WO2015123972A1

WO2015123972A1 - 宏病毒检测方法及装置

Info

Publication number: WO2015123972A1
Application number: PCT/CN2014/084389
Authority: WO
Inventors: 王云峰; 梁光彩; 付志远
Original assignee: 珠海市君天电子科技有限公司
Priority date: 2014-02-24
Filing date: 2014-08-14
Publication date: 2015-08-27
Also published as: US10237285B2; US20160156645A1; CN103810428B; CN103810428A

Abstract

公开了一种宏病毒检测方法及装置，方法包括：在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；利用调用的宏病毒检测模块，对目标数据文件进行检测。宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。

Description

宏病毒检测方法及装置技术领域

本发明涉及计算机安全技术领域，特别涉及一种宏病毒检测方法及装置。背景技术

计算机科学中的宏，是指在数据文件中被程序语言允许使用的指令序列。宏病毒，是指寄存在数据文件或数据文件模版上，用宏语言编写的恶意指令序列，当用户打开被宏病毒感染的数据文件或者对被宏病毒感染的数据文件进行操作（例如保存、删除等）时，会将其激活，使其运行，从而造成其想要达到的后果。

随着计算机和互联网的发展，越来越多的人使用办公软件，带有宏病毒的数据文件很容易从地球的一端传播到另一端，因此宏病毒其影响范围和危害性不可小觑，对宏病毒的检测和清除已经成为当前计算机安全技术领域中一个非常重要的部分。

现有两种对宏病毒进行检测的方法，一种方法是利用杀毒软件对数据文件进行静态分析，利用复合数据文件格式对数据文件的结构进行分解识别，提取数据文件中所有宏的特征码，将提取的数据文件中所有宏的特征码与病毒库中宏病毒的特征码的进行对比匹配，如果匹配，则将匹配的宏清除；另一种方法是利用杀毒软件的主动防御功能来实时监控数据文件处理程序的行为，如果检测到有恶意行为，则截获该行为，暂停数据文件处理程序的执行，向用户提示该行为执行的结果以及可能造成的后果，只有当用户对该行为进行处理后，数据文件处理程序方可继续执行。

然而，在实际应用中，利用杀毒软件对数据文件进行静态分析对宏病毒进行检测的方法，要求杀毒软件能识别所有数据文件的结构并分析，但是由于不同的应用程序具有不同的数据文件结构，此种方法在实际应用中很难实现；另外，如果数据文件经过加密处理，即使杀毒软件能识别该数据文件的结构，但也无法获得该数据文件结构的具体内容，导致不能对数据文件的结构进行分析。这就造成此方法在对宏病毒进行检测时覆盖面较小。

利用杀毒软件的主动防御功能来实时监控数据文件处理程序行为的方法，会导致用户在对数据文件进行操作时，占用较高的系统资源，影响机器的整体性能。另外检测到的 "恶意行为"，有可能是用户的正常操作行为，也有可能是真正意义上的恶意行为，但是行为监控的方法不能对二者进行加以区分，为了保证安全，只好频繁的示警，提示用户进行相应的处理，导致用户体验效果不佳。发明内容

本发明实施例的目的在于提供一种宏病毒检测方法及装置，提高对宏病毒进行检测的数据文件的覆盖面，提高用户的体验效果，减少系统资源占用。

为达到上述目的，本发明实施例公开了一种宏病毒检测方法，包括：

在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

利用调用的宏病毒检测模块，对目标数据文件进行检测。

较佳的，所述调用预先注册为所述数据文件处理程序插件的宏病毒检测模块，包括：

检测目标数据文件中有无宏模块；

当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

所述利用调用的宏病毒检测模块，对目标数据文件进行检测，包括：

利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。

较佳的，所述利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测，包括：

提取每一宏模块的特征；

利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；

如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。较佳的，还包括：

在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；

如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。较佳的，所述预设的微特征匹配条件，包括：

提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。

较佳的，还包括：

分析特征匹配的宏模块的执行过程以及执行后的结果；

检测系统中，是否存在分析出来的结果；

如果是，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向为达到上述目的，本发明实施例还公开了一种宏病毒检测装置，包括：调用单元，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

第一检测单元，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。较佳的，所述调用单元具体用于：

在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；

所述第一检测单元，具体用于：

较佳的，所述第一检测单元包括：提取子单元，第一匹配子单元和第一输出子单元，

所述提取子单元，用于提取每一宏模块的特征；

所述第一匹配子单元，用于利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；

所述第一输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出确定性宏病毒告警信息。

较佳的，所述第一检测单元还包括：第二匹配子单元和第二输出子单元，所述第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；

所述第二输出子单元，用于在满足预设的微特征匹配条件的情况下，则向用户输出非确定性宏病毒告警信息。

较佳的，所述预设的微特征匹配条件，包括：

较佳的，还包括：分析单元、第二检测单元和修复单元，

所述分析单元，用于分析特征匹配的宏模块的执行过程以及执行后的结果；所述第二检测单元，用于检测系统中，是否存在分析模块分析出来的结果；所述修复单元，用于在第二检测模块检测结果为是的情况下，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。

由上述的技术方案可见，由于宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。

另外，该宏病毒检测模块只在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，被调用运行一次，检测完成后不再继续运行，相对现有技术中实时监控行为的方法，本发明实施例提供的方法减少了系统资源的占用，并且在用户使用数据文件的过程中也不会频繁的示警，提高了用户的体验效果。

本发明实施例还提供了一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行根据本发明实施例的宏病毒检测方法。附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的一种宏病毒检测方法的流程示意图；

图 2为本发明实施例提供的另一种宏病毒检测方法的流程示意图；

图 3为本发明实施例提供的一种宏病毒检测装置的结构示意图；

图 4为本发明实施例提供的另一种宏病毒检测装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图 1为本发明实施例提供的一种宏病毒检测方法的流程示意图，包括如下步骤： S 101 : 在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；例如：数据文件处理程序为 Microsoft Office 2007 (微软公司开发的办公软件，版本 2007 )，目标数据文件为 xxx.docx, 将宏病毒检测模块 A预先注册为 Microsoft Office 2007的插件；

当 xxx.docx被打开、且还未对其内容进行加载的情况下，调用 A，其中 xxx.docx 被打开包括 xxx.docx含有密码，输入密码之后被打开的情况。

S 102: 利用调用的宏病毒检测模块，对目标数据文件进行检测。

利用 A对 xxx.docx进行检测。

在实际应用中，可以在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测。

例如： Microsoft Office文档的 VBE对象模型，如下表示：

VBE对象

VBProjects

VB Project

VBComponents

VBComponent

CodeModule

其中， VBE对象：根对象，它包含所有其它可在 Visual Basic for Applications 中表示对象和集合；

VBProjects: VBProject对象的集合，表示开发环境中所有打开的工程；

VBProject对象：表示一工程即文档本身自己的模块工程；

VBComponents ： VBComponent对象的集合，代表工程中的部件；

VBComponent对象：代表一个包含在工程中的部件，例如类模块或标准模块； CodeModule对象：在诸如窗体，类或文档等部件之后表示程序代码（宏代码）。

根据 VBE对象模型，首先获取该目标文件 xxx.docx的 VBE对象，然后通过这个对象获取 CodeModule , 其中 CodeModule代表着宏模块，如果获取不到 CodeModule, 则表明 xxx.docx中没有宏模块，如果获取到 CodeModule，则表明 xxx.docx中有宏模块，假设检测到 XXX .docx中含有名称为 macro s的宏模块，利用调用的 A对 xxx .docx中名称为 macros的宏模块进行检测。

进一步，在实际应用中，还可以提取每一宏模块的特征；利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。

假设提取出的名称为 macros的宏模块的特征为：在驱动目录下释放驱动文件 xxx.sys , 而宏病毒检测模块中内置的病毒特征包含：在驱动目录下释放驱动文件，则表示提取出的特征与宏病毒检测模块中内置的病毒特征匹配，向用户输出 "xxx.docx 文件中含有名称为 macros的宏病毒"的告警信息。

对于 excel而言，除了有宏模块之外，还可能拥有宏表，宏表是可以包含宏代码的表格的一种，通过指定的 name来触发执行。如果， excel中含有宏表，提取宏表的对象集合 sheets , 然后一个个的去枚举，通过 sheet的接口获取表格内的代码，提取特征，利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。

在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。

假设提取出的名称为 macros的宏模块的特征为：含有 delete模块，而宏病毒检测模块中内置的病毒特征不包含这个特征，宏病毒检测模块中内置的微特征包含这个特征，则表示提取出的特征与宏病毒检测模块中内置的微特征匹配，向用户输出 "xxx.docx文件中含有名称为 macros的宏模块可能含有宏病毒"的告警信息。

进一步，在实际应用中，还可以在有匹配的微特征、且提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值的情况下，向用户输出非确定性宏病毒告警信息。

假设宏病毒检测模块中的微特征包括：敏感字符串，可疑函数名和可疑模块名，其中将 systemroot\drivers认为是敏感字符串，将名称带有 add、 delete或 update的函数认为是可疑函数名，将名称带有 autorun的模块认为是可疑模块名。

假设提取出的名称为 macros的宏模块的特征为：含有 4个带有 systemroot\drivers 的字符串，含有 2个名称带有 delete的函数，含有 1个名称带有 add的函数，含有 2个名称带有 autorun的子模块。

如果预设的阈值为 8，提取出的名称为 macros的宏模块的特征与宏病毒检测模块中的微特征匹配的个数总和 9，大于预设的阈值 8，表示提取出的名称为 macros的宏模块可能含有宏病毒，向用户输出 "xxx.docx文件中含有名称为 macros的宏模块可能含有宏病毒"的告警信息。

如果预设的阈值为 10，提取出的名称为 macros的宏模块的特征与宏病毒检测模块中的微特征匹配的个数总和 9，不大于预设的阈值 10，表示提取出的名称为 macros的宏模块不含有宏病毒，不向用户输出告警信息。

本发明实施例定义了两种宏病毒信息：其中"确定性宏病毒信息"是指：在目前杀毒技术的基础上，基本可以确定检测出的宏模块中确实含有目前已知的宏病毒存在的信息；相应地， "非确定性宏病毒信息"是指：在目前杀毒技术的基础上，检测出的宏模块中可能含有宏病毒的信息，对检测出的结果不确定。

应用本发明图 1所示实施例，宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。

需要说明的是，本实施例中没有考虑特征匹配的宏模块运行后，对系统造成的影响，下面针对特征匹配的宏模块运行后，对系统造成的影响的情况，本发明实施例还提供另一种宏病毒检测方法，参见图 2所示，

本发明图 2所示实施例在图 1所示实施例基础上，增加 S 103 : 分析特征匹配的宏模块的执行过程以及执行后的结果； S 104 :检测系统中，是否存在分析出来的结果； S 105 : 根据特征匹配的宏模块的执行过程，对系统进行逆向修复的步骤。

例如：分析出特征匹配的宏模块的执行过程以及执行后的结果为：在驱动目录下释放驱动文件 xxx.sys , 检测系统的驱动目录下是否存在文件 xxx.sys , 如果存在，将文件 xxx.sys删除。

对于含有宏表的 excel而言，还可以分析宏表的执行过程以及执行后的结果；检测系统中，是否存在分析出来的结果；根据宏表的执行过程，对系统进行逆向修复的步骤。

应用本发明图 2所示实施例，能够对特征匹配的宏模块的执行过程以及执行后的结果对系统造成的影响进行分析，并根据分析对系统进行修复，保证系统在运行的过程中，没有特征匹配的宏模块执行后对系统造成影响的隐患。

图 3为本发明实施例提供的一种宏病毒检测装置，包括调用单元 301和第一检测单元 302，其中，调用单元 301，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

第一检测单元 302，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。其中，调用单元 301，具体用于：

在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；当目标数据文件中有宏模块时，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

第一检测单元 302，具体用于：

本实施例中的第一检测单元 302包括：提取子单元，第一匹配子单元和第一输出子单元（图中未示出），

提取子单元，用于提取每一宏模块的特征；

第一匹配子单元，用于利用所述宏病毒检测模块中内置的病毒特征和提取的特征进行匹配；

第一输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出确定性宏病毒告警信息。

本实施例中的第一检测模块 302还包括：第二匹配子单元和第二输出子单元（图中未示出），

第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；

第二输出子单元，用于在满足预设的病毒特征匹配条件的情况下，向用户输出非确定性宏病毒告警信息。

进一步，在实际应用中，预设的微特征匹配条件为：提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。

应用本发明图 3所示实施例，宏病毒检测模块被先注册为数据文件处理程序插件，在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，宏病毒检测模块被调用，进行目标数据文件的检测。因此宏病毒检测模块能识别所有数据文件的格式，也能进入到数据文件内部进行分析，提高了被检测数据文件的覆盖面。

图 4为本发明实施例提供的另一种宏病毒检测装置，包括调用单元 301、第一检测单元 302、分析单元 303、第二检测单元 304和修复单元 305，

其中，分析单元 303，用于分析特征匹配的宏模块的执行过程以及执行后的结果；第二检测单元 304，用于检测系统中，是否存在分析模块分析出来的结果；修复单元 305，用于在第二检测模块检测结果为是的情况下，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。

应用本发明图 4所示实施例，能够对特征匹配的宏模块的执行过程以及执行后的结果对系统造成的影响进行分析，并根据分析对系统进行修复，保证系统在运行的过程中，没有特征匹配的宏模块执行后对系统造成影响的隐患。

本发明实施例还提供了一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行根据本发明实施例的宏病毒检测方法。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语"包括"、 "包含 "或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句 "包括一个 ... ... " 限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，所述的程序可以存储于计算机可读取存储介质中，这里所称得的存储介质，如： ROM/RAM, 磁碟、光盘等。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims

权利要求书

1、一种宏病毒检测方法，其特征在于，包括：

利用调用的宏病毒检测模块，对目标数据文件进行检测。

2、根据权利要求 1所述的方法，其特征在于，

所述调用预先注册为所述数据文件处理程序插件的宏病毒检测模块，包括：检测目标数据文件中有无宏模块；

3、根据权利要求 2所述的方法，其特征在于，所述利用调用的宏病毒检测模块，对目标数据文件中的宏模块进行检测，包括：

提取每一宏模块的特征；

如果满足预设的病毒特征匹配条件，则向用户输出确定性宏病毒告警信息。

4、根据权利要求 3所述的方法，其特征在于，还包括：

如果满足预设的微特征匹配条件，则向用户输出非确定性宏病毒告警信息。

5、根据权利要求 4所述的方法，其特征在于，所述预设的微特征匹配条件，包括：提取的某一宏模块的特征与调用的宏病毒检测模块中的微特征匹配的个数总和大于预设的阈值。

6、根据权利要求 3至 5中任一项所述的方法，其特征在于，还包括：

分析特征匹配的宏模块的执行过程以及执行后的结果；

检测系统中，是否存在分析出来的结果；

如果是，根据特征匹配的宏模块的执行过程以及执行后的结果，对系统进行逆向修复。

7、一种宏病毒检测装置，其特征在于，包括：

调用单元，用于在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，调用预先注册为所述数据文件处理程序插件的宏病毒检测模块；

第一检测单元，用于利用调用的宏病毒检测模块，对目标数据文件进行检测。

8、根据权利要求 7所述的装置，其特征在于，所述调用单元具体用于：在数据文件处理程序对目标数据文件执行打开操作后、且未对目标数据文件的内容的进行加载的情况下，检测目标数据文件中有无宏模块；

所述第一检测单元，具体用于：

9、根据权利要求 8所述的装置，其特征在于，所述第一检测单元包括：提取子单元，第一匹配子单元和第一输出子单元，

所述提取子单元，用于提取每一宏模块的特征；

10、根据权利要求 9所述的装置，其特征在于，所述第一检测单元还包括：第二匹配子单元和第二输出子单元，

所述第二匹配子单元，用于在没有匹配的病毒特征的情况下，进一步利用所述宏病毒检测模块中内置的微特征和提取的特征进行匹配；

11、根据权利要求 10所述的装置，其特征在于，所述预设的微特征匹配条件，包括：

12、根据权利要求 9至 11中任一项所述的装置，其特征在于，还包括：分析单元、第二检测单元和修复单元，

13、一种计算机可读存储介质，包括计算机指令，当所述计算机指令被执行时，使得执行权利要求 1至 6中任一项所述的宏病毒检测方法。