CN114647849A - 潜在危险文件的检测方法、装置、电子设备及存储介质 - Google Patents
潜在危险文件的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114647849A CN114647849A CN202210283023.2A CN202210283023A CN114647849A CN 114647849 A CN114647849 A CN 114647849A CN 202210283023 A CN202210283023 A CN 202210283023A CN 114647849 A CN114647849 A CN 114647849A
- Authority
- CN
- China
- Prior art keywords
- file
- binary code
- target
- computer
- potentially dangerous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 64
- 238000001514 detection method Methods 0.000 claims abstract description 30
- 230000008569 process Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 13
- 230000004044 response Effects 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 2
- 231100001261 hazardous Toxicity 0.000 claims description 2
- 238000013461 design Methods 0.000 description 6
- 241000700605 Viruses Species 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000010076 replication Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例涉及计算机安全技术领域,特别涉及一种潜在危险文件的检测方法、装置、电子设备及存储介质。其中,潜在危险文件的检测方法包括:对计算机中的待扫描文件进行扫描;响应于扫描到潜在危险文件,基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,所述潜在危险文件为不能被所述计算机中反病毒引擎识别的格式的文件,所述目标文件为能被所述计算机中反病毒引擎识别的格式的文件;基于所述目标二进制代码,对所述潜在危险文件进行检测。本发明提供的方案可以解决反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题。
Description
技术领域
本发明实施例涉及计算机安全技术领域,特别涉及一种潜在危险文件的检测方法、装置、电子设备及存储介质。
背景技术
随着计算机技术在社会生活中各个领域的广泛运用,病毒也如同其附属品一样接踵而来。由于这些病毒所具有的感染性、复制性及破坏性,使得其已成为困扰计算机使用的一个重大问题。
相关技术中,反病毒引擎(例如杀毒软件)为了提高检测效率,会根据文件格式进行分类,对于不同的文件格式执行不同的检测策略。对于反病毒引擎不能识别的文件格式,反病毒引擎不会对该格式的文件进行处理(例如删除)。因此,不法分子通常会将恶意样本进行更改,来防止反病毒引擎对恶意样本的检出。
例如,不法分子会将恶意样本中恶意代码提取出来生成一个不能被反病毒引擎识别的格式的文件,然后用一个没有恶意代码的文件来打开这个生成的新文件,以获取恶意代码并执行恶意代码,这是对计算机的安全不利的。而这种不能被反病毒引擎识别的格式的文件很可能就是计算机中存在的潜在危险文件,因此有必要对这种潜在危险文件进行有效检测。
发明内容
为了解决反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题,本发明实施例提供了一种潜在危险文件的检测方法、装置、电子设备及存储介质。
第一方面,本发明实施例提供了一种潜在危险文件的检测方法,包括:
对计算机中的待扫描文件进行扫描;
响应于扫描到潜在危险文件,基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,所述潜在危险文件为不能被所述计算机中反病毒引擎识别的格式的文件,所述目标文件为能被所述计算机中反病毒引擎识别的格式的文件;
基于所述目标二进制代码,对所述潜在危险文件进行检测。
在一种可能的设计中,所述基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,包括:
将所述潜在危险文件对应的第一二进制代码拼接到所述计算机的内存中预先配置好的第二二进制代码的尾部,得到目标文件对应的目标二进制代码;其中,所述第二二进制代码用于表征保持敏感结构的无恶意样本。
在一种可能的设计中,所述基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,包括:
打开所述计算机的外存中预先创建的保持敏感结构的无恶意样本,得到用于表征所述无恶意样本的第二二进制代码;
将所述潜在危险文件对应的第一二进制代码拼接到用所述第二二进制代码的尾部,得到目标文件对应的目标二进制代码。
在一种可能的设计中,所述敏感结构的数量为多种,所述目标二进制代码的数量和所述敏感结构的数量相同。
在一种可能的设计中,所述基于所述目标二进制代码,对所述潜在危险文件进行检测,包括:
利用预设的检测策略分别对得到的与每一种所述目标文件对应的目标二进制代码进行检测,以得到所述潜在危险文件的检测结果。
在一种可能的设计中,所述敏感结构包括PE结构和ELF结构。
在一种可能的设计中,在所述基于所述目标二进制代码,对所述潜在危险文件进行检测之后,还包括:
响应于检测结果为所述潜在危险文件是危险文件,对调用所述潜在危险文件的进程进行监视,以将调用所述潜在危险文件的进程确定为恶意进程。
第二方面,本发明实施例还提供了一种潜在危险文件的扫描装置,包括:
扫描模块,用于对计算机中的待扫描文件进行扫描;
更改模块,用于响应于扫描到潜在危险文件,基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,所述潜在危险文件为不能被所述计算机中反病毒引擎识别的格式的文件,所述目标文件为能被所述计算机中反病毒引擎识别的格式的文件;
检测模块,用于基于所述目标二进制代码,对所述潜在危险文件进行检测。
第三方面,本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本说明书任一实施例所述的方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行本说明书任一实施例所述的方法。
本发明实施例提供了一种潜在危险文件的检测方法、装置、电子设备及存储介质,反病毒引擎在扫描到潜在危险文件时,会基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,即将不能被反病毒引擎识别的格式的文件转换为能被反病毒引擎识别的格式的文件,这样就可以对潜在危险文件进行检测,从而解决了反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例提供的一种潜在危险文件的检测方法流程图;
图2是本发明一实施例提供的另一种潜在危险文件的检测方法流程图;
图3是本发明一实施例提供的一种电子设备的硬件架构图;
图4是本发明一实施例提供的一种潜在危险文件的扫描装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例,基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
反病毒引擎是容易获得的,不法分子可以通过各种手段对恶意样本进行更改,来防止反病毒引擎对恶意样本的检出。例如,不法分子会将恶意样本中恶意代码提取出来生成一个不能被反病毒引擎识别的格式的文件,然后用一个没有恶意代码的文件来打开这个生成的新文件,以获取恶意代码并执行恶意代码,这是对计算机的安全不利的。
为了解决该技术问题,发明人考虑在反病毒引擎扫描到潜在危险文件时,基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,即将不能被反病毒引擎识别的格式的文件转换为能被反病毒引擎识别的格式的文件,这样就可以对潜在危险文件进行检测,从而解决了反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题。
下面描述以上构思的具体实现方式。
请参考图1,本发明实施例提供了一种潜在危险文件的检测方法,该方法包括:
步骤100:对计算机中的待扫描文件进行扫描;
步骤102:响应于扫描到潜在危险文件,基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,潜在危险文件为不能被计算机中反病毒引擎识别的格式的文件,目标文件为能被计算机中反病毒引擎识别的格式的文件;
步骤104:基于目标二进制代码,对潜在危险文件进行检测。
本发明实施例中,反病毒引擎在扫描到潜在危险文件时,会基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,即将不能被反病毒引擎识别的格式的文件转换为能被反病毒引擎识别的格式的文件,这样就可以对潜在危险文件进行检测,从而解决了反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题。
下面描述图1所示的各个步骤的执行方式。
针对步骤100:
具体地,是利用反病毒引擎中的扫描程序执行步骤100的操作。其中,本发明实施例对待扫描文件的类型不进行具体限定,例如可以是文档、视频、图片、音频、压缩包、可执行文件等。
针对步骤102:
需要说明的是,“不能被计算机中反病毒引擎识别的格式”可以理解为:既不属于本领域技术人员所熟知的文件格式,也不属于预先设置于反病毒引擎中可识别的文件格式。相反,“能被计算机中反病毒引擎识别的格式”可以理解为:既可以属于本领域技术人员所熟知的文件格式,也可以属于预先设置于反病毒引擎中可识别的文件格式。
下面对两种拼接方式进行介绍。
第一种:
在一些实施方式中,步骤102可以包括:
将潜在危险文件对应的第一二进制代码拼接到计算机的内存中预先配置好的第二二进制代码的尾部,得到目标文件对应的目标二进制代码;其中,第二二进制代码用于表征保持敏感结构的无恶意样本。
在本实施例中,由于用于表征保持敏感结构的无恶意样本的第二二进制代码是预先在计算机的内存中配置好的,因此在将潜在危险文件对应的第一二进制代码拼接到该第二二进制代码的尾部后,反病毒引擎就可以直接对得到的目标二进制代码进行检测。
可以理解的是,这种拼接方式使得计算机的内存只需要读取一次数据(即将潜在危险文件对应的第一二进制代码拼接到该第二二进制代码的尾部),就能够对拼接后的数据进行检测,这种拼接方式对应的检测效率较高。
第二种:
在一些实施方式中,步骤102可以包括:
以二进制的方式打开计算机的外存中预先创建的保持敏感结构的无恶意样本,得到用于表征无恶意样本的第二二进制代码;
将潜在危险文件对应的第一二进制代码拼接到第二二进制代码的尾部,得到目标文件对应的目标二进制代码。
在本实施例中,由于保持敏感结构的无恶意样本是预先在计算机的外存中创建好的,因此为了基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,需要先以二进制的方式打开该无恶意样本,以得到第二二进制代码,再将潜在危险文件对应的第一二进制代码拼接到第二二进制代码的尾部,得到用于表征目标文件对应的目标二进制代码,反病毒引擎就可以对得到的目标二进制代码进行检测。
可以理解的是,这种拼接方式会使得计算机的内存需要读取两次数据,即分别为将潜在危险文件对应的第一二进制代码拼接到用于表征无恶意样本的第二二进制代码的尾部以及将得到的目标二进制代码读取到内存中,这样才能对拼接后的数据进行检测,这种拼接方式对应的检测效率相较于第一种稍低。
在一些实施方式中,敏感结构的数量为多种(例如至少包括PE结构和ELF结构,在此对敏感结构的具体类型不进行限定)。可以理解的是,敏感结构是一种计算机自身可执行的文件结构。
例如,可移植的可执行文件(PortableExecutable,PE)是一种用于可执行文件、目标文件和动态链接库的文件格式,主要使用在32位和64位的Windows操作系统上。“可移植的”是指该文件格式的通用性,可用于许多种不同的操作系统和体系结构中。PE文件格式封装了Windows操作系统加载可执行程序代码时所必需的一些信息。这些信息包括动态链接库、API导入和导出表、资源管理数据和线程局部存储数据。在WindowsNT操作系统中,PE文件格式主要用于EXE文件、DLL文件、SYS(驱动程序)和其他文件类型。可扩展固件接口(EFI)技术规范书中说明PE格式是EFI环境中的标准可执行文件格式,开头为DOS头部。
再例如,可执行和可链接格式(Executable and Linkable Format,ELF),常被称为ELF格式,在计算机科学中,是一种用于执行档、目的档、共享库和核心转储的标准文件格式。
为了保证对潜在危险文件检测的全面性和准确性,可以考虑将目标二进制代码的数量和敏感结构的数量设置为相同。也就是说,将潜在危险文件对应的第一二进制代码复制多次,并将复制得到的每一组第一二进制代码分别拼接到每一种用于表征保持不同敏感结构的无恶意样本的第二二进制代码的尾部,从而得到多种目标二进制代码。
针对步骤104:
由于在步骤102中得到了多种目标二进制代码,因此为了保证对潜在危险文件检测的全面性和准确性,需要利用反病毒引擎预先设置好的所有检测策略分别对得到的与每一种目标文件对应的目标二进制代码进行检测,以得到潜在危险文件的检测结果。
需要说明的是,反病毒引擎预设的检测策略可以是基于现有的成熟的检测策略得到,这些检测策略被本领域技术人员所熟知,因此在此对具体的检测策略不进行赘述。
如果反病毒引擎检测的结果为潜在危险文件是危险文件,则说明该潜在危险文件中存在恶意代码,后续很可能会被相关恶意进程进行调用,以完成对计算机的感染。
为了解决该技术问题,在一些实施方式中,在步骤104之后还可以包括:
响应于检测结果为潜在危险文件是危险文件,对调用潜在危险文件的进程进行监视,以将调用潜在危险文件的进程确定为恶意进程。
在本实施例中,通过在确定潜在危险文件是危险文件时,对调用潜在危险文件的进程进行监视(例如采用hook技术),以将调用潜在危险文件的进程确定为恶意进程,并可以对该恶意进程进行进一步处理(例如删除或做进一步相关分析),从而保证了计算机不会被病毒感染。
综上,在扫描到不能被反病毒引擎识别的格式的文件时,可以将不能被反病毒引擎识别的格式的文件转换为能被反病毒引擎识别的格式的文件,从而可以实现对不能被反病毒引擎识别的格式的文件的有效检测。
图2示出根据另一个实施例的潜在危险文件的检测方法的流程图。参见图2,该方法包括:
步骤200:对计算机中的待扫描文件进行扫描;
步骤202:响应于扫描到潜在危险文件,将潜在危险文件对应的第一二进制代码拼接到计算机的内存中预先配置的第二二进制代码的尾部,得到目标文件对应的目标二进制代码;其中,第二二进制代码用于表征保持敏感结构的无恶意样本;执行步骤208;
步骤204:响应于扫描到潜在危险文件,以二进制的方式打开计算机的外存中预先创建好的保持敏感结构的无恶意样本,得到用于表征保持敏感结构的无恶意样本的第二二进制代码;
步骤206:将潜在危险文件对应的第一二进制代码拼接到第二二进制代码的尾部,得到目标文件对应的目标二进制代码;
步骤208:利用预设的检测策略分别对得到的与每一种目标文件对应的目标二进制代码进行检测,以得到潜在危险文件的检测结果;
步骤210:响应于检测结果为潜在危险文件是危险文件,对调用潜在危险文件的进程进行监视,以将调用潜在危险文件的进程确定为恶意进程。
如图3、图4所示,本发明实施例提供了一种潜在危险文件的扫描装置。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。从硬件层面而言,如图3所示,为本发明实施例提供的一种潜在危险文件的扫描装置所在电子设备的一种硬件架构图,除了图3所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常还可以包括其他硬件,如负责处理报文的转发芯片等等。以软件实现为例,如图4所示,作为一个逻辑意义上的装置,是通过其所在电子设备的CPU将非易失性存储器中对应的计算机程序读取到内存中运行形成的。
如图4所示,本实施例提供的一种潜在危险文件的扫描装置,包括:
扫描模块400,用于对计算机中的待扫描文件进行扫描;
更改模块402,用于响应于扫描到潜在危险文件,基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,潜在危险文件为不能被计算机中反病毒引擎识别的格式的文件,目标文件为能被计算机中反病毒引擎识别的格式的文件;
检测模块404,用于基于目标二进制代码,对潜在危险文件进行检测。
在本发明实施例中,扫描模块400可用于执行上述方法实施例中的步骤100,更改模块402可用于执行上述方法实施例中的步骤102,检测模块404可用于执行上述方法实施例中的步骤104。
在本发明的一个实施例中,更改模块402,用于执行如下操作:
将潜在危险文件对应的第一二进制代码拼接到计算机的内存中预先配置好的第二二进制代码的尾部,得到目标文件对应的目标二进制代码;其中,第二二进制代码用于表征保持敏感结构的无恶意样本。
在本发明的一个实施例中,更改模块402,用于执行如下操作:
以二进制的方式打开计算机的外存中预先创建好的保持敏感结构的无恶意样本,得到用于表征无恶意样本的第二二进制代码;
将潜在危险文件对应的第一二进制代码拼接到用第二二进制代码的尾部,得到目标文件对应的目标二进制代码。
在本发明的一个实施例中,敏感结构的数量为多种,目标二进制代码的数量和敏感结构的数量相同。
在本发明的一个实施例中,检测模块404,用于执行如下操作:
利用预设的检测策略分别对得到的与每一种目标文件对应的目标二进制代码进行检测,以得到潜在危险文件的检测结果。
在本发明的一个实施例中,敏感结构包括PE结构和ELF结构中的至少一种。
在本发明的一个实施例中,还包括:
监视模块,用于执行如下操作:
响应于检测结果为潜在危险文件是危险文件,对调用潜在危险文件的进程进行监视,以将调用潜在危险文件的进程确定为恶意进程。
可以理解的是,本发明实施例示意的结构并不构成对一种潜在危险文件的扫描装置的具体限定。在本发明的另一些实施例中,一种潜在危险文件的扫描装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
本发明实施例还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现本发明任一实施例中的一种潜在危险文件的检测方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序在被处理器执行时,使所述处理器执行本发明任一实施例中的一种潜在危险文件的检测方法。
具体地,可以提供配有存储介质的系统或者装置,在该存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机(或CPU或MPU)读出并执行存储在存储介质中的程序代码。
在这种情况下,从存储介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此程序代码和存储程序代码的存储介质构成了本发明的一部分。
用于提供程序代码的存储介质实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD+RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上下载程序代码。
此外,应该清楚的是,不仅可以通过执行计算机所读出的程序代码,而且可以通过基于程序代码的指令使计算机上操作的操作系统等来完成部分或者全部的实际操作,从而实现上述实施例中任意一项实施例的功能。
此外,可以理解的是,将由存储介质读出的程序代码写到插入计算机内的扩展板中所设置的存储器中或者写到与计算机相连接的扩展模块中设置的存储器中,随后基于程序代码的指令使安装在扩展板或者扩展模块上的CPU等来执行部分和全部实际操作,从而实现上述实施例中任一实施例的功能。
综上所述,本发明提供了一种潜在危险文件的检测方法、装置、电子设备及存储介质,本发明至少具有如下有益效果:
1、在本发明的一个实施例中,反病毒引擎在扫描到潜在危险文件时,会基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,即将不能被反病毒引擎识别的格式的文件转换为能被反病毒引擎识别的格式的文件,这样就可以对潜在危险文件进行检测,从而解决了反病毒引擎对其不能识别的格式的文件不能进行有效检测的问题。
2、在本发明的一个实施例中,由于用于表征保持敏感结构的无恶意样本的第二二进制代码是预先在计算机的内存中配置好的,因此在将潜在危险文件对应的第一二进制代码拼接到该第二二进制代码的尾部后,反病毒引擎就可以直接对得到的目标二进制代码进行检测。
3、在本发明的一个实施例中,由于保持敏感结构的无恶意样本是预先在计算机的外存中创建好的,因此为了基于潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,需要先以二进制的方式打开该无恶意样本,以得到第二二进制代码,再将潜在危险文件对应的第一二进制代码拼接到第二二进制代码的尾部,得到用于表征目标文件对应的目标二进制代码,反病毒引擎就可以对得到的目标二进制代码进行检测。
4、在本发明的一个实施例中,通过利用反病毒引擎预先设置好的所有检测策略分别对得到的与每一种目标文件对应的目标二进制代码进行检测,可以保证对潜在危险文件检测的全面性和准确性。
5、在本发明的一个实施例中,通过在确定潜在危险文件是危险文件时,对调用潜在危险文件的进程进行监视,以将调用潜在危险文件的进程确定为恶意进程,并可以对该恶意进程进行进一步处理,从而保证了计算机不会被病毒感染。
需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个…”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同因素。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储在计算机可读取的存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种潜在危险文件的检测方法,其特征在于,包括:
对计算机中的待扫描文件进行扫描;
响应于扫描到潜在危险文件,基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,所述潜在危险文件为不能被所述计算机中反病毒引擎识别的格式的文件,所述目标文件为能被所述计算机中反病毒引擎识别的格式的文件;
基于所述目标二进制代码,对所述潜在危险文件进行检测。
2.根据权利要求1所述的方法,其特征在于,所述基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,包括:
将所述潜在危险文件对应的第一二进制代码拼接到所述计算机的内存中预先配置好的第二二进制代码的尾部,得到目标文件对应的目标二进制代码;其中,所述第二二进制代码用于表征保持敏感结构的无恶意样本。
3.根据权利要求1所述的方法,其特征在于,所述基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码,包括:
打开所述计算机的外存中预先创建的保持敏感结构的无恶意样本,得到用于表征所述无恶意样本的第二二进制代码;
将所述潜在危险文件对应的第一二进制代码拼接到用所述第二二进制代码的尾部,得到目标文件对应的目标二进制代码。
4.根据权利要求2或3所述的方法,其特征在于,所述敏感结构的数量为多种,所述目标二进制代码的数量和所述敏感结构的数量相同。
5.根据权利要求4所述的方法,其特征在于,所述基于所述目标二进制代码,对所述潜在危险文件进行检测,包括:
利用预设的检测策略分别对得到的与每一种所述目标文件对应的目标二进制代码进行检测,以得到所述潜在危险文件的检测结果。
6.根据权利要求4所述的方法,其特征在于,所述敏感结构包括PE结构和ELF结构。
7.根据权利要求1-3中任一项所述的方法,其特征在于,在所述基于所述目标二进制代码,对所述潜在危险文件进行检测之后,还包括:
响应于检测结果为所述潜在危险文件是危险文件,对调用所述潜在危险文件的进程进行监视,以将调用所述潜在危险文件的进程确定为恶意进程。
8.一种潜在危险文件的扫描装置,其特征在于,包括:
扫描模块,用于对计算机中的待扫描文件进行扫描;
更改模块,用于响应于扫描到潜在危险文件,基于所述潜在危险文件对应的第一二进制代码,得到目标文件对应的目标二进制代码;其中,所述潜在危险文件为不能被所述计算机中反病毒引擎识别的格式的文件,所述目标文件为能被所述计算机中反病毒引擎识别的格式的文件;
检测模块,用于基于所述目标二进制代码,对所述潜在危险文件进行检测。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器执行所述计算机程序时,实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210283023.2A CN114647849B (zh) | 2022-03-22 | 2022-03-22 | 潜在危险文件的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210283023.2A CN114647849B (zh) | 2022-03-22 | 2022-03-22 | 潜在危险文件的检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114647849A true CN114647849A (zh) | 2022-06-21 |
CN114647849B CN114647849B (zh) | 2024-06-25 |
Family
ID=81995945
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210283023.2A Active CN114647849B (zh) | 2022-03-22 | 2022-03-22 | 潜在危险文件的检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114647849B (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346830A (zh) * | 2011-09-23 | 2012-02-08 | 重庆大学 | 基于梯度直方图的病毒检测方法 |
CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
US20150143452A1 (en) * | 2013-11-21 | 2015-05-21 | The Board Of Regents, The University Of Texas System | System and method for retrofitting application code |
US20190132334A1 (en) * | 2017-10-27 | 2019-05-02 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
CN110516445A (zh) * | 2019-08-07 | 2019-11-29 | 南方电网科学研究院有限责任公司 | 反检测恶意代码的识别方法、装置及存储介质 |
CN110659495A (zh) * | 2019-09-27 | 2020-01-07 | 山东理工大学 | 一种恶意代码家族分类方法 |
CN111400707A (zh) * | 2020-03-10 | 2020-07-10 | 深信服科技股份有限公司 | 一种文件宏病毒检测方法、装置、设备及存储介质 |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN112528284A (zh) * | 2020-12-18 | 2021-03-19 | 北京明略软件系统有限公司 | 恶意程序的检测方法及装置、存储介质、电子设备 |
CN114077741A (zh) * | 2021-11-01 | 2022-02-22 | 清华大学 | 软件供应链安全检测方法和装置、电子设备及存储介质 |
-
2022
- 2022-03-22 CN CN202210283023.2A patent/CN114647849B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102346830A (zh) * | 2011-09-23 | 2012-02-08 | 重庆大学 | 基于梯度直方图的病毒检测方法 |
US20150143452A1 (en) * | 2013-11-21 | 2015-05-21 | The Board Of Regents, The University Of Texas System | System and method for retrofitting application code |
CN104504333A (zh) * | 2014-11-25 | 2015-04-08 | 武汉安天信息技术有限责任公司 | Elf文件中的恶意代码检测方法及装置 |
US20190132334A1 (en) * | 2017-10-27 | 2019-05-02 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
CN111723373A (zh) * | 2019-03-19 | 2020-09-29 | 国家计算机网络与信息安全管理中心 | 复合式二进制文档的漏洞利用文件检测方法及装置 |
CN110516445A (zh) * | 2019-08-07 | 2019-11-29 | 南方电网科学研究院有限责任公司 | 反检测恶意代码的识别方法、装置及存储介质 |
CN110659495A (zh) * | 2019-09-27 | 2020-01-07 | 山东理工大学 | 一种恶意代码家族分类方法 |
CN111400707A (zh) * | 2020-03-10 | 2020-07-10 | 深信服科技股份有限公司 | 一种文件宏病毒检测方法、装置、设备及存储介质 |
CN112528284A (zh) * | 2020-12-18 | 2021-03-19 | 北京明略软件系统有限公司 | 恶意程序的检测方法及装置、存储介质、电子设备 |
CN114077741A (zh) * | 2021-11-01 | 2022-02-22 | 清华大学 | 软件供应链安全检测方法和装置、电子设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
LIHUA WU等: "Automatic Detection Model of Malware Signature for Anti-virus Cloud Computing", pages 1 - 3, Retrieved from the Internet <URL:《网页在线公开:https://ieeexplore.ieee.org/abstract/document/8027024》> * |
傅玉等: "面向二进制程序的空指针解引用错误的检测方法", 《计算机学报》, vol. 41, no. 3, 2 July 2018 (2018-07-02), pages 574 - 587 * |
Also Published As
Publication number | Publication date |
---|---|
CN114647849B (zh) | 2024-06-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8819835B2 (en) | Silent-mode signature testing in anti-malware processing | |
US7721334B2 (en) | Detection of code-free files | |
US9479520B2 (en) | Fuzzy whitelisting anti-malware systems and methods | |
US9516045B2 (en) | Resisting the spread of unwanted code and data | |
US6907396B1 (en) | Detecting computer viruses or malicious software by patching instructions into an emulator | |
US7945787B2 (en) | Method and system for detecting malware using a remote server | |
EP2115653B1 (en) | File conversion in restricted process | |
US8578345B1 (en) | Malware detection efficacy by identifying installation and uninstallation scenarios | |
US20120005755A1 (en) | Infection inspection system, infection inspection method, storage medium, and program | |
US20080010538A1 (en) | Detecting suspicious embedded malicious content in benign file formats | |
KR100992434B1 (ko) | 확장자를 위장한 파일을 탐지하는 방법 및 그 장치 | |
WO2020019505A1 (zh) | 一种恶意软件检测方法及相关设备 | |
WO2019013033A1 (ja) | コールスタック取得装置、コールスタック取得方法、および、コールスタック取得プログラム | |
CN114647849B (zh) | 潜在危险文件的检测方法、装置、电子设备及存储介质 | |
EP2418600A1 (en) | Malware protection scheme | |
CN114662107A (zh) | 恶意程序的防御方法、装置、电子设备及存储介质 | |
CN113032783B (zh) | 一种基于非代码特征的病毒检测方法和系统 | |
CN110610086B (zh) | 非法代码识别方法、系统、装置及存储介质 | |
CN112765672A (zh) | 一种恶意代码的检测方法、装置和计算机可读介质 | |
CN105718799B (zh) | 一种识别文件溢出漏洞的方法及系统 | |
CN117763546A (zh) | 病毒查杀方法及系统、电子设备 | |
CN113765852A (zh) | 数据包的检测方法、系统、存储介质和计算设备 | |
CN115221513A (zh) | 恶意文件的检测方法、装置、设备和存储介质 | |
CN116401661A (zh) | 一种文件检测方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |