该实施例可以包括如下步骤：

步骤S401：将文件偏移设置为零，逐字节检测非可执行文件(即非PE文件)中的加密信息。

步骤S402：在开始扫描的位置取两个字节的第一信息。

步骤S403：获取可执行文件(即PE文件)的DOS头标记MZ。

步骤S404：对取出的第一信息和DOS头标记MZ作异或操作，得到第一解密密钥(即本申请上述实施例中的解密密钥)。

具体地，将取出的两个字节的信息作为密文，将DOS头标记MZ作为明文，将明文或密文作异或操作，得到解密密钥。

步骤S405：在偏移0x3C处读取两个字节的第二信息。

步骤S406：将第二信息和解密密钥作异或操作，得到解密的偏移指针。

因为在PE文件的固定偏移0x3C处存储的是指向NT头的偏移指针。

步骤S407：在偏移指针指向的位置取出两个字节的第三信息。

步骤S408：获取NT头标记PE。

步骤S409：对第三信息和NT头PE作异或操作，得到第二解密密钥(即本申请上述实施例中的破解密钥)。

步骤S410：判断第一解密密钥和第二解密密钥是否一致。

若一致，则执行步骤S411；若不一致，则执行步骤S412。

步骤S411：输出检测成功的标志。

步骤S412：将文件偏移加1。

步骤S413：检测是否到达文件尾。

若达到文件尾，则检测结束；若未到达文件尾，则返回执行步骤S402。

本申请基于非签名算法，具有一定的检测未知病毒或木马的能力。对于通过计算机异或、加减运算，或循环移位，或这几种方式的组合等来进行加密的PE文件，都可以通过本申请来进行检测。

需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本申请所必须的。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

实施例2

根据本申请实施例，还提供了一种用于实施上述文件检测方法的文件检测装置，如图5所示，该装置包括：获取单元51、检测单元53和确定单元55。

其中，获取单元51，用于获取输入的非可执行文件，其中，非可执行文件为当前终端的操作系统不可执行的文件；

检测单元53，用于在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；

确定单元55，用于若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

在检测出非可执行文件为非法文件之后，该方法还包括，将该非可执行文件作为可疑的病毒或木马文件。

采用本申请上述实施例，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的PE文件，若非可执行文件中内嵌有加密的PE文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过PE文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于PE文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

上述实施例中的文件检测装置可以应用在杀毒软件中，杀毒软件对需要查杀病毒或木马的非可执行文件，先检测该非可执行文件中的加密信息是否为加密信息，具体地，对于计算机来讲，“hello”可以是明文，对该“hello”加密后可能为：“4rt57896e542h”，可以通过该种规则，判断非可执行文件中的加密信息是否为加密信息。在非可执行文件中的加密信息为加密信息的情况下，利用PE文件的文件特征检测该非PE文件中是否内嵌有PE文件，如，若该非PE文件的加密信息对应的明文信息命中PE文件的文件特征，则认为，该非PE文件中内嵌有加密的PE文件，并确认该非PE文件为病毒文件或木马文件。

在上述实施例中，可以预先获取PE文件的文件特征，如文件标记(即DOS头的标记)、文件头标记(NT头的标记)等的信息，如果该非PE文件中的加密信息命中PE文件的文件特征，则认为该非PE文件中内嵌有病毒或木马文件。由于该PE文件的文件特征是固定不变的，不会因为PE文件采用不同的算法而发生变化，从而使用PE文件的文件特征对其进行检测，准确率很高，且不会漏检。

在本申请的上述实施例中，在通过杀毒软件检测病毒或木马的应用场景中，在获取非PE文件之后，从非PE文件的起始位置可以逐字节扫描该文件，在检测到该非PE文件中出现密文数据(即上述的加密信息)之后，利用PE文件的文件特征对该加密信息进行检测，得到检测结果。

需要说明的是，上述的逐字节扫描的过程实质上是一个循环的过程，在每扫描到一字节的时候，需按照上述的检测方式对非PE文件进行检测，直至检测出该非PE文件中内嵌有PE文件，或检测到该非PE文件的最后一个字节。

根据本申请的上述实施例，如图6所示的检测单元53可以包括：确定模块531，用于基于可执行文件的文件特征确定非可执行文件中加密信息的解密密钥；校验模块533，用于利用解密密钥校验加密信息是否符合可执行文件的文件特征。

由于PE文件的文件特征固定不变，在检测到非PE文件中存在加密信息的时候，需破解该加密信息的解密密钥，我们假定该加密信息为加密的PE文件信息，使用该PE文件的文件特征破解该加密信息的解密密钥，如果利用该解密密钥校验加密信息符合PE文件的文件特征，则检测出加密信息符合PE文件的文件特征，如果利用该解密密钥校验加密信息不符合PE文件的文件特征，则检测出加密信息不符合该PE文件的文件特征。

在上述实施例中，如果利用该解密密钥校验加密信息不符合PE文件的文件特征，则我们初始的假定不正确，也即该加密信息不是加密的PE文件的信息，则检测结果(加密信息不符合该PE文件的文件特征)的结果是正确的。由此，通过上述实施例，可以准确地检测非PE文件中是否内嵌有加密的PE文件。

具体地，确定模块包括：第一获取子模块，用于获取可执行文件的文件特征中的标记信息，其中，标记信息用于标记可执行文件；提取子模块，用于从加密信息的当前位置提取文件标记；第一确定子模块，用于将标记信息作为明文数据，将文件标记作为密文数据；第一破解子模块，用于对明文数据和密文数据作破解操作，得到解密密钥，其中，破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。

本申请上述的密钥破解操作仅用作举例说明，不排除对符合本申请操作方式的其他破解操作。

在一个可选的实施例中，文件特征中至少记录有第一偏移量和预定字段信息，其中，校验模块可以包括：第二获取子模块，用于获取距离当前位置为第一偏移量的第一位置，其中，第一偏移量指向PE文件的文件头的偏移指针；读取子模块，用于从加密信息中的第二位置读取加密的偏移指针；第一解密子模块，用于使用解密密钥解密加密的偏移指针，得到偏移指针；第三获取子模块，用于获取加密信息中偏移指针所指向的加密字段信息；校验子模块，用于使用解密密钥、加密字段信息以及文件特征中的预定字段信息校验加密信息是否符合可执行文件的文件特征。

具体地，校验子模块包括：第二解密子模块，用于使用解密密钥对加密字段信息进行解密，得到解密的字段信息；第一判断子模块，用于判断解密的字段信息与文件特征中记录的预定字段信息是否一致；特征校验子模块，用于若解密的字段信息与文件特征中记录的预定字段信息一致，则校验出加密信息符合可执行文件的文件特征。

具体地，校验子模块还可以包括：第二确定子模块，用于将文件特征中记录的预定字段信息作为明文数据，将加密字段信息作为密文数据；第二破解子模块，用于对明文数据和密文数据进行密钥破解操作，得到破解密钥，其中，密钥破解操作至少包括下述之一：异或操作、加减操作、循环移位操作以及字节顺序交换操作；第二判断子模块，用于判断破解密钥是否与解密密钥一致；密钥校验子模块，用于若破解密钥与解密密钥一致，则校验出加密信息符合可执行文件的文件特征。

进一步地可选地，预定字段信息包括：可执行文件的文件头标记的字段信息。

在另一个可选地实施例中，文件特征中至少记录文件头标记，其中，校验模块可以包括：第三解密子模块，用于利用解密密钥解密加密信息，得到解密信息；第三判断子模块，用于判断解密信息中是否存在文件头标记；信息校验子模块，用于若存在，则校验出加密信息符合可执行文件的文件特征。

本申请基于非签名算法，具有一定的检测未知病毒或木马的能力。对于通过计算机异或、加减运算，或循环移位，或这几种方式的组合等来进行加密的PE文件，都可以通过本申请来进行检测。

本实施例中所提供的各个模块与方法实施例对应步骤所提供的使用方法相同、应用场景也可以相同。当然，需要注意的是，上述模块涉及的方案可以不限于上述实施例中的内容和场景，且上述模块可以运行在计算机终端或移动终端，可以通过软件或硬件实现。

实施例3

本申请的实施例可以提供一种计算机终端，该计算机终端可以是计算机终端群中的任意一个计算机终端设备。可选地，在本实施例中，上述计算机终端也可以替换为移动终端等终端设备。

可选地，在本实施例中，上述计算机终端可以位于计算机网络的多个网络设备中的至少一个网络设备。

在本实施例中，上述计算机终端可以执行应用程序的漏洞检测方法中以下步骤：。

可选地，图7是根据本申请实施例的一种计算机终端的网络环境示意图。如图7所示，该计算机终端10可以包括：一个或多个(图中仅示出一个)处理器、存储器、以及传输装置。

其中，存储器可用于存储软件程序以及模块，如本申请实施例中的文件检测方法和装置对应的程序指令/模块，处理器通过运行存储在存储器内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的文件检测方法。存储器可包括高速随机存储器，还可以包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器可进一步包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至计算机终端10。计算机终端通过网络与服务器30连接。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

处理器可以通过传输装置调用存储器存储的信息及应用程序，以执行下述步骤：

获取输入的非可执行文件，其中，非可执行文件为当前终端的操作系统不可执行的文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；若加密信息符合可执行文件的文件特征，则检测出非可执行文件中内嵌有可执行文件。

采用本申请上述实施例，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的PE文件，若非可执行文件中内嵌有加密的PE文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过PE文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于PE文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

本领域普通技术人员可以理解，图7所示的结构仅为示意，计算机终端也可以是智能手机(如Android手机、iOS手机等)、平板电脑、掌声电脑以及移动互联网设备(MobileInternet Devices，MID)、PAD等终端设备。图7其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图7中所示更多或者更少的组件(如网络接口、显示装置等)，或者具有与图7所示不同的配置。

本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令终端设备相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：闪存盘、只读存储器(Read-Only Memory，ROM)、随机存取器(RandomAccess Memory，RAM)、磁盘或光盘等。

实施例4

本申请的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的文件检测方法所执行的程序代码。

可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。

可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：

获取输入的非可执行文件，其中，非可执行文件为当前终端的操作系统不可执行的文件；在检测出所述非可执行文件中存在加密信息的情况下，检测所述加密信息是否符合可执行文件的文件特征，其中，所述可执行文件为所述当前终端的操作系统可执行的程序文件；若所述加密信息符合所述可执行文件的文件特征，则检测出所述非可执行文件中内嵌有所述可执行文件。

采用本申请上述实施例，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的PE文件，若非可执行文件中内嵌有加密的PE文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过PE文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于PE文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本申请的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims (9)

1.一种文件检测方法，其特征在于，包括：

获取输入的非可执行文件；

在检测出所述非可执行文件中存在加密信息的情况下，检测所述加密信息是否符合可执行文件的文件特征，其中，所述可执行文件为当前终端的操作系统可执行的程序文件；

若所述加密信息符合所述可执行文件的文件特征，则检测出所述非可执行文件为非法文件；

其中，所述文件特征包括：文件标记、文件头标记、或、第一偏移量和预定字段信息；

检测所述加密信息是否符合可执行文件的文件特征包括：基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥；利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征。

2.根据权利要求1所述的方法，其特征在于，

其中，基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥包括：

获取所述可执行文件的文件特征中的标记信息，其中，所述标记信息用于标记所述可执行文件；

从所述加密信息的当前位置提取文件标记；

将所述标记信息作为明文数据，将所述文件标记作为密文数据；

对所述明文数据和所述密文数据作破解操作，得到所述解密密钥，其中，所述破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。

3.根据权利要求2所述的方法，其特征在于，所述文件特征中至少记录有第一偏移量和预定字段信息，其中，利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征包括：

获取距离当前位置为所述第一偏移量的第一位置，其中，所述第一偏移量指向所述可执行文件的文件头的偏移指针；

从所述加密信息中的第二位置读取加密的偏移指针；

使用所述解密密钥解密所述加密的偏移指针，得到所述偏移指针；

获取所述加密信息中所述偏移指针所指向的加密字段信息；

使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征。

4.根据权利要求3所述的方法，其特征在于，使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征包括：

使用所述解密密钥对所述加密字段信息进行解密，得到解密的字段信息；

判断所述解密的字段信息与所述文件特征中记录的预定字段信息是否一致；

若所述解密的字段信息与所述文件特征中记录的预定字段信息一致，则校验出所述加密信息符合所述可执行文件的文件特征。

5.根据权利要求3所述的方法，其特征在于，使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征包括：

将所述文件特征中记录的预定字段信息作为明文数据，将所述加密字段信息作为密文数据；

对所述明文数据和密文数据进行密钥破解操作，得到破解密钥，其中，所述密钥破解操作至少包括下述之一：异或操作、加减操作、循环移位操作以及字节顺序交换操作；

判断所述破解密钥是否与所述解密密钥一致；

若破解密钥与所述解密密钥一致，则校验出所述加密信息符合所述可执行文件的文件特征。

6.根据权利要求3所述的方法，其特征在于，所述预定字段信息包括：所述可执行文件的文件头标记的字段信息。

7.根据权利要求2所述的方法，其特征在于，所述文件特征中至少记录文件头标记，其中，利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征包括：

利用所述解密密钥解密所述加密信息，得到解密信息；

判断所述解密信息中是否存在所述文件头标记；

若存在，则校验出所述加密信息符合所述可执行文件的文件特征。

8.一种文件检测装置，其特征在于，包括：

获取单元，用于获取输入的非可执行文件；

检测单元，用于在检测出所述非可执行文件中存在加密信息的情况下，检测所述加密信息是否符合可执行文件的文件特征，其中，所述可执行文件为当前终端的操作系统可执行的程序文件；

确定单元，用于若所述加密信息符合所述可执行文件的文件特征，则检测出所述非可执行文件为非法文件；

其中，所述文件特征包括：文件标记、文件头标记、或、第一偏移量和预定字段信息；

所述检测单元包括：确定模块，用于基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥；校验模块，用于利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征。

9.根据权利要求8所述的装置，其特征在于，

其中，基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥包括：

获取所述可执行文件的文件特征中的标记信息，其中，所述标记信息用于标记所述可执行文件；

从所述加密信息的当前位置提取文件标记；

将所述标记信息作为明文数据，将所述文件标记作为密文数据；

对所述明文数据和所述密文数据作破解操作，得到所述解密密钥，其中，所述破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。

Images