CN112528280A - 一种文件检测方法及装置 - Google Patents

一种文件检测方法及装置 Download PDF

Info

Publication number
CN112528280A
CN112528280A CN202110175796.4A CN202110175796A CN112528280A CN 112528280 A CN112528280 A CN 112528280A CN 202110175796 A CN202110175796 A CN 202110175796A CN 112528280 A CN112528280 A CN 112528280A
Authority
CN
China
Prior art keywords
file
detected
simulation
interaction
malicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110175796.4A
Other languages
English (en)
Inventor
曹剑锐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing ThreatBook Technology Co Ltd
Original Assignee
Beijing ThreatBook Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing ThreatBook Technology Co Ltd filed Critical Beijing ThreatBook Technology Co Ltd
Priority to CN202110175796.4A priority Critical patent/CN112528280A/zh
Publication of CN112528280A publication Critical patent/CN112528280A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了一种文件检测方法及装置,所述方法包括:响应于待检测文件的加载,基于获取的可交互内容提取特征;根据提取的特征,获取所述待检测文件对应的模拟交互指令;根据模拟交互指令对所述待检测文件进行模拟交互;在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。采用本申请所提供的方案,可以基于文件动态行为判断所述待检测文件是否为恶意文件,提升了判定结果的准确度,且通过模拟交互来获取文件动态行为,无需在用户使用过程中获取文件动态行为,提升了安全性。

Description

一种文件检测方法及装置
技术领域
本申请涉及网络安全领域,特别涉及一种文件检测方法及装置。
背景技术
随着互联网的发展,网络中的文件(如软件安装包、数据压缩包、软件等)日益增加,用户对于免杀恶意文件勒索、钓鱼、种植木马后门、恶意推广防不胜防。这也就需要对文件动态行为进行全面的监控和收集,从面判定文件恶意与非恶意。
现有技术中,判定文件恶意与非恶意是通过沙箱系统,具体的,在获取到文件之后,收集文件的各类属性,通过文件的各类属性判定文件恶意与否,但是通常情况下,判断文件恶意与否的重要指标是文件动态行为,文件动态行为需要在文件的运行过程中收集,现有技术只能收集到文件的静态属性,对于文件动态行为则需要在用户使用文件的过程中收集,但是在用户文件过程中收集文件动态行为需要用户实际使用该文件,安全性较差,而如果仅使用静态属性判定文件恶意与否,素材不全面,影响判定结果,因此,亟需提供一种检测方案,以提升安全性和判定结果的准确度。
发明内容
本申请实施例的目的在于提供一种文件检测方法及装置,以提升安全性和判定结果的准确度。
为了解决上述技术问题,本申请的实施例采用了如下技术方案:一种文件检测方法,包括:
响应于待检测文件的加载,基于获取的可交互内容提取特征;
根据提取的特征,获取所述待检测文件对应的模拟交互指令;
根据模拟交互指令对所述待检测文件进行模拟交互;
在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
本申请的有益效果在于:对待检测文件恶意与否的判定过程中,获取待检测文件对应的模拟交互指令,根据模拟交互指令对所述待检测文件进行模拟交互;在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,从而可以基于模拟交互获得文件动态行为,从而可以基于文件动态行为判断所述待检测文件是否为恶意文件,提升了判定结果的准确度,且本申请通过模拟交互,来获取文件动态行为,无需在用户使用过程中获取文件动态行为,提升了安全性。
在一个实施例中,所述加载,包括:
确定待检测文件的文件类型;
根据所述文件类型加载所述待检测文件;
获取可交互内容,包括:
在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
在一个实施例中,获取所述待检测文件的界面截图,包括:
通过系统应用程序接口获取窗口属性信息;
根据窗口属性信息获取所述待检测文件的界面截图。
在一个实施例中,所述获取所述待检测文件对应的模拟交互指令,包括:
对所述待检测文件的界面截图进行所述提取特征;
将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。
在一个实施例中,所述在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,包括:
在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;
获取所述待检测文件模拟交互过程中所生成的目标数据;
根据所述目标数据判断所述待检测文件是否为恶意文件。
在一个实施例中,还包括:
在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;
在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。
在一个实施例中,还包括:
在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。
本申请还提供一种文件检测装置,包括:
提取模块,用于响应于待检测文件的加载,基于获取的可交互内容提取特征;
获取模块,用于根据提取的特征,获取所述待检测文件对应的模拟交互指令;
执行模块,用于根据模拟交互指令对所述待检测文件进行模拟交互;
判断模块,用于在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
在一个实施例中,所述提取模块,进一步配置为:用于在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
在一个实施例中,所述提取模块,进一步配置为:
用于通过系统应用程序接口获取窗口属性信息;
用于根据窗口属性信息获取所述待检测文件的界面截图。
在一个实施例中,所述获取模块,包括:
提取子模块,用于对所述待检测文件的界面截图进行所述提取特征;
确定子模块,用于将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。
在一个实施例中,判断模块,包括:
模拟子模块,用于在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;
获取子模块,用于获取所述待检测文件模拟交互过程中所生成的目标数据;
判断子模块,用于根据所述目标数据判断所述待检测文件是否为恶意文件。
在一个实施例中,所述装置进一步被配置为:
在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;
在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。
在一个实施例中,所述装置进一步被配置为:
在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。
附图说明
图1为本申请一实施例中一种文件检测方法的流程图;
图2为本申请另一实施例中一种文件检测方法的流程图;
图3为本申请一实施例中一种文件检测装置的框图。
具体实施方式
此处参考附图描述本申请的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本申请的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本申请的实施例,并且与上面给出的对本申请的大致描述以及下面给出的对实施例的详细描述一起用于解释本申请的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本申请的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本申请进行了描述,但本领域技术人员能够确定地实现本申请的很多其它等效形式。
当结合附图时,鉴于以下详细说明,本申请的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本申请的具体实施例;然而,应当理解,所申请的实施例仅仅是本申请的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本申请模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本申请。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本申请的相同或不同实施例中的一个或多个。
图1为本申请实施例的一种文件检测方法的流程图,该方法包括以下步骤S11-S14:
在步骤S11中,响应于待检测文件的加载,基于获取的可交互内容提取特征;
在步骤S12中,根据提取的特征,获取待检测文件对应的模拟交互指令;
在步骤S13中,根据模拟交互指令对待检测文件进行模拟交互;
在步骤S14中,在待检测文件进行模拟交互的过程中,判断待检测文件是否为恶意文件。
本实施例中,响应于待检测文件的加载,基于获取的可交互内容提取特征;其中,对待检测文件的加载包括确定待检测文件的文件类型;根据文件类型加载待检测文件。
举例而言,待检测文件为数据压缩包,那么,根据文件类型加载待检测文件可以是指对数据压缩包的解压缩操作。又例如,待检测文件为软件,那么,根据文件类型加载待检测文件可以是指对软件的启动以及显示软件对应的界面。
可交互内容可以是指待检测文件的界面截图,即该步骤中,在待检测文件加载完成后,获取待检测文件的界面截图。
在获取待检测文件的界面截图时,通过系统应用程序接口获取窗口属性信息;根据窗口属性信息获取待检测文件的界面截图。举例而言,系统API(ApplicationProgramming Interface,应用程序接口)提取窗口属性信息,该窗口属性信息可以是指软件界面的窗口尺寸,窗口坐标等。可以基于窗口尺寸获取界面的截图,从而使截取的图中恰好只包含软件界面,而不包含其他多余的信息,从而在对截图进行特征提取时,能够有效降低误提取的情况出现。
在获取待检测文件的界面截图之后,对待检测文件的界面截图提取特征。
现有的沙箱系统中,当软件交互界面中出现异形窗口和图片对象时,无法解析,从而不能进行正确的交互操作,触发软件行为不全,影响后续判定;对于模拟操作的方法也存在不足,设置光标位置不符合人类行为的连贯性和移动速度的随机性,按键精灵可以解决这类问题但是存在定制化操作,不记录软件行为,更新不能判定文件恶意与否,不适用不同软件大规模、高效的软件分析场景。针对这些问题,在本申请中,为了解决上述技术问题,本申请中,通过上述系统API获取窗口属性信息,进而通过窗口属性信息截图,也能够对任意形状的窗口进行截图,进而对截图进行特征提取操作,即便软件交互界面中出现异形窗口和图片对象,由于可以预先通过API获得窗口属性信息,而窗口属性信息通常可以包括窗口形状和图片对象形状,因此,可以基于窗口和图片形状进行截图,在在获取待检测文件的界面截图之后,对待检测文件的界面截图提取特征,有效克服现有沙箱系统中的上述问题。
具体的,提取的特征可以是指软件界面中控件所处的坐标、控件大小、控件标题、类名称等。
现有技术中对软件自动化分析判定常见的仿真环境是沙箱系统,但是沙箱系统对交互类的恶意软件模拟交互不足,因此,无法得到文件动态行为,基于此,本实施例中,提取到上述软件界面中控件所处的坐标、控件大小、控件标题、类名称等等特征之后,可以根据提取的特征,获取待检测文件对应的模拟交互指令;具体的,对待检测文件的界面截图进行提取特征;将提取的特征与特征库进行匹配以确定待检测文件的模拟交互指令。
举例而言,假设在一截图中提取到一控件标题为“下一步”,此时,将该控件标题与特征库进行匹配,如果特征库中存在与该特征标题相似或相同的特征,那么,获取待检测文件对应的模拟交互指令可以是指生成将光标移动到该控件所处坐标,并对该控件进行点击的模拟交互指令。
根据模拟交互指令对所述待检测文件进行模拟交互;在待检测文件进行模拟交互的过程中,判断待检测文件是否为恶意文件。
具体的,在获取到待检测文件对应的模拟交互指令之后,根据模拟交互指令对待检测文件进行模拟操作;在文件运行过程中,会生成目标数据,该目标数据是收待检测文件运行的影响所产生的数据,例如系统API数据,文件驱动过滤,网络驱动过滤,进程数据、注册表数据、网络数据等。因此,在模拟交互待检测文件的过程中,对系统API,文件驱动过滤,网络驱动过滤,进程、注册表、网络等进行全面监控,以获取待检测文件模拟交互过程中所生成的目标数据;根据目标数据判断待检测文件是否为恶意文件。
需要说明的是,本申请在文件模拟交互的过程中对文件恶意与否进行判断,即边模拟交互边判断,即每一个模拟交互步骤都会对应判定文件是否为恶意文件的操作。
例如,对一安装包进行模拟交互,首先需要加载安装包对应的安装界面,此时界面上存在一“安装”控件,基于该“安装”控件生成一模拟交互指令a,该模拟交互指令a为点击“安装”控件的指令。
在基于该“安装”控件生成一模拟交互指令a之后,模拟交互该指令a对应的步骤,并基于该指令a模拟交互过程中生成的目标数据判定待检测文件是否为恶意文件,假设模拟交互该指令a对应的步骤之后,基于目标数据判定该待检测文件不是恶意文件,则需要判断待检测文件的模拟交互过程是否结束;在待检测文件的模拟交互过程未结束的情况下,继续获取待检测文件对应的模拟交互指令。
由于执行了该指令a对应的步骤,因此,界面发生变化,在新的界面中,存在一“下一步”控件,基于该“下一步”控件生成一模拟交互指令b,该模拟交互指令b为点击“下一步”控件的指令。在基于该“下一步”控件生成一模拟交互指令b之后,模拟交互该指令b对应的步骤,并基于该指令a模拟交互过程中生成的目标数据判定待检测文件是否为恶意文件,假设模拟交互该指令b对应的步骤之后,基于目标数据判定该安装包有捆绑安装其他木马软件的行为,则可以认为该文件为恶意文件。此时,无需继续判断待检测文件的模拟交互过程是否结束,而是直接根据相应的防护策略对待检测文件进行处理。
例如,根据相应的防护策略对待检测文件进行处理可以是指输出该文件为恶意文件的提示信息,以及相应的处理建议;又例如,根据相应的防护策略对待检测文件进行处理可以是指直接删除该恶意文件;再例如,根据相应的防护策略对待检测文件进行处理可以是指对该恶意文件进行隔离操作等。
下面,对于模拟交互指令进行进一步解释:
可以理解的是,交互指令可以是指人与软件通过软件的界面进行交互时由人发出的指令,因此,本申请中的模拟交互指令的执行主体是设备,因此,模拟交互指令是指设备模拟人与软件进行交互时人发出的指令,本质上来讲,人通过软件的界面与软件进行交互是通过外接输入设备(如键盘、鼠标)向操作系统发出如输入字符、光标移动等指令,从而实现与软件界面的交互,那么,模拟交互指令实质上也可以是调用相应的接口(API接口)向操作系统发出指令。
举例而言,假设设备需要模拟人,在指定位置(24,24)处输入输入两个字符a和b。则需要进行以下操作:
(1)窗口中的光标平滑移动轨迹:从当前位置WM_MOUSEMOVE移动至相对左上角度(20,22)处,即假设以左上角坐标为(0、0),那么,(20,22)是沿X轴向右移动20个像素,再向下移动22个像素。然后继续移动,途径(22,22),最后移动至指定位置(24,24);按下WM_KEYDOWN按键A,字符VM_CHAR是a,抬起WM_KEYUP按键A,输入完成(其中,WM_KEYDOWN、VM_CHAR和WM_KEYUP都是键盘消息;其中,WM_KEYDOWN不区分大小写,而VM_CHAR区分大小写,WM_KEYUP为抬起按键的消息),此时,键入字符a的操作完成。键入字符b的方式与键入字符a的方式类似,在此不做赘述。
移动光标位置至(30,24),然后移动光标位置至(32,26)。其中,移动光标位置至(30,24)是由于键入字符,从而使光标向右移动6个像素,而移动光标位置至(32,26)则是由于输入完成后光标移动至其他位置(如“关闭”、“下一步”等按钮对应的位置)。可见,上述模拟交互指令符合人与软件界面交互的真实场景中平滑移动光标、按键运动的逻辑。
上述操作对应的指令序列格式集合的样例如下:
[
{
"WM_MOUSEMOVE":{
"xPos": 20,
"yPos": 20
}
},
{
"WM_MOUSEMOVE":{
"xPos":22,
"yPos":22
}
},
{
"WM_MOUSEMOVE": {
"xPos": 24,
"yPos": 24
}
},
{
"WM_KEYDOWN": {
"nVirtKey": 65,
"cRepeat": 1,
"ScanCode": 30
}
},
{
"VM_CHAR": {
"chCarCode": 97,
"cRepeat": 1,
"ScanCode": 30
}
},
{
"WM_KEYUP": {
"nVirtKey": 97,
"cRepeat": 1,
"ScanCode": 30
}
},
{
"WM_KEYDOWN": {
"nVirtKey": 66,
"cRepeat": 1,
"ScanCode": 48
}
},
{
"VM_CHAR": {
"chCarCode": 98,
"cRepeat": 1,
"ScanCode": 48
}
},
{
"WM_KEYUP": {
"nVirtKey": 66,
"cRepeat": 1,
"ScanCode": 48
}
},
{
"WM_MOUSEMOVE": {
"xPos": 30,
"yPos": 24
}
},
{
"WM_MOUSEMOVE": {
"xPos": 32,
"yPos": 26
}
}
]
本申请的有益效果在于:对待检测文件恶意与否的判定过程中,获取待检测文件对应的模拟交互指令,根据模拟交互指令对所述待检测文件进行模拟交互;在待检测文件进行模拟交互的过程中,判断待检测文件是否为恶意文件,从而可以基于模拟交互获得文件动态行为,从而可以基于文件动态行为判断待检测文件是否为恶意文件,提升了判定结果的准确度,且本申请通过模拟交互,来获取文件动态行为,无需在用户使用过程中获取文件动态行为,提升了安全性。
在一个实施例中,加载,包括以下步骤A1-A2:
在步骤A1中,确定待检测文件的文件类型;
在步骤A2中,根据文件类型加载待检测文件;
获取可交互内容,可被实施为以下步骤:
在待检测文件加载完成后,获取待检测文件的界面截图。
本实施例中,对待检测文件的加载包括确定待检测文件的文件类型;根据文件类型加载待检测文件。
举例而言,待检测文件为数据压缩包,那么,根据文件类型加载待检测文件可以是指对数据压缩包的解压缩操作。又例如,待检测文件为软件,那么,根据文件类型加载待检测文件可以是指对软件的启动以及显示软件对应的界面。
可交互内容可以是指待检测文件的界面截图,即该步骤中,在待检测文件加载完成后,获取待检测文件的界面截图。
在一个实施例中,上述获取待检测文件的界面截图,可被实施为以下步骤B1-B2:
在步骤B1中,通过系统应用程序接口获取窗口属性信息;
在步骤B2中,根据窗口属性信息获取待检测文件的界面截图。
本实施例中,在获取待检测文件的界面截图时,通过系统应用程序接口获取窗口属性信息;根据窗口属性信息获取待检测文件的界面截图。举例而言,系统API(Application Programming Interface,应用程序接口)提取窗口属性信息,该窗口属性信息可以是指软件界面的窗口尺寸,窗口坐标等。可以基于窗口尺寸获取界面的截图,从而使截取的图中恰好只包含软件界面,而不包含其他多余的信息,从而在对截图进行特征提取时,能够有效降低误提取的情况出现。
在一个实施例中,上述步骤S12可被实施为以下步骤C1-C2:
在步骤C1中,对待检测文件的界面截图进行提取特征;
在步骤C2中,将提取的特征与特征库进行匹配以确定待检测文件的模拟交互指令。
在获取待检测文件的界面截图之后,对待检测文件的界面截图提取特征。
具体的,提取的特征可以是指软件界面中控件所处的坐标、控件大小、控件标题、类名称等。
提取到这些特征之后,可以根据提取的特征,获取待检测文件对应的模拟交互指令;具体的,对待检测文件的界面截图进行提取特征;将提取的特征与特征库进行匹配以确定待检测文件的模拟交互指令。
举例而言,假设在一截图中提取到一控件标题为“下一步”,此时,将该控件标题与特征库进行匹配,如果特征库中存在与该特征标题相似或相同的特征,那么,获取待检测文件对应的模拟交互指令可以是指生成将光标移动到该控件所处坐标,并对该控件进行点击的模拟交互指令。
在一个实施例中,如图2所示,在步骤S21中,上述步骤S14可被实施为以下步骤S21-S23:
在步骤S21中,在获取到待检测文件对应的模拟交互指令之后,根据模拟交互指令对待检测文件进行模拟操作;
在步骤S22中,获取待检测文件模拟交互过程中所生成的目标数据;
在步骤S23中,根据目标数据判断待检测文件是否为恶意文件。
在文件运行过程中,会生成目标数据,该目标数据是收待检测文件运行的影响所产生的数据,例如系统API数据,文件驱动过滤,网络驱动过滤,进程数据、注册表数据、网络数据等。因此,在模拟交互待检测文件的过程中,对系统API,文件驱动过滤,网络驱动过滤,进程、注册表、网络等进行全面监控,以获取待检测文件模拟交互过程中所生成的目标数据;根据目标数据判断待检测文件是否为恶意文件。
在一个实施例中,方法还可被实施为以下步骤D1-D2:
在步骤D1中,在根据目标数据判断待检测文件不是恶意文件的情况下,判断待检测文件的模拟交互过程是否结束;
在步骤D2中,在待检测文件的模拟交互过程未结束的情况下,继续获取待检测文件对应的模拟交互指令。
本实施例中,每一个模拟交互步骤都会对应判定文件是否为恶意文件的操作。
例如,对一安装包进行模拟交互,首先需要加载安装包对应的安装界面,此时界面上存在一“安装”控件,基于该“安装”控件生成一模拟交互指令a,该模拟交互指令a为点击“安装”控件的指令。
在基于该“安装”控件生成一模拟交互指令a之后,模拟交互该指令a对应的步骤,并基于该指令a模拟交互过程中生成的目标数据判定待检测文件是否为恶意文件,假设模拟交互该指令a对应的步骤之后,基于目标数据判定该待检测文件不是恶意文件,则需要判断待检测文件的模拟交互过程是否结束;在待检测文件的模拟交互过程未结束的情况下,继续获取待检测文件对应的模拟交互指令。
在一个实施例中,方法还可被实施为以下步骤:
在确定待检测文件为恶意文件的情况下,根据相应的防护策略对待检测文件进行处理。
举例而言,确定一安装包为待检测文件,在模拟交互过程中,确定该待检测文件有捆绑安装其他木马软件的行为,则可以认为该文件为恶意文件。此时,无需继续判断待检测文件的模拟交互过程是否结束,直接根据相应的防护策略对待检测文件进行处理。例如,根据相应的防护策略对待检测文件进行处理可以是指输出该文件为恶意文件的提示信息,以及相应的处理建议;又例如,根据相应的防护策略对待检测文件进行处理可以是指直接删除该恶意文件;再例如,根据相应的防护策略对待检测文件进行处理可以是指对该恶意文件进行隔离操作等。
图3为本申请实施例的一种文件检测装置的框图,该装置包括以下模块:
提取模块31,用于响应于待检测文件的加载,基于获取的可交互内容提取特征;
获取模块32,用于根据提取的特征,获取所述待检测文件对应的模拟交互指令;
执行模块33,用于根据模拟交互指令对所述待检测文件进行模拟交互;
判断模块34,用于在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
在一个实施例中,所述提取模块,进一步配置为:用于在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
在一个实施例中,所述提取模块,进一步配置为:
用于通过系统应用程序接口获取窗口属性信息;
用于根据窗口属性信息获取所述待检测文件的界面截图。
在一个实施例中,所述获取模块,包括:
提取子模块,用于对所述待检测文件的界面截图进行所述提取特征;
确定子模块,用于将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。
在一个实施例中,判断模块,包括:
模拟子模块,用于在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;
获取子模块,用于获取所述待检测文件模拟交互过程中所生成的目标数据;
判断子模块,用于根据所述目标数据判断所述待检测文件是否为恶意文件。
在一个实施例中,所述装置进一步被配置为:
在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;
在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。
在一个实施例中,所述装置进一步被配置为:
在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。
以上实施例仅为本申请的示例性实施例,不用于限制本申请,本申请的保护范围由权利要求书限定。本领域技术人员可以在本申请的实质和保护范围内,对本申请做出各种修改或等同替换,这种修改或等同替换也应视为落在本申请的保护范围内。

Claims (10)

1.一种文件检测方法,其特征在于,包括:
响应于待检测文件的加载,基于获取的可交互内容提取特征;
根据提取的特征,获取所述待检测文件对应的模拟交互指令;
根据模拟交互指令对所述待检测文件进行模拟交互;
在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
2.如权利要求1所述的方法,其特征在于,
所述加载,包括:
确定待检测文件的文件类型;
根据所述文件类型加载所述待检测文件;
获取可交互内容,包括:
在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
3.如权利要求2所述的方法,其特征在于,获取所述待检测文件的界面截图,包括:
通过系统应用程序接口获取窗口属性信息;
根据窗口属性信息获取所述待检测文件的界面截图。
4.如权利要求3所述的方法,其特征在于,所述获取所述待检测文件对应的模拟交互指令,包括:
对所述待检测文件的界面截图进行所述提取特征;
将提取的特征与特征库进行匹配以确定所述待检测文件的模拟交互指令。
5.如权利要求1所述的方法,其特征在于,所述在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件,包括:
在获取到所述待检测文件对应的模拟交互指令之后,根据所述模拟交互指令对所述待检测文件进行模拟操作;
获取所述待检测文件进行模拟交互过程中所生成的目标数据;
根据所述目标数据判断所述待检测文件是否为恶意文件。
6.如权利要求5所述的方法,其特征在于,还包括:
在根据所述目标数据判断所述待检测文件不是恶意文件的情况下,判断所述待检测文件的模拟交互过程是否结束;
在所述待检测文件的模拟交互过程未结束的情况下,继续获取所述待检测文件对应的模拟交互指令。
7.如权利要求6所述的方法,其特征在于,还包括:
在确定所述待检测文件为恶意文件的情况下,根据相应的防护策略对所述待检测文件进行处理。
8.一种文件检测装置,其特征在于,包括:
提取模块,用于响应于待检测文件的加载,基于获取的可交互内容提取特征;
获取模块,用于根据提取的特征,获取所述待检测文件对应的模拟交互指令;
执行模块,用于根据模拟交互指令对所述待检测文件进行模拟交互;
判断模块,用于在所述待检测文件进行模拟交互的过程中,判断所述待检测文件是否为恶意文件。
9.如权利要求8所述的装置,其特征在于,所述提取模块,进一步配置为:用于在所述待检测文件加载完成后,获取所述待检测文件的界面截图。
10.如权利要求9所述的装置,其特征在于,所述提取模块,进一步配置为:
用于通过系统应用程序接口获取窗口属性信息;
用于根据窗口属性信息获取所述待检测文件的界面截图。
CN202110175796.4A 2021-02-08 2021-02-08 一种文件检测方法及装置 Pending CN112528280A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110175796.4A CN112528280A (zh) 2021-02-08 2021-02-08 一种文件检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110175796.4A CN112528280A (zh) 2021-02-08 2021-02-08 一种文件检测方法及装置

Publications (1)

Publication Number Publication Date
CN112528280A true CN112528280A (zh) 2021-03-19

Family

ID=74975640

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110175796.4A Pending CN112528280A (zh) 2021-02-08 2021-02-08 一种文件检测方法及装置

Country Status (1)

Country Link
CN (1) CN112528280A (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104331662A (zh) * 2013-07-22 2015-02-04 深圳市腾讯计算机系统有限公司 Android恶意应用检测方法及装置
CN104598287A (zh) * 2013-10-30 2015-05-06 贝壳网际(北京)安全技术有限公司 恶意程序的检测方法、装置和客户端
CN107688743A (zh) * 2017-08-14 2018-02-13 北京奇虎科技有限公司 一种恶意程序的检测分析方法及系统
CN109840199A (zh) * 2018-12-14 2019-06-04 深圳壹账通智能科技有限公司 一种自动化测试方法及终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104331662A (zh) * 2013-07-22 2015-02-04 深圳市腾讯计算机系统有限公司 Android恶意应用检测方法及装置
CN104598287A (zh) * 2013-10-30 2015-05-06 贝壳网际(北京)安全技术有限公司 恶意程序的检测方法、装置和客户端
CN107688743A (zh) * 2017-08-14 2018-02-13 北京奇虎科技有限公司 一种恶意程序的检测分析方法及系统
CN109840199A (zh) * 2018-12-14 2019-06-04 深圳壹账通智能科技有限公司 一种自动化测试方法及终端

Similar Documents

Publication Publication Date Title
JP3079087B2 (ja) マクロ・ウイルスを発生する方法及びシステム
US11481492B2 (en) Method and system for static behavior-predictive malware detection
US5333302A (en) Filtering event capture data for computer software evaluation
CN107590388B (zh) 恶意代码检测方法和装置
US5321838A (en) Event capturing for computer software evaluation
CN103927484B (zh) 基于Qemu模拟器的恶意程序行为捕获方法
US20140325482A1 (en) Method for creating a label
US9058105B2 (en) Automated adjustment of input configuration
US8171406B1 (en) Automating user interface navigation
US20150256552A1 (en) Imalicious code detection apparatus and method
AU2016286308A1 (en) Robotic process automation
CN107688743B (zh) 一种恶意程序的检测分析方法及系统
WO2021010390A1 (ja) 自動判別処理装置、自動判別処理方法、検査システム、プログラム、および記録媒体
CN103679030B (zh) 一种基于动态语义特征的恶意代码分析检测方法
CN109271762B (zh) 基于滑块验证码的用户认证方法及装置
CN103810428B (zh) 一种宏病毒检测方法及装置
CN109993065B (zh) 基于深度学习的驾驶员行为检测方法和系统
CN112308069A (zh) 一种软件界面的点击测试方法、装置、设备及存储介质
CN105224448B (zh) 记录测试场景的方法和装置
CN112632538A (zh) 一种基于混合特征的安卓恶意软件检测方法及系统
CN112528280A (zh) 一种文件检测方法及装置
Xue et al. [Retracted] Visual Identification of Mobile App GUI Elements for Automated Robotic Testing
CN107609397B (zh) 安卓系统中应用程序恶意行为检测方法和设备
CN112165469B (zh) 一种检测变形的shell的方法
CN112580049B (zh) 基于沙箱的恶意软件监测方法、设备、存储介质及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210319

RJ01 Rejection of invention patent application after publication