CN110826064A - 一种恶意文件的处理方法、装置、电子设备以及存储介质 - Google Patents
一种恶意文件的处理方法、装置、电子设备以及存储介质 Download PDFInfo
- Publication number
- CN110826064A CN110826064A CN201911024798.2A CN201911024798A CN110826064A CN 110826064 A CN110826064 A CN 110826064A CN 201911024798 A CN201911024798 A CN 201911024798A CN 110826064 A CN110826064 A CN 110826064A
- Authority
- CN
- China
- Prior art keywords
- file
- detected
- information
- preset
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 16
- 230000003068 static effect Effects 0.000 claims abstract description 133
- 238000001514 detection method Methods 0.000 claims abstract description 83
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims abstract description 47
- 238000004458 analytical method Methods 0.000 claims abstract description 39
- 238000012544 monitoring process Methods 0.000 claims abstract description 27
- 230000006399 behavior Effects 0.000 claims description 166
- 238000012545 processing Methods 0.000 claims description 49
- 238000000034 method Methods 0.000 claims description 38
- 230000006870 function Effects 0.000 claims description 21
- 230000002159 abnormal effect Effects 0.000 claims description 6
- 244000035744 Hura crepitans Species 0.000 description 22
- 241000700605 Viruses Species 0.000 description 8
- 241001377938 Yara Species 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 239000000284 extract Substances 0.000 description 5
- 238000004088 simulation Methods 0.000 description 4
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000003542 behavioural effect Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000006835 compression Effects 0.000 description 3
- 238000007906 compression Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000006837 decompression Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本申请实施例公开了一种恶意文件的处理方法、装置、电子设备以及存储介质,当判定待检测文件为设定平台文件时,对所述待检测文件进行静态分析,以提取所述待检测文件的静态信息;将所述待检测文件输入预设行为检测模块中运行,并监控所述待检测文件的行为,得到动态行为序列信息;根据所述静态信息、动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件,从而提高了扩展性。
Description
技术领域
本申请涉及计算机的技术领域,具体涉及一种恶意文件的处理方法、装置、电子设备以及存储介质。
背景技术
目前的恶意文件主要通过静态或者动态方式进行检测,而静态检测方式过于单一,无法分析处理混淆或者受保护文件;而动态检测虽然优于静态检测,但动态检测主要基于X86的linux系统开发设计,因此只能分析处理X86平台文件,无法分析处理采取精简指令集(RISC)的处理器架构(Microprocessor without interlocked piped stagesarchitecture,MIPS)的平台文件,导致扩展性较差。
发明内容
有鉴于此,本申请实施例提供了一种恶意文件的处理方法、装置、电子设备以及存储介质,可以提高恶意文件处理的扩展性。
第一方面,本申请实施例提供了一种恶意文件的处理方法,包括:
当判定待检测文件为设定平台文件时,对所述待检测文件进行静态分析,并提取所述待检测文件的静态信息;
将所述待检测文件输入预设行为检测模块中运行,并监控所述待检测文件的行为,得到动态行为序列信息;
根据所述静态信息、所述动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件。
第二方面,本申请实施例提供了一种恶意文件的处理装置,包括:
静态信息获取模块,用于当判定待检测文件为设定平台文件时,对所述待检测文件进行静态分析,并提取所述待检测文件的静态信息;
动态信息获取模块,用于将所述待检测文件输入预设行为检测模块中运行,并监控所述待检测文件的行为,得到动态行为序列信息;
恶意文件确定模块,用于根据所述静态信息、所述动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件。
第三方面,本申请实施例提供了一种电子设备,所述电子设备包括处理器和存储器,所述存储器用于存储程序代码,所述电子设备运行时,所述处理器用于执行所述程序代码,以执行本申请任一实施例提供的恶意文件的处理方法。
第四方面,本申请实施例提供的存储介质,其上存储有多条指令,所述指令适于处理器进行加载,以执行本申请任一实施例提供的恶意文件的处理方法。
本申请实施例当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,以提取该待检测文件的静态信息;将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件;由于可以对设定平台文件进行恶意文件的检测,因此提高了扩展性;此外由于结合静态信息和动态行为序列信息进行恶意文件的识别,因此还提高了检测的准确性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的恶意文件的处理方法的应用场景示意图。
图2是本申请实施例一提供的恶意文件的处理方法的流程示意图。
图3是本申请实施例二提供的恶意文件的处理方法的流程示意图。
图4是本申请实施例三提供的恶意文件的处理方法的流程示意图。
图5是本申请实施例四提供的恶意文件的处理方法的流程示意图。
图6是本申请实施例提供的恶意文件的处理装置的第一种结构示意图。
图7是本申请实施例提供的恶意文件的处理装置的第二种结构示意图。
图8是本申请实施例提供的恶意文件的处理装置的第三种结构示意图。
图9是本申请实施例提供的电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例中,术语“模块”一般指:硬件、硬件和软件的组合、软件等。例如,模块可以是运行在处理器上的进程、处理器、对象、可执行应用、执行的线程、程序等。运行在处理器上的应用和该处理器二者都可以是模块。一个或多个模块可以位于一个计算机中和/或分布在两个或更多计算机之间。
在本发明实施例中,“第一”、“第二”等仅为用于区分不同的对象,而不应对本发明实施例构成任何限定。
恶意文件处理是计算机科学领域与人工智能领域中的一个重要方向。它能实现人对计算机进行有效地防御。恶意文件包括恶意软件,是指在计算机系统上执行恶意任务的病毒、蠕虫以及特洛伊木马中的至少一种的程序。比如通过人工智能实现对计算机上的恶意文件进行自动检测,以及时地发现恶意文件,便于对恶意文件进行及时处理,进而提高计算机的安全性。
本发明实施例提供的方案涉及人工智能的恶意文件的处理技术,具体通过如下实施例进行说明:
本发明的实施例提供了一种恶意文件的处理系统,包括本发明实施例任一提供的恶意文件的处理装置,该恶意文件的处理装置具体可集成在服务器中。
例如,参考图1,恶意文件的处理系统包括终端和服务器,终端与服务器通过网络链接。其中,网络包括路由器、网关等网络实体。网络为用以在终端设备和服务器之间提供通信链路的介质。网络可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。用户可以使用终端通过网络与服务器交互,以接收或发送消息等。该终端可以包括:手机、平板电脑、笔记本电脑或个人计算机(PC,Personal Computer)等。终端设备上可以安装有各种客户端应用,例如,病毒查杀引擎、网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。
终端可以是具有显示屏并且支持病毒查杀引擎运行的各种电子设备,包括但不限于智能手机、平板电脑、便携计算机和台式计算机等等。
服务器可以是提供各种服务的服务器,例如,对终端上安装的病毒查杀引擎提供云端数据支持和云端处理的服务器。服务器可以对接收到的待检测文件进行分析等处理。
其中,当服务器判定待检测文件为设定平台文件时,服务器对该待检测文件进行静态分析,并提取该待检测文件的静态信息;服务器将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;之后,服务器再根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
其中,服务器还可以通过网络链接从终端中提取该检测文件。
上述图1的例子只是实现本发明实施例的一个系统架构实例,本发明实施例不限于上述图1所示的系统结构,基于该系统架构,提出本发明各个实施例。
以下分别进行详细说明。需说明的是,以下实施例的序号不作为对实施例优选顺序的限定。
本实施例将从恶意文件的处理装置的角度进行描述,该恶意文件的处理装置具体可以集成在服务器中。
如图2所示,提供了一种恶意文件的处理方法,该方法可以由服务器中的处理器执行,该恶意文件的处理方法的具体流程如下:
S101、当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,以提取该待检测文件的静态信息;
其中,该设定平台文件为采取精简指令集(RISC)的处理器架构(Microprocessorwithout interlocked piped stages architecture,MIPS)的平台文件。
该静态信息包括字符串、函数名、符号表以及设定格式信息中的至少一种。该设定格式信息为可执行和链接格式(Executable and Linking Format,ELF)信息,可执行和链接格式是一种用于可执行文件、目标文件、共享库和核心转储的标准文件格式。该设定格式信息比如为ELF结构信息。
在一实施方式中,比如可以通过情报收集或者通过预先建立的蜜罐网络诱捕收集可疑的样本文件,得到待检测文件。情报收集的方式可以是通过开源情报库获取最新流行的MIPS平台下的文件样本。由于收集到的样本文件格式比较杂乱,因此需要对上述文件进行过滤,仅保留设定平台文件。
比如,可以通过静态分析工具对待检测文件进行分析,以获取待检测文件的结构信息、字符串、导入函数等静态信息。其中该待检测文件可为未加壳文件,或者说未压缩的文件。其中加壳文件是利用特定的算法对文件进行了压缩。
在一实施例中,该判定该待检测文件为设定平台文件的步骤可包括:
(1)当该待检测文件的文件头信息与该预设文件头一致时,按照预设格式对该待检测文件进行解析,并获取该待检测文件的格式信息;
(2)当该格式信息与预设格式相同时,则判定该待检测文件为设定平台文件。
其中,该预设文件头比如为Linux平台下ELF文件的文件头。
该格式信息用于表征该待检测文件具体为哪种平台文件,比如Linux平台文件或者MIPS平台文件。
在一实施方式中,该预设格式可为ELF格式,当该待检测文件的文件头信息与Linux平台下ELF文件的文件头一致时,按照ELF格式对该待检测文件进行解析,并获取该待检测文件的格式信息,当解析后的格式信息与ELF格式相同时,则判定该待检测文件为设定平台文件。
S102、将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
例如,该预设行为检测模块为MIPS行为沙箱,MIPS行为沙箱中内置行为检测工具。在一实施方式中,将待检测文件输入MIPS行为沙箱中运行并通过MIPS行为沙箱中的监控程序监控该待检测文件,获取该待检测文件的执行流程、函数调用、网络连接、进程调用等信息,并根据上述信息生成动态行为序列信息。
其中MIPS行为沙箱包括两种模式:用户模式和全模式,用户模式是利用QEMU实现在X86平台下模拟执行MIPS指令集,性能较好。其中QEMU是一套由法布里斯贝拉(FabriceBellard)所编写的以GPL许可证分发源码的模拟处理器。在QEMU的虚拟环境里部署有行为网络等网络工具,行为网络工具比如包括strace、tcpdump以及MIPS虚拟机监控点等。全模式是利用QEMU系统模式完全模拟MIPS系统,性能相对较差。其中,该预设行为检测模块包括第一预设检测模式和第二预设检测模式。第一预设检测模式比如为用户模式,第二预设检测模式比如为全模式。
在一实施例中,为了进一步提高检测的准确性,该将该待检测文件输入预设行为检测模块中运行的步骤可包括:
(1)、在该第一预设检测模式下运行该待检测文件;
(2)、若出现异常时,在该第二预设检测模式下运行该待检测文件。
例如,在用户模式下运行该待检测文件,并监控该待检测文件的行为,如果出现异常,比如出现崩溃时,则在全模式下运行该待检测文件,并监控该待检测文件的行为。
S103、根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
其中,预设木马规则库可包括静态规则、动态规则以及X86流行木马规则中的至少一种;静态规则可包括Yara规则。
X86流行木马规则也即X86平台流行恶意软件行为序列库,是通过在X86的平台沙箱中获取流行的恶意软件类别的行为序列库,具体是通过对流行的x86平台下的Linux恶意软件的行为进行学习,生成流行序列库。由于同一家族恶意软件代码通过交叉编译生成X86平台文件和MIPS平台文件,两种文件虽然属于不同的平台,但是同源,因此其恶意行为也一致。因而,X86平台流行恶意软件行为序列库同样可以应用到检测MIPS平台的恶意文件中。
YARA规则一种恶意文件识别规则,属于静态规则,主要基于文件的静态信息进行检测,该静态信息如字符串、函数名、符号等。
恶意文件包括恶意软件,是指在计算机系统上执行恶意任务的病毒、蠕虫以及特洛伊木马中的至少一种的程序。
在一实施例中,当该静态信息和/或该动态行为序列信息与该预设木马规则库中的一个木马规则的特征信息匹配时,确定该待检测文件为恶意文件;
当该静态信息和/或该动态行为序列信息与该预设木马规则库中的任意一个木马规则的特征信息均不匹配时,确定该待检测文件不是恶意文件。
可以理解的,本实施例的恶意文件的处理方法可以判断未加壳的待检测文件是否为恶意文件。
由上可知,本发明实施例当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,以提取该待检测文件的静态信息;将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测以确定该待检测文件为恶意文件;由于可以对设定平台文件进行恶意文件的检测,因此提高了扩展性;此外由于结合静态信息和动态行为序列信息进行恶意文件的识别,因此还提高了检测的准确性。
根据前面实施例所描述的方法,以下将以该恶意文件的处理装置具体集成在服务器举例作进一步详细说明。
参考图3,本发明实施例的恶意文件的处理方法的具体流程如下:
S201、当判定待检测文件为设定平台文件时,且该待检测文件为加壳文件时,获取该加壳文件对应的加壳规则;
其中,该设定平台文件为采取精简指令集(RISC)的处理器架构(Microprocessorwithout interlocked piped stages architecture,MIPS)的平台文件。
在一实施方式中,比如可以通过情报收集或者通过预先建立的蜜罐网络诱捕收集可疑的样本文件,得到待检测文件。情报收集的方式可以是通过开源情报库获取最新流行的MIPS平台下的文件样本。由于收集到的样本文件格式比较杂乱,因此需要对上述文件进行过滤,仅保留设定平台文件。
在一实施例中,该判定该待检测文件为设定平台文件的步骤可包括:
(1)当该待检测文件的文件头信息与该预设文件头一致时,按照预设格式对该待检测文件进行解析,并获取该待检测文件的格式信息;
(2)当该格式信息与预设格式相同时,则判定该待检测文件为设定平台文件。
其中,该预设文件头比如为Linux平台下ELF文件的文件头。
该格式信息用于表征该待检测文件具体为哪种平台文件,比如Linux平台文件或者MIPS平台文件。
在一实施方式中,该预设格式为ELF格式,当该待检测文件的文件头信息与Linux平台下ELF文件的文件头一致时,按照ELF格式对该待检测文件进行解析,并获取该待检测文件的格式信息,当解析后的格式信息与ELF格式相同时,则判定该待检测文件为设定平台文件。该设定格式信息比如为ELF结构信息。
其中加壳文件是利用特定的算法对文件进行了压缩。这种特定的算法也即加壳规则。每种加壳文件对应一种加壳规则。加壳规则可包括Aspack、Pecompact以及UPX中的至少一种。
在一实施例中,可以通过以下方式判断待检测文件是否为加壳文件:
当该待检测文件的属性信息与预设属性一致时,则确定该待检测文件为加壳文件;
当该属性信息与该预设属性不一致时,获取该待检测文件的信息熵;
当该信息熵大于预设阈值时,确定该待检测文件为加壳文件。
其中该属性信息包括字符串、节名以及入口点特征。
该信息熵为该待检测文件的信息量。该信息熵可采用现有方式进行计算。
例如,预先存储有多种类型的加壳文件的字符串、节名以及入口点特征,也即预设属性,当该待检测文件的字符串、节名以及入口点特征与预设属性时,则确定该待检测文件为加壳文件;当该属性信息与该预设属性不一致时,获取该待检测文件的信息熵;当该信息熵大于预设阈值时,确定该待检测文件为加壳文件,否则确定该待检测文件为非加壳文件。预设阈值可以根据经验值设定。
S202、当该加壳规则与该预设规则一致时,则采用与该预设规则对应的脱壳规则对该待检测文件进行脱壳处理;
例如,预设规则也即为预先存储的加壳规则,可包括Aspack、Pecompact、UPX中的至少一种。比如当该待检测文件的加壳规则与UPX一致时,采用UPX对应的脱壳规则对该待检测文件进行解压。
S203、对脱壳处理后的待检测文件进行静态分析,以提取该待检测文件的静态信息;
其中该静态信息包括字符串、函数名、符号表以及设定格式信息中的至少一种。该设定格式信息为可执行和链接格式(Executable and Linking Format,ELF)信息,可执行和链接格式是一种用于可执行文件、目标文件、共享库和核心转储的标准文件格式。
在一实施方式中,可以通过静态分析工具对解压后的待检测文件进行分析,以获取待检测文件的结构信息、字符串、导入函数等静态信息。
S204、将该脱壳处理后的待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
例如,该预设行为检测模块为MIPS行为沙箱,MIPS行为沙箱中内置行为检测工具。
在一实施方式中,将解压后的待检测文件输入MIPS行为沙箱中运行,并通过MIPS行为沙箱中的监控程序监控该待检测文件,获取该待检测文件的执行流程、函数调用、网络连接、进程调用等信息,并根据上述信息生成动态行为序列信息。
其中MIPS行为沙箱包括两种模式:用户模式和全模式,用户模式是利用QEMU实现在X86平台下模拟执行MIPS指令集,性能较好。其中QEMU是一套由法布里斯贝拉(FabriceBellard)所编写的以GPL许可证分发源码的模拟处理器。在QEMU的虚拟环境里部署有行为网络等网络工具,行为网络工具比如包括strace、tcpdump以及MIPS虚拟机监控点等。全模式是利用QEMU系统模式完全模拟MIPS系统,性能相对较差。其中,该预设行为检测模块包括第一预设检测模式和第二预设检测模式。第一预设检测模式比如为用户模式,第二预设检测模式比如为全模式。
在一实施例中,为了进一步提高检测的准确性,该将该脱壳处理后的待检测文件输入预设行为检测模块中运行的步骤包括:
(1)、在该第一预设检测模式下运行该脱壳处理后的待检测文件;
(2)、若出现异常时,在第二预设检测模式下运行该脱壳处理后的待检测文件;
例如,在用户模式下运行该解压后的待检测文件,并监控该解压后的待检测文件的行为,如果出现异常,比如出现崩溃时,则在全模式下运行该解压后的待检测文件,并监控该待检测文件的行为。
S205、根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
其中,预设木马规则库可包括静态规则、动态规则以及X86流行木马规则中的至少一种;静态规则可包括Yara规则。
X86流行木马规则也即X86平台流行恶意软件行为序列库,是通过在X86的平台沙箱中获取流行的恶意软件类别的行为序列库,具体是通过对流行的x86平台下的Linux恶意软件的行为进行学习,生成流行序列库。由于同一家族恶意软件代码通过交叉编译生成X86平台文件和MIPS平台文件,两种文件虽然属于不同的平台,但是同源,因此其恶意行为也一致。因而,X86平台流行恶意软件行为序列库同样可以应用到检测MIPS平台的恶意文件中。
YARA规则一种恶意文件识别规则,属于静态规则,主要基于文件的静态信息进行检测,该静态信息如字符串、函数名、符号等。
恶意文件包括恶意软件,是指在计算机系统上执行恶意任务的病毒、蠕虫以及特洛伊木马中的至少一种的程序。
在一实施例中,当该静态信息和/或该动态行为序列信息与该预设木马规则库中的一个木马规则的特征信息匹配时,确定该待检测文件为恶意文件;
当该静态信息和/或该动态行为序列信息与该预设木马规则库中的任意一个木马规则的特征信息均不匹配时,确定该待检测文件不是恶意文件。
比如当该静态信息与YARA规则的特征信息匹配时,则确定该待检测文件为恶意文件。
在一实施例中,上述方法还可包括:
S206、生成该待检测文件的标识信息;
例如,当该待检测文件为恶意文件时,生成一标识信息,该标识信息用于表征该待检测文件为恶意文件。
S207、将该标识信息和该恶意文件建立关联后存储。
例如,将该标识信息与恶意文件建立关联后存储在服务器中,以便后续该待检测文件再次出现时,直接根据该标识信息便可确定该待检测文件为恶意文件,提高了处理效率。
由上可知,本发明实施例当判定待检测文件为设定平台文件时,且该待检测文件为加壳文件时,获取该加壳文件对应的加壳规则;当该加壳规则与该预设规则一致时,则采用与该预设规则对应的脱壳规则对该待检测文件进行脱壳处理;对脱壳处理后的待检测文件进行静态分析,以提取该待检测文件的静态信息;以及将脱壳处理后的待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件;由于可以对加壳文件进行恶意识别,因此提高了恶意文件的查全率,避免出现漏检的情况,进一步提高了检测的准确性,此外还提高了系统的安全性。
根据前面实施例所描述的方法,以下将以设定文件为MIPS平台文件为例,作进一步详细说明。
参考图4,本发明实施例的恶意文件的处理方法的具体流程如下:
S301、当判定待检测文件为MIPS平台文件时,判断该待检测文件是否为加壳文件;
在本实施例中,比如服务器可以通过情报收集或者通过预先建立的蜜罐网络诱捕收集可疑的样本文件,得到待检测文件;之后当确定该待检测文件的文件头信息为Linux平台下ELF文件的文件头时,按照ELF格式对该待检测文件进行解析,当解析后的待检测文件的格式信息与ELF格式相同时,则确定该待检测文件为MIPS平台文件。
服务器预先存储有多种类型的加壳文件的字符串、节名以及入口点特征,也即预设属性。当该待检测文件的字符串、节名以及入口点特征与预设属性时,则确定该待检测文件为加壳文件;当该属性信息与该预设属性不一致时,获取该待检测文件的信息熵;当该信息熵大于预设阈值时,确定该待检测文件为加壳文件,否则确定该待检测文件为非加壳文件。预设阈值可以根据经验值设定。其中加壳文件是利用特定的算法对文件进行了压缩。这种特定的算法也即加壳规则。
当该待检测文件不是加壳文件时,执行步骤S306,当该待检测文件为加壳文件时,执行步骤S302。
S302、当该待检测文件为加壳文件时,获取该加壳文件对应的加壳规则,并判断该加壳规则是否与该预设规则一致;
例如,每种加壳文件对应一种加壳规则。加壳规则可包括Aspack、Pecompact以及UPX中的至少一种。当该待检测文件为加壳文件时,获取该加壳文件对应的加壳规则,并判断该加壳规则是否与Aspack、Pecompact以及UPX中的一种一致;
当该加壳规则与该预设规则一致时,执行步骤S303;否则,执行步骤S306。
S303、当该加壳规则与该预设规则一致时,则采用与该预设规则对应的脱壳规则对该待检测文件进行脱壳处理;
例如,当该待检测文件的加壳规则与UPX一致时,采用UPX对应的脱壳规则对该待检测文件进行解压。其余加壳文件与此类似。
S304、对脱壳处理后的待检测文件进行静态分析,以提取该待检测文件的静态信息;
例如,采用静态分析工具对解压后的待检测文件进行分析,从而获取该待检测文件的字符串、函数名、符号表以及设定格式信息中的至少一种。
S305、将该脱壳处理后的待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
例如,将该解压后的待检测文件输入MIPS行为沙箱中运行,其中MIPS行为沙箱包括两种模式:用户模式和全模式,用户模式是利用QEMU实现在X86平台下模拟执行MIPS指令集,性能较好。其中QEMU是一套由法布里斯贝拉(Fabrice Bellard)所编写的以GPL许可证分发源码的模拟处理器。在QEMU的虚拟环境里部署有行为网络等网络工具,行为网络工具比如包括strace、tcpdump以及MIPS虚拟机监控点(MIPS行为沙箱)。全模式是利用QEMU系统模式完全模拟MIPS系统,性能相对较差。
比如,在用户模式下运行该解压后的待检测文件,并监控该解压后的待检测文件的行为,得到动态行为序列信息;若出现异常时,在全模式下运行该待检测文件,并监控该解压后的待检测文件的行为,得到动态行为序列信息。步骤S304和步骤S305执行过程中不分先后。
S306、当该加壳规则与该预设规则不一致或者该待检测文件不是加壳文件时,对该待检测文件进行静态分析,以提取该待检测文件的静态信息;
例如,当检测出待检测文件未加壳或者检测出未知壳时,直接采用静态分析工具对该待检测文件进行分析,从而获取该待检测文件的字符串、函数名、符号表以及设定格式信息中的至少一种。
其中未知壳为不属于Aspack、Pecompact以及UPX中的加壳规则,或者说无法识别的加壳规则。
S307、将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
例如,当该加壳规则与该预设规则不一致或者该待检测文件不是加壳文件时,将该待检测文件输入MIPS行为沙箱中运行,其中MIPS行为沙箱包括两种模式:用户模式和全模式,用户模式是利用QEMU实现在X86平台下模拟执行MIPS指令集,性能较好。其中QEMU是一套由法布里斯贝拉(Fabrice Bellard)所编写的以GPL许可证分发源码的模拟处理器。在QEMU的虚拟环境里部署有行为网络等网络工具,行为网络工具比如包括strace或者tcpdump等。全模式是利用QEMU系统模式完全模拟MIPS系统,性能相对较差。
比如,在用户模式下运行该待检测文件,并监控该待检测文件的行为,得到动态行为序列信息;若出现异常时,在全模式下运行该待检测文件,并监控该待检测文件的行为,得到动态行为序列信息。步骤S306和步骤S307执行过程中不分先后。
S308、根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
其中,预设木马规则库可包括静态规则、动态规则以及X86流行木马规则中的至少一种,其中静态规则包括Yara规则。
比如,结合静态信息、动态行为序列信息、X86流行木马规则以及Yara规则对该待检测文件进行综合判断,以确定该待检测文件是否为恶意文件。
比如当该待检测文件的静态信息命中静态规则,则判定该待检测文件为恶意文件,属性为黑;
该待检测文件的动态行为序列信息命中动态规则:则判定该待检测文件为恶意文件,属性为黑;
该待检测文件的动态行为序列信息和静态信息其中之一命中X86流行规则,则判定该待检测文件为恶意文件,属性为黑;
当该待检测文件的静态信息和动态行为序列信息均未命中上述规则,则判定该待检测文件为非恶意文件,属性为灰;
当该待检测文件的静态信息和动态行为序列信息命中白文件规则,则判定该待检测文件为非恶意文件,属性为白。
当判定该待检测文件为恶意文件时,根据该静态信息自动生成检测特征,并将该加入到杀毒引擎,在病毒库中查找与该检测特征对应的查杀工具,使用对应的查杀工具对该恶意文件进行病毒查杀。
当然,还可以根据上述待检测文件的属性(黑、白、灰)生成标识信息,该标识信息比如为hash值,然后将标识信息与待检测文件关联后,存储到服务器中。当其他终端出现该待检测文件,可通过查询方便地获取该待检测文件的属性,提高了处理效率,进而进一步提高了安全性。
由上可知,本发明实施例当判定待检测文件为MIPS平台文件时,判断该待检测文件是否为加壳文件,当该待检测文件为加壳文件时,获取该加壳文件对应的加壳规则;当该加壳规则与该预设规则一致时,则采用与该预设规则对应的脱壳规则对该待检测文件进行脱壳处理;对脱壳处理后的待检测文件进行静态分析;将脱壳处理后的待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;当该加壳规则与该预设规则不一致或者该待检测文件未加壳时,对该待检测文件进行静态分析,以提取该待检测文件的静态信息;并将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测以确定该待检测文件为恶意文件;由于可以同时对加壳和未加壳的MIPS平台文件进行恶意识别,因此提高了恶意文件的查全率,避免出现漏检的情况,进一步提高了检测的准确性以及系统的安全性。
在一具体实施例中,如图5所示,本发明实施例的恶意文件的处理方法的具体流程如下:
当判定待检测文件为MIPS平台文件时,脱壳解压模块21先对该待检测文件进行壳识别211,以判断该待检测文件是否加壳,如果确定加壳,则对其进行压缩格式检测212,以判断压缩格式是否为Aspack、Pecompact、UPX中一种。当检测到压缩格式为UPX时,使用UPX对应的解压方式对该待检测文件进行解压213,并将该解压后的文件分别输入静态分析模块22和动态分析沙箱23。
如果确定未加壳或者检测到未知壳,则直接将该待检测文件输入给静态分析模块22和动态分析沙箱23。
静态分析模块22可采用静态检测工具对上述解压文件或者待检测文件进行静态分析,从而获取该待检测文件的静态信息221,静态信息221包括字符串、函数名、符号表以及ELF结构信息中的至少一种。静态分析模块22中还设置有静态规则库222,该静态规则库222中设置有多种静态规则,比如包括公开情报规则、人工经验规则以及自动提取规则等。
动态分析沙箱23对上述解压文件或者待检测文件进行动态行为监控231,比如可以采用MIPS虚拟机监控点对动态行为监控,并运行上述文件,得到动态行为序列232。动态行为序列232是根据该待检测文件的执行流程、网络连接、函数调用以及进程调用等信息生成的。动态分析沙箱23中还设置有动态鉴定规则233。动态鉴定规则233比如包括人工经验规则。
其中X86行为规则库24也即X86平台流行恶意软件行为序列库,是通过在X86的平台沙箱中获取流行的恶意软件类别的行为序列库,具体是通过对流行的x86平台下的Linux恶意软件的行为进行学习,生成流行序列库。由于同一家族恶意软件代码通过交叉编译生成X86平台文件和MIPS平台文件,两种文件虽然属于不同的平台,但是同源,因此其恶意行为也一致。因而,X86平台流行恶意软件行为序列库同样可以应用到检测MIPS平台的恶意文件中。
将上述静态信息221、动态行为序列232、以及静态规则库222、动态鉴定规则233、X86行为规则库24输入汇总检测单元25中,以确认上述待检测文件是否为恶意文件。
比如当该待检测文件的静态信息命中静态规则库,则判定该待检测文件为恶意文件,属性为黑;该待检测文件的动态行为序列命中动态鉴定规则,则判定该待检测文件为恶意文件,属性为黑;该待检测文件的动态行为序列和静态信息其中之一命中X86流行规则库,则判定该待检测文件为恶意文件,属性为黑;当该待检测文件的静态信息和动态行为序列均未命中上述规则,则判定该待检测文件为非恶意文件,属性为灰;当该待检测文件的静态信息和动态行为序列命中白文件规则,则判定该待检测文件为非恶意文件,属性为白。
为了更好地实施以上方法,本申请实施例还提供了一种恶意文件的处理装置,该恶意文件的处理装置具体可以集成在电子设备中,该电子设备可以为终端、服务器、个人电脑等设备。比如,在本实施例中,将以恶意文件的处理装置集成在服务器中为例,对本发明实施例的方法进行详细说明。
例如,如图6所示,该恶意文件的处理装置可以包括静态信息获取模块31、动态信息获取模块32以及恶意文件确定模块33如下:
(一)静态信息获取模块31,用于当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,并提取该待检测文件的静态信息。
在一实施方式中,如图7所示,当该待检测文件为加壳文件时,该恶意文件的处理装置还包括规则获取模块34和脱壳处理模块35。
规则获取模块34,用于获取该加壳文件对应的加壳规则。
脱壳处理模块35,用于当该加壳规则与该预设规则一致时,则采用与该预设规则对应的脱壳规则对该待检测文件进行脱壳处理。
该静态信息获取模块31,还用于对脱壳处理后的待检测文件进行静态分析;当该加壳规则与该预设规则不一致时,执行该对该待检测文件进行静态分析的步骤。
在一实施方式中,该静态信息获取模块31还包括:加壳确定单元311。
加壳确定单元311,用于当该待检测文件的属性信息与预设属性一致时,则确定该待检测文件为加壳文件;以及当该属性信息与该预设属性不一致时,获取该待检测文件的信息熵;当该信息熵大于预设阈值时,确定该待检测文件为加壳文件。
在一实施方式中,该静态信息获取模块31还包括:解析单元312和格式判定单元313。
解析单元312,用于当该待检测文件的文件头信息与该预设文件头一致时,按照预设格式对该待检测文件进行解析,并获取该待检测文件的格式信息;
格式判定单元313,用于当解析单元的获取的格式信息与预设格式相同时,则判定该待检测文件为设定平台文件。
其中,该静态信息可包括字符串、函数名、符号表以及设定格式信息中的至少一种。
(二)动态信息获取模块32用于将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息。
在一实施方式中,动态信息获取模块32还可用于将脱壳处理后的待检测文件输入预设行为检测模块中运行。
在一实施方式中,该预设行为检测模块包括第一预设检测模式和第二预设检测模式;该动态信息获取模块32,具体用于:在该第一预设检测模式下运行该待检测文件;若出现异常时,在第二预设检测模式下运行该待检测文件。
(三)恶意文件确定模块33,用于根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
恶意文件确定模块33,具体用于当该静态信息和/或该动态行为序列信息与该预设木马规则库中的一个木马规则的特征信息匹配时,确定该待检测文件为恶意文件;以及当该静态信息和/或该动态行为序列信息与该预设木马规则库中的任意一个木马规则的特征信息均不匹配时,确定该待检测文件不是恶意文件。
在另一实施例中,如图8所示,该装置还可包括:信息生成模块36和存储模块37。
信息生成模块36,用于生成该待检测文件的标识信息;
存储模块37,用于将该标识信息和该恶意文件建立关联后存储。
具体实施时,以上各个单元可以作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
由上可知,本发明实施例的恶意文件的处理装置当判定待检测文件为设定平台文件时,由静态信息获取模块对该待检测文件进行静态分析,并提取该待检测文件的静态信息;由动态信息获取模块将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;之后由恶意文件确定模块根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。由于可以对设定平台文件进行恶意文件的识别,因此提高了扩展性;此外由于结合静态信息和动态行为序列信息进行恶意文件的识别,因此还提高了检测的准确性。
本申请实施例还提供一种电子设备,如图9所示,其示出了本申请实施例所涉及的电子设备的结构示意图,具体来讲:
该电子设备可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、电源403和输入模块404等部件。本领域技术人员可以理解,图9中示出的电子设备结构并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
处理器401是该电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
电子设备还包括给各个部件供电的电源403,优选的,电源403可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源403还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
该电子设备还可包括输入模块404,该输入模块404可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。
尽管未示出,电子设备还可以包括显示单元等,在此不再赘述。具体在本实施例中,电子设备中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,并提取该待检测文件的静态信息;
将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测以确定该待检测文件为恶意文件。
以上各个操作的具体实施可参见前面的实施例,在此不作赘述。
由上可知,本实施例的电子设备当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,并提取该待检测文件的静态信息;将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;根据该静态信息、动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测以确定该待检测文件为恶意文件;由于可以对设定平台文件进行恶意文件的识别,因此提高了扩展性;此外由于结合静态信息和动态行为序列信息进行恶意文件的识别,因此还提高了检测的准确性。
本领域普通技术人员可以理解,上述实施例的各种方法中的全部或部分步骤可以通过指令来完成,或通过指令控制相关的硬件来完成,该指令可以存储于计算机可读存储介质中,并由处理器进行加载和执行。
为此,本申请实施例提供一种计算机可读存储介质,其中存储有多条指令,该指令能够被处理器进行加载,以执行本申请实施例所提供的任一种恶意文件的处理方法中的步骤。例如,该指令可以执行如下步骤:
当判定待检测文件为设定平台文件时,对该待检测文件进行静态分析,并提取该待检测文件的静态信息;
将该待检测文件输入预设行为检测模块中运行,并监控该待检测文件的行为,得到动态行为序列信息;
根据该静态信息、该动态行为序列信息以及预设木马规则库对该待检测文件进行综合检测,以确定该待检测文件为恶意文件。
其中,该存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
由于该存储介质中所存储的指令,可以执行本申请实施例所提供的任一种恶意文件的处理方法中的步骤,因此,可以实现本申请实施例所提供的任一种恶意文件的处理方法所能实现的有益效果,详见前面的实施例,在此不再赘述。
以上对本申请实施例所提供的一种恶意文件的处理方法、装置、电子设备以及存储介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上,本说明书内容不应理解为对本申请的限制。
Claims (11)
1.一种恶意文件的处理方法,其特征在于,包括:
当判定待检测文件为设定平台文件时,对所述待检测文件进行静态分析,并提取所述待检测文件的静态信息;
将所述待检测文件输入预设行为检测模块中运行,并监控所述待检测文件的行为,得到动态行为序列信息;
根据所述静态信息、所述动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件。
2.根据权利要求1所述的恶意文件的处理方法,其特征在于,当所述待检测文件为加壳文件时,在所述对所述待检测文件进行静态分析的步骤之前,所述方法还包括:
获取所述加壳文件对应的加壳规则;
当所述加壳规则与所述预设规则一致时,则采用与所述预设规则对应的脱壳规则对所述待检测文件进行脱壳处理;
所述对所述待检测文件进行静态分析的步骤包括:对脱壳处理后的待检测文件进行静态分析;
所述将所述待检测文件输入预设行为检测模块中运行的步骤包括:将脱壳处理后的待检测文件输入预设行为检测模块中运行;
当所述加壳规则与所述预设规则不一致时,执行所述对所述待检测文件进行静态分析的步骤。
3.根据权利要求2所述的恶意文件的处理方法,其特征在于,
当所述待检测文件的属性信息与预设属性一致时,则确定所述待检测文件为加壳文件;
当所述属性信息与所述预设属性不一致时,获取所述待检测文件的信息熵;
当所述信息熵大于预设阈值时,确定所述待检测文件为加壳文件。
4.根据权利要求1所述的恶意文件的处理方法,其特征在于,所述判定所述待检测文件为设定平台文件的步骤包括:
当所述待检测文件的文件头信息与所述预设文件头一致时,按照预设格式对所述待检测文件进行解析,并获取所述待检测文件的格式信息;
当所述格式信息与预设格式相同时,则判定所述待检测文件为设定平台文件。
5.根据权利要求1所述的恶意文件的处理方法,其特征在于,所述预设行为检测模块包括第一预设检测模式和第二预设检测模式;
所述将所述待检测文件输入预设行为检测模块中运行的步骤包括:
在所述第一预设检测模式下运行所述待检测文件;
若出现异常时,在所述第二预设检测模式下运行所述待检测文件。
6.根据权利要求1所述的恶意文件的处理方法,其特征在于,
当所述静态信息和/或所述动态行为序列信息与所述预设木马规则库中的一个木马规则的特征信息匹配时,确定所述待检测文件为恶意文件;
当所述静态信息和/或所述动态行为序列信息与所述预设木马规则库中的任意一个木马规则的特征信息均不匹配时,确定所述待检测文件不是恶意文件。
7.根据权利要求1所述的恶意文件的处理方法,其特征在于,
所述静态信息包括字符串、函数名、符号表以及设定格式信息中的至少一种。
8.根据权利要求1所述的恶意文件的处理方法,其特征在于,在所述根据所述静态信息、所述动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件的步骤之后,所述方法还包括:
生成所述待检测文件的标识信息;
将所述标识信息和所述恶意文件建立关联后存储。
9.一种恶意文件的处理装置,其特征在于,包括:
静态信息获取模块,用于当判定待检测文件为设定平台文件时,对所述待检测文件进行静态分析,并提取所述待检测文件的静态信息;
动态信息获取模块,用于将所述待检测文件输入预设行为检测模块中运行,并监控所述待检测文件的行为,得到动态行为序列信息;
恶意文件确定模块,用于根据所述静态信息、所述动态行为序列信息以及预设木马规则库对所述待检测文件进行综合检测,以确定所述待检测文件为恶意文件。
10.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器用于存储程序代码,所述电子设备运行时,所述处理器用于执行所述程序代码,以执行权利要求1至8中任意一项所述的恶意文件的处理方法。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有多条指令,所述指令适于处理器进行加载,以执行权利要求1~8任一项所述的恶意文件的处理方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911024798.2A CN110826064A (zh) | 2019-10-25 | 2019-10-25 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911024798.2A CN110826064A (zh) | 2019-10-25 | 2019-10-25 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110826064A true CN110826064A (zh) | 2020-02-21 |
Family
ID=69550595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911024798.2A Pending CN110826064A (zh) | 2019-10-25 | 2019-10-25 | 一种恶意文件的处理方法、装置、电子设备以及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110826064A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444144A (zh) * | 2020-03-04 | 2020-07-24 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
CN111460447A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 恶意文件检测方法、装置、电子设备与存储介质 |
CN111753298A (zh) * | 2020-06-04 | 2020-10-09 | 珠海豹趣科技有限公司 | 文件异常识别方法、装置、设备和计算机可读存储介质 |
CN112560018A (zh) * | 2020-12-23 | 2021-03-26 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
CN112580048A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 恶意文件静态判别方法、装置、设备及存储介质 |
CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
CN113282965A (zh) * | 2021-05-20 | 2021-08-20 | 苏州棱镜七彩信息科技有限公司 | 开源许可证和版权信息篡改的检测方法及系统 |
CN113378162A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 可执行和可链接格式文件的检验方法、装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106855926A (zh) * | 2015-12-08 | 2017-06-16 | 武汉安天信息技术有限责任公司 | 安卓系统下的恶意代码检测方法、系统及一种移动终端 |
CN109299609A (zh) * | 2018-08-08 | 2019-02-01 | 北京奇虎科技有限公司 | 一种elf文件检测方法及装置 |
CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
CN110224975A (zh) * | 2019-04-26 | 2019-09-10 | 北京奇安信科技有限公司 | Apt信息的确定方法及装置、存储介质、电子装置 |
-
2019
- 2019-10-25 CN CN201911024798.2A patent/CN110826064A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106855926A (zh) * | 2015-12-08 | 2017-06-16 | 武汉安天信息技术有限责任公司 | 安卓系统下的恶意代码检测方法、系统及一种移动终端 |
CN109299609A (zh) * | 2018-08-08 | 2019-02-01 | 北京奇虎科技有限公司 | 一种elf文件检测方法及装置 |
CN109800574A (zh) * | 2018-12-12 | 2019-05-24 | 中国人民公安大学 | 基于密码算法分析的计算机病毒检测方法及系统 |
CN110224975A (zh) * | 2019-04-26 | 2019-09-10 | 北京奇安信科技有限公司 | Apt信息的确定方法及装置、存储介质、电子装置 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113378162A (zh) * | 2020-02-25 | 2021-09-10 | 深信服科技股份有限公司 | 可执行和可链接格式文件的检验方法、装置及存储介质 |
CN113378162B (zh) * | 2020-02-25 | 2023-11-07 | 深信服科技股份有限公司 | 可执行和可链接格式文件的检验方法、装置及存储介质 |
CN111444144A (zh) * | 2020-03-04 | 2020-07-24 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111444144B (zh) * | 2020-03-04 | 2023-07-25 | 奇安信科技集团股份有限公司 | 文件特征提取方法及装置 |
CN111460447A (zh) * | 2020-03-06 | 2020-07-28 | 奇安信科技集团股份有限公司 | 恶意文件检测方法、装置、电子设备与存储介质 |
CN111460447B (zh) * | 2020-03-06 | 2023-08-04 | 奇安信科技集团股份有限公司 | 恶意文件检测方法、装置、电子设备与存储介质 |
CN111447215A (zh) * | 2020-03-25 | 2020-07-24 | 深信服科技股份有限公司 | 数据检测方法、装置和存储介质 |
CN111753298A (zh) * | 2020-06-04 | 2020-10-09 | 珠海豹趣科技有限公司 | 文件异常识别方法、装置、设备和计算机可读存储介质 |
CN112580048A (zh) * | 2020-12-23 | 2021-03-30 | 苏州三六零智能安全科技有限公司 | 恶意文件静态判别方法、装置、设备及存储介质 |
CN112560018B (zh) * | 2020-12-23 | 2023-10-31 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
CN112560018A (zh) * | 2020-12-23 | 2021-03-26 | 苏州三六零智能安全科技有限公司 | 样本文件检测方法、装置、终端设备以及存储介质 |
CN112560020A (zh) * | 2021-02-19 | 2021-03-26 | 鹏城实验室 | 威胁攻击检测方法、装置、终端设备以及存储介质 |
CN112887328A (zh) * | 2021-02-24 | 2021-06-01 | 深信服科技股份有限公司 | 一种样本检测方法、装置、设备及计算机可读存储介质 |
CN113032785A (zh) * | 2021-03-26 | 2021-06-25 | 深信服科技股份有限公司 | 一种文档检测方法、装置、设备及存储介质 |
CN113282965A (zh) * | 2021-05-20 | 2021-08-20 | 苏州棱镜七彩信息科技有限公司 | 开源许可证和版权信息篡改的检测方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110826064A (zh) | 一种恶意文件的处理方法、装置、电子设备以及存储介质 | |
Sun et al. | Monet: a user-oriented behavior-based malware variants detection system for android | |
US20190132355A1 (en) | Malicious script detection | |
CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
EP3899770B1 (en) | System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats | |
CN106709325B (zh) | 一种监控程序的方法及装置 | |
CN106709346B (zh) | 文件处理方法及装置 | |
Huang et al. | Ontology-based intelligent system for malware behavioral analysis | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
CN106529294B (zh) | 一种用于手机病毒判定与过滤的方法 | |
JP2019079492A (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
CN201477598U (zh) | 终端木马监测装置 | |
CN103793649A (zh) | 通过云安全扫描文件的方法和装置 | |
CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
CN116303290A (zh) | 一种office文档检测方法及装置、设备及介质 | |
CN112688966A (zh) | webshell检测方法、装置、介质和设备 | |
CN110210216B (zh) | 一种病毒检测的方法以及相关装置 | |
CN116305129B (zh) | 一种基于vsto的文档检测方法及装置、设备及介质 | |
CN115630373B (zh) | 一种云服务安全分析方法、监控设备及分析系统 | |
CN113378161A (zh) | 一种安全检测方法、装置、设备及存储介质 | |
CN109657469B (zh) | 一种脚本检测方法及装置 | |
WO2020232685A1 (zh) | 一种恶意快应用的检测方法及终端 | |
CN112182569A (zh) | 一种文件识别方法、装置、设备及存储介质 | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |