CN108182363B - 嵌入式office文档的检测方法、系统及存储介质 - Google Patents
嵌入式office文档的检测方法、系统及存储介质 Download PDFInfo
- Publication number
- CN108182363B CN108182363B CN201711417945.3A CN201711417945A CN108182363B CN 108182363 B CN108182363 B CN 108182363B CN 201711417945 A CN201711417945 A CN 201711417945A CN 108182363 B CN108182363 B CN 108182363B
- Authority
- CN
- China
- Prior art keywords
- file
- newly added
- malicious
- office
- executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提出了一种嵌入式office文档的检测方法、系统及存储介质,所述方法包括:获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并对新增文件进行检测,否则,所述进程文件为正常文件。本发明还给出实现该方法的相应系统。通过发明利用office文档的自解析操作,对所释放出的文件进行检测,不需要对office文档格式进行解析,能有效避免office文档混淆对检测的影响,同时解决了由于文档格式的复杂而导致检出率不高的问题。
Description
技术领域
本发明涉及计算机网络安全领域,特别涉及一种嵌入式office文档的检测方法及系统。
背景技术
由于Office文档格式的复杂性,传统安全软件在进行静态检测时,多是将Office文件作为一个整体去匹配特征,这种检测方法会占用大量的时间,而且无法准确提取内部嵌入的文件,准确度很低,文档经过混淆之后,就变得更加难以检测。若是使用先解析Office,再对嵌入的文件分析检测,这种方案比较复杂,开发成本比较高,实现起来比较困难。而在进行动态检测时,由于Office文档不同漏洞的触发环境不同,若想完整的进行检测,需要准备多种环境进行检测,所需要的时间较多,在用户系统中也难以完成。传统的安全软件检测对Office的检测效果并不好,因为Office自身的文档格式比较复杂,而多数恶意文档进行了混淆,特征码匹配得不到想要的结果。
发明内容
针对以上问题,本发明提出了一种嵌入式office文档的检测方法、系统及存储介质,该方法利用了嵌入式Office文档在执行时的自解析功能,对释放出的文档进行检测,解决了文档混淆、文档格式复杂难以进行检测的问题。
通过对Office文档的分析发现,Office文档的机制是对于嵌入的内容会先解压到%TEMP%文件夹,然后在文档全部解析后才开始执行,因此本发明利用这种机制,实现对office文档的检测。
首先,本发明提出一种嵌入式office文档的检测方法,包括:
获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;
监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并对新增文件进行检测,若新增文件检测结果为恶意,则进程文件为恶意文件,否则,所述进程文件为正常文件。
所述的方法中,对新增文件进行检测,具体为:
判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,如果静态检测结果为恶意,则该进程文件为恶意;否则判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件;否则,将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
所述的方法中,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
本发明还提出一种嵌入式office文档的检测系统,包括:
进程获取模块,获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;
文件监控模块,监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并通过文件检测模块对新增文件进行检测,若新增文件检测结果为恶意,则进程文件为恶意文件,否则,所述进程文件为正常文件。
所述的系统中,通过文件检测模块对新增文件进行检测,具体为:
判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测;否则判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件;否则,将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
所述的系统中,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
本发明提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的嵌入式office文档的检测方法。
本发明的优势在于,通过本发明方法,利用嵌入式office文档在执行时先行自解压嵌入的文件到%TEMP%文件夹下的特点,进行office文档检测,不会受到office文档混淆的影响,同时解决了由于office文档格式的复杂而导致的检出率不高的问题;利用自解压释放的过程,在进行检测时不需要进行office文档格式的解析,开发成本低;同时,本方法对利用漏洞从网络下载恶意文件的样本同样具有检测能力。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种嵌入式office文档的检测方法实施例一流程图;
图2为本发明一种嵌入式office文档的检测方法实施例二流程图;
图3为本发明一种嵌入式office文档的检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出了一种嵌入式office文档的检测方法、系统及存储介质,该方法利用了嵌入式Office文档在执行时的自解析功能,对释放出的文档进行检测,解决了文档混淆、文档格式复杂难以进行检测的问题。
首先,本发明提出一种嵌入式office文档的检测方法,如图1所示,包括:
S101:获取进程列表;
S102:判断是否存在office相关进程,如果存在,则执行S103;
S103:监控%TEMP%目录是否有新增文件,如果是,则执行S104,否则,所述进程文件为正常文件;
S104:挂起office相关进程,并对新增文件进行检测,若新增文件检测结果为恶意,则进程文件为恶意文件。
本发明还给出另一实施例,如图2所示,具体为:
S201:获取进程列表;
S202:判断是否存在office相关进程,如果存在,则执行S203;
S203:监控%TEMP%目录是否有新增文件,如果是,则执行S204,否则,所述进程文件为正常文件;
S204:挂起office相关进程,并执行S205;
S205:判断新增文件是否为可执行文件,如果是,则执行S206,否则执行S207;
S206:提取可执行文件并进行静态检测,如果静态检测结果为恶意,则该进程文件为恶意;
S207:判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件,否则执行S208;
S208:将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
所述的方法中,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
以实际应用中的CVE-2017-0199漏洞利用样本为例,当用户打开包含该漏洞的文档时,winword.exe会想远程服务器发出HTTP请求,以检索恶意HTA文件,服务器返回的文件是一个带有嵌入式恶意脚本的假RTF文件,将该文件保存到%TEMP%目录下,winword.exe通过COM对象查找application/hta的文件处理程序,这回导致Microsoft HTA应用程序加载并执行恶意脚本。传统检测方法对这类样本只能通过特征码匹配,而样本自身并没有恶意操作,恶意文件为后访问下载的,无法对该类样本进行检测。而通过本发明方法,可在样本将RTF文件下载到%TEMP%文件夹后,直接对该文件进行检测,能够有效的进行检出。
本发明还提出一种嵌入式office文档的检测系统,如图3所示,包括:
进程获取模块301,获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;
文件监控模块302,监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并通过文件检测模块303对新增文件进行检测,否则,所述进程文件为正常文件。
所述的系统中,通过文件检测模块对新增文件进行检测,具体为:
判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测;否则判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件;否则,将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
所述的系统中,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
本发明提出一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述任一所述的嵌入式office文档的检测方法。
本发明的优势在于,通过本发明方法,利用嵌入式office文档在执行时先行自解压嵌入的文件到%TEMP%文件夹下的特点,进行office文档检测,不会受到office文档混淆的影响,同时解决了由于office文档格式的复杂而导致的检出率不高的问题;利用自解压释放的过程,在进行检测时不需要进行office文档格式的解析,使得复杂的文档格式不会对检测结果造成干扰,并且开发成本低;同时,本方法对利用漏洞从网络下载恶意文件的样本同样具有检测能力。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (5)
1.一种嵌入式office文档的检测方法,其特征在于,包括:
获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;
监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并对新增文件进行检测,若新增文件检测结果为恶意,则进程文件为恶意文件,否则,所述进程文件为正常文件;
对新增文件进行检测,具体为:
判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,如果静态检测结果为恶意,则该进程文件为恶意;否则判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件;否则,将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
2.如权利要求1所述的方法,其特征在于,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
3.一种嵌入式office文档的检测系统,其特征在于,包括:
进程获取模块,获取进程列表,判断是否存在office相关进程,如果存在,则监控%TEMP%目录;
文件监控模块,监控%TEMP%目录是否有新增文件,如果是,则挂起office相关进程,并通过文件检测模块对新增文件进行检测,若新增文件检测结果为恶意,则进程文件为恶意文件,否则,所述进程文件为正常文件;
通过文件检测模块对新增文件进行检测,具体为:
判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,如果静态检测结果为恶意,则该进程文件为恶意;否则判断是否存在Shellcode,如果存在,则所述进程文件为恶意文件;否则,将新增文件与静态常规特征库匹配,如果匹配成功,则所述进程文件为恶意文件,否则所述进程文件为正常文件。
4.如权利要求3所述的系统,其特征在于,所述判断新增文件是否为可执行文件,如果是,则提取可执行文件并进行静态检测,具体为:
查找新增文件是否存在可执行文件头,如果存在,则提取所述可执行文件,与静态的PE特征库匹配,如果匹配成功,则所述进程文件为恶意;否则,所述进程文件为正常文件。
5.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-2中任一所述的嵌入式office文档的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711417945.3A CN108182363B (zh) | 2017-12-25 | 2017-12-25 | 嵌入式office文档的检测方法、系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711417945.3A CN108182363B (zh) | 2017-12-25 | 2017-12-25 | 嵌入式office文档的检测方法、系统及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108182363A CN108182363A (zh) | 2018-06-19 |
| CN108182363B true CN108182363B (zh) | 2022-01-07 |
Family
ID=62546948
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711417945.3A Active CN108182363B (zh) | 2017-12-25 | 2017-12-25 | 嵌入式office文档的检测方法、系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108182363B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110717180B (zh) * | 2018-07-13 | 2021-09-28 | 北京安天网络安全技术有限公司 | 基于自定位行为的恶意文档检测方法、系统及存储介质 |
| CN110866252A (zh) * | 2018-12-21 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种恶意代码检测方法、装置、电子设备及存储介质 |
| CN109905396A (zh) * | 2019-03-11 | 2019-06-18 | 北京奇艺世纪科技有限公司 | 一种WebShell文件检测方法、装置及电子设备 |
| CN110443051B (zh) * | 2019-07-30 | 2022-12-27 | 空气动力学国家重点实验室 | 一种防止涉密文档在互联网传播的方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2237186A2 (en) * | 2009-03-30 | 2010-10-06 | Kaspersky Lab Zao | Method for accelerating hardware emulator used for malware detection and analysis |
| CN103902908A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种对Android加固应用的恶意代码检测方法及系统 |
| CN103970574A (zh) * | 2014-05-22 | 2014-08-06 | 北京奇虎科技有限公司 | office程序的运行方法及装置、计算机系统 |
| CN104657637A (zh) * | 2015-01-29 | 2015-05-27 | 深信服网络科技(深圳)有限公司 | 文档信息嵌入、追踪方法和系统及代理服务设备 |
| CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和系统 |
| CN105117648A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 一种基于虚拟机的0day/恶意文档检测系统及方法 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103902855B (zh) * | 2013-12-17 | 2017-03-08 | 哈尔滨安天科技股份有限公司 | 一种文件篡改检测及修复的方法和系统 |
-
2017
- 2017-12-25 CN CN201711417945.3A patent/CN108182363B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2237186A2 (en) * | 2009-03-30 | 2010-10-06 | Kaspersky Lab Zao | Method for accelerating hardware emulator used for malware detection and analysis |
| CN103902908A (zh) * | 2013-12-25 | 2014-07-02 | 武汉安天信息技术有限责任公司 | 一种对Android加固应用的恶意代码检测方法及系统 |
| CN103970574A (zh) * | 2014-05-22 | 2014-08-06 | 北京奇虎科技有限公司 | office程序的运行方法及装置、计算机系统 |
| CN104657637A (zh) * | 2015-01-29 | 2015-05-27 | 深信服网络科技(深圳)有限公司 | 文档信息嵌入、追踪方法和系统及代理服务设备 |
| CN104765682A (zh) * | 2015-03-30 | 2015-07-08 | 微梦创科网络科技(中国)有限公司 | 跨站脚本漏洞的线下检测方法和系统 |
| CN105117648A (zh) * | 2015-07-29 | 2015-12-02 | 杭州安恒信息技术有限公司 | 一种基于虚拟机的0day/恶意文档检测系统及方法 |
| CN106919840A (zh) * | 2017-03-03 | 2017-07-04 | 努比亚技术有限公司 | 一种恶意软件的检测方法及装置 |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108182363A (zh) | 2018-06-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108763928B (zh) | 一种开源软件漏洞分析方法、装置和存储介质 | |
| CN108182363B (zh) | 嵌入式office文档的检测方法、系统及存储介质 | |
| EP3506139B1 (en) | Malware detection in event loops | |
| US9922193B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
| US10397261B2 (en) | Identifying device, identifying method and identifying program | |
| US9824212B2 (en) | Method and system for recognizing advertisement plug-ins | |
| US8955124B2 (en) | Apparatus, system and method for detecting malicious code | |
| KR101554633B1 (ko) | 악성 코드 검출 장치 및 그 방법 | |
| CN108182364B (zh) | 一种基于调用依赖关系识别攻击同源的方法及系统 | |
| US9910983B2 (en) | Malware detection | |
| WO2017012241A1 (zh) | 文件的检测方法、装置、设备及非易失性计算机存储介质 | |
| JP6000465B2 (ja) | プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法 | |
| CN107818107B (zh) | 控制页面跳转的方法和装置 | |
| KR20100005518A (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
| US20180285565A1 (en) | Malware detection in applications based on presence of computer generated strings | |
| CN108229168B (zh) | 一种嵌套类文件的启发式检测方法、系统及存储介质 | |
| KR102292844B1 (ko) | 악성코드 탐지 장치 및 방법 | |
| JP2015132942A (ja) | 接続先情報判定装置、接続先情報判定方法、及びプログラム | |
| CN106778276B (zh) | 一种检测无实体文件恶意代码的方法及系统 | |
| CN110377499B (zh) | 一种对应用程序进行测试的方法及装置 | |
| JP5667957B2 (ja) | マルウェア検知装置およびプログラム | |
| CN109472141B (zh) | 一种基于时间序列化差异检测恶意代码的方法及系统 | |
| CN112434287A (zh) | 一种检测Hook的方法、装置、设备及存储介质 | |
| US20190080090A1 (en) | Method and apparatus for detecting dynamically-loaded malware with run time predictive analysis | |
| JP2016122262A (ja) | 特定装置、特定方法および特定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 Building 7, Innovation Plaza, Science and Technology Innovation City, Harbin Hi-tech Industrial Development Zone, Heilongjiang Province (838 Shikun Road) Applicant after: Harbin antiy Technology Group Limited by Share Ltd Address before: 150090 Room 506, No. 162 Hongqi Street, Nangang District, Harbin Development Zone, Heilongjiang Province Applicant before: Harbin Antiy Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |