本发明专利技术实施例公开一种恶意文件的检测方法、装置、电子设备及存储介质,涉及计算机安全技术领域。所述方法包括:获取系统中的快捷方式文件;提取所述快捷方式文件包括的脚本文件;获取所述脚本文件包括的地址信息;当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式文件为恶意文件,其中,所述地址数据库中存储有合法的地址信息。本发明专利技术适用于电子设备上对快捷方式文件的安全性检测。
【技术实现步骤摘要】
恶意文件的检测方法、装置、电子设备及存储介质
本专利技术涉及计算机安全
,尤其涉及一种恶意文件的检测方法、装置、电子设备及存储介质。
技术介绍
目前,在加载和使用文件之前,电子设备需对文件进行安全检测。经过安全检测的合法文件才可被加载和使用;而非法文件则被电子设备锁定或丢弃。现有电子设备通过加载的安全软件对文件进行检测。安全软件对文件的检测过程为:首先,安全软件对文件进行格式识别,得到文件的格式类型。根据文件的格式类型,对文件进行预处理。再获取预处理后的文件特征,将特征与已存储的特征库进行匹配,进而确定文件的合法性。在实现本专利技术过程中,专利技术人专利技术现有技术至少存在以下问题:上述安全软件所关注的主要文件是可执行文件、压缩包文件、文档格式文件等。而对快捷方式文件的处理是将其忽略,或是将它们归类到文档格式文件进行检测,这都使得恶意的快捷方式文件很容易躲过安全软件的查杀,成为漏网之鱼,影响安全软件对文件检测的准确性;而恶意的快捷方式文件与一些脚本木马配合使用,则对电子设备的系统造成严重的危害。
技术实现思路
有鉴于此,本专利技术实施例提供一种恶意文件的检测方法、装置、电子设备及存储介质,能够对快捷方式文件进行安全性检测。第一方面,本专利技术实施例提供一种恶意文件的检测方法,所述方法包括:获取系统中的快捷方式文件;提取所述快捷方式文件包括的脚本文件;获取所述脚本文件包括的地址信息;当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式文件为恶意文件,其中,所述地址数据库中存储有合法的地址信息。可选地,所述获取系统中的快捷方式文件包括:遍历系统中的文件,根据所述文件的文件头信息,获取系统中的快捷方式文件。可选地,所述获取所述脚本文件包括的地址信息包括:确定所述脚本文件的类型;根据所述脚本文件的类型,对所述脚本文件进行预处理,得到原始脚本文件;对所述原始脚本文件进行语法结构分析,确定对所述原始脚本文件的操作规则;按照所述操作规则,对所述原始脚本文件进行对应处理,得到处理后的原始脚本文件;通过正则表达式,从所述处理后的原始脚本文件中提取地址信息。可选地,所述确定所述脚本文件的类型包括:对所述脚本文件进行关键词匹配处理;当所述脚本文件包括预存储的关键词时,根据所述脚本文件包括的关键词,确定所述脚本文件的类型,所述预存储的关键词与脚本文件的类型之间具有对应关系。可选地,所述对所述原始脚本文件进行语法结构分析,确定对所述原始脚本文件的操作规则包括:对所述原始脚本文件进行语法分析和/或语义分析,确定出所述原始脚本文件中能够进行字符串相加的操作;其中,所述按照所述操作规则,对所述原始脚本文件进行对应处理,得到处理后的原始脚本文件包括:按照所述能够进行字符串相加的操作,对所述原始脚本文件中能够进行字相加操作的字符串进行合并处理,得到处理后的原始脚本文件。可选地,所述方法还包括:当所述脚本文件包括的地址信息存储在所述地址数据库中,则确定所述快捷方式文件为合法文件。可选地,所述地址信息具体包括URL地址、或IP地址、或域名地址。第二方面,本专利技术实施例提供一种恶意文件的检测装置,应用于电子设备,所述装置包括:第一获取单元,用于获取系统中的快捷方式文件;提取单元,用于提取所述快捷方式文件包括的脚本文件;第二获取单元,用于获取所述脚本文件包括的地址信息;第一确定单元,用于当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式文件为恶意文件,其中,所述地址数据库中存储有合法的地址信息。可选地,所述第一获取单元具体用于,遍历系统中的文件,根据所述文件的文件头信息,获取系统中的快捷方式文件。可选地,所述第二获取单元包括:类型确定模块,用于确定所述脚本文件的类型;第一处理模块,用于根据所述脚本文件的类型,对所述脚本文件进行预处理,得到原始脚本文件;第二处理模块,用于对所述原始脚本文件进行语法结构分析,确定对所述原始脚本文件的操作规则;第三处理模块,用于按照所述操作规则,对所述原始脚本文件进行对应处理,得到处理后的原始脚本文件;地址信息提取模块,用于通过正则表达式,从所述处理后的原始脚本文件中提取地址信息。可选地,所述类型确定模块包括:匹配子模块,用于对所述脚本文件进行关键词匹配处理;类型确定子模块,用于当所述脚本文件包括预存储的关键词时,根据所述脚本文件包括的关键词,确定所述脚本文件的类型,所述预存储的关键词与脚本文件的类型之间具有对应关系。可选地,所述第二处理模块具体用于对所述原始脚本文件进行语法分析和/或语义分析,确定出所述原始脚本文件中能够进行字符串相加的操作;所述第三处理模块具体用于按照所述能够进行字符串相加的操作,对所述原始脚本文件中能够进行字相加操作的字符串进行合并处理,得到处理后的原始脚本文件。可选地,所述第一确定单元还用于:当所述脚本文件包括的地址信息存储在所述地址数据库中,则确定所述快捷方式文件为合法文件。可选地,所述地址信息具体包括URL地址、或IP地址、或域名地址。第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一项所述的方法。第四方面,本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一项所述的方法。本专利技术实施例提供的一种恶意文件的检测方法、装置、电子设备及存储介质,根据获取的系统中的快捷方式文件,提取快捷方式文件包括的脚本文件,获取脚本文件包括的地址信息。当脚本文件包括的地址信息未存储在地址数据库中时,则确定该快捷方式文件为恶意文件,由此能够对快捷方式文件进行安全性检测。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图1为本专利技术实施例提供的一种恶意文件的检测方法流程图;图2为本专利技术实施例提供的另一种恶意文件的检测方法流程图;图3为本专利技术实施例提供的一种恶意文件的检测装置结构示意图;图4为本专利技术实施例提供的另一种恶意文件的检测装置结构示意图;图5为本专利技术实施例提供的一种电子设备结构示意图。具体实施方式下面结合附图对本专利技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。下面结合附图1,详细说明本专利技术实施例提供的方案进行说明,图1为本专利技术实施例提供的一种恶意文件的检测方法流程图,在本专利技术实施例中实施主体为电子设备。该电子设备可为终端设备,例如,个人电脑、台式电脑等。该电子设备也可为服务器。如图1所示,本实施例的方法具体包括以下步骤:步骤110、获取系统中本文档来自技高网...
【技术保护点】
1.一种恶意文件的检测方法,其特征在于,应用于电子设备,所述方法包括:获取系统中的快捷方式文件;提取所述快捷方式文件包括的脚本文件;获取所述脚本文件包括的地址信息;当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式文件为恶意文件,其中,所述地址数据库中存储有合法的地址信息。
【技术特征摘要】
1.一种恶意文件的检测方法,其特征在于,应用于电子设备,所述方法包括:获取系统中的快捷方式文件;提取所述快捷方式文件包括的脚本文件;获取所述脚本文件包括的地址信息;当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式文件为恶意文件,其中,所述地址数据库中存储有合法的地址信息。2.根据权利要求1所述的方法,其特征在于,所述获取系统中的快捷方式文件包括:遍历系统中的文件,根据所述文件的文件头信息,获取系统中的快捷方式文件。3.根据权利要求1所述的方法,其特征在于,所述获取所述脚本文件包括的地址信息包括:确定所述脚本文件的类型;根据所述脚本文件的类型,对所述脚本文件进行预处理,得到原始脚本文件;对所述原始脚本文件进行语法结构分析,确定对所述原始脚本文件的操作规则;按照所述操作规则,对所述原始脚本文件进行对应处理,得到处理后的原始脚本文件;通过正则表达式,从所述处理后的原始脚本文件中提取地址信息。4.根据权利要求3所述的方法,其特征在于,所述确定所述脚本文件的类型包括:对所述脚本文件进行关键词匹配处理;当所述脚本文件包括预存储的关键词时,根据所述脚本文件包括的关键词,确定所述脚本文件的类型,所述预存储的关键词与脚本文件的类型之间具有对应关系。5.根据权利要求3所述的方法,其特征在于,所述对所述原始脚本文件进行语法结构分析,确定对所述原始脚本文件的操作规则包括:对所述原始脚本文件进行语法分析和/或语义分析,确定出所述原始脚本文件中能够进行字符串相加的操作;其中,所述按照所述操作规则,对所述原始脚本文件进行对应处理,得到处理后的原始脚本文件包括:按照所述能够进行字符串相加的操作,对所述原始脚本文件中能够进行字相加操作的字符串进行合并处理,得到处理后的原始脚本文件。6.根据权利要求1所述的方法,其特征在于,所述方法还包括:当所述脚本文件包括的地址信息存储在所述地址数据库中,则确定所述快捷方式文件为合法文件。7.根据权利要求1所述的方法,其特征在于,所述地址信息具体包括URL地址、或IP地址、或域名地址。8.一种恶意文件的检测装置,其特征在于,应用于电子设备,所述装置包括:第一获取单元,用于获取系统中的快捷方式文件;提取单元,用于提取所述快捷方式文件包括的脚本文件;第二获取单元,用于获取所述脚本文件包括的地址信息;第一确定单元,用于当所述脚本文件包括的地址信息未存储在地址数据库中,则确定所述快捷方式...
【专利技术属性】
技术研发人员:张国强,李柏松,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江,23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。