文件检测方法和装置制造方法及图纸

本申请公开了一种文件检测方法和装置。其中，该方法包括：获取输入的非可执行文件，其中，非可执行文件为当前终端的操作系统不可执行的文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；若加密信息符合可执行文件的文件特征，则检测出非可执行文件中内嵌有可执行文件。本申请解决了使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

File detecting method and device

The invention discloses a document detecting method and device. Among them, the method includes: acquiring non executable files, input the non executable file for the current operating system terminal is not executable; exist in the detection of a non executable file encryption information, detect encrypted information whether the file, executable file, executable file for the current terminal operating system executable file; if the encryption information files with characteristics of executable files, then detect the non executable file can be embedded in the executable file. The application solves the problem that a computer virus or Trojan horse can not be detected by the signature algorithm after encryption or deformation.

【技术实现步骤摘要】
文件检测方法和装置
本申请涉及计算机领域，具体而言，涉及一种文件检测方法和装置。
技术介绍
在计算机反病毒技术发展过程中，病毒和木马为了逃避查杀，也在不断发展演变，产生出不同的加密和变形手段，从而可以绕过杀毒软件查杀形成有效攻击，这种查杀和攻击技术不断对垒演变的过程通常称为对抗过程。病毒和木马为了逃避检测，会进行加密和变形进而隐藏起来，其中一类比较常用的加密方法是通过对文件进行逐字节异或加密，或者逐次对异或密钥key进行等差变换后进行异或加密，或者逐字节循环移位加密，或者上述几种方式的组合加密等。这类加密方式，在更换异或key或循环移位次数重新加密后，旧的检测签名就会失效，从而逃过杀毒软件的检测。对于APT攻击来说，通常由邮件或网页中附带非PE格式的文档(比如Office文档、PDF文档等)发起攻击。这些文档通常会内嵌加密的病毒或木马，而病毒或木马一般都是PE文件。由于PE文件本身直接执行太容易被检测，所以一般都要经过加密后内嵌在非PE文件中，用户在不知情时打开这些非PE文档，如果系统有漏洞，并且该非PE文件有漏洞利用代码形成有效攻击的话，就有可能解密激活内嵌的病毒或木马，从而形成真正的攻击，由此，检测内嵌在非PE文件中的加密的病毒或木马就成为了检测APT攻击的一个很重要的技术手段。比较常见的检测技术是许多杀毒软件常用的签名算法，这类检测技术的特点是只能针对已知病毒或木马进行检测，一旦病毒或木马重新加密或变形后，原先的签名无效，用签名算法就无法检测到了。针对上述使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题，目前尚未提出有效的解决方案。专利技术内容本申请实施例提供了一种文件检测方法和装置，以至少解决使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。根据本申请实施例的一个方面，提供了一种文件检测方法，该方法包括：获取输入的非可执行文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。根据本申请实施例的另一方面，还提供了一种文件检测装置，该文件检测装置包括：获取单元，用于获取输入的非可执行文件；检测单元，用于在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征，其中，可执行文件为当前终端的操作系统可执行的程序文件；确定单元，用于若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。在本申请实施例中，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的可执行文件，若非可执行文件中内嵌有加密的可执行文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过可执行文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于可执行文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1是本申请实施例的一种文件检测方法的计算机终端的硬件结构框图；图2是根据本申请实施例的文件检测方法的流程图一；图3是根据本申请实施例的文件检测方法的流程图二；图4是根据本申请实施例的文件检测方法的流程图三；图5是根据本申请实施例的文件检测装置的示意图一；图6是根据本申请实施例的文件检测装置的示意图二；以及图7是根据本申请实施例的一种计算机终端的网络环境示意图。具体实施方式首先，对本申请实施例涉及的术语解释如下：签名算法：通过从文件中提取的特征串作为签名标识串，采用签名串来检测病毒的算法。非签名算法：凡不属于签名检测算法的检测技术都属于非签名算法。谛听：一种静态文件内容分析引擎，主要基于非签名检测算法。PE：PortableExecutable，一种Windows采用的主要可执行文件格式，例如EXE文件就是一种PE文件，动态链接库DLL文件也是PE文件，该DLL文件可简洁地被执行，大部分病毒或木马都是PE文件。高级持续性威胁：AdvancedPersistentThreat，即APT。其特点是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用漏洞进行攻击。为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本申请实施例，还提供了一种文件检测方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在计算机终端上为例，图1是本申请实施例的一种文件检测方法的计算机终端的硬件结构框图。如图1所示，计算机终端10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输装置106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，计算机终端10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。存储器104可用于存储应用软件的软件程序以及模块，如本申请实施例中的文件检测方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的文件检测方法。存储器104可包括高速随机存储器本文档来自技高网...

【技术保护点】
一种文件检测方法，其特征在于，包括：获取输入的非可执行文件；在检测出所述非可执行文件中存在加密信息的情况下，检测所述加密信息是否符合可执行文件的文件特征，其中，所述可执行文件为当前终端的操作系统可执行的程序文件；若所述加密信息符合所述可执行文件的文件特征，则检测出所述非可执行文件为非法文件。

【技术特征摘要】
1.一种文件检测方法，其特征在于，包括：获取输入的非可执行文件；在检测出所述非可执行文件中存在加密信息的情况下，检测所述加密信息是否符合可执行文件的文件特征，其中，所述可执行文件为当前终端的操作系统可执行的程序文件；若所述加密信息符合所述可执行文件的文件特征，则检测出所述非可执行文件为非法文件。2.根据权利要求1所述的方法，其特征在于，检测所述加密信息是否符合可执行文件的文件特征包括：基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥；利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征。3.根据权利要求2所述的方法，其特征在于，基于所述可执行文件的文件特征确定所述非可执行文件中加密信息的解密密钥包括：获取所述可执行文件的文件特征中的标记信息，其中，所述标记信息用于标记所述可执行文件；从所述加密信息的当前位置提取文件标记；将所述标记信息作为明文数据，将所述文件标记作为密文数据；对所述明文数据和所述密文数据作破解操作，得到所述解密密钥，其中，所述破解操作至少包括下述之一：异或操作、加减操作、循环移位操作、字节顺序交换操作以及等差数列操作。4.根据权利要求2所述的方法，其特征在于，所述文件特征中至少记录有第一偏移量和预定字段信息，其中，利用所述解密密钥校验所述加密信息是否符合所述可执行文件的文件特征包括：获取距离当前位置为所述第一偏移量的第一位置，其中，所述第一偏移量指向所述可执行文件的文件头的偏移指针；从所述加密信息中的第二位置读取加密的偏移指针；使用所述解密密钥解密所述加密的偏移指针，得到所述偏移指针；获取所述加密信息中所述偏移指针所指向的加密字段信息；使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征。5.根据权利要求4所述的方法，其特征在于，使用所述解密密钥、所述加密字段信息以及所述文件特征中的预定字段信息校验所述加密信息是否符合所述可执行文件的文件特征包括：使用所述解密密钥...

【专利技术属性】
技术研发人员：邱克生，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY