文件檢測方法和裝置制造方法及圖紙

本申請公開了一種文件檢測方法和裝置。其中，該方法包括：獲取輸入的非可執行文件，其中，非可執行文件為當前終端的操作系統不可執行的文件；在檢測出非可執行文件中存在加密信息的情況下，檢測加密信息是否符合可執行文件的文件特征，其中，可執行文件為當前終端的操作系統可執行的程序文件；若加密信息符合可執行文件的文件特征，則檢測出非可執行文件中內嵌有可執行文件。本申請解決了使用簽名算法無法檢測加密或變形后的計算機病毒或木馬程序的問題。

File detecting method and device

The invention discloses a document detecting method and device. Among them, the method includes: acquiring non executable files, input the non executable file for the current operating system terminal is not executable; exist in the detection of a non executable file encryption information, detect encrypted information whether the file, executable file, executable file for the current terminal operating system executable file; if the encryption information files with characteristics of executable files, then detect the non executable file can be embedded in the executable file. The application solves the problem that a computer virus or Trojan horse can not be detected by the signature algorithm after encryption or deformation.

【技術實現步驟摘要】
文件檢測方法和裝置
本申請涉及計算機領域，具體而言，涉及一種文件檢測方法和裝置。
技術介紹
在計算機反病毒技術發展過程中，病毒和木馬為了逃避查殺，也在不斷發展演變，產生出不同的加密和變形手段，從而可以繞過殺毒軟件查殺形成有效攻擊，這種查殺和攻擊技術不斷對壘演變的過程通常稱為對抗過程。病毒和木馬為了逃避檢測，會進行加密和變形進而隱藏起來，其中一類比較常用的加密方法是通過對文件進行逐字節異或加密，或者逐次對異或密鑰key進行等差變換后進行異或加密，或者逐字節循環移位加密，或者上述幾種方式的組合加密等。這類加密方式，在更換異或key或循環移位次數重新加密后，舊的檢測簽名就會失效，從而逃過殺毒軟件的檢測。對于APT攻擊來說，通常由郵件或網頁中附帶非PE格式的文檔(比如Office文檔、PDF文檔等)發起攻擊。這些文檔通常會內嵌加密的病毒或木馬，而病毒或木馬一般都是PE文件。由于PE文件本身直接執行太容易被檢測，所以一般都要經過加密后內嵌在非PE文件中，用戶在不知情時打開這些非PE文檔，如果系統有漏洞，并且該非PE文件有漏洞利用代碼形成有效攻擊的話，就有可能解密激活內嵌的病毒或木馬，從而形成真正的攻擊，由此，檢測內嵌在非PE文件中的加密的病毒或木馬就成為了檢測APT攻擊的一個很重要的技術手段。比較常見的檢測技術是許多殺毒軟件常用的簽名算法，這類檢測技術的特點是只能針對已知病毒或木馬進行檢測，一旦病毒或木馬重新加密或變形后，原先的簽名無效，用簽名算法就無法檢測到了。針對上述使用簽名算法無法檢測加密或變形后的計算機病毒或木馬程序的問題，目前尚未提出有效的解決方案。專利技術內容本申請實施例提供了一種文件檢測方法和裝置，以至少解決使用簽名算法無法檢測加密或變形后的計算機病毒或木馬程序的問題。根據本申請實施例的一個方面，提供了一種文件檢測方法，該方法包括：獲取輸入的非可執行文件；在檢測出非可執行文件中存在加密信息的情況下，檢測加密信息是否符合可執行文件的文件特征，其中，可執行文件為當前終端的操作系統可執行的程序文件；若加密信息符合可執行文件的文件特征，則檢測出非可執行文件為非法文件。根據本申請實施例的另一方面，還提供了一種文件檢測裝置，該文件檢測裝置包括：獲取單元，用于獲取輸入的非可執行文件；檢測單元，用于在檢測出非可執行文件中存在加密信息的情況下，檢測加密信息是否符合可執行文件的文件特征，其中，可執行文件為當前終端的操作系統可執行的程序文件；確定單元，用于若加密信息符合可執行文件的文件特征，則檢測出非可執行文件為非法文件。在本申請實施例中，檢測非可執行文件中的加密信息是否符合可執行文件的文件特征，以檢測非可執行文件中是否內嵌有加密的可執行文件，若非可執行文件中內嵌有加密的可執行文件，則將該非可執行文件確認為非法文件，該非法文件可以為病毒文件或木馬文件。通過該實施例，通過可執行文件的文件特征檢測非可執行文件中是否攜帶有加密的PE格式的病毒或木馬文件，而不再使用簽名算法對非可執行文件進行檢測，由于可執行文件的文件特征不因加密算法的變化而變化，即便是這類加密文件在重新加密后也能有效檢測，以發現未知病毒或木馬，解決了現有技術中使用簽名算法無法檢測加密或變形后的計算機病毒或木馬程序的問題。附圖說明此處所說明的附圖用來提供對本申請的進一步理解，構成本申請的一部分，本申請的示意性實施例及其說明用于解釋本申請，并不構成對本申請的不當限定。在附圖中：圖1是本申請實施例的一種文件檢測方法的計算機終端的硬件結構框圖；圖2是根據本申請實施例的文件檢測方法的流程圖一；圖3是根據本申請實施例的文件檢測方法的流程圖二；圖4是根據本申請實施例的文件檢測方法的流程圖三；圖5是根據本申請實施例的文件檢測裝置的示意圖一；圖6是根據本申請實施例的文件檢測裝置的示意圖二；以及圖7是根據本申請實施例的一種計算機終端的網絡環境示意圖。具體實施方式首先，對本申請實施例涉及的術語解釋如下：簽名算法：通過從文件中提取的特征串作為簽名標識串，采用簽名串來檢測病毒的算法。非簽名算法：凡不屬于簽名檢測算法的檢測技術都屬于非簽名算法。諦聽：一種靜態文件內容分析引擎，主要基于非簽名檢測算法。PE：PortableExecutable，一種Windows采用的主要可執行文件格式，例如EXE文件就是一種PE文件，動態鏈接庫DLL文件也是PE文件，該DLL文件可簡潔地被執行，大部分病毒或木馬都是PE文件。高級持續性威脅：AdvancedPersistentThreat，即APT。其特點是利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對于其他攻擊形式更為高級和先進，其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中，此攻擊會主動挖掘被攻擊對象受信系統和應用程序的漏洞，利用這些漏洞組建攻擊者所需的網絡，并利用漏洞進行攻擊。為了使本
的人員更好地理解本申請方案，下面將結合本申請實施例中的附圖，對本申請實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本申請一部分的實施例，而不是全部的實施例。基于本申請中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都應當屬于本申請保護的范圍。需要說明的是，本申請的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數據在適當情況下可以互換，以便這里描述的本申請的實施例能夠以除了在這里圖示或描述的那些以外的順序實施。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統、產品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或對于這些過程、方法、產品或設備固有的其它步驟或單元。實施例1根據本申請實施例，還提供了一種文件檢測方法的實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執行指令的計算機系統中執行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執行所示出或描述的步驟。本申請實施例一所提供的方法實施例可以在移動終端、計算機終端或者類似的運算裝置中執行。以運行在計算機終端上為例，圖1是本申請實施例的一種文件檢測方法的計算機終端的硬件結構框圖。如圖1所示，計算機終端10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限于微處理器MCU或可編程邏輯器件FPGA等的處理裝置)、用于存儲數據的存儲器104、以及用于通信功能的傳輸裝置106。本領域普通技術人員可以理解，圖1所示的結構僅為示意，其并不對上述電子裝置的結構造成限定。例如，計算機終端10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。存儲器104可用于存儲應用軟件的軟件程序以及模塊，如本申請實施例中的文件檢測方法對應的程序指令/模塊，處理器102通過運行存儲在存儲器104內的軟件程序以及模塊，從而執行各種功能應用以及數據處理，即實現上述的文件檢測方法。存儲器104可包括高速隨機存儲器本文檔來自技高網...

【技術保護點】
一種文件檢測方法，其特征在于，包括：獲取輸入的非可執行文件；在檢測出所述非可執行文件中存在加密信息的情況下，檢測所述加密信息是否符合可執行文件的文件特征，其中，所述可執行文件為當前終端的操作系統可執行的程序文件；若所述加密信息符合所述可執行文件的文件特征，則檢測出所述非可執行文件為非法文件。

【技術特征摘要】
1.一種文件檢測方法，其特征在于，包括：獲取輸入的非可執行文件；在檢測出所述非可執行文件中存在加密信息的情況下，檢測所述加密信息是否符合可執行文件的文件特征，其中，所述可執行文件為當前終端的操作系統可執行的程序文件；若所述加密信息符合所述可執行文件的文件特征，則檢測出所述非可執行文件為非法文件。2.根據權利要求1所述的方法，其特征在于，檢測所述加密信息是否符合可執行文件的文件特征包括：基于所述可執行文件的文件特征確定所述非可執行文件中加密信息的解密密鑰；利用所述解密密鑰校驗所述加密信息是否符合所述可執行文件的文件特征。3.根據權利要求2所述的方法，其特征在于，基于所述可執行文件的文件特征確定所述非可執行文件中加密信息的解密密鑰包括：獲取所述可執行文件的文件特征中的標記信息，其中，所述標記信息用于標記所述可執行文件；從所述加密信息的當前位置提取文件標記；將所述標記信息作為明文數據，將所述文件標記作為密文數據；對所述明文數據和所述密文數據作破解操作，得到所述解密密鑰，其中，所述破解操作至少包括下述之一：異或操作、加減操作、循環移位操作、字節順序交換操作以及等差數列操作。4.根據權利要求2所述的方法，其特征在于，所述文件特征中至少記錄有第一偏移量和預定字段信息，其中，利用所述解密密鑰校驗所述加密信息是否符合所述可執行文件的文件特征包括：獲取距離當前位置為所述第一偏移量的第一位置，其中，所述第一偏移量指向所述可執行文件的文件頭的偏移指針；從所述加密信息中的第二位置讀取加密的偏移指針；使用所述解密密鑰解密所述加密的偏移指針，得到所述偏移指針；獲取所述加密信息中所述偏移指針所指向的加密字段信息；使用所述解密密鑰、所述加密字段信息以及所述文件特征中的預定字段信息校驗所述加密信息是否符合所述可執行文件的文件特征。5.根據權利要求4所述的方法，其特征在于，使用所述解密密鑰、所述加密字段信息以及所述文件特征中的預定字段信息校驗所述加密信息是否符合所述可執行文件的文件特征包括：使用所述解密密鑰...

【專利技術屬性】
技術研發人員：邱克生，
申請(專利權)人：阿里巴巴集團控股有限公司，
類型：發明
國別省市：開曼群島,KY