CN114048477A - 恶意文件的检测方法、装置、设备及介质 - Google Patents

Abstract

本公开涉及一种恶意文件的检测方法、装置、设备及介质，其中，恶意文件的检测方法包括：获取压缩文件；对压缩文件进行解压缩处理，得到多个衍生文件；对衍生文件进行检测，得到衍生文件的恶意程度；将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。根据本公开实施例，可准确评定该压缩文件的恶意程度，便于用户后续根据该压缩文件的恶意程度执行对该压缩文件的处理策略。

Description

恶意文件的检测方法、装置、设备及介质

技术领域

本公开涉及通讯技术领域，尤其涉及一种恶意文件的检测方法、装置、设备及介质。

背景技术

目前，不少木马、硬盘炸弹等恶意文件利用压缩文件的形式捆绑程序来伪装自己，降低其在传播过程中被检测到的几率，导致用户更容易网络感染中毒。可见，检测压缩文件是否为恶意文件尤为重要。

但是，目前没有对压缩文件的恶意程度进行评判的方案，如何对压缩文件的恶意程度进行评判成为当前亟待解决的问题。

发明内容

为了解决上述技术问题或者至少部分地解决上述技术问题，本公开提供了一种恶意文件的检测方法、装置、设备及存储介质。

第一方面，本公开实施例提供了一种恶意文件的检测方法，包括：

获取压缩文件；

对压缩文件进行解压缩处理，得到多个衍生文件；

对衍生文件进行检测，得到衍生文件的恶意程度；

将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

第二方面，本公开实施例提供了一种恶意文件的检测装置，包括：

第一获取模块，用于获取压缩文件；

解压缩模块，用于对压缩文件进行解压缩处理，得到多个衍生文件；

第一检测模块，用于对衍生文件进行检测，得到衍生文件的恶意程度；

第一确定模块，用于将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

第四方面，本公开实施例提供了一种电子设备，包括：

处理器；

存储器，用于存储可执行指令；

其中，处理器用于从存储器中读取可执行指令，并执行可执行指令以实现如第一方面所述的方法。

第五方面，本公开实施例提供了一种计算机可读存储介质，该存储介质中存储有计算机程序，当计算机程序被处理器执行时，实现如第一方面所述的方法。

本公开实施例提供的技术方案与现有方案相比具有如下优点：

本公开实施例提供的恶意文件的检测方法、装置、设备及介质，能够获取压缩文件，对压缩文件进行解压缩处理，得到多个衍生文件，对衍生文件进行检测，得到衍生文件的恶意程度，并将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。如此，可实现判定该压缩文件是否为恶意文件的目的，并且将压缩文件所包含的所有衍生文件的恶意程度中的最大值，作为该压缩文件的恶意程度，可准确评定该压缩文件的恶意程度，便于用户后续根据该压缩文件的恶意程度执行对该压缩文件的处理策略。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

为了更清楚地说明本公开实施例或现有加速方案中的技术方案，下面将对实施例或现有加速方案描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本公开实施例提供的一种恶意文件的检测方法的流程图；

图2是本发明实施例提供的一种压缩文件的层级结构示意图；

图3和图4是本公开实施例提供的一种检测报告示意图；

图5是本发明实施例提供的另一种压缩文件的层级结构示意图；

图6和图7是本公开实施例提供的另一种检测报告示意图；

图8是本发明实施例提供的又一种压缩文件的层级结构示意图；

图9是本发明实施例提供的待检测衍生文件的文件列表示意图；

图10、图11、和图12是本公开实施例提供的又一种检测报告示意图；

图13是本公开实施例提供的一种恶意文件的检测过程的流程示意图；

图14是本公开实施例提供的一种恶意文件的检测装置的结构示意图；

图15是本公开实施例中的一种电子设备的结构示意图。

具体实施方式

为了能够更清楚地理解本公开的上述目的、特征和优点，下面将对本公开的方案进行进一步描述。需要说明的是，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施例，而不是全部的实施例。

图1是本公开实施例提供的一种恶意文件的检测方法的流程图，该方法可以由一种电子设备来执行。该电子设备可以示例性的理解为诸如手机、平板电脑、笔记本电脑、台式机、智能电视等具有计算功能的设备。如图1所示，本实施例提供的方法包括如下步骤：

S110、获取压缩文件。

在本公开实施例中，当用户想要知道某一压缩文件是否为恶意压缩文件时，可通过电子设备对其进行检测。具体地，电子设备可以先获取需要检测的压缩文件，然后，对压缩文件进行解压缩处理。当对压缩文件解压成功时，可对解压出的衍生文件进行检测，得到衍生文件的恶意程度，并将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。当对压缩文件解压失败时，可将压缩文件整体看作一个文件进行检测，此时，检测得出的恶意程度即为压缩文件的恶意程度。

在一些实施例中，恶意文件的检测方法可以在高度模拟真实环境的虚拟分析机中完成，如此，不会对真实环境造成影响。

具体地，压缩文件可以为本地文件，也可以为其它电子设备通过有线通讯或无线通信发送的文件。本公开对此不作限定。

具体地，压缩文件可以为加密文件，也可以为非加密文件。本公开对此也不作限定。

具体地，压缩文件可以包括应用程序类的压缩文件，例如办公软件的压缩文件、或者游戏软件的压缩文件等；压缩文件还可以包括多媒体类的压缩文件，例如包含多个音视频的压缩文件、包含多张照片的压缩文件等。本公开对此也不作限定。

具体地，压缩文件的文件格式类型可以包括rar、zip、zlib、gz、7z、bz、bz2、cab、ace、jar、msi、rpm、tar、tgz、uue、xz、xar、z、arj、lzh等，但不限于此。

S120、对压缩文件进行解压缩处理，得到多个衍生文件。

具体地，衍生文件为从压缩文件中解压出的文件。压缩文件中衍生文件的数量以及各衍生文件的文件类型取决于压缩文件压缩前的文件。

在一些实施例中，压缩文件可以为加密压缩文件。

此时，若电子设备在S120之前已获取该压缩文件对应的密码，则电子设备可根据密码对压缩文件进行解压缩处理。

若电子设备在S120之前未获取该压缩文件对应的密码，则电子设备可根据内置的常规密码表中的各密码去尝试对压缩文件进行解压缩处理。

可以理解的是，某些压缩文件提供方为避免用户在获取到压缩文件后不小心误触打开压缩文件，因此会对压缩文件进行加密。电子设备中常规密码表中可以放置一些压缩文件提供方常用的密码，如此，在用户未提供加密压缩文件的密码时，电子设备可尝试根据内置的常规密码表中的各密码去尝试对压缩文件进行解压缩处理，提高加密压缩文件的成功解压概率。

在另一些实施例中，压缩文件可以为非加密压缩文件。

此时，电子设备可直接对获取到的压缩文件进行解压缩处理。

具体地，电子设备对压缩文件进行解压缩处理后包含两种结果。

在一些实施例中，电子设备对压缩文件解压成功，得到多个衍生文件，则后续电子设备可对衍生文件进行检测。

在另一些实施中，电子设备解压失败，则后续可将压缩文件整体看作一个文件进行检测。

S130、对衍生文件进行检测，得到衍生文件的恶意程度。

具体地，对衍生文件进行检测具体实施方式，本领域技术人员可根据实际情况设置，此处不作限定。例如，可采用静态分析法、动态分析法、或基于机器学习的混合分析法等，但不限于此。

可选地，针对每个衍生文件，可对其进行深度动态分析检测，得到衍生文件的恶意程度。

可以理解的是，通过对衍生文件进行动态行为分析，不仅可对已知范围的恶意文件进行检测，还可以对未知范围的恶意文件进行检测，使恶意压缩文件不易逃逸，提高对未知威胁的检测能力。

S140、将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

具体地，S140的具体实施方式有多种，下面就典型示例进行说明，但并不构成对本公开的限定。

在一些实施例中，S140可以包括：电子设备在对所有衍生文件检测完成之后，针对所有衍生文件的恶意程度从大到小进行排序，将排在首位的恶意程度作为压缩文件的恶意程度。

在另一些实施例中，S140可以包括：S141、在逐个对衍生文件进行检测的过程中，实时将已检测的衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

具体地，S141可以包括：S1411、令压缩文件的恶意程度的初始值为0，且令i＝1；S1412、电子设备在对第i个衍生文件进行检测完成后，得到第i个衍生文件的恶意程度，在检测到第i个衍生文件的恶意程度大于压缩文件的恶意程度时，将第i个衍生文件的恶意程度作为压缩文件的恶意程度，在检测到第i个衍生文件的恶意程度小于或等于压缩文件的恶意程度时，不更新压缩文件的恶意程度；S1413、令i＝i+1；重复执行S1412和S1413，直至i＝N+1，其中，1≤i≤N，N为衍生文件的总数，i和N均为正整数。

可选地，该恶意压缩文件的检测方法还包括：在逐个对衍生文件进行检测的过程中，实时更新检测标志位；其中，检测标志位用于表征是否已完成对所有衍生文件的检测；实时向联动设备发送压缩文件的恶意程度和检测标志位。

具体地，联动的设备可以为安装有恶意检测文件的检测装置的电子设备。

具体地，检测标志位的具体形式本领域技术人员可根据实际情况设置，此处不作限定。例如，可以用0表征未完成对所有衍生文件的检测，用1表征已完成对所有衍生文件的检测。但并不限于此。

具体地，针对每个衍生文件完成S1412之后，更新检测标志位，并向联动设备发送压缩文件的恶意程度和检测标志位。如此，可使联动设备实时获知对衍生文件的检测进度。并且联动设备通过实时接收压缩文件的恶意程度，可及时根据压缩文件的恶意程度作出相应策略，例如继续传输、阻断会话、拒绝接收等，但并不限于此。

可以理解的是，相比于将多个衍生文件的恶意程度中的最小值、或者多个衍生文件的恶意程度的平均值，作为压缩文件的恶意程度，本公开实施例中，通过对衍生文件进行检测，并将检测结果作用于其所属的压缩文件，实现了将多个衍生文件的恶意程度的最大值作为压缩文件的恶意程度。本领域技术人员应当理解的是，恶意程度越大的衍生文件，对用户的电子设备产生攻击的可能性越大，并且，只要压缩文件中包含一个恶意程度较大的衍生文件，该压缩文件对用户的电子设备产生攻击的可能性便越大。通过将多个衍生文件的恶意程度的最大值作为压缩文件的恶意程度，可使只要压缩文件中包含一个恶意程度较大的衍生文件，该压缩文件的恶意程度的便被评估较高，从而达到准确评判压缩文件的恶意程度的效果。

本公开实施例提供的恶意文件的检测方法、装置、设备及介质，能够获取压缩文件，对压缩文件进行解压缩处理，得到多个衍生文件，对衍生文件进行检测，得到衍生文件的恶意程度，并将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。如此，可实现判定该压缩文件是否为恶意文件的目的，并且将压缩文件所包含的所有衍生文件的恶意程度中的最大值，作为该压缩文件的恶意程度，可准确评定该压缩文件的恶意程度，便于用户后续根据该压缩文件的恶意程度执行对该压缩文件的处理策略。

在本公开另一种实施方式中，该恶意压缩文件的检测方法还包括，在对衍生文件进行检测，得到衍生文件的恶意程度之前，确定衍生文件的总数；在检测到总数大于第一预设阈值时，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件；其中，对衍生文件进行检测，得到衍生文件的恶意程度包括：对待检测衍生文件进行检测，得到待检测衍生文件的恶意程度；将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度包括：将至少一个待检测衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

具体地，第一预设阈值的具体数值，本领域技术人员可根据实际情况设置，此处不作限定。

在本公开一些实施例中，当衍生文件的总数大于第一预设阈值时，表明衍生文件的数量较多。

此时，可以从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件，然后，对待检测衍生文件进行检测。对待检测衍生文件之外的其它衍生文件不再进行检测。如此，可减少需要检测的衍生文件的数量，从而缩短检测所需的时间，提高压缩文件的整体检测效率，减少不必要的检测消耗。

具体地，从多个衍生文件中选取至少一个衍生文件的具体实施方式有多种，后文中将就典型示例进行详细描述，此处先不作赘述。

具体地，针对选取出的待检测衍生文件，“对待检测衍生文件进行检测，得到待检测衍生文件的恶意程度；将至少一个待检测衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度”的具体实施方式与针对所有衍生文件“对衍生文件进行检测，得到衍生文件的恶意程度；将衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度”类似，此处不再赘述。

在本公开一些实施例中，当衍生文件的总数小于或等于第一预设阈值时，表明衍生文件的数量较小。

此时，可将所有衍生文件作为待检测衍生文件，即对每个衍生文件进行检测，确定压缩文件的恶意程度的具体实施方式请参见前文，此处不再赘述。如此，可对任一衍生文件进行检测，避免恶意衍生文件逃过检测，提高检测准确度。

在本公开又一种实施方式中，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件可以包括：确定各衍生文件的文件类型；将文件类型属于预设检测文件类型的衍生文件，作为待检测衍生文件。

具体地，预设检测文件类型的具体类型本领域技术人员可根据实际情况设置，此处不作限定。例如，可将大量恶意文件作为样本，确定各恶意文件的文件类型；统计不同文件类型下包含的恶意文件的数量；将包含恶意文件数量最多的前第二预设数量个文件类型，作为预设检测文件类型。但并不限于此。

可以理解的是，预设检测文件类型包含常见的恶意文件的类型，对属于预设检测文件类型的衍生文件进行检测，可以降低对恶意衍生文件的漏检可能性。

在本公开再一种实施方式中，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件包括：为各衍生文件配置检测权重；根据各衍生文件的检测权重，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件。

具体地，检测权重用于表征衍生文件需要进行检测的程度，检测权重越大表明衍生文件越需要进行检测。

在一些实施例中，为各衍生文件配置检测权重可以包括：确定衍生文件的文件类型；基于文件类型和检测权重的关联关系，根据衍生文件的文件类型，确定衍生文件的检测权重。

具体的，文件类型和检测权重的关联关系可以预存在电子设备中。文件类型和检测权重的关联关系的确定方式本领域技术人员可根据实际情况设置，此处不作限定。例如，可将大量恶意文件作为样本；确定各恶意文件的文件类型；统计不同文件类型下包含的恶意文件的数量；根据文件类型包含的恶意文件的数量越大，其检测权重越大的规则，为各文件类型配置检测权重，得到文件类型和检测权重的关联关系。

可以理解的是，基于文件类型和检测权重的关联关系，确定衍生文件的检测权重，可使当衍生文件的文件类型属于常见的恶意文件的类型时，其检测权重较高，提高对其进行检测的概率，从而降低对恶意衍生文件的漏检可能性。

在一些实施例中，根据各衍生文件的检测权重，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件包括：针对各衍生文件的检测权重，按照从小到大的顺序进行排序；将前第一预设数量个检测权重对应的衍生文件，确定为待检测衍生文件。

具体地，第一预设数量的具体值本领域技术人员可根据实际情况设置，此处不作限定。

可以理解的是，通过将前第一预设数量个检测权重对应的衍生文件，确定为待检测衍生文件，可将检测权重较高的衍生文件确定为待检测衍生文件，从而降低对恶意衍生文件的漏检可能性。

在另一些实施例中，根据各衍生文件的检测权重，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件包括：针对各衍生文件的检测权重；将检测权重大于预设检测权重阈值的衍生文件，确定为待检测衍生文件。

具体地，预设检测权重阈值的具体值本领域技术人员可根据实际情况设置，此处不作限定。

可以理解的是，通过将检测权重大于预设检测权重阈值的衍生文件，确定为待检测衍生文件，可将检测权重较高的衍生文件确定为待检测衍生文件，从而降低对恶意衍生文件的漏检可能性。

在本公开再一种实施方式中，获取压缩文件之后，还包括：若检测到对压缩文件解压缩失败，将压缩文件整体作为待检测文件；对待检测文件进行检测，得到压缩文件的恶意程度。

具体地，当对压缩文件解压失败时，可将压缩文件整体看作一个文件进行检测，此时，检测得出的恶意程度即为压缩文件的恶意程度。如此，即使压缩文件为解压缩成功，也可对压缩文件的恶意程度进行评判，提高用户体验。

在本公开再一种实施方式中，该恶意压缩文件的检测方法还包括：在对各衍生文件检测完成之后，向联动设备发送检测报告。

可选地，检测报告可以包括衍生文件的文件信息(例如文件名、文件类型等)、衍生文件的恶意程度、以及压缩文件的恶意程度。但并不限于此。如此，可直观地向用户呈现压缩文件的检测结果，并且可使压缩文件的检测结果更有说服力，提高用户体验效果和判定结果的可信程度。

示例性地，图2是本发明实施例提供的一种压缩文件的层级结构示意图。图3和图4是本公开实施例提供的一种检测报告示意图。参见图2，该压缩文件包括3个衍生文件，一级目录下含有2个白样本衍生文件，二级目录下含有1个恶意衍生文件。参见图3和图4，该压缩文件的检测报告中显示二级目录下的两个衍生文件为恶意衍生文件，与该压缩文件中包含恶意衍生文件的情况相同，可见检测流程未被白样本衍生文件所干扰。同时，可详细展示各个衍生文件的具体检测结果及风险行为列表，便于用户追溯和出具报告详情。

示例性地，图5是本发明实施例提供的另一种压缩文件的层级结构示意图。图6和图7是本公开实施例提供的另一种检测报告示意图。参见图5，该压缩文件二级目录下含有1个白样本衍生文件，其他目录无文件。参见图6和图7，该压缩文件的检测报告中显示二级目录下的一个衍生文件为白样本衍生文件，不包括恶意衍生文件，与该压缩文件中包含恶意衍生文件的情况相同。

示例性地，图8是本发明实施例提供的又一种压缩文件的层级结构示意图。图9是本发明实施例提供的待检测衍生文件的文件列表示意图。图10、图11、和图12是本公开实施例提供的又一种检测报告示意图。参见图8，该压缩文件包含较多数量的衍生文件，衍生文件类型包含exe、pdf、dll、txt等。将检测权重前N的衍生文件作为待检测衍生文件，如图9所示。检测报告如图13、图14和图15所示。

在本公开又一种实施方式中，该恶意压缩文件的检测方法还包括：在将压缩文件整体看作一个文件检测完成之后，向联动设备发送检测报告。

具体地，检测报告可以包括压缩文件解压缩失败的提示信息、以及压缩文件的恶意程度。但并不限于此。如此，可直观地向用户呈现压缩文件的检测结果，并且可使压缩文件的检测结果更有说服力，提高用户体验效果和判定结果的可信程度。

下面，将基于一个具体示例，对本公开实施例提供的恶意文件的检测方法进行详细说明。

图13是本公开实施例提供的一种恶意文件的检测过程的流程示意图。参见图13，该恶意文件的检测过程具体包括如下步骤：

S13010、获取压缩文件。

S13020、检测压缩文件是否加密。若是，执行S13030；若否，执行S13060。

S13030、检测用户是否配置密码。若是，执行S13040；若否，执行S13050。

S13040、根据用户配置的密码，对压缩文件解压缩。

S13050、根据内置的常规密码表中的各密码对压缩文件解压缩。

S13060、直接对压缩文件解压缩。

S13070、检测压缩文件是否成功解压缩。若是，执行S13080；若否，执行S13150。

S13080、确定衍生文件的总数。

S13090、检测衍生文件的总数是否大于第一预设阈值。若是，执行S13100；若否，执行S13120。

S13100、为各衍生文件配置检测权重。

S13110、针对各衍生文件的检测权重，按照从小到大的顺序进行排序，将前第一预设数量个检测权重对应的衍生文件，确定为待检测衍生文件。

S13120、将所有衍生文件作为待检测衍生文件。

S13130、在逐个对待检测衍生文件进行检测的过程中，实时将已检测的待检测衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

S13140、实时向联动设备发送压缩文件的恶意程度和检测标志位。

S13150、将压缩文件整体作为待检测文件。

本发明实施例提供的恶意压缩文件的检测方法，能够对压缩文件进行不限压缩层级的恶意文件检测，达到准确识别该压缩文件是否为恶意文件的目的；将衍生文件结果作用于主文件的能力，来屏蔽攻击者的混淆操作；制定衍生文件类型的检测优先级，减少非恶意文件的检测消耗，提高压缩文件的检测效率；及时提供恶意程序的检测结果便于快速联动，异步提供详尽的检测结果，便于用户出具有力度的检测证据。

图14是本公开实施例提供的一种恶意文件的检测装置的结构示意图，该恶意文件的检测装置可以被理解为上述电子设备或者上述电子设备中的部分功能模块。如图14所示，该恶意文件的检测装置1400包括：

第一获取模块1410，用于获取压缩文件；

解压缩模块1420，用于对所述压缩文件进行解压缩处理，得到多个衍生文件；

第一检测模块1430，用于对衍生文件进行检测，得到衍生文件的恶意程度；

第一确定模块1440，用于将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

本公开实施例提供的恶意文件的检测装置，能够获取压缩文件，对压缩文件进行解压缩处理，得到多个衍生文件，对衍生文件进行检测，得到衍生文件的恶意程度，并将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。如此，可实现判定该压缩文件是否为恶意文件的目的，并且将压缩文件所包含的所有衍生文件的恶意程度中的最大值，作为该压缩文件的恶意程度，可准确评定该压缩文件的恶意程度，便于用户后续根据该压缩文件的恶意程度执行对该压缩文件的处理策略。

在本公开另一些实施例中，该装置还包括：

第二确定模块，用于在对衍生文件进行检测，得到衍生文件的恶意程度之前，确定衍生文件的总数；

选取模块，用于在检测到总数大于第一预设阈值时，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件；

其中，第一检测模块1430，具体用于对待检测衍生文件进行检测，得到待检测衍生文件的恶意程度；

第一确定模块1440，具体用于将至少一个待检测衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

在本公开另一些实施例中，选取模块可以包括：

配置子模块，用于为各衍生文件配置检测权重；

选取子模块，用于根据各衍生文件的检测权重，从多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件。

在本公开另一些实施例中，配置子模块可以包括：

第一确定单元，用于确定衍生文件的文件类型；

第二确定单元，用于基于文件类型和检测权重的关联关系，根据衍生文件的文件类型，确定衍生文件的检测权重。

在本公开另一些实施例中，选取子模块可以包括：

排序单元，用于针对各衍生文件的检测权重，按照从小到大的顺序进行排序；

选取单元，用于将前第一预设数量个检测权重对应的衍生文件，确定为待检测衍生文件。

在本公开另一些实施例中，第一确定模块1440具体包括：在逐个对衍生文件进行检测的过程中，实时将已检测的衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

在本公开另一些实施例中，该装置还包括：

更新模块，用于在逐个对衍生文件进行检测的过程中，实时更新检测标志位；其中，检测标志位用于表征是否已完成对所有衍生文件的检测；

发送模块，用于实时向联动设备发送压缩文件的恶意程度和检测标志位。

在本公开另一些实施例中，该装置还包括：

第三确定模块，用于在获取压缩文件之后，若检测到对压缩文件解压缩失败，将压缩文件整体作为待检测文件；

第二检测模块，用于对待检测文件进行检测，得到压缩文件的恶意程度。

本实施例提供的装置能够执行上述图1和图13中任一实施例的方法，其执行方式和有益效果类似，在这里不再赘述。

示例的，图15是本公开实施例中的一种电子设备的结构示意图。下面具体参考图15，其示出了适于用来实现本公开实施例中的电子设备1500的结构示意图。本公开实施例中的电子设备1500可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图15示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图15所示，电子设备1500可以包括处理装置(例如中央处理器、图形处理器等)1501，其可以根据存储在只读存储器(ROM)1502中的程序或者从存储装置1508加载到随机访问存储器(RAM)1503中的程序而执行各种适当的动作和处理。在RAM 1503中，还存储有电子设备1500操作所需的各种程序和数据。处理装置1501、ROM 1502以及RAM 1503通过总线1504彼此相连。输入/输出(I/O)接口1505也连接至总线1504。

通常，以下装置可以连接至I/O接口1505：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置1506；包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置1507；包括例如磁带、硬盘等的存储装置1508；以及通信装置1509。通信装置1509可以允许电子设备1500与其他设备进行无线或有线通信以交换数据。虽然图15示出了具有各种装置的电子设备1500，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在非暂态计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信装置1509从网络上被下载和安装，或者从存储装置1508被安装，或者从ROM 1502被安装。在该计算机程序被处理装置1501执行时，执行本公开实施例的方法中限定的上述功能。

需要说明的是，本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、RF(射频)等等，或者上述的任意合适的组合。

在一些实施方式中，客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol，超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信(例如，通信网络)互连。通信网络的示例包括局域网(“LAN”)，广域网(“WAN”)，网际网(例如，互联网)以及端对端网络(例如，ad hoc端对端网络)，以及任何当前已知或未来研发的网络。

上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取压缩文件；对压缩文件进行解压缩处理，得到多个衍生文件；对衍生文件进行检测，得到衍生文件的恶意程度；将多个衍生文件的恶意程度中的最大值，作为压缩文件的恶意程度。

可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码，上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本公开实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。其中，单元的名称在某种情况下并不构成对该单元本身的限定。

本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。

在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

本公开实施例还提供一种计算机可读存储介质，所述存储介质中存储有计算机程序，当所述计算机程序被处理器执行时可以实现上述图1和图13中任一实施例的方法，其执行方式和有益效果类似，在这里不再赘述。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims (11)

1.一种恶意文件的检测方法，其特征在于，包括：

获取压缩文件；

对所述压缩文件进行解压缩处理，得到多个衍生文件；

对所述衍生文件进行检测，得到所述衍生文件的恶意程度；

将所述多个衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度。

2.根据权利要求1所述的方法，其特征在于，在所述对所述衍生文件进行检测，得到所述衍生文件的恶意程度之前，还包括：

确定所述衍生文件的总数；

在检测到所述总数大于第一预设阈值时，从所述多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件；

其中，所述对所述衍生文件进行检测，得到所述衍生文件的恶意程度包括：

对所述待检测衍生文件进行检测，得到所述待检测衍生文件的恶意程度；

将所述多个衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度包括：

将所述至少一个待检测衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度。

3.根据权利要求2所述的方法，其特征在于，所述从所述多个衍生文件中选取至少一个衍生文件，得到至少一个待检测衍生文件包括：

为各所述衍生文件配置检测权重；

根据各所述衍生文件的检测权重，从所述多个衍生文件中选取至少一个所述衍生文件，得到至少一个待检测衍生文件。

4.根据权利要求3所述的方法，其特征在于，所述为各所述衍生文件配置检测权重包括：

确定所述衍生文件的文件类型；

基于文件类型和检测权重的关联关系，根据所述衍生文件的文件类型，确定所述衍生文件的检测权重。

5.根据权利要求3所述的方法，其特征在于，根据各所述衍生文件的检测权重，从所述多个衍生文件中选取至少一个所述衍生文件，得到至少一个待检测衍生文件包括：

针对各所述衍生文件的检测权重，按照从小到大的顺序进行排序；

将前第一预设数量个检测权重对应的所述衍生文件，确定为所述待检测衍生文件。

6.根据权利要求1所述的方法，其特征在于，所述将所述多个衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度包括：

在逐个对所述衍生文件进行检测的过程中，实时将已检测的所述衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度。

7.根据权利要求6所述的方法，其特征在于，还包括：在逐个对所述衍生文件进行检测的过程中，实时更新检测标志位；其中，所述检测标志位用于表征是否已完成对所有所述衍生文件的检测；

实时向联动设备发送所述压缩文件的恶意程度和所述检测标志位。

8.根据权利要求1所述的方法，其特征在于，所述获取压缩文件之后，还包括：

若检测到对所述压缩文件解压缩失败，将所述压缩文件整体作为待检测文件；

对所述待检测文件进行检测，得到所述压缩文件的恶意程度。

9.一种恶意文件的检测装置，其特征在于，包括：

第一获取模块，用于获取压缩文件；

解压缩模块，用于对所述压缩文件进行解压缩处理，得到多个衍生文件；

第一检测模块，用于对所述衍生文件进行检测，得到所述衍生文件的恶意程度；

第一确定模块，用于将所述多个衍生文件的恶意程度中的最大值，作为所述压缩文件的恶意程度。

10.一种电子设备，其特征在于，包括：

处理器；

存储器，用于存储可执行指令；

其中，所述处理器用于从所述存储器中读取所述可执行指令，并执行所述可执行指令以实现上述权利要求1-8中任一项所述的恶意文件的检测方法。

11.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，当所述计算机程序被处理器执行时，使得处理器实现上述权利要求1-8中任一项所述的恶意文件的检测方法。

Images