The invention discloses a document detecting method and device. Among them, the method includes: acquiring non executable files, input the non executable file for the current operating system terminal is not executable; exist in the detection of a non executable file encryption information, detect encrypted information whether the file, executable file, executable file for the current terminal operating system executable file; if the encryption information files with characteristics of executable files, then detect the non executable file can be embedded in the executable file. The application solves the problem that a computer virus or Trojan horse can not be detected by the signature algorithm after encryption or deformation.
【技术实现步骤摘要】
文件检测方法和装置
本申请涉及计算机领域,具体而言,涉及一种文件检测方法和装置。
技术介绍
在计算机反病毒技术发展过程中,病毒和木马为了逃避查杀,也在不断发展演变,产生出不同的加密和变形手段,从而可以绕过杀毒软件查杀形成有效攻击,这种查杀和攻击技术不断对垒演变的过程通常称为对抗过程。病毒和木马为了逃避检测,会进行加密和变形进而隐藏起来,其中一类比较常用的加密方法是通过对文件进行逐字节异或加密,或者逐次对异或密钥key进行等差变换后进行异或加密,或者逐字节循环移位加密,或者上述几种方式的组合加密等。这类加密方式,在更换异或key或循环移位次数重新加密后,旧的检测签名就会失效,从而逃过杀毒软件的检测。对于APT攻击来说,通常由邮件或网页中附带非PE格式的文档(比如Office文档、PDF文档等)发起攻击。这些文档通常会内嵌加密的病毒或木马,而病毒或木马一般都是PE文件。由于PE文件本身直接执行太容易被检测,所以一般都要经过加密后内嵌在非PE文件中,用户在不知情时打开这些非PE文档,如果系统有漏洞,并且该非PE文件有漏洞利用代码形成有效攻击的话,就有可能解密激活内嵌的病毒或木马,从而形成真正的攻击,由此,检测内嵌在非PE文件中的加密的病毒或木马就成为了检测APT攻击的一个很重要的技术手段。比较常见的检测技术是许多杀毒软件常用的签名算法,这类检测技术的特点是只能针对已知病毒或木马进行检测,一旦病毒或木马重新加密或变形后,原先的签名无效,用签名算法就无法检测到了。针对上述使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题,目前尚未提出有效的解决方案。专利技 ...
【技术保护点】
一种文件检测方法,其特征在于,包括:获取输入的非可执行文件;在检测出所述非可执行文件中存在加密信息的情况下,检测所述加密信息是否符合可执行文件的文件特征,其中,所述可执行文件为当前终端的操作系统可执行的程序文件;若所述加密信息符合所述可执行文件的文件特征,则检测出所述非可执行文件为非法文件。
【技术特征摘要】
1.一种文件检测方法,其特征在于,包括:获取输入的非可执行文件;在检测出所述非可执行文件中存在加密信息的情况下,检测所述加密信息是否符合可执行文件的文件特征,其中,所述可执行文件为当前终端的操作系统可执行的程序文件;若所述加密信息符合所述可执行文件的文件特征,则检测出所述非可执行文件为非法文件。2.根据权利要求1所述的方法,其特征在于,检测所述加密信息是否符合可执行文件的文件特征包括:基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥;利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征。3.根据权利要求2所述的方法,其特征在于,基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥包括:获取所述可执行文件的文件特征中的标记信息,其中,所述标记信息用于标记所述可执行文件;从所述加密信息的当前位置提取文件标记;将所述标记信息作为明文数据,将所述文件标记作为密文数据;对所述明文数据和所述密文数据作破解操作,得到所述解密密钥,其中,所述破解操作至少包括下述之一:异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。4.根据权利要求2所述的方法,其特征在于,所述文件特征中至少记录有第一偏移量和预定字段信息,其中,利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征包括:获取距离当前位置为所述第一偏移量的第一位置,其中,所述第一偏移量指向所述可执行文件的文件头的偏移指针;从所述加密信息中的第二位置读取加密的偏移指针;使用所述解密密钥解密所述加密的偏移指针,得到所述偏移指针;获取所述加密信息中所述偏移指针所指向的加密字段信息;使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征。5.根据权利要求4所述的方法,其特征在于,使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征包括:使用所述解密密钥...
【专利技术属性】
技术研发人员:邱克生,
申请(专利权)人:阿里巴巴集团控股有限公司,
类型:发明
国别省市:开曼群岛,KY
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。