The invention provides a method and a device for identifying code document, the document related malicious code analysis, the method includes: to meet the preset target document format byte position location; the format meets the preset byte start point to the end position of simulated CPU CPU instruction execution, execution of the obtained results; to perform feature extraction results are obtained according to the results of feature extraction; feature extraction results, whether the identification of the target document contains malicious code. You can combine file structure analysis and malicious feature scoring mechanism to quickly locate the code and achieve good results.
【技术实现步骤摘要】
一种识别文档代码的方法和装置
本专利技术涉及文档恶意代码分析领域,具体涉及一种识别文档代码的方法和装置。
技术介绍
基于文档型漏洞的恶意代码是入侵者通过各种方式将具有漏洞的文档先植入到用户计算机中,再引导用户进行打开操作,这样通过已设置好的漏洞利用代码shellcode进行恶意代码的释放或者下载。而这些恶意代码往往经过了入侵者的层层反信息安全产品操作:加壳、反虚拟机、免杀、驱动保护、条件执行等等各种保护。最重要的问题在于入侵者往往针对要入侵的用户或网络十分了解,目的性是窃取特定用户的信息,且进行长期潜伏,所以入侵者还会针对用户的固定信息安全产品进行单独的研究与免杀、绕过技术等处置,所以针对文档型漏洞的恶意代码查杀检测率几乎为零。目前,信息安全厂商针对文档型漏洞的自动化恶意文档识别方案,主要采用虚拟机沙盒分析的方法,其中,沙盒主要是指一个模拟的或者真实的操作系统环境,或者文件执行环境,这种方法首先要保证沙盒中存在文档能够正确执行的相关应用程序,相关技术对某些检测沙箱环境的恶意文档无法分析。一般主要用于概念性验证。
技术实现思路
本专利技术提供一种识别文档代码的方法和装置,解决了恶意文件的自动化分析的问题。为了实现上述专利技术目的,本专利技术采取的技术方案如下:一种识别文档代码的方法,包括:对目标文档满足预设格式字节位置进行定位;对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;对所述执行结果进行特征提取,获得特征提取结果;根据所述特征提取结果,识别所述目标文档是否包含恶意代码。可选地,所述对目标文档的满足预设格式字节位置进 ...
【技术保护点】
一种识别文档代码的方法,其特征在于,包括:对目标文档满足预设格式字节位置进行定位;对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;对所述执行结果进行特征提取,获得特征提取结果;根据所述特征提取结果,识别所述目标文档是否包含恶意代码。
【技术特征摘要】
1.一种识别文档代码的方法,其特征在于,包括:对目标文档满足预设格式字节位置进行定位;对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;对所述执行结果进行特征提取,获得特征提取结果;根据所述特征提取结果,识别所述目标文档是否包含恶意代码。2.如权利要求1所述的方法,其特征在于,所述对目标文档的满足预设格式字节位置进行定位,包括:对所述目标文档进行格式化解析,识别出所述目标文档的格式;根据识别出的所述目标文档的格式,在所述目标文档对应的位置进行恶意代码定位。3.如权利要求1所述的方法,其特征在于:对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行包括:从所述满足预设格式字节的起始位置开始,每次调整偏移量,逐次进行模拟CPU指令执行,获得执行结果,直到所述满足预设格式字节的结束位置。4.如权利要求1所述的方法,其特征在于:对所述执行结果进行特征提取,获得特征提取结果包括:逐一比较从所述执行结果提取出的特征是否符合预设的恶意代码特征,如果符合,则记录所述特征。5.如权利要求1所述的方法,其特征在于:根据所述特征提取结果给出分析结论包括:对特征提取获得的每个特征提取结果按照预设标准进行评分,根据特征提取获得的所有特征提取结果的评分结果与预设阈值进行比较,获得所述目标文档的满足预设格式字节是否为恶意代码的分析结论。6.一种识别文档代码的装置,其特征在于,包括:定位模块,设置为对目标文档的满足预设格式字节位置进行定位;指令模块,设置为对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;特征提取模块,设置为对所述执行结果进行特征提取,获得特...
【专利技术属性】
技术研发人员:王龙,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。