CN114861183A - 一种文档宏安全检测方法、装置、电子设备及存储介质 - Google Patents
一种文档宏安全检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114861183A CN114861183A CN202210638332.7A CN202210638332A CN114861183A CN 114861183 A CN114861183 A CN 114861183A CN 202210638332 A CN202210638332 A CN 202210638332A CN 114861183 A CN114861183 A CN 114861183A
- Authority
- CN
- China
- Prior art keywords
- behavior
- document
- macro
- monitoring
- characteristic information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开一种文档宏安全检测方法、装置、电子设备及存储介质,其中,所述方法包括监控文档中宏代码执行时的行为;在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;基于获取到的特征信息,识别文档宏是否存在安全隐患。本发明实施例提供的技术方案可适用于文档宏安全检测场景,能够提高检测的有效性和准确性。
Description
技术领域
本发明涉及计算机安全领域,尤其涉及一种文档宏安全检测方法、装置、电子设备及存储介质。
背景技术
Office是一款Windows上的常用办公文档,用户基数庞大,传播迅速,所以成为现在黑客的主流攻击载体。宏是Office自带的一种高级脚本,通过VBA(Visual Basic forApplications)语言代码,在Office中完成某项特定的任务,而不必再重复相同的动作,目的是让Office文档中的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒,此时该宏称之为恶意宏。一旦携带了恶意宏的Office办公文档在运行后,内置的宏命令被执行时,宏病毒就会被激活,之后伴随的便是恶意行为,由此会对企业、政府、个人造成巨大损失。
目前,现有的杀毒软件主要是通过静态扫描和云查杀的手段,对内含恶意宏的Office文档进行安全检测。然而,宏代码本身是一种脚本语言,使用者门槛低,代码混淆简单,变化多样,使用传统的安全检测方法,检测率低,检测难度较大。
发明内容
有鉴于此,本发明实施例提供一种文档宏安全检测方法、装置、电子设备及存储介质,以提高检测的有效性和准确性。
第一方面,本发明实施例提供一种文档宏安全检测方法,包括:
监控文档中宏代码执行时的行为;
在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;
基于获取到的特征信息,识别文档宏是否存在安全隐患。
进一步的,本发明实施例提供的方法还包括:
在运行文档的进程加载脚本解释执行模块时,对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。
进一步的,本发明实施例提供的方法还包括:
在运行文档的进程启动时,触发对进程内的模块加载行为的监控。
进一步的,监控文档中的宏代码执行时的行为,包括:
对预设的恶意行为所依赖的访问接口位置挂钩,监控文档中的宏代码执行时对预设的恶意行为所依赖的访问接口的调用;
若发生所述调用时,判断该调用行为属于预设的敏感行为。
进一步的,预设的恶意行为所依赖的访问接口包括:获取组件对象模型COM 对象的应用编程接口API;
获取监控到的行为的特征信息,包括:解析获取到的COM对象,得到所监控到的行为的特征信息。
进一步的,在监控到的行为属于预设的敏感行为后,获取该行为的特征信息,包括:
在监控到的行为属于预设的敏感行为后,获取该行为的操作类型、操作对象、操作参数,作为特征信息。
进一步的,在识别文档宏是否存在安全隐患后,所述方法还包括:
对于确定存在恶意行为攻击类的安全隐患,启动安全干预机制;和/或
对于确定存在疑似恶意行为攻击类的安全隐患,进行预警提示。
第二方面,本发明实施例提供一种文档宏安全检测装置,包括:
行为监控单元,用于监控文档中的宏代码执行时的行为;
特征获取单元,用于在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;
安全识别单元,用于基于获取到的特征信息,识别文档宏是否存在安全隐患。
进一步的,所述装置还包括:
监控触发单元,用于在运行文档的进程加载脚本解释执行模块时,对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。
进一步的,监控触发单元,还用于:在运行文档的进程启动时,触发对进程内的模块加载行为的监控。
进一步的,行为监控单元用于监控文档中的宏代码执行时的行为,包括:
对预设的恶意行为所依赖的访问接口位置挂钩,监控文档中的宏代码执行时对预设的恶意行为所依赖的访问接口的调用;
若发生所述调用时,判断该调用行为属于预设的敏感行为。
进一步的,预设的恶意行为所依赖的访问接口包括:获取组件对象模型COM 对象的应用编程接口API;
特征获取单元用于获取监控到的行为的特征信息,包括:解析获取到的COM 对象,得到所监控到的行为的特征信息。
进一步的,特征获取单元用于在监控到的行为属于预设的敏感行为后,获取该行为的特征信息,包括:
在监控到的行为属于预设的敏感行为后,获取该行为的操作类型、操作对象、操作参数,作为特征信息。
进一步的,所述装置还包括防御单元,用于在安全识别单元识别文档宏是否存在安全隐患后:
对于确定存在恶意行为攻击类的安全隐患,启动安全干预机制;
对于确定存在疑似恶意行为攻击类的安全隐患,进行预警提示。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面所述的文档宏安全检测方法。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个中央处理器执行,以实现前述第一方面所述的文档宏安全检测方法。
本发明实施例提供的技术方案,并非如现有技术中对宏代码本身进行静态扫描和查杀,而是通过在宏文档打开后动态执行宏代码的过程中实时监测其行为,来识别是否存在安全隐患,无论编写的宏代码如何混淆多变,都能够正确有效地检测出文档中的宏病毒,进而可以很好地采取防攻击措施,减少损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例提供的一种文档宏安全检测方法的流程图;
图2为本发明实施例提供的一种文档宏安全检测装置的结构示意图;
图3为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
首先,对本发明实施例中涉及的部分名词做简要阐述。
文档:本文中指具有宏功能的办公文档,如office办公软件中的excel和word 文档。
宏:本文中泛指文档宏,其本质是一个批量处理程序命令,正确地运用它可以提高工作效率。
脚本:计算机的一种特定的描述性语言,一般需要解释执行,运行时需依赖特定解释执行环境。
模块:本文中指动态链接库,其中包含能被可执行程序或其他DLL调用来完成某些工作的函数。在Windows中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库。当执行某一个程序时,相应的DLL文件就会被调用。
COM(Component Object Model):组件对象模型,是开发软件组件的一种方法。组件实际上是一些小的二进制可执行程序,可以给应用程序、操作系统以及其他组件提供服务。其可以视为一个小巧的脚本语言,被C/C++代码调用。
API(Application Programming Interface):应用编程接口,是电脑操作系统或程序库提供给应用程序调用使用的代码。
Lua:一个小巧的脚本语言,可很轻易被C/C++代码调用,为应用程序提供灵活的扩展和定制功能。
下面,详细介绍本发明的技术方案。
本实施例提供了一种文档宏安全检测方法,该方法可以由对应的文档宏安全检测装置或者一个独立的模块(例如保护模块)集成在具有办公文档执行功能的电子设备上执行。参见图1,该方法具体包括如下步骤101-103。
步骤101、监控文档中宏代码执行时的行为。
在现有技术中,办公文档通常具有宏功能。如果文档的宏功能被启用,则会在运行文档的进程启动或关闭时触发宏代码的自动执行。并且,考虑到宏代码是一种脚本,需要依靠于脚本解释执行模块(例如vbe6.dll或者vbe7.dll)来执行。因此,可在运行文档的进程启动时,触发对进程内的模块加载行为的监控。在检测到运行文档的进程加载的模块是脚本解释执行模块时,则表明有宏代码要执行,此时对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。当然,本领域人员应理解:宏代码的执行需要依靠于除脚本解释执行模块外的其它特定模块时,也可通过监控对所述其它特定模块的加载判断宏代码的执行;若确定是在运行文档的进程关闭时触发宏代码的自动执行,那么对进程内的模块加载行为监控的触发也可发生在接收到对运行文档的关闭操作时。本发明实施例对此不作具体限定。
此外,发明人在研究过程中发现,大多数宏病毒产生的恶意行为都依赖于对一些特定访问接口的调用,这些接口称之为恶意行为所依赖的访问接口。当携带有宏病毒的文档产生恶意行为时,会先调用这些特定访问接口。相应的,在具体实施时,可预先对预设的恶意行为所依赖的访问接口位置挂钩,监控文档中的宏代码执行时对预设的恶意行为所依赖的访问接口的调用。若发生所述调用时,判断该调用行为属于预设的敏感行为,可能会造成安全隐患,需要进一步对该类行为分析,识别其是否真正属于恶意行为。典型的,所述敏感行为包括注册表读写、文件读写、进程创建、网络下载、计划任务创建等。示例性的,预设的恶意行为所依赖的访问接口包括:获取组件对象模型COM对象的应用编程接口API。
步骤102、在监控到的行为属于预设的敏感行为后,获取该行为的特征信息。
具体实施时,获取监控到的行为的特征信息,可包括:解析获取到的COM 对象,得到所监控到的行为的特征信息。其中,获取到的该行为的特征信息,包括:该行为的操作类型、操作对象、操作参数。例如,网络下载行为的特征信息包括文件下载类操作描述、文件服务器名称、文件服务器的地址信息等。 COM对象具体的解析过程属于现有技术,在此不再赘述。
步骤103、基于获取到的特征信息,识别文档宏是否存在安全隐患。
对文档中宏代码执行时的具体行为进行监控,发现发生属于预设的敏感行为后,对该行为的特征信息进行分析。典型的,该分析过程可通过lua脚本引擎实现。如果经分析发现该行为确实属于恶意行为,则判断文档宏存在恶意行为攻击类的安全隐患,启动安全干预机制,例如立即拒绝并返回错误。如果经分析发现该行为为疑似恶意行为,则判断文档宏存在疑似恶意行为攻击类的安全隐患,进行预警提示,例如提示用户选择是否拦截。当然,如果经分析发现既不属于恶意行为也并非疑似恶意行为,那么则认为文档宏不存在安全隐患。
又或者,一旦发现存在属于恶意行为的或者疑似恶意行为达到预设数量,判断为文档宏存在安全隐患,其它情况判断为不存在安全隐患。示例性的,确定属于恶意行为的,包括:对预设恶意IP地址的访问、预设的恶意类文件的创建、带有明显病毒特征的注册表写入等操作行为。确定属于疑似恶意行为的,包括:对系统注册表、计划任务等预设的敏感位置写入的高危行为。
其中,对于恶意行为或者疑似恶意行为的识别,可通过行为的特征信息与预设的恶意行为以及疑似恶意行为特征库匹配实现。具体的,在对文档中宏代码执行时的具体行为进行监控,发现发生属于预设的敏感行为后,获取该行为的特征信息,将其与所述特征库中的恶意行为以及疑似恶意行为特征模板进行匹配,如果匹配成功,则判断该行为属于特征模板对应的恶意行为或疑似恶意行为。
以下通过两个示例,说明本发明实施例提供的技术方案。
示例1、小王收到同事小李发来的XXX日报.xlsx(该文档已中感染型病毒),公司采购了集成在文档内的数据统计插件,已默认启用宏。
第一步:小王双击打开日报,被感染的文档内恶意宏代码立即开始执行。
第二步:恶意宏代码执行后,开始遍历系统下的其它文档进行感染,这其中必然涉及文件的写入,此时保护模块就会弹窗提示用户该文档正在对其它文档进行写入操作,是否拦截。(选是则直接跳转至第四步)
第三步:恶意行为未终止,写入文件成功,写入的数据含已知的感染型文件特征,后续可被保护模块进行预警提示。
第四步:恶意行为及时被终止,写入文件失败。
示例2、用户打开了钓鱼文档(XXXXXXX)。
第一步:文档内有引诱用户启用宏的字样,用户点击启用宏。
第二步:恶意宏代码开始自动执行,此过程一开时便会执行到保护模块初始化监控逻辑,开始对预设的恶意行为所依赖的访问接口进行监控。
第三步:文档开始访问恶意IP(91.240.118.172),下载核心文件到本地执行的过程中,保护模块会检测出恶意IP,并阻拦其访问接口调用过程并返回错误。
第四步:恶意宏代码初始化逻辑中产生错误,无法下载核心文件,后续便无法产生恶意行为。
相应的,本发明实施例还提供了一种文档宏安全检测装置,该装置可以被集成在具备有宏功能的电子设备上,用于执行本发明实施例所述的文档宏安全检测装置方法。参见图2,该装置具体包括以下单元:
行为监控单元201,用于监控文档中的宏代码执行时的行为;
特征获取单元202,用于在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;
安全识别单元203,用于基于获取到的特征信息,识别文档宏是否存在安全隐患。
进一步的,所述装置还包括:
监控触发单元200,用于在运行文档的进程加载脚本解释执行模块时,对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。
进一步的,监控触发单元200,还用于:在运行文档的进程启动时,触发对进程内的模块加载行为的监控。
进一步的,行为监控单元201用于监控文档中的宏代码执行时的行为,包括:
对预设的恶意行为所依赖的访问接口位置挂钩,监控文档中的宏代码执行时对预设的恶意行为所依赖的访问接口的调用;
若发生所述调用时,判断该调用行为属于预设的敏感行为。
进一步的,预设的恶意行为所依赖的访问接口包括:获取组件对象模型COM 对象的应用编程接口API;
特征获取单元202用于获取监控到的行为的特征信息,包括:解析获取到的COM对象,得到所监控到的行为的特征信息。
进一步的,特征获取单元202用于在监控到的行为属于预设的敏感行为后,获取该行为的特征信息,包括:
在监控到的行为属于预设的敏感行为后,获取该行为的操作类型、操作对象、操作参数,作为特征信息。
进一步的,所述装置还包括防御单元204,用于在安全识别单元203识别文档宏是否存在安全隐患后:
对于确定存在恶意行为攻击类的安全隐患,启动安全干预机制;
对于确定存在疑似恶意行为攻击类的安全隐患,进行预警提示。
本实施例提供的文档宏安全检测装置装置与前述方法实施例属于同一发明构思,未在本实施例中描述的技术细节可参见前述方法实施例中的相关描述,在此不再赘述。
图3为本发明电子设备一个实施例的结构示意图,可以实现本发明图1所示实施例的流程,如图3所示,上述电子设备可以包括:壳体31、处理器32、存储器33、电路板34和电源电路35,其中,电路板34安置在壳体31围成的空间内部,处理器32和存储器33设置在电路板34上;电源电路35,用于为上述电子设备的各个电路或器件供电;存储器33用于存储可执行程序代码;处理器32通过读取存储器33中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的文档宏安全检测方法。
处理器32对上述步骤的具体执行过程以及处理器32通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
再者,本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或多个程序,所述一个或者多个程序可被一个或者多个中央处理器执行,以实现前述实施例所述的文档宏安全检测方法。
综上,本发明实施例可以有效的解决传统宏病毒查杀方法检测率低的问题,通过对恶意宏文档具体行为的监控,绕过了因静态检测中代码混淆、家族变种复杂带来的检测难问题,同一家族的样本无论样本本身如何变化,只要最后访问的资产和行为存在恶意特征都会被防御所拦截。同时,相关监控仅针对恶意文档自身触发的恶意行为,防御拦截更加精准有效。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本发明实施例中术语“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种文档宏安全检测方法,其特征在于,所述方法包括:
监控文档中宏代码执行时的行为;
在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;
基于获取到的特征信息,识别文档宏是否存在安全隐患。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在运行文档的进程加载脚本解释执行模块时,对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
在运行文档的进程启动时,触发对进程内的模块加载行为的监控。
4.根据权利要求1所述的方法,其特征在于,监控文档中的宏代码执行时的行为,包括:
对预设的恶意行为所依赖的访问接口位置挂钩,监控文档中的宏代码执行时对预设的恶意行为所依赖的访问接口的调用;
若发生所述调用时,判断该调用行为属于预设的敏感行为。
5.根据权利要求4所述的方法,其特征在于,预设的恶意行为所依赖的访问接口包括:获取组件对象模型COM对象的应用编程接口API;
获取监控到的行为的特征信息,包括:解析获取到的COM对象,得到所监控到的行为的特征信息。
6.根据权利要求1所述的方法,其特征在于,在监控到的行为属于预设的敏感行为后,获取该行为的特征信息,包括:
在监控到的行为属于预设的敏感行为后,获取该行为的操作类型、操作对象、操作参数,作为特征信息。
7.根据权利要求1所述的方法,其特征在于,在识别文档宏是否存在安全隐患后,所述方法还包括:
对于确定存在恶意行为攻击类的安全隐患,启动安全干预机制;
对于确定存在疑似恶意行为攻击类的安全隐患,进行预警提示。
8.一种文档宏安全检测装置,其特征在于,所述装置包括:
行为监控单元,用于监控文档中的宏代码执行时的行为;
特征获取单元,用于在监控到的行为属于预设的敏感行为后,获取该行为的特征信息;
安全识别单元,用于基于获取到的特征信息,识别文档宏是否存在安全隐患。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括监控触发单元,用于:
在运行文档的进程加载脚本解释执行模块时,对脚本解释执行模块的宏代码执行入口点位置挂钩,触发对文档中宏代码执行时行为的监控。
10.根据权利要求9所述的装置,其特征在于,监控触发单元还用于:
在运行文档的进程启动时,触发对进程内的模块加载行为的监控。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210638332.7A CN114861183A (zh) | 2022-06-07 | 2022-06-07 | 一种文档宏安全检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210638332.7A CN114861183A (zh) | 2022-06-07 | 2022-06-07 | 一种文档宏安全检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114861183A true CN114861183A (zh) | 2022-08-05 |
Family
ID=82623980
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210638332.7A Pending CN114861183A (zh) | 2022-06-07 | 2022-06-07 | 一种文档宏安全检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114861183A (zh) |
-
2022
- 2022-06-07 CN CN202210638332.7A patent/CN114861183A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2566329C2 (ru) | Способ защиты компьютерной системы от вредоносного программного обеспечения | |
RU2514141C1 (ru) | Способ эмуляции вызовов системных функций для обхода средств противодействия эмуляции | |
US6907396B1 (en) | Detecting computer viruses or malicious software by patching instructions into an emulator | |
US10229268B2 (en) | System and method for emulation-based detection of malicious code with unmet operating system or architecture dependencies | |
US10242190B2 (en) | System and method for detection of malicious code by iterative emulation of microcode | |
US11288362B2 (en) | System and method for creating antivirus records for antivirus applications | |
Hsu et al. | Browserguard: A behavior-based solution to drive-by-download attacks | |
CN108351936B (zh) | 检测虚拟机或者仿真器的程序规避 | |
US20110209218A1 (en) | Environmental imaging | |
RU2748518C1 (ru) | Способ противодействия вредоносному программному обеспечению (ВПО) путем имитации проверочной среды | |
US11568052B2 (en) | Undetectable sandbox for malware | |
CN114065204A (zh) | 一种无文件木马查杀方法及装置 | |
CN113391874A (zh) | 一种虚拟机检测对抗方法、装置、电子设备及存储介质 | |
Bello et al. | Ares: triggering payload of evasive android malware | |
Ruggia et al. | Android, notify me when it is time to go phishing | |
CN111062035A (zh) | 一种勒索软件检测方法、装置、电子设备及存储介质 | |
CN110611675A (zh) | 向量级检测规则生成方法、装置、电子设备及存储介质 | |
CN113569240B (zh) | 恶意软件的检测方法、装置及设备 | |
CN114861183A (zh) | 一种文档宏安全检测方法、装置、电子设备及存储介质 | |
CN104834861B (zh) | 木马的查杀方法和装置 | |
CN113779576A (zh) | 一种可执行文件感染病毒的识别方法、装置及电子设备 | |
US10838748B2 (en) | System and method of emulating execution of files based on emulation time | |
CN112887328A (zh) | 一种样本检测方法、装置、设备及计算机可读存储介质 | |
CN115859274B (zh) | 一种监控Windows进程清空系统事件日志行为的方法及系统 | |
EP3522058B1 (en) | System and method of creating antivirus records |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |