【技术实现步骤摘要】
本专利技术涉及计算机网络安全
,特别涉及一种excel宏表病毒的检测方法及系统。
技术介绍
目前excel的宏病毒一般为两种形式,一种是在excel中插入普通的宏代码来实现恶意功能,另一种是利用excel的宏表来插入恶意代码实现恶意功能。这两种形式功能虽然似,但是恶意数据在excel中保存的形式是完全不一样的,因此现有通过对文件宏代码进行检测的方式,无法检测到宏表中添加的宏代码。在excel中插入MS Excel4.0宏表,利用宏表插入恶意代码,是通过在宏表的单元格中添加红代码,沿着同一列逐行添加,在代码执行过程中可以顺序执行到RETURN函数,所以很多恶意代码作者使用这样的方式来编写恶意代码,早在Excel 2003等早期的版本中,在文档中定义AUT0_0PEN名称,就可以在Excel表格打开的时候自动执行任意宏表的代码,实现自我复制和对正常文档的感染,新感染文件的宏表中虽然包含相同的代码,但在不同文件中保存的形式不同,导致感染后的文件差别较大。因此这种类型的恶意代码很难归并检测用特征,人工提取代价又比较高。
技术实现思路
本专利技术提供一种ex...
【技术保护点】
一种excel宏表病毒的检测方法,其特征在于,包括:提取待检测excel文档中macro sheet substream流数据;分析macro sheet substream流数据,得到宏表中所有单元格的信息,并提取每个单元格的公式命令数据;提取每个公式命令数据中的token和公式长度;计算所有token和公式长度的哈希值;遍历恶意excel宏表病毒特征库,与所述哈希值匹配,匹配成功则所述待检测excel文档为恶意, 否则非恶意。
【技术特征摘要】
【专利技术属性】
技术研发人员:童志明,苏培旺,何公道,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。