CN109871685A - 一种rtf文件的解析方法及装置 - Google Patents
一种rtf文件的解析方法及装置 Download PDFInfo
- Publication number
- CN109871685A CN109871685A CN201910121409.1A CN201910121409A CN109871685A CN 109871685 A CN109871685 A CN 109871685A CN 201910121409 A CN201910121409 A CN 201910121409A CN 109871685 A CN109871685 A CN 109871685A
- Authority
- CN
- China
- Prior art keywords
- file
- rtf
- resolved
- character
- rtf file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例提供了一种RTF文件的解析方法及装置,涉及数据处理技术领域,该方法包括:在对RTF文件进行病毒查杀时,先对RTF文件进行降维处理,生成目标文件,再将预设头部标识与目标文件中的字符进行匹配,在确定目标文件中包含与预设头部标识匹配的字符时,从目标文件中确定出预设头部标识对应的域操作符,最后将预设头部标识对应的域操作符内的字符确定为目标子文件,由于先对RTF文件进行降维处理,简化了RTF文件的内容,故在检测RTF文件中的目标子文件时,避免了无效字符的干扰,从而降低了检测难度,同时提高了检测准确性。通过对目标子文件进行逻辑检测,确定目标子文件是否为恶意文件,提高对病毒和攻击的防御能力。
Description
技术领域
本发明实施例涉及数据处理技术领域,尤其涉及一种RTF文件的解析方法及装置。
背景技术
目前流行的攻击技术通常会包含一个高度混淆的多信息文本格式(Rich TextFormat,简称RTF)文件,该类高度混淆的RTF文件的内容杂乱无章,没有任何规律。当这些RTF中嵌入了恶意的对象连接与嵌入(Object Linking and Embedding,简称OLE)文件、压缩(zip)文件或者vbe文件等子文件时,因文件高度混淆,反病毒引擎往往很难正确的检测出该类RTF文件中嵌入的子文件,因此也无法进一步检测嵌入的子文件是否为恶意子文件。恶意子文件在正常设备上运行时,将扰乱正常设备的操作,给正常设备的安全带来威胁。
发明内容
由于在高度混淆的RTF文件中,反病毒引擎往往很难正确的检测到RTF文件中嵌入的子文件,因此也无法进一步检测嵌入的子文件是否为恶意子文件,导致恶意子文件扰乱正常设备的操作,给正常设备的安全带来威胁的问题,本发明实施例提供了一种RTF文件的解析方法及装置。
一方面,本发明实施例提供了一种RTF文件的解析方法,该方法包括:
获取待解析RTF文件;
对所述待解析RTF文件进行降维处理,生成目标文件;
将预设头部标识与所述目标文件中的字符进行匹配;
在确定所述目标文件中包含与所述预设头部标识匹配的字符时,从所述目标文件中确定出所述预设头部标识对应的域操作符;
将所述预设头部标识对应的域操作符内的字符确定为目标子文件。
一方面,本发明实施例提供了一种RTF文件的解析装置,该装置包括:
获取模块,用于待解析RTF文件;
处理模块,用于对所述待解析RTF文件进行降维处理,生成目标文件;
匹配模块,用于将预设头部标识与所述目标文件中的字符进行匹配;在确定所述目标文件中包含与所述预设头部标识匹配的字符时,从所述目标文件中确定出所述预设头部标识对应的域操作符;
解析模块,用于将所述预设头部标识对应的域操作符内的字符确定为目标子文件。
一方面,本发明实施例提供了一种终端设备,该设备包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行RTF文件的解析方法的步骤。
一方面,本发明实施例提供了一种计算机可读介质,其存储有可由终端设备执行的计算机程序,当所述程序在终端设备上运行时,使得所述终端设备执行RTF文件的解析方法的步骤。
本发明实施例中,在对RTF文件进行病毒查杀时,先对RTF文件进行降维处理,生成目标文件,再将预设头部标识与目标文件中的字符进行匹配,在确定目标文件中包含与预设头部标识匹配的字符时,从目标文件中确定出预设头部标识对应的域操作符,将预设头部标识对应的域操作符内的字符确定为目标子文件。由于先对RTF文件进行降维处理,简化了RTF文件的内容,故在检测RTF文件中的目标子文件时,避免了无效字符的干扰,从而降低了检测难度,同时提高了检测准确性。在检测目标子文件时,将预设头部标识与目标文件中的字符进行匹配,确定目标子文件的起始位置,然后结合域操作符确定目标子文件的范围,从而提高检测目标子文件的效率。进一步地,通过对目标子文件进行逻辑检测,确定目标子文件是否为恶意文件,从而提高对病毒和攻击的防御能力。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种杀毒应用程序的界面示意图;
图2为本发明实施例提供的一种杀毒应用程序的界面示意图;
图3为本发明实施例提供的一种RTF文件的解析方法的流程示意图;
图4为本发明实施例提供的一种生成目标文件的方法的流程示意图;
图5为本发明实施例提供的一种RTF文件的解析方法的流程示意图;
图6为本发明实施例提供的一种RTF文件的解析装置的结构示意图;
图7为本发明实施例提供的一种终端设备的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了方便理解,下面对本发明实施例中涉及的名词进行解释。
混淆文件:许多病毒文件为了反查杀,对病毒文件中的代码进行高度的混淆,混淆后的文件中,代码内容杂乱无章,没有任何规律。另外,一些公司为了保护前端代码的逻辑,防止被竞争对手抓取或使用自己的代码,也会对代码进行混淆。
RTF文件:多信息文本格式(Rich Text Format,简称RTF)文件,一种类似DOC格式(Word文档)的文件,有很好的兼容性,使用Windows“附件”中的“写字板”就能打开并进行编辑。
APT攻击:高级持续性威胁(Advanced Persistent Threat,简称APT),利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络并进行攻击。
钓鱼攻击:一种企图从电子通讯中,通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。
在具体实践过程中,本发明的发明人发现,目前流行的攻击方式中,比如APT攻击、钓鱼攻击等,通常会包含一个高度混淆的RTF文件,该高度混淆的RTF文件的内容杂乱无章,没有任何规律,并且在高度混淆的RTF文件中会嵌入有恶意子文件。有些反病毒引擎在检测该类RTF文件中的子文件时,直接全文搜索RTF文件的内容。由于该类RTF文件中的内容高度混淆,故在全文搜索时,反病毒引擎很难检测该类RTF文件中的子文件,因此也无法进一步检测嵌入的子文件是否为恶意子文件,导致恶意子文件扰乱正常设备的操作,给正常设备的安全带来威胁。
为此,本发明的发明人通过比较高度混淆的RTF文件和未混淆的RTF文件发现,相较于未混淆的RTF文件来说,高度混淆的RTF文件中插入了大量的无意义的混淆字符,以至于子文件不容易被识别出来,因此,本发明实施例中,在接收到待解析RTF文件时,对待解析RTF文件进行降维处理,生成目标文件,从而降低待解析RTF文件的复杂度,避免无效字符对检测待解析RTF文件中的子文件造成干扰。然后根据预先获取的目标子文件的头部标识和目标文件中的域操作符,从目标文件中确定出目标子文件,从而提高检测RTF文件中的子文件的准确性。
本发明实施例中的RTF文件的解析方法可用于对终端设备进行病毒查杀。具体地,终端设备可以是智能手机、平板电脑或便携式个人计算机等。终端设备中预先可以安装杀毒应用程序,杀毒应用程序中至少包括反病毒引擎。示例性地,设定杀毒应用程序的界面如图1所示,在病毒查杀界面中,显示用户距上次杀毒的时间、启动杀毒的按键等。当用户需要对电脑进行病毒查杀时,可以采用鼠标点击“闪电杀毒”按键。反病毒引擎对电脑中的文件进行扫描,当反病毒引擎扫描到RTF文件时,过滤掉RTF文件中的无效字符,生成目标文件,并检测目标文件中的目标子文件。之后再对目标子文件进行逻辑检测,确定目标子文件是否为恶意文件。当目标子文件为恶意文件时,在界面中发现风险,并显示风险的名称、描述、处理方式等信息,同时显示“立即处理”供用户选择,具体如图2所示。
为了便于理解,请参阅图3,图3为本发明实施例提供的一种RTF文件的解析方法的流程图,该方法可以由反病毒引擎执行,反病毒引擎位于RTF文件的解析装置中,RTF文件的解析装置可以是上述终端设备,该方法包括以下步骤:
步骤S301,获取待解析RTF文件。
具体地,反病毒引擎扫描终端设备上的所有待解析文件,识别待解析文件的文件类型,在确定待解析文件的文件类型为RTF文件时,获取待解析RTF文件。反病毒引擎可以通过扫描待解析文件中标签来识别待解析文件的文件类型,一般来说,不同类型的文件采用不同的标签唯一表示文件类型,比如RTF文件采用标签\rtf来表示文件类型为RTF。待解析RTF文件可能嵌入了恶意子文件且高度混淆,混淆后的RTF文件中,代码内容杂乱无章,没有任何规律。
步骤S302,对待解析RTF文件进行降维处理,生成目标文件。
具体地,降维处理即去除对检测目标子文件没有作用的无效字符,简化待解析RTF文件。
步骤S303,将预设头部标识与目标文件中的字符进行匹配。
具体地,RTF文件中包含的目标子文件可以是OLE文件、zip文件、vbe文件等。不同的目标子文件对应的头部标识不同,头部标识可用于唯一标识目标子文件,同时标识目标子文件的起始位置。比如,OLE文件的头部标识为16进制的字符串“d0cflle0”,当在目标文件中检测到字符串“d0cflle0”,则可初步判定目标文件中包含OLE文件,且OLE文件的起始位置为字符串“d0cflle0”所在的位置。预设头部标识根据需要检测的RTF文件中的目标子文件进行设置。在进行匹配时,将预设头部标识与目标文件中的字符逐字比对。
步骤S304,在确定目标文件中包含与预设头部标识匹配的字符时,从目标文件中确定出预设头部标识对应的域操作符。
步骤S305,将预设头部标识对应的域操作符内的字符确定为目标子文件。
具体地,域操作符用于表示目标子文件的范围,目标子文件的字符位于一对域操作符中,域操作符可以是“{}”。示例性地,设定预设头部标识为OLE文件的头部标识,OLE文件的头部标识为16进制的字符串“d0cflle0”,且OLE文件的所有内容在一对域操作符中,即OLE文件的开始标志位为“{”,结束标志位为“}”。采用顺序比对查找法将OLE文件的头部标识“d0cflle0”与目标文件中的字符进行逐字比对。当目标文件中存在头部标识“d0cflle0”时,查询目标文件中头部标识“d0cflle0”对应的域操作符。将“d0cflle0”对应的域操作符配对,“d0cflle0”对应的域操作符中包括嵌套的域操作符时,也需要将嵌套的域操作符进行配对。当“d0cflle0”对应的域操作符配对后,将域操作符内的字符确定为目标文件中OLE文件的内容。采用上述相同的方法也可以确定出RTF文件中的zip文件、vbe文件等子文件,此处不再赘述。
由于对待解析RTF文件进行降维处理,过滤掉待解析RTF文件中的无效字符,故在检测待解析RTF文件中的目标子文件时,避免了无效字符的干扰,从而降低了检测难度,同时提高了检测准确性。在检测目标子文件时,直接将预设头部标识与目标文件中的字符进行匹配,确定目标子文件的起始位置,然后结合域操作符确定目标子文件的范围,从而提高检测目标子文件的效率。
可选地,在上述步骤S302中,由于混淆的RTF文件中不仅包括新加入的无意义的混淆字符,还包括原文件的有效标签,在检测待解析RTF文件中的目标子文件时,上述两种字符没有作用,因此在进行降维处理时都可以作为无效字符去除,具体如图4所示,首先确定RTF文件对应的有效标签集合。具体地,RTF文件对应的有效标签集合为RTF文件支持的所有标签组成的集合,比如,RTF文件的有效标签包括\rtf(表示文件类型为RTF)、\colortbl(表示颜色表)、\object(表示OLE对象嵌入)、\pict(表示直接嵌入)等。然后将待解析RTF文件中的字符与RTF文件对应的有效标签集合进行比对,确定待解析RTF文件中的有效标签,去除待解析RTF文件中的有效标签。具体地,将RTF文件对应的有效标签集合中每个有效标签与待解析RTF文件中的字符进行逐字比对。当待解析RTF文件中包含有效标签时,去除有效标签。比如,将有效标签\rtf与待解析RTF文件中的字符逐字比对,通过比对确定待解析RTF文件中存在有效标签\rtf时,直接去除待解析RTF文件中的有效标签\rtf。采用上述同样的方法可以确定待解析RTF文件中是否包括\object以及\pict等有效标签,此处不再赘述。之后再将预设字符与去除有效标签的待解析RTF文件进行比对,确定待解析RTF文件中的有效字符。具体地,预设字符根据需要检测的目标子文件的属性信息确定。由于RTF文件中所有内容都可以用字符串表示,内嵌子文件采用16进制对应的字符串表示,且整个子文件的内容出现在一对域操作符“{}”中。根据RTF文件中子文件的属性信息,可以将预设字符设为16进制数字“0~9”、“a~f”以及域操作符“{}”。然后将预设字符与去除了有效标签的待解析RTF文件进行逐字比对,如果与预设字符“0~9”、“a~f”以及“{}”中任意一个字符匹配,则保留作为有效字符,过滤去除有效标签的待解析RTF文件中除有效字符之外的字符,生成目标文件。
由于反病毒引擎在检测RTF文件中的子文件时,过滤RTF文件中对检测子文件无作用的标签以及混淆字符,简化了RTF文件的内容,避免标签以及混淆字符对检测子文件造成干扰,从而提高了反病毒引擎检测子文件的准确性和效率。
可选地,为了便于后续对目标子文件进行处理,可以将目标子文件转化为二进制格式的文件。
在一种可能的实施方式中,可以在对待解析RTF文件进行降维处理,生成目标文件之后,将目标文件转化为二进制格式的文件,然后直接从二进制格式的目标文件中确定出二进制格式的目标子文件。
示例性地,设定目标子文件为OLE文件,过滤RTF文件中的无效字符,采用保留的有效字符集合确定目标文件。然后将目标文件中的字符集合转化为二进制数据集合,生成二进制格式的目标文件。之后再采用顺序比对查找法将OLE文件的头部标识“d0cflle0”与二进制格式的目标文件中的字符进行匹配,同时结合二进制格式的目标文件中的域操作符,确定二进制格式的目标文件中二进制格式的OLE文件。
在一种可能的实施方式中,可以在从目标文件中确定出目标子文件之后,将目标子文件转化为二进制格式的文件。
示例性地,设定目标子文件为OLE文件,过滤RTF文件中的无效字符,采用保留的有效字符集合确定目标文件。采用顺序比对查找法将OLE文件的头部标识“d0cflle0”与目标文件中的字符进行匹配,同时结合目标文件中的域操作符,确定目标文件中的OLE文件,之后再将OLE文件转化为二进制格式的文件。
可选地,返病毒引擎检测待解析RTF文件中的目标子文件后,可以对目标子文件进行逻辑检测,在确定目标子文件满足预设逻辑时,将目标子文件确定为正常文件,否则,将目标子文件确定为恶意文件。
具体地,预先根据目标子文件的属性信息设置对应的逻辑规则并保存在数据库中。比如,根据OLE文件的属性信息设置OLE文件对应的逻辑规则,根据zip文件的属性信息设置zip文件对应的逻辑规则,根据vbe文件的属性信息设置vbe文件对应的逻辑规则,然后将OLE文件对应的逻辑规则、zip文件对应的逻辑规则以及vbe文件对应的逻辑规则保存在数据库中。当返病毒引擎从待解析RTF文件中检测的目标子文件为OLE文件时,对OLE文件进行逻辑检测,然后与数据库中OLE文件对应的逻辑规则进行比对,当完全匹配时,则说明待解析RTF文件中的OLE文件满足预设逻辑,从而确定待解析RTF文件中的OLE文件为正常文件,否则,将待解析RTF文件中的OLE文件确定为恶意文件。
进一步地,当目标子文件为恶意文件时,以窗口等提醒方式提醒用户。在得到用户授权时,可以进一步对恶意的目标子文件进行处理,防止终端设备受到恶意文件的攻击,提高终端设备的安全性。
为了更好的解释本发明实施例,下面结合具体的实施场景描述本发明实施例提供的一种RTF文件的解析方法,该方法由反病毒引擎执行,如图5所示,该方法包括以下步骤:
步骤S501,反病毒引擎扫描电脑中的文件。
步骤S502,识别文件的类型,当文件的类型为RTF文件时,执行步骤S503至步骤S509,否则执行步骤S513。
步骤S503,将RTF文件中的字符与预设的有效标签集合进行比对,确定RTF文件中的有效标签。
其中,有效标签集合为RTF文件支持的所有标签的集合。
步骤S504,去除RTF文件中的有效标签。
步骤S505,将预设字符与去除有效标签的RTF文件进行比对,确定RTF文件中的有效字符。
其中,预设字符可以为“0~9”、“a~f”以及“{}”。
步骤S506,去除RTF文件中除有效字符之外的字符,生成只包含有效字符“0~9”、“a~f”以及“{}”的目标文件。
步骤S507,将目标文件转化为二进制格式的文件。
步骤S508,将预设头部标识与目标文件中的字符进行匹配。
其中,预设头部标识可以是OLE文件、zip文件和vbe文件等目标子文件的头部标识。
步骤S509,在目标文件中包含与预设头部标识匹配的字符时,从目标文件中确定出预设头部标识对应的域操作符。
步骤S510,将预设头部标识对应的域操作符内的字符确定为目标子文件。
步骤S511,对目标子文件进行逻辑检测。
步骤S512,在确定目标子文件满足预设逻辑时,将目标子文件确定为正常文件,否则,将目标子文件确定为恶意文件。
步骤S513,采用其他文件类型对应的检测方法检测子文件。
本发明实施例中,由于先对RTF文件进行降维处理,简化了RTF文件的内容,故在检测RTF文件中的目标子文件时,避免了无效字符的干扰,从而降低了检测难度,同时提高了检测准确性。在检测目标子文件时,将预设头部标识与目标文件中的字符进行匹配,确定目标子文件的起始位置,然后结合域操作符确定目标子文件的范围,从而提高检测目标子文件的效率。进一步地,通过对目标子文件进行逻辑检测,确定目标子文件是否为恶意文件,从而提高对病毒和攻击的防御能力。
基于相同的技术构思,本发明实施例提供了一种RTF文件的解析装置,如图6所示,该装置600包括:
获取模块601,用于待解析RTF文件;
处理模块602,用于对所述待解析RTF文件进行降维处理,生成目标文件;
匹配模块603,用于将预设头部标识与所述目标文件中的字符进行匹配;在确定所述目标文件中包含与所述预设头部标识匹配的字符时,从所述目标文件中确定出所述预设头部标识对应的域操作符;
解析模块604,用于将所述预设头部标识对应的域操作符内的字符确定为目标子文件。
可选地,处理模块602具体用于:
确定RTF文件对应的有效标签集合;
将所述待解析RTF文件中的字符与所述RTF文件对应的有效标签集合进行比对,确定所述待解析RTF文件中的有效标签;
去除所述待解析RTF文件中的有效标签;
将预设字符与去除所述有效标签的待解析RTF文件进行比对,确定所述待解析RTF文件中的有效字符;
过滤所述去除所述有效标签的待解析RTF文件中除所述有效字符之外的字符,生成目标文件。
可选地,还包括检测模块605;
所述检测模块605具体用于:
将所述预设头部标识对应的域操作符内的字符确定为目标子文件之后,对所述目标子文件进行逻辑检测;
在确定所述目标子文件满足预设逻辑时,将所述目标子文件确定为正常文件,否则,将所述目标子文件确定为恶意文件。
可选地,所述处理模块602还用于:
将所述目标文件转化为二进制格式的文件。
可选地,所述获取模块601还用于:
识别待解析文件的文件类型;
在确定所述待解析文件的文件类型为RTF文件时,获取待解析RTF文件。
基于相同的技术构思,本发明实施例提供了一种终端设备,如图7所示,包括至少一个处理器701,以及与至少一个处理器连接的存储器702,本发明实施例中不限定处理器701与存储器702之间的具体连接介质,图7中处理器701和存储器702之间通过总线连接为例。总线可以分为地址总线、数据总线、控制总线等。
在本发明实施例中,存储器702存储有可被至少一个处理器701执行的指令,至少一个处理器701通过执行存储器702存储的指令,可以执行前述的RTF文件的解析方法中所包括的步骤。
其中,处理器701是终端设备的控制中心,可以利用各种接口和线路连接终端设备的各个部分,通过运行或执行存储在存储器702内的指令以及调用存储在存储器702内的数据,从而检测目标子文件。可选的,处理器701可包括一个或多个处理单元,处理器701可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器701中。在一些实施例中,处理器701和存储器702可以在同一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
处理器701可以是通用处理器,例如中央处理器(CPU)、数字信号处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件,可以实现或者执行本发明实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器702作为一种非易失性计算机可读存储介质,可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器702可以包括至少一种类型的存储介质,例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory,RAM)、静态随机访问存储器(Static Random Access Memory,SRAM)、可编程只读存储器(Programmable Read Only Memory,PROM)、只读存储器(Read Only Memory,ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性存储器、磁盘、光盘等等。存储器702是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。本发明实施例中的存储器702还可以是电路或者其它任意能够实现存储功能的装置,用于存储程序指令和/或数据。
该终端设备还包括输入单元703、显示单元704、射频单元705、音频电路706、扬声器707、麦克风708、无线保真(Wireless Fidelity,WiFi)模块709、蓝牙模块710、电源711、外部接口712、耳机插孔713等部件。
输入单元703可用于接收用户输入的病毒查杀指令等。例如,输入单元703可包括触摸屏7031以及其它输入设备7032。触摸屏7031可收集用户在其上或附近的触摸操作(比如用户使用手指、关节、触笔等任何适合的物体在触摸屏7031上或在触摸屏7031附近的操作),即触摸屏7031可用于检测触摸压力以及触摸输入位置和触摸输入面积,并根据预先设定的程序驱动相应的连接装置。触摸屏7031可以检测用户对触摸屏7031的触控操作,将触控操作转换为触控信号发送给处理器701,或者理解为可将触控操作的触控信息发送给处理器701,并能接收处理器701发来的命令并加以执行。触控信息至少可以包括压力大小信息和压力持续时长信息中的至少一种。触摸屏7031可以提供终端设备和用户之间的输入界面和输出界面。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触摸屏7031。除了触摸屏7031,输入单元703还可以包括其它输入设备7032。比如,其它输入设备7032可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元704可用于显示由用户输入的信息或提供给用户的信息。进一步的,触摸屏7031可覆盖显示单元704,当触摸屏7031检测到在其上或附近的触控操作后,传送给处理器701以确定的触控操作的压力信息。在本发明实施例中,触摸屏7031与显示单元704可以集成为一个部件而实现终端设备的输入、输出、显示功能。为便于描述,本发明实施例以触摸屏7031代表触摸屏7031和显示单元704的功能集合为例进行示意性说明,当然在某些实施例中,触摸屏7031与显示单元704也可以作为两个独立的部件。
当显示单元704和触摸板以层的形式彼此叠加以形成触摸屏7031时,显示单元704可以用作输入装置和输出装置,在作为输出装置时,可以用于显示图像,例如显示目标应用程序的安装界面。显示单元704可以包括液晶显示器(Liquid Crystal Display,LCD)、薄膜晶体管液晶显示器(Thin Film Transistor Liquid Crystal Display,TFT-LCD)、有机发光二极管(Organic Light Emitting Diode,OLED)显示器、有源矩阵有机发光二极体(Active Matrix Organic Light Emitting Diode,AMOLED)显示器、平面转换(In-PlaneSwitching,IPS)显示器、柔性显示器、3D显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看,这可以称为透明显示器,根据特定想要的实施方式,终端设备可以包括两个或更多显示单元。
射频单元705可用于收发信息或通话过程中信号的接收和发送。通常,射频电路包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(Low NoiseAmplifier,LNA)、双工器等。此外,射频单元705还可以通过无线通信与网络设备和其它设备通信。无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GlobalSystem of Mobile communication,GSM)、通用分组无线服务(General Packet RadioService,GPRS)、码分多址(Code Division Multiple Access,CDMA)、宽带码分多址(Wideband Code Division Multiple Access,WCDMA)、长期演进(Long Term Evolution,LTE)、电子邮件、短消息服务(Short Messaging Service,SMS)等。
音频电路706、扬声器707、麦克风708可提供用户与终端设备之间的音频接口。音频电路706可将接收到的音频数据转换后的电信号,传输到扬声器707,由扬声器707转换为声音信号输出。另一方面,麦克风708将收集的声音信号转换为电信号,由音频电路706接收后转换为音频数据,再将音频数据输出处理器701处理后,经射频单元705以发送给比如另一电子设备,或者将音频数据输出至存储器702以便进一步处理,音频电路也可以包括耳机插孔713,用于提供音频电路和耳机之间的连接接口。
WiFi属于短距离无线传输技术,终端设备通过WiFi模块709可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图7示出了WiFi模块709,但是可以理解的是,其并不属于终端设备的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
蓝牙是一种短距离无线通讯技术。利用蓝牙技术,能够有效地简化掌上电脑、笔记本电脑和手机等移动通信终端设备之间的通信,也能够成功地简化以上这些设备与因特网(Internet)之间的通信,终端设备通过蓝牙模块710使终端设备与因特网之间的数据传输变得更加迅速高效,为无线通信拓宽道路。蓝牙技术是能够实现语音和数据无线传输的开放性方案。虽然图7示出了WiFi模块709,但是可以理解的是,其并不属于终端设备的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
终端设备还可以包括电源711(比如电池),其用于接收外部电力为终端设备内的各个部件供电。优选的,电源711可以通过电源管理系统与处理器701逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
终端设备还可以包括外部接口712,该外部接口712可以包括标准的MicroUSB接口,也可以包括多针连接器,可以用于连接终端设备与其它设备进行通信,也可以用于连接充电器为终端设备充电。
尽管未示出,终端设备还可以包括摄像头、闪光灯等其它可能的功能模块,在此不再赘述。
基于同一发明构思,本发明实施例还提供一种计算机可读存储介质,该可读存储介质存储有计算机指令,当该计算机指令在终端设备上运行时,使得终端设备执行如前述的RTF文件的解析方法的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种RTF文件的解析方法,其特征在于,包括:
获取待解析RTF文件;
对所述待解析RTF文件进行降维处理,生成目标文件;
将预设头部标识与所述目标文件中的字符进行匹配;
在确定所述目标文件中包含与所述预设头部标识匹配的字符时,从所述目标文件中确定出所述预设头部标识对应的域操作符;
将所述预设头部标识对应的域操作符内的字符确定为目标子文件。
2.如权利要求1所述的方法,其特征在于,所述对所述待解析RTF文件进行降维处理,生成目标文件,包括:
确定RTF文件对应的有效标签集合;
将所述待解析RTF文件中的字符与所述RTF文件对应的有效标签集合进行比对,确定所述待解析RTF文件中的有效标签;
去除所述待解析RTF文件中的有效标签;
将预设字符与去除所述有效标签的待解析RTF文件进行比对,确定所述待解析RTF文件中的有效字符;
过滤所述去除所述有效标签的待解析RTF文件中除所述有效字符之外的字符,生成目标文件。
3.如权利要求1所述的方法,其特征在于,还包括:
将所述目标文件转化为二进制格式的文件。
4.如权利要求1、2或3所述的方法,其特征在于,所述将所述预设头部标识对应的域操作符内的字符确定为目标子文件之后,还包括:
对所述目标子文件进行逻辑检测;
在确定所述目标子文件满足预设逻辑时,将所述目标子文件确定为正常文件,否则,将所述目标子文件确定为恶意文件。
5.如权利要求4所述的方法,其特征在于,所述获取待解析RTF文件,包括:
识别待解析文件的文件类型;
在确定所述待解析文件的文件类型为RTF文件时,获取待解析RTF文件。
6.一种RTF文件的解析装置,其特征在于,包括:
获取模块,用于待解析RTF文件;
处理模块,用于对所述待解析RTF文件进行降维处理,生成目标文件;
匹配模块,用于将预设头部标识与所述目标文件中的字符进行匹配;在确定所述目标文件中包含与所述预设头部标识匹配的字符时,从所述目标文件中确定出所述预设头部标识对应的域操作符;
解析模块,用于将所述预设头部标识对应的域操作符内的字符确定为目标子文件。
7.如权利要求6所述的装置,其特征在于,所述处理模块具体用于:
确定RTF文件对应的有效标签集合;
将所述待解析RTF文件中的字符与所述RTF文件对应的有效标签集合进行比对,确定所述待解析RTF文件中的有效标签;
去除所述待解析RTF文件中的有效标签;
将预设字符与去除所述有效标签的待解析RTF文件进行比对,确定所述待解析RTF文件中的有效字符;
过滤所述去除所述有效标签的待解析RTF文件中除所述有效字符之外的字符,生成目标文件。
8.如权利要求6所述的装置,其特征在于,所述处理模块还用于:
将所述目标文件转化为二进制格式的文件。
9.一种终端设备,其特征在于,包括至少一个处理单元、以及至少一个存储单元,其中,所述存储单元存储有计算机程序,当所述程序被所述处理单元执行时,使得所述处理单元执行权利要求1~5任一权利要求所述方法的步骤。
10.一种计算机可读介质,其特征在于,其存储有可由终端设备执行的计算机程序,当所述程序在终端设备上运行时,使得所述终端设备执行权利要求1~5任一所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910121409.1A CN109871685B (zh) | 2019-02-19 | 2019-02-19 | 一种rtf文件的解析方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910121409.1A CN109871685B (zh) | 2019-02-19 | 2019-02-19 | 一种rtf文件的解析方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109871685A true CN109871685A (zh) | 2019-06-11 |
| CN109871685B CN109871685B (zh) | 2023-08-08 |
Family
ID=66918900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910121409.1A Active CN109871685B (zh) | 2019-02-19 | 2019-02-19 | 一种rtf文件的解析方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109871685B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929110A (zh) * | 2019-11-13 | 2020-03-27 | 北京北信源软件股份有限公司 | 一种电子文档检测方法、装置、设备及存储介质 |
| US20220086172A1 (en) * | 2020-09-17 | 2022-03-17 | Mcafee, Llc | System, methods, and media for protecting network devices from malicious rich text format (rtf) files |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7383581B1 (en) * | 2001-12-26 | 2008-06-03 | Mcafee, Inc. | Identifying malware containing computer files using embedded text |
| US20130097661A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file |
| CN103455753A (zh) * | 2012-05-30 | 2013-12-18 | 北京金山安全软件有限公司 | 一种样本文件分析方法及装置 |
| CN103530430A (zh) * | 2013-11-06 | 2014-01-22 | 焦点科技股份有限公司 | 一种含格式的html富文本数据的跨标签处理方法及系统 |
| US20150121182A1 (en) * | 2013-10-30 | 2015-04-30 | Xiaomi Inc. | Method and server for processing information |
| US9043894B1 (en) * | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| CN105183706A (zh) * | 2014-05-27 | 2015-12-23 | 腾讯科技(北京)有限公司 | 富文本处理方法和装置 |
| US9438613B1 (en) * | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| CN106951398A (zh) * | 2017-03-20 | 2017-07-14 | 北京京东尚科信息技术有限公司 | 信息显示方法和装置 |
| CN107145780A (zh) * | 2017-03-31 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 恶意软件检测方法及装置 |
| US20170357813A1 (en) * | 2016-06-08 | 2017-12-14 | Cylance Inc. | Avoidance of Malicious Content in Nested Files |
| CN108171014A (zh) * | 2017-12-29 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 一种rtf可疑文件的检测方法、系统及存储介质 |
-
2019
- 2019-02-19 CN CN201910121409.1A patent/CN109871685B/zh active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7383581B1 (en) * | 2001-12-26 | 2008-06-03 | Mcafee, Inc. | Identifying malware containing computer files using embedded text |
| US20130097661A1 (en) * | 2011-10-18 | 2013-04-18 | Mcafee, Inc. | System and method for detecting a file embedded in an arbitrary location and determining the reputation of the file |
| CN103455753A (zh) * | 2012-05-30 | 2013-12-18 | 北京金山安全软件有限公司 | 一种样本文件分析方法及装置 |
| US20150121182A1 (en) * | 2013-10-30 | 2015-04-30 | Xiaomi Inc. | Method and server for processing information |
| CN103530430A (zh) * | 2013-11-06 | 2014-01-22 | 焦点科技股份有限公司 | 一种含格式的html富文本数据的跨标签处理方法及系统 |
| CN105183706A (zh) * | 2014-05-27 | 2015-12-23 | 腾讯科技(北京)有限公司 | 富文本处理方法和装置 |
| US9043894B1 (en) * | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| US9438613B1 (en) * | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US20170357813A1 (en) * | 2016-06-08 | 2017-12-14 | Cylance Inc. | Avoidance of Malicious Content in Nested Files |
| CN106951398A (zh) * | 2017-03-20 | 2017-07-14 | 北京京东尚科信息技术有限公司 | 信息显示方法和装置 |
| CN107145780A (zh) * | 2017-03-31 | 2017-09-08 | 腾讯科技(深圳)有限公司 | 恶意软件检测方法及装置 |
| CN108171014A (zh) * | 2017-12-29 | 2018-06-15 | 哈尔滨安天科技股份有限公司 | 一种rtf可疑文件的检测方法、系统及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 乐德广;章亮;龚声蓉;郑力新;吴少刚;: "面向RTF的OLE对象漏洞分析研究.", 网络与信息安全学报, no. 01, pages 0011 - 1 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110929110A (zh) * | 2019-11-13 | 2020-03-27 | 北京北信源软件股份有限公司 | 一种电子文档检测方法、装置、设备及存储介质 |
| US20220086172A1 (en) * | 2020-09-17 | 2022-03-17 | Mcafee, Llc | System, methods, and media for protecting network devices from malicious rich text format (rtf) files |
| US11659000B2 (en) * | 2020-09-17 | 2023-05-23 | Mcafee, Llc | System, methods, and media for protecting network devices from malicious rich text format (RTF) files |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109871685B (zh) | 2023-08-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106126015B (zh) | 一种应用程序启动控制方法及终端 | |
| CN103632165B (zh) | 一种图像处理的方法、装置及终端设备 | |
| CN105900466B (zh) | 消息处理方法及装置 | |
| EP3454240B1 (en) | Unlocking methods and related products | |
| CN106844484A (zh) | 信息搜索方法、装置及移动终端 | |
| CN105912918B (zh) | 一种指纹解锁方法及终端 | |
| CN104125216A (zh) | 一种提升可信执行环境安全性的方法、系统及终端 | |
| CN106713266B (zh) | 一种防止信息泄露的方法、装置、终端及系统 | |
| CN104901805B (zh) | 一种身份鉴权方法、装置和系统 | |
| CN106293751A (zh) | 一种在终端设备上显示信息的方法及终端设备 | |
| CN107172266A (zh) | 指纹识别控制方法及相关产品 | |
| WO2015007187A1 (en) | Method, device and storage medium for providing data statistics | |
| CN110414232B (zh) | 恶意程序预警方法、装置、计算机设备及存储介质 | |
| CN104217172B (zh) | 隐私内容查看方法及装置 | |
| CN107609379B (zh) | 一种解锁控制方法及移动终端 | |
| CN106022071A (zh) | 一种指纹解锁的方法及终端 | |
| CN106534324A (zh) | 一种数据共享方法及云服务器 | |
| CN109145552A (zh) | 信息加密方法及终端设备 | |
| CN107423601A (zh) | 指纹识别控制方法及相关产品 | |
| CN109871685A (zh) | 一种rtf文件的解析方法及装置 | |
| CN107369017A (zh) | 快捷支付实现方法及相关产品 | |
| CN106569815A (zh) | 一种消息显示方法及终端 | |
| CN105868598A (zh) | 一种指纹解锁的方法及终端 | |
| CN105279466B (zh) | 图形码识别方法及装置、图形码生成方法及装置 | |
| CN108121583A (zh) | 截屏方法及相关产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |