CN108171014A - 一种rtf可疑文件的检测方法、系统及存储介质 - Google Patents

一种rtf可疑文件的检测方法、系统及存储介质 Download PDF

Info

Publication number
CN108171014A
CN108171014A CN201711484553.9A CN201711484553A CN108171014A CN 108171014 A CN108171014 A CN 108171014A CN 201711484553 A CN201711484553 A CN 201711484553A CN 108171014 A CN108171014 A CN 108171014A
Authority
CN
China
Prior art keywords
objdata
rtf
data segments
data
files
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201711484553.9A
Other languages
English (en)
Other versions
CN108171014B (zh
Inventor
袁炯晔
童志明
何公道
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Antiy Technology Co Ltd
Original Assignee
Harbin Antiy Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Antiy Technology Co Ltd filed Critical Harbin Antiy Technology Co Ltd
Priority to CN201711484553.9A priority Critical patent/CN108171014B/zh
Publication of CN108171014A publication Critical patent/CN108171014A/zh
Application granted granted Critical
Publication of CN108171014B publication Critical patent/CN108171014B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Technology Law (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明提出一种RTF可疑文件的检测方法、系统及存储介质,所述方法包括:获取RTF文件中objdata数据段;搜索objdata数据段中是否同时存在16进制数据及非16进制数据;如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。通过本发明的方法,能够有效识别在RTF中进行混淆的文件,解决现有依据特征进行检测的技术中,由于特征被混杂文件打乱而无法检测的问题。

Description

一种RTF可疑文件的检测方法、系统及存储介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种RTF可疑文件的检测方法、系统及存储介质。
背景技术
RTF文件为多信息文本格式 (RTF) ,是一种方便于不同的设备、系统查看的文本和图形文档格式。
常规的RTF可疑文件检测方式,通过提取shellcode(是指能完成特殊任务的自包含的二进制代码,根据不同的任务可能是发出一条系统调用或建立一个高权限的Shell。)等恶意特征来进行检测,全文匹配特定的特征来确认文件是否为可疑文件。但是全文匹配恶意特征只能检测符合特征的RTF可疑文件。
由于RTF文件的多变性,在特定数据段嵌入冗余数据进行混淆,将在不影响RTF文件解析的情况下使可匹配的特征被分割导致无法匹配到,逃避检测。导致了对RTF可疑文件的检测出现困难。
发明内容
基于上述问题,本发明提出了一种RTF可疑文件的检测方法、系统及存储介质。能够通过对RTF文件中嵌入文件的混淆进行识别来检测可疑文件。
本发明通过如下方法实现:
一种RTF可疑文件的检测方法,包括:
获取RTF文件中objdata数据段;
搜索objdata数据段中是否同时存在16进制数据及非16进制数据;
如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
所述的方法中,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。
一种RTF可疑文件的检测系统,包括:
获取模块,获取RTF文件中objdata数据段;
搜索模块,搜索objdata数据段中是否同时存在16进制数据及非16进制数据;
数据统计模块,如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
所述的系统这,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。
本发明还提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的RTF可疑文件的检测方法。
大部分的RTF恶意文件都在objdata的数据段中存放有嵌入文件的16进制数据存储,正常情况下在objdata的数据段中存放的嵌入文件数据应该是16进制数据,如果检测到出现大量重复的非16进制数据混杂在16进制数据中,则可以认为该文件进行了混淆。本发明利用这一原理进行RTF文件的检测。相比于现有技术,本发明能够缩小搜索的范围提高搜索效率,相比传统的全文匹配恶意特征该发明只需要对RTF格式文件中objdata标签的数据段进行检测。混淆的方式很有多种,但是对于RTF的objdata数据中的混淆因为该数据段的特殊性,所以可以很快的判断出该段数据是否进行过混淆。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种RTF可疑文件的检测方法实施例流程图;
图2为本发明一种RTF可疑文件的检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种RTF可疑文件的检测方法、系统及存储介质。能够通过对RTF文件中嵌入文件的混淆程度进行识别来检测可疑文件。
大部分的RTF恶意文件都在objdata的数据段中存放有嵌入文件的16进制数据存储,这是因为在RTF文件的objdata数据段中存放大量的非16进制数据混杂16进制数据,RTF文件在被解析时会跳过或转换这些数据,并不会影响RTF文件被解析。但是在检测RTF文件时这些互相混杂的数据将会影响检测的结果,导致本应被检测匹配的特征因变得破碎而无法被检测到。例如在一个RTF文件中嵌入一个恶意的可执行文件,如果对于objdata的数据中嵌入大量重复的非16进制数据,则会导致普通的检测方式难以检测到该恶意的可执行文件。即使提取了可执行文件的相应特征,也因为包含可执行文件的数据段中存在大量的冗余数据无法匹配特征。
因此本发明提出一种RTF可疑文件的检测方法实施例,如图1所示,包括:
S101:获取RTF文件中objdata数据段;
S102:搜索objdata数据段中是否同时存在16进制数据及非16进制数据,即16进制数据和非16进制数据混杂;如果存在,则执行S103;
S103:进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
所述的方法中,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。objdata标签中存放的数据即为RTF文件中嵌入文件的数据存放位置;
而此检测方式则会因为该恶意文件的objdata数据段中包含大量的非16进制数据而判定该文件为经过混淆的可疑文件从而检出。
一种RTF可疑文件的检测系统,如图2所示,包括:
获取模块201,获取RTF文件中objdata数据段;
搜索模块202,搜索objdata数据段中是否同时存在16进制数据及非16进制数据;
数据统计模块203,如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
所述的系统这,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。
本发明还提出了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上任一所述的RTF可疑文件的检测方法。
正常情况下在objdata的数据段中存放的嵌入文件数据应该是16进制数据,如果检测到出现大量重复的非16进制数据混杂在16进制数据中,则可以认为该文件进行了混淆。混淆的方式很有多种,但是对于RTF的objdata数据中的混淆因为该数据段的特殊性,所以可以很快的判断出该段数据是否进行过混淆。本发明利用这一原理进行RTF文件的检测。相比于现有技术,本发明的检测方法不会因为特定的特征而局限于只检测符合特征的可疑文件,任何对RTF文件的objdata数据段进行过混淆的不正常行为均可以被检测出来。本发明能够缩小搜索的范围提高搜索效率,相比传统的全文匹配恶意特征,本发明只需要对RTF格式文件中objdata标签的数据段进行检测。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。

Claims (5)

1.一种RTF可疑文件的检测方法,其特征在于,包括:
获取RTF文件中objdata数据段;
搜索objdata数据段中是否同时存在16进制数据及非16进制数据;
如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
2.如权利要求1所述的方法,其特征在于,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。
3.一种RTF可疑文件的检测系统,其特征在于,包括:
获取模块,获取RTF文件中objdata数据段;
搜索模块,搜索objdata数据段中是否同时存在16进制数据及非16进制数据;
数据统计模块,如果存在,则进一步统计非16进制数据在objdata数据段中所占比例是否超过预设值,如果是,则所述objdata数据段被混淆,即所述RTF文件可疑,否则所述objdata数据段未被混淆,即RTF文件正常。
4.如权利要求3所述的系统,其特征在于,所述获取RTF文件中objdata数据段,具体为:
在RTF文件中搜索objdata标签,获取该标签对应的数据段,即为objdata数据段。
5.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一所述的RTF可疑文件的检测方法。
CN201711484553.9A 2017-12-29 2017-12-29 一种rtf可疑文件的检测方法、系统及存储介质 Active CN108171014B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711484553.9A CN108171014B (zh) 2017-12-29 2017-12-29 一种rtf可疑文件的检测方法、系统及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711484553.9A CN108171014B (zh) 2017-12-29 2017-12-29 一种rtf可疑文件的检测方法、系统及存储介质

Publications (2)

Publication Number Publication Date
CN108171014A true CN108171014A (zh) 2018-06-15
CN108171014B CN108171014B (zh) 2022-01-07

Family

ID=62516249

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711484553.9A Active CN108171014B (zh) 2017-12-29 2017-12-29 一种rtf可疑文件的检测方法、系统及存储介质

Country Status (1)

Country Link
CN (1) CN108171014B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871685A (zh) * 2019-02-19 2019-06-11 腾讯科技(深圳)有限公司 一种rtf文件的解析方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104978381A (zh) * 2014-10-28 2015-10-14 哈尔滨安天科技股份有限公司 一种基于反汇编进行恶意样本检测的方法及系统
CN106572117A (zh) * 2016-11-11 2017-04-19 北京安普诺信息技术有限公司 一种WebShell文件的检测方法和装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104978381A (zh) * 2014-10-28 2015-10-14 哈尔滨安天科技股份有限公司 一种基于反汇编进行恶意样本检测的方法及系统
CN106572117A (zh) * 2016-11-11 2017-04-19 北京安普诺信息技术有限公司 一种WebShell文件的检测方法和装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JUNFENG YANG: "RTF恶意软件如何躲避基于特征的静态检测", 《HTTPS://WWW.FIREEYE.COM/BLOG/THREAT-RESEARCH/2016/05/HOW_RTF_MALWARE_EVAD.HTML》 *
乐德广等: "面向RTF的OLE对象漏洞分析研究", 《面向RTF的OLE对象漏洞分析研究 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109871685A (zh) * 2019-02-19 2019-06-11 腾讯科技(深圳)有限公司 一种rtf文件的解析方法及装置
CN109871685B (zh) * 2019-02-19 2023-08-08 腾讯科技(深圳)有限公司 一种rtf文件的解析方法及装置

Also Published As

Publication number Publication date
CN108171014B (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
CN102243699B (zh) 一种恶意代码检测方法及系统
CN102592079B (zh) 用于检测未知恶意软件的系统和方法
US9824212B2 (en) Method and system for recognizing advertisement plug-ins
US8601451B2 (en) System, method, and computer program product for determining whether code is unwanted based on the decompilation thereof
CN107665306B (zh) 一种检测非法文件注入的方法、装置、客户端及服务器
EP2763069A1 (en) Method and device for multiple engine virus killing
CN107247722B (zh) 一种文件扫描方法、装置及智能终端
CN104050409B (zh) 一种识别被捆绑软件的方法及其装置
CN109977976B (zh) 可执行文件相似度的检测方法、装置和计算机设备
AU2019419891B2 (en) System and method for spatial encoding and feature generators for enhancing information extraction
CN106055375A (zh) 应用程序安装方法及装置
CN110362450A (zh) 一种日志数据采集方法、装置及计算机可读存储介质
CN105975855A (zh) 一种基于apk证书相似性的恶意代码检测方法及系统
CN106598923A (zh) 基于字体库装载的在线文档格式转换方法及装置
CN106033551A (zh) 数据解析方法、装置及系统
CN108171014A (zh) 一种rtf可疑文件的检测方法、系统及存储介质
US8966274B2 (en) File tamper detection
CN111414339B (zh) 一种文件的处理方法、系统、装置、设备及介质
CN109871685B (zh) 一种rtf文件的解析方法及装置
US20130246444A1 (en) Device, method of processing data, and computer-readable recording medium
US9727344B2 (en) Mining dependencies from disk images
CN115982675A (zh) 文档处理方法、装置、电子设备以及存储介质
CN110795405B (zh) 一种分片数据还原方法、终端设备及存储介质
CN103824006B (zh) 一种手机应用软件自动生成水印的方法和系统
US7177958B1 (en) Automated input determination

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road)

Applicant after: Harbin antiy Technology Group Limited by Share Ltd

Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province

Applicant before: Harbin Antiy Technology Co., Ltd.

CB02 Change of applicant information
CB02 Change of applicant information

Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant after: Antan Technology Group Co.,Ltd.

Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road)

Applicant before: Harbin Antian Science and Technology Group Co.,Ltd.

CB02 Change of applicant information
GR01 Patent grant
GR01 Patent grant