CN116305129B - 一种基于vsto的文档检测方法及装置、设备及介质 - Google Patents

一种基于vsto的文档检测方法及装置、设备及介质 Download PDF

Info

Publication number
CN116305129B
CN116305129B CN202310546721.1A CN202310546721A CN116305129B CN 116305129 B CN116305129 B CN 116305129B CN 202310546721 A CN202310546721 A CN 202310546721A CN 116305129 B CN116305129 B CN 116305129B
Authority
CN
China
Prior art keywords
file
preset
link
character string
detected
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310546721.1A
Other languages
English (en)
Other versions
CN116305129A (zh
Inventor
高泽霖
刘佳男
肖新光
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Antiy Network Technology Co Ltd
Original Assignee
Beijing Antiy Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Antiy Network Technology Co Ltd filed Critical Beijing Antiy Network Technology Co Ltd
Priority to CN202310546721.1A priority Critical patent/CN116305129B/zh
Publication of CN116305129A publication Critical patent/CN116305129A/zh
Application granted granted Critical
Publication of CN116305129B publication Critical patent/CN116305129B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供了一种基于VSTO的文档检测方法及装置、设备及介质,该方法包括:获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;若目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含文件下载链接;若预设安全链接列表中,不包含文件下载链接,则输出报警信息和文件下载链接。本发明通过对待检测office文档的目标文件进行字段检测,来查看其是否存在远程执行VSTO文件的可能,避免攻击者通过远程VSTO链接引导用户执行恶意代码。

Description

一种基于VSTO的文档检测方法及装置、设备及介质
技术领域
本发明涉及安全检测领域,特别是涉及一种基于VSTO的文档检测方法及装置、设备及介质。
背景技术
在网络安全领域,攻击者会利用VSTO(Visual Studio Tools for office,宏语言)对office文档进行恶意操作,它可以导出嵌入在office文档中的加载项。VSTOoffice文件使攻击者能够通过钓鱼邮件等方式诱导用户安装加载项来控制用户机器远程执行恶意代码。VSTO office文件还可以在用户打开文件后直接从Internet下载VSTO文件,来窃取用户数据资产。且由于大多数安全厂商未关注VSTO在恶意攻击事件中的应用,故目前的安全软件无法检测出利用此技术执行的恶意代码,尤其是针对网络远程VSTO执行的恶意代码,会对用户的网络数据造成安全威胁。
发明内容
有鉴于此,本发明提供一种基于VSTO的文档检测方法及装置、设备及介质,至少部分解决现有技术中存在的技术问题,本发明采用的技术方案为:
根据本申请的一个方面,提供一种基于VSTO的文档检测方法,包括:
响应于获取到待检测office文档,获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
若目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含文件下载链接;其中,第二预设字符串为“.vsto”字符串;
若预设安全链接列表中,不包含具有第二预设字符串的文件下载链接,则输出报警信息和具有第二预设字符串的文件下载链接。
在本申请的一种示例性实施例中,获取待检测office文档中包含的目标文件,包括:
将待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为第一预设字符串,则表示任意文件的文件类型为压缩文件;
将压缩office文档解压到预设存储空间中,获取预设存储空间中由压缩office文档解压后得到的若干非隐藏子文件;
根据预设文件名,从若干非隐藏子文件中确定出目标文件。
在本申请的一种示例性实施例中,在若目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含文件下载链接之前,所述基于VSTO的文档检测方法,还包括:
若目标文件中包含第二预设字段,则根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接。
在本申请的一种示例性实施例中,根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
确定第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接。
在本申请的一种示例性实施例中,输出报警信息和文件下载链接,包括:
根据待检测office文档对应的文档置信度和文件下载链接对应的链接置信度,确定待检测office文档是否为恶意文档;
若待检测office文档不为恶意文档,则将文件下载链接添加至预设安全链接列表中;
若待检测office文档为恶意文档,则输出报警信息和文件下载链接。
在本申请的一种示例性实施例中,预设安全链接列表,通过以下方法确定:
根据每一预设网络下载链接对应的网站上的若干第一预设类型文件的置信度,确定预设网络下载链接是否为安全链接;
将在预设时间段内,确定为安全链接的预设网络下载链接添加至预设安全链接列表中。
在本申请的一种示例性实施例中,预设安全链接列表通过链接更新策略对预设安全链接列表中的安全链接进行更改;
其中,链接更新策略,包括:
根据每隔设定时间获取的预设安全链接列表中的每一安全链接对应的网站上的若干第一预设类型文件的置信度,确定安全链接是否被确定为风险链接;
若安全链接被确定为风险链接,则将其从预设安全链接列表中删除;
根据每隔设定时间获取的风险链接对应的网站上的若干第一预设类型文件的置信度,确定风险链接的更改时间;
根据风险链接的更改时间,确定风险链接是否被确定为安全链接;
若风险链接被确定为安全链接,则将其添加至预设安全链接列表中。
根据本申请的一个方面,提供一种基于VSTO的文档检测装置,包括:
文件获取模块,用于获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
其中,获取待检测office文档中包含的目标文件,包括:
将待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为第一预设字符串,则表示任意文件的文件类型为压缩文件;
将压缩office文档解压到预设存储空间中,获取预设存储空间中由压缩office文档解压后得到的若干非隐藏子文件;
根据预设文件名,从若干非隐藏子文件中确定出目标文件;预设文件名为custom.xml;
链接确定模块,用于当目标文件中包含第二预设字段,则根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,当目标文件中包含具有第二预设字符串的文件下载链接时,确定在预设安全链接列表中,是否包含文件下载链接;其中,第二预设字段为位置属性信息,第二预设字段为“_AssemblyLocation”,第二预设字符串为“.vsto”字符串;
其中,根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
确定第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接;
信息输出模块,用于当预设安全链接列表中,不包含文件下载链接时,输出报警信息和文件下载链接。
根据本申请的一个方面,提供一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的基于VSTO的文档检测方法。
根据本申请的一个方面,提供一种电子设备,包括处理器和前述的非瞬时性计算机可读存储介质。
本发明至少具有以下有益效果:
本发明通过获取待检测office文档中包含的目标文件,若目标文件中包含具有第二预设字符串的文件下载链接,则表示待检测office文档中存在远程执行VSTO文件的链接,判断文件下载链接是否在预设安全链接列表中,若预设安全链接列表中不包含文件下载链接,则表示文件下载链接不为安全链接,则输出报警信息和文件下载链接,以提示用户待检测office文档为威胁文件。通过对待检测office文档的目标文件进行字段检测,来查看其是否存在远程执行VSTO文件的可能,避免攻击者通过远程VSTO链接引导用户执行恶意代码。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的基于VSTO的文档检测方法的流程图;
图2为本发明实施例提供的基于VSTO的文档检测装置的框图;
图3-图8为本发明实施例提供的基于VSTO的文档检测方法的步骤示例图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Microsoft office文件中的VBA(VisualBasic for Applications,宏语言)长期以来一直被攻击者利用,以达到进入目标系统并部署恶意软件的目的。如果允许其自动运行,一旦使用者打开office文件,攻击者便能利用VBA来执行恶意代码。即使默认不启用VBA,攻击者也会通过社工手段,如启用VBA才能查看完整内容等方式,诱导用户启用VBA来执行恶意代码。出于以上原因,越来越多的安全防护软件都会阻止可疑的VBA代码执行,并且微软也会默认阻止来自Internet的文件中的宏。
由于VSTO(Visual Studio Tools for office)使开发office应用程序更为简单,且用VSTO来开发office应用程序可以使用Visual studio开发环境中的众多功能和CLR提供的内存管理、垃圾回收等功能。因此,攻击者开始使用VBA的替代攻击媒介VSTO,它可以导出嵌入在office文档中的加载项。VSTO office文件使攻击者能够通过钓鱼邮件等方式诱导用户安装加载项来控制用户机器远程执行恶意代码。如图5所示,攻击者在文档中诱导受害者需要安装自定义项才能看到完整内容,大多数不了解office文档的用户会被诱导安装,安装后将会执行攻击者预设的恶意代码,执行恶意行为。当VSTO office文件连接到使用.NET编写的Visual Studiooffice File应用程序时,它能够执行任意恶意代码。VSTOoffice文件还可以在用户打开文件后直接从Internet下载VSTO文件(.NET应用程序)。并且由于大多数安全厂商未关注VSTO在恶意攻击事件中的使用,故目前的安全软件基本上都无法检测出利用此技术执行的恶意代码。
所以,为了能够阻止攻击者利用VSTO在用户机器上执行恶意代码,故提出本发明的基于VSTO的文档检测方法,通过检测office文档中是否存在恶意利用VSTO文件的网络链接而进行远程恶意代码执行的情况,来判断office文档是否为恶意的,以阻止其在用户机器内执行恶意代码,避免用户数据资产受到损害。
如图1所示为根据本发明的一个实施例的基于VSTO的文档检测方法的流程图。
如图1所示,根据本发明的一个实施例的基于VSTO的文档检测方法,包括:
步骤S100、响应于获取到待检测office文档,获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
待检测office文档为接收到的未检测的文档,其包含有若干个非隐藏子文件,当获取到待检测office文档时,获取其包含的所有非隐藏子文件,从所有非隐藏子文件中检索出文件名称为预设文件名的非隐藏子文件,并将其确定为目标文件,通过目标文件来检测待检测office文档中是否具有利用VSTO远程执行的网络链接。
进一步,步骤S100中,获取待检测office文档中包含的目标文件,包括:
步骤S110、将待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为第一预设字符串,则表示任意文件的文件类型为压缩文件;
步骤S120、将压缩office文档解压到预设存储空间中,获取预设存储空间中由压缩office文档解压后得到的若干非隐藏子文件;
待检测office文档在获取时只为一个可编辑文档,如图3所示,若要获取其包含的子文件,就需要对其进行压缩及解压,压缩则是直接将待检测office文档的后缀名更改为第一预设字符串,如zip字符串,将后缀名更改为第一预设字符串的待检测office文档会转换为压缩文件,得到压缩office文档,再将其解压到预设存储空间中,预设存储空间可以为空白文件夹,也可为其他不包含VSTO文件的文件夹或其他内存,解压后得到若干非隐藏子文件。
目前,由于检测VSTO执行需要满足运行环境,故攻击者通常需要想办法将利用VSTO的文档和依赖项共同传播到用户的机器中,即在同一个文件夹下。而正常使用此类文档的用户通常会将环境提前安装在默认或指定文件夹下,针对当前保密程度较高的场景,往往会限制用户机器一次性传输文件数量。攻击者可通过钓鱼邮件、水坑网站等多种方式,将office文档、VSTO文件、dll文件、依赖项分频次传输到指定系统。等所有文件全部传输完成时,用户下次打开恶意文档时就会执行恶意代码。由于office文档多次被使用,用户会降低警惕心理,从而让攻击者成功执行恶意行为。所以,当下载VSTO利用组件时,如下载文件夹包含后缀为.vsto的文件,则更换其他文件夹保存。即如正常下载到一个名为“下载”的指定文件夹,则把文件夹分为下载一、下载二两个文件夹,将同一来源(相同URL、相同邮箱)的office文档的其中的文件分开存储,保证VSTO无法达成执行条件,即预设文件夹的选择确定方法。
步骤S130、根据预设文件名,从若干非隐藏子文件中确定出目标文件;目标文件的文件名为预设文件名;
目标文件为名称为预设文件名的非隐藏子文件,如图6所示,custom.xml对应的文件即目标文件,custom.xml则为预设文件名,确定目标文件后,再对其内的属性信息进行检测,来判断其是否含有VSTO文件。
步骤S140、若目标文件中包含第二预设字段,则根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接。
确定出目标文件后,对其进行字段检测,检测其是否包括第二预设字段,第二预设字段为VSTO文件的位置属性信息,如图7所示,图7中第一个被打标框的字段即为第二预设字段,为“_AssemblyLocation”,通过检测目标文件中是否包含第二预设字段,来判断待检测office文档是否采用了远程VSTO技术。
进一步,步骤S140中,根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
步骤S141、确定第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接。
如图8所示,第二预设字符串即为“.vsto”字符串,若第二预设字段的字段内容中不包含具有第二预设字符串的网络链接,则表示待检测office文档为非风险文件,不做处理;若第二预设字段的字段内容中包含具有第二预设字符串的网络链接,则表示待检测office文档中具有可疑链接,将具有第二预设字符串的网络链接确定为文件下载链接,即风险链接。
步骤S200、若目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含文件下载链接;
预设安全链接列表中包含的网络链接为安全链接,安全链接为被恶意代码执行的概率低于预设阈值的网络链接,即网络链接的白名单,表示在预设安全链接列表中的网络链接的安全执行系数较高,认为通过预设安全链接列表中的网络链接下载的文件中不包含恶意代码,通过判断文件下载链接是否存在于预设安全链接列表中,来确定文件下载链接是否为安全链接。
其中,预设安全链接列表,通过以下方法确定:
步骤S201、根据每一预设网络下载链接对应的网站上的若干第一预设类型文件的置信度,确定预设网络下载链接是否为安全链接;
步骤S202、将在预设时间段内,确定为安全链接的预设网络下载链接添加至预设安全链接列表中。
预设网络下载链接为公开网站对应的链接,或预设的网站对应的链接,第一预设类型文件为.VSTO文件,由于为了检测出文件下载链接是否为远程VSTO文件对应的网络链接,所以,就要统计VSTO文件的置信度,组合成预设安全链接列表。置信度为对应的第一预设文件为安全文件的概率系数,可以通过其对应的预设网络下载链接的访问次数和安全执行次数来确定,如获取第一预设类型文件对应的预设网络下载链接的访问次数A1、第一预设类型文件的下载次数A2、第一预设类型文件的安全执行次数A3,确定此第一预设类型文件的置信度为A3/A2/A1,通过此确定方法,确定出每一预设网络下载链接对应的网站上的每一第一预设类型文件的置信度,再对属于同一个预设网络下载链接对应的网站的所有第一预设类型文件的置信度进行求和,得到每一个预设网络下载链接对应的网站的总置信度,若总置信度大于预设置信度阈值,则表示此预设网络下载链接对应的网站上的安全文件符合安全执行的标准,则将其确定为安全链接,再通过此方法,确定所有预设网络下载链接是否为安全链接,确定出所有的安全链接后,将在预设时间段内(如在一周内)的所有安全链接添加至预设安全链接列表中,将其确定为预设安全链接列表。
步骤S300、若预设安全链接列表中,不包含具有第二预设字符串的文件下载链接,则输出报警信息和具有第二预设字符串的文件下载链接。
若待检测office文档对应的文件下载链接不在预设安全链接列表中,则表示此文件下载链接不为安全链接,则输出报警信息和此文件下载链接,来提示用户此文件下载链接具有危险性,其为威胁链接。
进一步,步骤S300中,输出报警信息和文件下载链接,包括:
步骤S310、根据待检测office文档对应的文档置信度和文件下载链接对应的链接置信度,确定待检测office文档是否为恶意文档;
步骤S320、若待检测office文档不为恶意文档,则将文件下载链接添加至预设安全链接列表中;
步骤S330、若待检测office文档为恶意文档,则输出报警信息和文件下载链接。
步骤S310-步骤S330为判断待检测office文档是否为恶意文档的进一步确定方法,当待检测office文档对应的文件下载链接不在预设安全链接列表中时,获取待检测office文档对应的文档置信度B1和文件下载链接对应的链接置信度B2,文档置信度B1可以通过待检测office文档的历史相似文档的数量B11和历史相似文档为安全文档的数量B12确定,B1=B12/B11,历史相似文档为与待检测office文档的类型、大小相似的文档;链接置信度B2的确定方法与文档置信度B1相同,B2=B22/B21,B22为与文件下载链接相似的历史相似链接为安全链接的数量,B21为与文件下载链接相似的历史相似链接的数量。得到B1和B2后,对其进行求和,若加和小于预设置信度阈值,则表示待检测office文档中存在恶意代码或当打开文件时其存在安全威胁,所以将待检测office文档确定为恶意文档,此时再输出报警信息和文件下载链接,提示用户;反之,若加和大于等于预设置信度阈值,则表示待检测office文档中不存在恶意代码,认为其为安全文档,则可以打开待检测office文档。而由于待检测office文档中包含的文件下载链接不在预设安全链接列表中,但待检测office文档却为安全文档,此时认为预设安全链接列表中的安全链接的信息有缺失,可以将待检测office文档中包含的文件下载链接添加至预设安全链接列表中,便于对之后的office文档进行安全链接检测。
此外,预设安全链接列表通过链接更新策略对预设安全链接列表中的安全链接进行更改,使预设安全链接列表中的安全链接进行状态更新,确保预设安全链接列表中的网络链接保持为安全链接,其中,链接更新策略,包括:
步骤S301、根据每隔设定时间获取的预设安全链接列表中的每一安全链接对应的网站上的若干第一预设类型文件的置信度,确定安全链接是否被确定为风险链接;
每隔设定时间,获取预设安全链接列表中的每一安全链接对应的网站上的所有第一预设类型文件的置信度,若置信度仍大于等于预设置信度阈值,则表示其仍为安全链接,不做处理;若置信度小于预设置信度阈值,则表示此安全链接对应的网站上的第一预设类型文件进行了修改,如新增了新第一预设类型文件,或对原第一预设类型文件进行了修改,使此安全链接对应的网站成为了威胁网站,则此时,此安全链接就被确定为风险链接。
步骤S302、若安全链接被确定为风险链接,则将其从预设安全链接列表中删除;
若安全链接对应的网站上的所有第一预设类型文件的置信度小于预设置信度阈值,则将此安全链接确定为风险链接,并将其从预设安全链接列表中删除,并转入预设待定链接列表中,预设待定链接列表中存储有判断待定的风险链接;
步骤S303、根据每隔设定时间获取的风险链接对应的网站上的若干第一预设类型文件的置信度,确定风险链接的更改时间;
每隔设定时间,获取预设待定链接列表中的风险链接对应的网站上的所有第一预设类型文件的置信度,此设定时间可以与预设安全链接列表的设定时间相同,也可不同,当预设待定链接列表中的风险链接的置信度大于等于预设置信度阈值时,则将风险链接置信度大于等于预设置信度阈值的时间确定为更改时间,通过更改时间,可以确定是否将对应的风险链接添加至预设安全链接列表中;
步骤S304、根据风险链接的更改时间,确定风险链接是否被确定为安全链接;
步骤S305、若风险链接被确定为安全链接,则将其添加至预设安全链接列表中。
若更改时间小于等于预设更改时间阈值,则表示其对应的风险链接对应的网站的自愈能力较强,可以在较短时间内发现其上的恶意文档或恶意信息,并将其清除,因此可将对应的风险链接再确定为安全链接,并将其再添加至预设安全链接列表中;若预设待定链接列表中的风险链接在预设待定链接列表中的存在时间大于预设更改时间阈值,则表示此风险链接对应的网站的自愈能力较差,日常维护能力较弱,因此可将对应的风险链接从预设待定链接列表中删除,保证预设待定链接列表中的风险链接的数量维持在较少数量,从而降低用户机器对预设待定链接列表中的风险链接的信息占用的算力。
此外,为了确定待检测office文档中是否具有风险文件,则要对待检测office文档进行本地VSTO检测,故提出本发明的另一实施例,将步骤S200替换为:
步骤S002、若目标文件中同时包括第一预设字段和第二预设字段,则根据待检测office文档包含的若干子文件,确定待检测office文档是否具有对应的风险文件;任一子文件为非隐藏子文件或隐藏子文件;
若目标文件同时包含了第一预设字段和第二预设字段,则表示其采用了VSTO技术,图7中的第二个被打标框的字段即为第一预设字段,为“_AssemblyName”,表示VSTO文件的名称属性信息,通过第二预设字段和待检测office文档的子文件可以确定出风险文件,风险文件,即表示其执行时会造成安全威胁的文件,且其执行的威胁系数高于安全阈值,其中,风险文件为根据具有第二预设字符串的文件下载链接下载得到的文件。
进一步,步骤S002中,根据待检测office文档包含的若干子文件,确定待检测office文档是否具有对应的风险文件,包括:
步骤S003、确定预设存储空间中是否包含隐藏文件,若包含,则将每一隐藏文件确定为隐藏子文件;确定至少一个隐藏子文件中是否包含文件类型为第一预设类型的隐藏子文件,若包含,则将文件类型为第一预设类型的隐藏子文件确定为风险文件。
通过检测待检测office文档中包含的子文件中是否包含文件类型为第一预设类型的隐藏子文件,来确定其是否为风险文件,如图4所示,第一预设类型则为VSTO类型的文件,其包括打开VSTO文件所需的加载项、依赖项、dll文件、pdb文件等。由于待检测office文档在传输到用户机器时,只在用户机器上显示一个文件,若恶意文档采用本地VSTO的方式,则.net编译的.dll加载项及其依赖项通常会与为执行它而创建的office文档存储在一起。而攻击者为了避免让用户发现异常,通常会将VSTO加载项及其依赖项进行隐藏。所以可以通过检测office文档同目录下是否包含隐藏的VSTO加载项及其依赖项,来判断本地VSTO的文档是否为恶意文件,所以,为了应对其恶意侵入的方法,就要查看待检测office文档中隐藏的子文件中是否包含有第一预设类型的隐藏子文件,若其包含,则表示为本地VSTO恶意侵入方式,将第一预设类型的隐藏子文件确定为风险文件。
进一步,步骤S003中,将文件类型为第一预设类型的隐藏子文件确定为风险文件,包括:
步骤S0311、获取文件类型为第一预设类型的隐藏子文件的特征信息;
步骤S0312、根据特征信息,确定对应的文件类型为第一预设类型的隐藏子文件的风险特征值;
通过获取第一预设类型的隐藏子文件的特征信息,来确定对应的风险特征值,再根据风险特征值与预设风险值进行对比,来确定其是否为风险文件。
进一步,步骤S0312中,根据特征信息,确定对应的文件类型为第一预设类型的隐藏子文件的风险特征值,包括:
步骤S03121、根据特征信息,确定对应的文件类型为第一预设类型的隐藏子文件的特征向量;
步骤S03122、获取若干历史非恶意特征向量和若干历史恶意特征向量;历史非恶意特征向量为历史非风险文件对应的特征向量,历史非风险文件为文件类型为第一预设类型,且不包含设定类型代码的文件;历史恶意特征向量为历史风险文件对应的特征向量,历史风险文件为文件类型为第一预设类型,且包含设定类型代码的文件;
步骤S03123、对若干历史非恶意特征向量进行聚类,得到若干个历史非恶意特征向量组;
步骤S03124、对每个历史非恶意特征向量组中的若干历史非恶意特征向量进行融合处理,得到每个历史非恶意特征向量组对应的历史非恶意融合特征向量;
步骤S03125、将特征向量与每一历史非恶意融合特征向量进行特征对比,得到若干个第一匹配度;
步骤S03126、将特征向量与每一历史恶意特征向量进行特征对比,得到若干个第二匹配度;
步骤S03127、根据每一历史非恶意融合特征向量的权重、每一历史恶意特征向量的权重、每一第一匹配度和每一第二匹配度,确定特征向量对应的文件类型为第一预设类型的隐藏子文件的风险特征值。
步骤S03121-步骤S03127为第一预设类型的隐藏子文件的风险特征值的确定方法,获取第一预设类型的隐藏子文件的特征信息,文件大小Q1、是否为隐藏子文件的标识Q2、隐藏子文件的数量Q3、dll包的数量Q4、已知依赖项的类型Q5、未知依赖项的类型Q6,将其组成对应的特征向量Q=(Q1,Q2,Q3,Q4,Q5,Q6),由于每种恶意文件的恶意原因不同,攻击者可能会在隐藏子文件上进行恶意代码植入,也可能会在隐藏子文件的依赖项上进行恶意代码植入,所以,为了使得到的特征向量更为准确的表示隐藏子文件的全方面特征,就要获取其各个方面的特征信息,如被植入恶意代码的文件大小会比正常文件的大小要大,被植入恶意代码的文件的依赖项的类型与正常文件的依赖项类型不同等。在获取到第一预设类型的隐藏子文件的特征向量后,再获取每一历史非恶意特征向量和历史恶意特征向量,历史非恶意特征向量和历史恶意特征向量可以通过历史数据的记录获得,也可统计在历史预设时间段内接收到的或检测到的文档的历史非恶意特征向量和历史恶意特征向量,并对所有历史非恶意特征向量进行聚类,得到若干个历史非恶意特征向量组,对每个历史非恶意特征向量组进行融合处理,如平均值处理,得到每个历史非恶意特征向量组对应的历史非恶意融合特征向量,由于恶意文件的每次被检测出使用的恶意手段不唯一,所以,只对历史非恶意特征向量进行聚类融合,再将特征向量分别与每一历史非恶意融合特征向量、每一历史恶意特征向量进行特征对比,分别得到若干个第一匹配度和若干个第二匹配度,匹配度即两个比较的特征向量之间的相似距离,再根据每一历史非恶意融合特征向量的权重、每一历史恶意特征向量的权重,对对应的第一匹配度和第二匹配度进行加权处理,得到特征向量对应的文件类型为第一预设类型的隐藏子文件的风险特征值。
其中,每一历史非恶意融合特征向量的权重通过以下方法确定:
获取每一历史非恶意融合特征向量对应的历史非风险文件的检测时间、检测正确率,通过检测时间与检测正确率的乘积,确定为对应的历史非风险文件的检测效率,再根据检测效率的数值递减,对每一历史非恶意融合特征向量进行排序,根据排序后的序号对每一历史非恶意融合特征向量进行归一化处理,得到每一历史非恶意融合特征向量对应的权重。
其中,每一历史恶意特征向量的权重通过以下方法确定:
获取每一历史恶意特征向量对应的历史风险文件的检测时间、检测正确率,通过检测时间与检测正确率的乘积,确定为对应的历史风险文件的检测效率,再根据检测效率的数值递减,对每一历史恶意特征向量进行排序,根据排序后的序号对每一历史恶意特征向量进行归一化处理,得到每一历史恶意特征向量对应的权重。
得到每一历史非恶意融合特征向量的权重和每一历史恶意特征向量的权重后,再将其与对应的第一匹配度或第二匹配度进行相乘,将所有的乘积进行求和,得到特征向量对应的文件类型为第一预设类型的隐藏子文件的风险特征值。
此外,风险文件还可以通过以下方法确定:
将每一特征向量与预设的正样本向量和预设的负样本向量进行特征对比,得到对应的匹配度;正样本向量和负样本向量则为标准的非风险文件和风险文件对应的特征向量,可以通过历史统计得到;
若特征向量与预设的正样本向量之间的匹配度大于特征向量与预设的负样本向量之间的匹配度,则将非恶意确定为特征向量的特征对比结果;否则,将恶意确定为特征向量的特征对比结果;
遍历所有特征向量对应的特征对比结果,若特征对比结果为非恶意的数量大于特征对比结果为恶意的数量,则确定待检测office文档为非风险文件;否则,确定待检测office文档为风险文件。
还可以通过AI回归模型对特征向量进行分析,得到风险文件。AI回归模型由每一历史恶意特征向量、每一历史非恶意特征向量而确定,将特征向量放入AI回归模型中,即可得到特征向量对应的风险特征值,再通过风险特征值与预设风险阈值的比较,来确定特征向量对应的待检测office文档是否为风险文件。
步骤S0313、若风险特征值大于预设风险阈值,则将此风险特征值对应的文件类型为第一预设类型的隐藏子文件确定为风险文件。
得到特征向量对应的文件类型为第一预设类型的隐藏子文件的风险特征值后,将其与预设风险阈值进行对比,若其大于预设风险阈值,则表示其威胁风险较大,故将此风险特征值对应的文件类型为第一预设类型的隐藏子文件确定为风险文件,若其小于或等于预设风险阈值,则表示其威胁风险较小,对其不做处理。
本发明通过获取待检测office文档中包含的目标文件,若目标文件中包含具有第二预设字符串的文件下载链接,则表示待检测office文档中存在远程执行VSTO文件的链接,判断文件下载链接是否在预设安全链接列表中,若预设安全链接列表中不包含文件下载链接,则表示文件下载链接不为安全链接,则输出报警信息和文件下载链接,以提示用户待检测office文档为威胁文件,通过对待检测office文档的目标文件进行字段检测,来查看其是否存在远程执行VSTO文件的可能,避免攻击者通过远程VSTO链接引导用户执行恶意代码。
一种基于VSTO的文档检测装置100,如图2所示,包括:
文件获取模块110,用于获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
其中,获取待检测office文档中包含的目标文件,包括:
将待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为第一预设字符串,则表示任意文件的文件类型为压缩文件;
将压缩office文档解压到预设存储空间中,获取预设存储空间中由压缩office文档解压后得到的若干非隐藏子文件;
根据预设文件名,从若干非隐藏子文件中确定出目标文件;预设文件名为custom.xml;
链接确定模块120,用于当目标文件中包含第二预设字段,则根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,当目标文件中包含具有第二预设字符串的文件下载链接时,确定在预设安全链接列表中,是否包含文件下载链接;其中,第二预设字段为位置属性信息,第二预设字段为“_AssemblyLocation”,第二预设字符串为“.vsto”字符串;
其中,根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
确定第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接;
信息输出模块130,用于当预设安全链接列表中,不包含文件下载链接时,输出报警信息和文件下载链接。
本发明的实施例还提供一种计算机程序产品,其包括程序代码,当所述程序产品在电子设备上运行时,所述程序代码用于使该电子设备执行本说明书上述描述的根据本发明各种示例性实施方式的方法中的步骤。
此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种能够实现上述方法的电子设备。
所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
根据本发明的这种实施方式的电子设备。电子设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:上述至少一个处理器、上述至少一个储存器、连接不同系统组件(包括储存器和处理器)的总线。
其中,所述储存器存储有程序代码,所述程序代码可以被所述处理器执行,使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
储存器可以包括易失性储存器形式的可读介质,例如随机存取储存器(RAM)和/或高速缓存储存器,还可以进一步包括只读储存器(ROM)。
储存器还可以包括具有一组(至少一个)程序模块的程序/实用工具,这样的程序模块包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线可以为表示几类总线结构中的一种或多种,包括储存器总线或者储存器控制器、外围总线、图形加速端口、处理器或者使用多种总线结构中的任意总线结构的局域总线。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且,电子设备还可以通过网络适配器与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器通过总线与电子设备的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (7)

1.一种基于VSTO的文档检测方法,其特征在于,包括:
响应于获取到待检测office文档,获取所述待检测office文档中包含的目标文件;所述目标文件为所述待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
若所述目标文件中包含第二预设字段,则根据所述第二预设字段,确定所述目标文件中是否包含具有第二预设字符串的文件下载链接;其中,所述第二预设字段为位置属性信息,所述第二预设字段为“_AssemblyLocation”;
若所述目标文件中包含具有第二预设字符串的文件下载链接,则确定在预设安全链接列表中,是否包含所述文件下载链接;其中,所述第二预设字符串为“.vsto”字符串;
若所述预设安全链接列表中,不包含所述文件下载链接,则输出报警信息和所述文件下载链接;
其中,所述获取所述待检测office文档中包含的目标文件,包括:
将所述待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为所述第一预设字符串,则表示任意文件的文件类型为压缩文件;
将所述压缩office文档解压到预设存储空间中,获取预设存储空间中由所述压缩office文档解压后得到的若干非隐藏子文件;
根据预设文件名,从若干所述非隐藏子文件中确定出目标文件;其中,所述预设文件名为custom.xml;
其中,根据所述第二预设字段,确定所述目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
确定所述第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接。
2.根据权利要求1所述的方法,其特征在于,所述输出报警信息和所述文件下载链接,包括:
根据所述待检测office文档对应的文档置信度和所述文件下载链接对应的链接置信度,确定所述待检测office文档是否为恶意文档;
若所述待检测office文档不为恶意文档,则将所述文件下载链接添加至所述预设安全链接列表中;
若所述待检测office文档为恶意文档,则输出报警信息和所述文件下载链接。
3.根据权利要求2所述的方法,其特征在于,所述预设安全链接列表,通过以下方法确定:
根据每一预设网络下载链接对应的网站上的若干第一预设类型文件的置信度,确定所述预设网络下载链接是否为安全链接;
将在预设时间段内,确定为安全链接的预设网络下载链接添加至所述预设安全链接列表中。
4.根据权利要求3所述的方法,其特征在于,所述预设安全链接列表通过链接更新策略对所述预设安全链接列表中的安全链接进行更改;
其中,所述链接更新策略,包括:
根据每隔设定时间获取的所述预设安全链接列表中的每一安全链接对应的网站上的若干第一预设类型文件的置信度,确定所述安全链接是否被确定为风险链接;
若所述安全链接被确定为风险链接,则将其从所述预设安全链接列表中删除;
根据每隔设定时间获取的所述风险链接对应的网站上的若干第一预设类型文件的置信度,确定所述风险链接的更改时间;
根据所述风险链接的更改时间,确定所述风险链接是否被确定为安全链接;
若所述风险链接被确定为安全链接,则将其添加至所述预设安全链接列表中。
5.一种基于VSTO的文档检测装置,其特征在于,包括:
文件获取模块,用于获取待检测office文档中包含的目标文件;目标文件为待检测office文档中包含的文件名称为预设文件名的非隐藏子文件;
其中,获取待检测office文档中包含的目标文件,包括:
将待检测office文档的后缀名替换为第一预设字符串,得到压缩office文档;其中,任意文件的后缀名若为第一预设字符串,则表示任意文件的文件类型为压缩文件;
将压缩office文档解压到预设存储空间中,获取预设存储空间中由压缩office文档解压后得到的若干非隐藏子文件;
根据预设文件名,从若干非隐藏子文件中确定出目标文件;预设文件名为custom.xml;
链接确定模块,用于当目标文件中包含第二预设字段,则根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,当目标文件中包含具有第二预设字符串的文件下载链接时,确定在预设安全链接列表中,是否包含文件下载链接;其中,第二预设字段为位置属性信息,第二预设字段为“_AssemblyLocation”,第二预设字符串为“.vsto”字符串;
其中,根据第二预设字段,确定目标文件中是否包含具有第二预设字符串的文件下载链接,包括:
确定第二预设字段的字段内容中是否包含具有第二预设字符串的网络链接,若包含,则将具有第二预设字符串的网络链接确定为文件下载链接;
信息输出模块,用于当预设安全链接列表中,不包含文件下载链接时,输出报警信息和文件下载链接。
6.一种非瞬时性计算机可读存储介质,所述存储介质中存储有至少一条指令或至少一段程序,其特征在于,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1-4中任意一项的所述方法。
7.一种电子设备,其特征在于,包括处理器和权利要求6中所述的非瞬时性计算机可读存储介质。
CN202310546721.1A 2023-05-16 2023-05-16 一种基于vsto的文档检测方法及装置、设备及介质 Active CN116305129B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310546721.1A CN116305129B (zh) 2023-05-16 2023-05-16 一种基于vsto的文档检测方法及装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310546721.1A CN116305129B (zh) 2023-05-16 2023-05-16 一种基于vsto的文档检测方法及装置、设备及介质

Publications (2)

Publication Number Publication Date
CN116305129A CN116305129A (zh) 2023-06-23
CN116305129B true CN116305129B (zh) 2023-08-15

Family

ID=86801642

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310546721.1A Active CN116305129B (zh) 2023-05-16 2023-05-16 一种基于vsto的文档检测方法及装置、设备及介质

Country Status (1)

Country Link
CN (1) CN116305129B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116861428B (zh) * 2023-09-04 2023-12-08 北京安天网络安全技术有限公司 一种基于关联文件的恶意检测方法、装置、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10650086B1 (en) * 2016-09-27 2020-05-12 Palantir Technologies Inc. Systems, methods, and framework for associating supporting data in word processing
CN111222856A (zh) * 2020-01-15 2020-06-02 深信服科技股份有限公司 一种邮件识别方法、装置、设备及存储介质
KR102192235B1 (ko) * 2020-05-11 2020-12-17 지엔소프트(주) Vsto 기반 전자문서 비식별화 서비스 제공 장치
CN113168320A (zh) * 2018-11-02 2021-07-23 Lz实验室有限公司 用类选择性替换遗留加载模块程序以在java虚拟机中执行
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
CN115562992A (zh) * 2022-10-09 2023-01-03 北京安天网络安全技术有限公司 一种文件检测方法、装置、电子设备及存储介质
CN115766184A (zh) * 2022-11-10 2023-03-07 安天科技集团股份有限公司 一种网页数据处理方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8245223B2 (en) * 2008-12-23 2012-08-14 Microsoft Corporation Networked deployment of multi-application customizations

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10650086B1 (en) * 2016-09-27 2020-05-12 Palantir Technologies Inc. Systems, methods, and framework for associating supporting data in word processing
US11184379B1 (en) * 2018-03-16 2021-11-23 United Services Automobile Association (Usaa) File scanner to detect malicious electronic files
CN113168320A (zh) * 2018-11-02 2021-07-23 Lz实验室有限公司 用类选择性替换遗留加载模块程序以在java虚拟机中执行
CN111222856A (zh) * 2020-01-15 2020-06-02 深信服科技股份有限公司 一种邮件识别方法、装置、设备及存储介质
KR102192235B1 (ko) * 2020-05-11 2020-12-17 지엔소프트(주) Vsto 기반 전자문서 비식별화 서비스 제공 장치
CN115562992A (zh) * 2022-10-09 2023-01-03 北京安天网络安全技术有限公司 一种文件检测方法、装置、电子设备及存储介质
CN115766184A (zh) * 2022-11-10 2023-03-07 安天科技集团股份有限公司 一种网页数据处理方法、装置、电子设备及存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
基于VSTO的Microsoft Word文件标准化检查工具的实现;张旭;常芸瑜;穆兰芬;刘明明;;仪器仪表用户(第06期);84-87 *

Also Published As

Publication number Publication date
CN116305129A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
CN116303290B (zh) 一种office文档检测方法及装置、设备及介质
US8775333B1 (en) Systems and methods for generating a threat classifier to determine a malicious process
CN109145600B (zh) 使用静态分析元素检测恶意文件的系统和方法
CN102592079B (zh) 用于检测未知恶意软件的系统和方法
CN102332072B (zh) 用于检测恶意软件和管理恶意软件相关信息的系统和方法
US9832211B2 (en) Computing device to detect malware
CN108804925B (zh) 用于检测恶意代码的方法和系统
CN101777062B (zh) 场境感知的实时计算机保护系统和方法
EP3899770B1 (en) System and method for detecting data anomalies by analysing morphologies of known and/or unknown cybersecurity threats
US20200125726A1 (en) System and method for detecting anomalous events based on a dump of an address space of a software process in a memory of a computing device
CN116305129B (zh) 一种基于vsto的文档检测方法及装置、设备及介质
CN104580203A (zh) 网站恶意程序检测方法及装置
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN115562992A (zh) 一种文件检测方法、装置、电子设备及存储介质
CN113378161A (zh) 一种安全检测方法、装置、设备及存储介质
CN104580200A (zh) 一种网站防护方法与装置
CN116305291B (zh) 一种office文档安全存储方法及装置、设备及介质
KR20140141801A (ko) 필터를 이용한 클라우드 기반 악성코드 진단장치, 시스템 및 방법
CN116028917A (zh) 权限检测方法及装置、存储介质及电子设备
CN115495740A (zh) 一种病毒检测方法和装置
CN112948829B (zh) 文件查杀方法、系统、设备及存储介质
CN113127860B (zh) 可执行文件的检测方法、装置、终端及存储介质
CN110868410A (zh) 获取网页木马连接密码的方法、装置、电子设备、及存储介质
CN116611068B (zh) 基于混淆路径的文件扫描方法、电子设备及存储介质
EP4254241A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant