CN112580045A - 一种基于宏加密的恶意文档的检测方法、装置和介质 - Google Patents
一种基于宏加密的恶意文档的检测方法、装置和介质 Download PDFInfo
- Publication number
- CN112580045A CN112580045A CN202011445070.XA CN202011445070A CN112580045A CN 112580045 A CN112580045 A CN 112580045A CN 202011445070 A CN202011445070 A CN 202011445070A CN 112580045 A CN112580045 A CN 112580045A
- Authority
- CN
- China
- Prior art keywords
- macro
- file
- plaintext
- code
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000001514 detection method Methods 0.000 claims abstract description 20
- 238000012986 modification Methods 0.000 claims description 23
- 230000004048 modification Effects 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 13
- 230000006870 function Effects 0.000 claims description 12
- 230000006837 decompression Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 4
- 244000035744 Hura crepitans Species 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000004606 Fillers/Extenders Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Document Processing Apparatus (AREA)
Abstract
本发明实施例公开了一种基于宏加密的恶意文档的检测方法、装置和介质,按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;通过修改初始文件的密码,从而可以利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码。判断明文宏代码与预设的代码分布规则是否匹配;若明文宏代码与预设的代码分布规则匹配,则说明该宏代码已经被恶意修改,宏代码对应的初始文件已经被破坏,初始文件的可靠性已经无法保证,为了避免操作初始文件造成系统安全问题,可以将初始文件标记为恶意文件。该技术方案可以自动为文档的宏解密,获取明文宏代码,从而实现对文档的安全性分析,也即本方案实现了对宏加密文档的安全检测。
Description
技术领域
本发明涉及文件加密技术领域,特别是涉及一种基于宏加密的恶意文档的检测方法、装置和计算机可读存储介质。
背景技术
随着技术的发展,尤其是钓鱼攻击技术的不断改进,通常恶意攻击者会在钓鱼攻击中植入附带宏的恶意文档,以引诱受害者打开文档从而触发钓鱼攻击。现有的方案只能对明文宏代码直接进行分析。而恶意文件为了逃避沙箱检测、人工逆向分析,会为宏代码设置密码。
Office文档的宏可以加密,在未知密码的情况下,第三方无法访问Office文档的宏代码,无法获取宏代码的明文内容,从而无法对Office文档进行分析,导致无法完成对宏加密的文档的安全性检测。
可见,如何实现对宏加密文档的安全检测,是本领域技术人员需要解决的问题。
发明内容
本发明实施例的目的是提供一种基于宏加密的恶意文档的检测方法、装置和计算机可读存储介质,可以实现对宏加密文档的安全检测。
为解决上述技术问题,本发明实施例提供一种基于宏加密的恶意文档的检测方法,包括:
按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;
利用所述自定义密码访问所述目标文件的宏代码,以得到所述目标文件的明文宏代码;
判断所述明文宏代码与预设的代码分布规则是否匹配;
若所述明文宏代码与预设的代码分布规则匹配,则将所述初始文件标记为恶意文件。
可选地,所述判断所述明文宏代码与预设的代码分布规则是否匹配包括:
判断所述明文宏代码中的变量名是否均为随机名;
若所述明文宏代码中的变量名均为随机名,则执行所述将所述初始文件标记为恶意文件的步骤。
可选地,在所述判断所述明文宏代码中的变量名是否均为随机名之前还包括:
判断所述明文宏代码中是否存在反沙箱函数;
若所述明文宏代码中存在反沙箱函数,则暂停预设时间再执行所述判断所述明文宏代码中的变量名是否均为随机名的步骤。
可选地,所述按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件包括:
按照压缩文件的命名规则,修改所述初始文件的扩展名,并对修改扩展名后的初始文件执行解压缩操作,以得到第一子文件;
根据获取的文件修改指令,将所述第一子文件中的“DPB”修改为“DPx”,以得到第二子文件;并将所述初始文件中的第一子文件替换为所述第二子文件,以得到修改后的目标文件;
根据获取的名称修改指令,将所述初始文件修改前的扩展名作为所述目标文件的文件名;
按照预设的密码修改规则,将所述目标文件的初始密钥修改为自定义密码。
可选地,在所述将所述初始文件标记为恶意文件之后还包括:
删除所述恶意文件。
本发明实施例还提供了一种基于宏加密的恶意文档的检测装置,包括修改单元、获取单元、判断单元和标记单元;
所述修改单元,用于按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;
所述获取单元,用于利用所述自定义密码访问所述目标文件的宏代码,以得到所述目标文件的明文宏代码;
所述判断单元,用于判断所述明文宏代码与预设的代码分布规则是否匹配;
所述标记单元,用于若所述明文宏代码与预设的代码分布规则匹配,则将所述初始文件标记为恶意文件。
可选地,所述判断单元用于判断所述明文宏代码中的变量名是否均为随机名;
相应的,所述标记单元用于若所述明文宏代码中的变量名均为随机名,则执行所述将所述初始文件标记为恶意文件的步骤。
可选地,还包括初始判断单元和暂停单元;
所述初始判断单元,用于判断所述明文宏代码中是否存在反沙箱函数;
所述暂停单元,用于若所述明文宏代码中存在反沙箱函数,则暂停预设时间再触发所述判断单元执行所述判断所述明文宏代码中的变量名是否均为随机名的步骤。
可选地,所述修改单元用于按照压缩文件的命名规则,修改所述初始文件的扩展名,并对修改扩展名后的初始文件执行解压缩操作,以得到第一子文件;根据获取的文件修改指令,将所述第一子文件中的“DPB”修改为“DPx”,以得到第二子文件;并将所述初始文件中的第一子文件替换为所述第二子文件,以得到修改后的目标文件;根据获取的名称修改指令,将所述初始文件修改前的扩展名作为所述目标文件的文件名;按照预设的密码修改规则,将所述目标文件的初始密钥修改为自定义密码。
可选地,还包括删除单元;
所述删除单元,用于删除所述恶意文件。
本发明实施例还提供了一种基于宏加密的恶意文档的检测装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述任意一项所述基于宏加密的恶意文档的检测方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任意一项所述基于宏加密的恶意文档的检测方法的步骤。
由上述技术方案可以看出,按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;通过修改初始文件的密码,从而可以利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码。判断明文宏代码与预设的代码分布规则是否匹配;若明文宏代码与预设的代码分布规则匹配,则说明该宏代码已经被恶意修改,宏代码对应的初始文件已经被破坏,初始文件的可靠性已经无法保证,为了避免操作初始文件造成系统安全问题,此时可以将初始文件标记为恶意文件。该技术方案可以自动为文档的宏解密,获取明文宏代码,从而实现对文档的安全性分析,也即本方案实现了对宏加密文档的安全检测。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于宏加密的恶意文档的检测方法的流程图;
图2为本发明实施例提供的一种基于宏加密的恶意文档的检测装置的结构示意图;
图3为本发明实施例提供的一种基于宏加密的恶意文档的检测装置的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
接下来,详细介绍本发明实施例所提供的一种基于宏加密的恶意文档的检测方法。图1为本发明实施例提供的一种基于宏加密的恶意文档的检测方法的流程图,该方法包括:
S101:按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件。
在本发明实施例中,通过重置文件的加密宏密码,从而可以获取宏代码的明文内容。
在具体实现中,可以按照如下方式,实现对文件加密宏密码的重置。
按照压缩文件的命名规则,修改初始文件的扩展名,并对修改扩展名后的初始文件执行解压缩操作,以得到第一子文件。根据获取的文件修改指令,将第一子文件中的“DPB”修改为“DPx”,以得到第二子文件;并将初始文件中的第一子文件替换为第二子文件,以得到修改后的目标文件。
在本发明实施例中,可以以二进制形式打开文件内容中的一个特征字符串DPB。在实际应用中,可以利用十六进制编辑器修改文件二进制内容。其中,十六进制编辑器也称为二进制文件编辑器,是一种计算机程序,它可以用来编辑二进制文件。因为word的处理机制问题,只需要将DPB改为DPx即可使密码失效。
在得到修改后的目标文件之后,根据获取的名称修改指令,将初始文件修改前的扩展名作为目标文件的文件名;按照预设的密码修改规则,将目标文件的初始密钥修改为自定义密码。
以Office文档为例,可以将office文档扩展名更改为“.ZIP”。例如将a.xlsm文件添加后缀为a.xlsm.ZIP文件。解压获取的a.xlsm.ZIP文件,解压后获得3个目录:_rels、docProps、xl;利用十六进制编辑器打开获得的xl目录下的vbaProject.bin文件;搜索文本“DPB=”,将文本“DPB=”更改为“DPx=”,保存并关闭文件vbaProject.bin。用获得的vbaProject.bin文件,去替换a.xlsm.ZIP文件当中的vbaProject.bin。
其中,将“DPB=”更改为“DPx=”,只是对引号内的内容进行修改,不包括引号,“DPB=”的位置在文本“[Host Extender Info]”的上方。
在具体实现中,可以用winrar打开压缩包a.xlsm.ZIP,将其中旧的vbaProject.bin删除;在winrar程序上点击“添加”按钮,将文本“DPB=”更改为“DPx=”后得到的vbaProject.bin,添加到压缩包;点击确定保存。
密码修改规则指的是删除初始密码、添加自定义密码的处理流程,系统需要根据用户执行的各种操作指令,完成将目标文件的初始密钥修改为自定义密码的操作。
在实际应用中,在得到修改后的目标文件之后,用户可以将获得的a.xlsm.ZIP重命名为原名a.xlsm。打开VBA编辑器,如果出现告警“Unexpected error(40230)”,点击OK,执行下一步。如果没有告警,执行下一步。右键单击VBA项目名称,选择“属性”;转到“保护”选项卡,删除现有密码;取消选中“锁定项目以查看”复选框;重新选中“锁定项目以供查看”复选框;添加自定义的新密码。
S102:利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码。
通过将宏加密密码修改为自定义密码,利用自定义密码访问目标文件的宏代码,便可以得到目标文件的明文宏代码。
S103:判断明文宏代码与预设的代码分布规则是否匹配。
若明文宏代码与预设的代码分布规则匹配,则说明该宏代码已经被恶意修改,宏代码对应的初始文件已经被破坏,此时可以执行S104。
预设的代码分布规则可以包括代码中存在的恶意混淆。恶意混淆以变量名都为随机名的形式呈现,因此,可以判断明文宏代码中的变量名是否均为随机名;若明文宏代码中的变量名均为随机名,则执行S104。
在实际应用中,可以调用开源工具olevba对明文宏代码进行分析,检测是否存在自动执行宏,如果检测结果显示“Micro VBA Exists”,则存在自动执行宏,从而执行判断明文宏代码中的变量名是否均为随机名的步骤。
在本发明实施例中,在判断明文宏代码中的变量名是否均为随机名之前,可以先判断明文宏代码中是否存在反沙箱函数;若明文宏代码中存在反沙箱函数,则暂停预设时间再执行判断明文宏代码中的变量名是否均为随机名的步骤。
暂停预设时间再执行对代码的检测,可以绕过沙箱运行时长,提升检测的准确性。
S104:将初始文件标记为恶意文件。
在本发明实施例中,为了降低恶意文件对系统造成的威胁,可以删除恶意文件。
由上述技术方案可以看出,按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;通过修改初始文件的密码,从而可以利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码。判断明文宏代码与预设的代码分布规则是否匹配;若明文宏代码与预设的代码分布规则匹配,则说明该宏代码已经被恶意修改,宏代码对应的初始文件已经被破坏,初始文件的可靠性已经无法保证,为了避免操作初始文件造成系统安全问题,此时可以将初始文件标记为恶意文件。该技术方案可以自动为文档的宏解密,获取明文宏代码,从而实现对文档的安全性分析,也即本方案实现了对宏加密文档的安全检测。
图2为本发明实施例提供的一种基于宏加密的恶意文档的检测装置的结构示意图,包括修改单元21、获取单元22、判断单元23和标记单元24;
修改单元21,用于按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;
获取单元22,用于利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码;
判断单元23,用于判断明文宏代码与预设的代码分布规则是否匹配;
标记单元24,用于若明文宏代码与预设的代码分布规则匹配,则将初始文件标记为恶意文件。
可选地,判断单元用于判断明文宏代码中的变量名是否均为随机名;
相应的,标记单元用于若明文宏代码中的变量名均为随机名,则执行将初始文件标记为恶意文件的步骤。
可选地,还包括初始判断单元和暂停单元;
初始判断单元,用于判断明文宏代码中是否存在反沙箱函数;
暂停单元,用于若明文宏代码中存在反沙箱函数,则暂停预设时间再触发判断单元执行判断明文宏代码中的变量名是否均为随机名的步骤。
可选地,修改单元用于按照压缩文件的命名规则,修改初始文件的扩展名,并对修改扩展名后的初始文件执行解压缩操作,以得到第一子文件;根据获取的文件修改指令,将第一子文件中的“DPB”修改为“DPx”,以得到第二子文件;并将初始文件中的第一子文件替换为第二子文件,以得到修改后的目标文件;根据获取的名称修改指令,将初始文件修改前的扩展名作为目标文件的文件名;按照预设的密码修改规则,将目标文件的初始密钥修改为自定义密码。
可选地,还包括删除单元;
删除单元,用于删除恶意文件。
图2所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;通过修改初始文件的密码,从而可以利用自定义密码访问目标文件的宏代码,以得到目标文件的明文宏代码。判断明文宏代码与预设的代码分布规则是否匹配;若明文宏代码与预设的代码分布规则匹配,则说明该宏代码已经被恶意修改,宏代码对应的初始文件已经被破坏,初始文件的可靠性已经无法保证,为了避免操作初始文件造成系统安全问题,此时可以将初始文件标记为恶意文件。该技术方案可以自动为文档的宏解密,获取明文宏代码,从而实现对文档的安全性分析,也即本方案实现了对宏加密文档的安全检测。
图3为本发明实施例提供的一种基于宏加密的恶意文档的检测装置30的硬件结构示意图,包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序以实现如上述任意一项基于宏加密的恶意文档的检测方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述任意实施例所述的基于宏加密的恶意文档的检测方法的步骤。
以上对本发明实施例所提供的一种基于宏加密的恶意文档的检测方法、装置和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
Claims (10)
1.一种基于宏加密的恶意文档的检测方法,其特征在于,包括:
按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;
利用所述自定义密码访问所述目标文件的宏代码,以得到所述目标文件的明文宏代码;
判断所述明文宏代码与预设的代码分布规则是否匹配;
若所述明文宏代码与预设的代码分布规则匹配,则将所述初始文件标记为恶意文件。
2.根据权利要求1所述的基于宏加密的恶意文档的检测方法,其特征在于,所述判断所述明文宏代码与预设的代码分布规则是否匹配包括:
判断所述明文宏代码中的变量名是否均为随机名;
若所述明文宏代码中的变量名均为随机名,则执行所述将所述初始文件标记为恶意文件的步骤。
3.根据权利要求2所述的基于宏加密的恶意文档的检测方法,其特征在于,在所述判断所述明文宏代码中的变量名是否均为随机名之前还包括:
判断所述明文宏代码中是否存在反沙箱函数;
若所述明文宏代码中存在反沙箱函数,则暂停预设时间再执行所述判断所述明文宏代码中的变量名是否均为随机名的步骤。
4.根据权利要求1所述的基于宏加密的恶意文档的检测方法,其特征在于,所述按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件包括:
按照压缩文件的命名规则,修改所述初始文件的扩展名,并对修改扩展名后的初始文件执行解压缩操作,以得到第一子文件;
根据获取的文件修改指令,将所述第一子文件中的“DPB”修改为“DPx”,以得到第二子文件;并将所述初始文件中的第一子文件替换为所述第二子文件,以得到修改后的目标文件;
根据获取的名称修改指令,将所述初始文件修改前的扩展名作为所述目标文件的文件名;
按照预设的密码修改规则,将所述目标文件的初始密钥修改为自定义密码。
5.根据权利要求1-4任意一项所述的基于宏加密的恶意文档的检测方法,其特征在于,在所述将所述初始文件标记为恶意文件之后还包括:
删除所述恶意文件。
6.一种基于宏加密的恶意文档的检测装置,其特征在于,包括修改单元、获取单元、判断单元和标记单元;
所述修改单元,用于按照预先设定的文档解析规则,将宏加密的初始文件修改为自定义密码的目标文件;
所述获取单元,用于利用所述自定义密码访问所述目标文件的宏代码,以得到所述目标文件的明文宏代码;
所述判断单元,用于判断所述明文宏代码与预设的代码分布规则是否匹配;
所述标记单元,用于若所述明文宏代码与预设的代码分布规则匹配,则将所述初始文件标记为恶意文件。
7.根据权利要求6所述的基于宏加密的恶意文档的检测装置,其特征在于,所述判断单元用于判断所述明文宏代码中的变量名是否均为随机名;
相应的,所述标记单元用于若所述明文宏代码中的变量名均为随机名,则执行所述将所述初始文件标记为恶意文件的步骤。
8.根据权利要求7所述的基于宏加密的恶意文档的检测装置,其特征在于,还包括初始判断单元和暂停单元;
所述初始判断单元,用于判断所述明文宏代码中是否存在反沙箱函数;
所述暂停单元,用于若所述明文宏代码中存在反沙箱函数,则暂停预设时间再触发所述判断单元执行所述判断所述明文宏代码中的变量名是否均为随机名的步骤。
9.一种基于宏加密的恶意文档的检测装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至5任意一项所述基于宏加密的恶意文档的检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至5任意一项所述基于宏加密的恶意文档的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011445070.XA CN112580045A (zh) | 2020-12-11 | 2020-12-11 | 一种基于宏加密的恶意文档的检测方法、装置和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011445070.XA CN112580045A (zh) | 2020-12-11 | 2020-12-11 | 一种基于宏加密的恶意文档的检测方法、装置和介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112580045A true CN112580045A (zh) | 2021-03-30 |
Family
ID=75130893
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011445070.XA Withdrawn CN112580045A (zh) | 2020-12-11 | 2020-12-11 | 一种基于宏加密的恶意文档的检测方法、装置和介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112580045A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114238972A (zh) * | 2021-12-14 | 2022-03-25 | 安天科技集团股份有限公司 | 文件扫描方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
| CN106650451A (zh) * | 2016-12-30 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种检测方法和装置 |
| CN109033831A (zh) * | 2018-06-22 | 2018-12-18 | 珠海市君天电子科技有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN109858248A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 恶意Word文档检测方法和装置 |
| CN111400707A (zh) * | 2020-03-10 | 2020-07-10 | 深信服科技股份有限公司 | 一种文件宏病毒检测方法、装置、设备及存储介质 |
-
2020
- 2020-12-11 CN CN202011445070.XA patent/CN112580045A/zh not_active Withdrawn
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102841999A (zh) * | 2012-07-16 | 2012-12-26 | 北京奇虎科技有限公司 | 一种文件宏病毒的检测方法和装置 |
| CN106650451A (zh) * | 2016-12-30 | 2017-05-10 | 北京启明星辰信息安全技术有限公司 | 一种检测方法和装置 |
| CN109033831A (zh) * | 2018-06-22 | 2018-12-18 | 珠海市君天电子科技有限公司 | 一种病毒检测方法、装置、电子设备及存储介质 |
| CN109858248A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 恶意Word文档检测方法和装置 |
| CN111400707A (zh) * | 2020-03-10 | 2020-07-10 | 深信服科技股份有限公司 | 一种文件宏病毒检测方法、装置、设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| HK_MAYFLY: "VBA密码手工去除", pages 1 - 5, Retrieved from the Internet <URL:https://www.cnblogs.com/Mayfly-nymph/p/12600667.html> * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114238972A (zh) * | 2021-12-14 | 2022-03-25 | 安天科技集团股份有限公司 | 文件扫描方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Berrueta et al. | A survey on detection techniques for cryptographic ransomware | |
| Chen et al. | Uncovering the face of android ransomware: Characterization and real-time detection | |
| US8850585B2 (en) | Systems and methods for automated malware artifact retrieval and analysis | |
| US9798884B1 (en) | Systems and methods for identifying insider threats in code | |
| Wang et al. | Virus detection using data mining techinques | |
| KR101874373B1 (ko) | 난독화 스크립트에 대한 악성 스크립트 탐지 방법 및 그 장치 | |
| US7607122B2 (en) | Post build process to record stack and call tree information | |
| Mirzaei et al. | Andrensemble: Leveraging api ensembles to characterize android malware families | |
| CN107896219B (zh) | 一种网站脆弱性的检测方法、系统及相关装置 | |
| CN107247902B (zh) | 恶意软件分类系统及方法 | |
| Jain et al. | Enriching reverse engineering through visual exploration of Android binaries | |
| CN110298171B (zh) | 移动互联网大数据应用的智能检测与安全防护方法 | |
| Vidyarthi et al. | Static malware analysis to identify ransomware properties | |
| KR101557455B1 (ko) | 응용 프로그램 코드 분석 장치 및 그것을 이용한 코드 분석 방법 | |
| CN112580045A (zh) | 一种基于宏加密的恶意文档的检测方法、装置和介质 | |
| Patil et al. | Roadmap of digital forensics investigation process with discovery of tools | |
| Dubin | Content disarm and reconstruction of PDF files | |
| Niu et al. | Clone analysis and detection in android applications | |
| Bokolo et al. | Hybrid analysis based cross inspection framework for android malware detection | |
| Almarshad et al. | Detecting zero-day polymorphic worms with jaccard similarity algorithm | |
| Andersson et al. | Network-based buffer overflow detection by exploit code analysis | |
| CN111159111A (zh) | 一种信息处理方法、设备、系统和计算机可读存储介质 | |
| Ismaila et al. | An intelligent crypto-locker ransomware detection technique using support vector machine classification and grey wolf optimization algorithms | |
| Uppin et al. | Analysis of Android Malware Using Data Replication Features Extracted by Machine Learning Tools | |
| Yoo et al. | Automatic string deobfuscation scheme for mobile applications based on platform-level code extraction |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20210330 |