一种针对数据文件中可执行代码的检测方法及系统技术方案

本发明专利技术公开了一种针对数据文件中可执行代码的检测方法及系统。本方法为：1)对每一待分析样本进行解析，识别该样本的文件格式；2)判断该文件格式是否为设定的安全文件格式，如果不是，则根据该文件格式选取对应的若干解码方法分别对该样本的文件内容进行解码，得到若干份解码后的数据内容；3)根据该样本的文件格式选择对应的若干可执行代码检测方案分别对步骤2)得到的每一份解码数据内容进行检测；4)根据步骤3)的检测结果确定该样本中是否存在可执行代码。本发明专利技术能有效检测数据文件中隐藏的未知恶意代码。

Method and system for detecting executable code in data file

The invention discloses a method and a system for detecting executable code in data files. The method is as follows: 1) to analyze each sample to be analyzed, the identification of the sample file format; 2) to determine whether the file format for the set of security file format, if not, according to some decoding method of the file format select corresponding respectively to the sample file contents to decode, get a number of decoding after the contents of the data; 3) according to the sample file format is selected according to the number of executable code detection scheme respectively in step 2) each decoding data content were detected; 4) according to step 3) the test results to determine whether the executable code exists in the sample. The invention can effectively detect unknown malicious codes hidden in the data files.

【技术实现步骤摘要】
一种针对数据文件中可执行代码的检测方法及系统
本专利技术属于恶意代码检测
，具体涉及一种针对数据文件中可执行代码的检测方法及系统。
技术介绍
随着社会的不断发展和进步，计算机和网络在社会各个领域的应用越来越广泛。与此同时，恶意代码攻击带来的危害也日益严重，尤其是隐藏在Word文档、PowerPoint文档、PDF文档等数据文件中的可执行代码攻击越演越烈，成为了新一代攻击技术的主流手段，对公共安全和信息保密造成严重影响。因此，针对数据文件中可执行代码的检测显得十分必要。当前的数据文件可执行代码检测技术，通常使用以下几种方法：1.对数据文件进行静态二进制扫描，对比恶意代码特征库中的已有恶意代码特征，实现可执行代码检测。由于该方法只能针对已知恶意代码进行检测，而数据文件中的可执行代码通常会包含未知恶意代码、变形恶意代码、甚至特种恶意代码，并针对特定环境的软件漏洞或0Day漏洞进行攻击，对于这种情况，该方法的检测能力不足。2.对数据文件的加载过程进行动态调试，分析该过程中可能产生的异常，实现可执行代码检测。由于该方法不容易界定异常产生自数据文件中的可执行代码还是加载数据文件的进程本身，本文档来自技高网...

【技术保护点】
一种针对数据文件中可执行代码的检测方法，其步骤为：1)对每一待分析样本进行解析，识别该样本的文件格式；2)判断该文件格式是否为设定的安全文件格式，如果不是，则根据该文件格式选取对应的若干解码方法分别对该样本的文件内容进行解码，得到若干份解码后的数据内容；3)根据该样本的文件格式选择对应的若干可执行代码检测方案分别对步骤2)得到的每一份解码数据内容进行检测；4)根据步骤3)的检测结果确定该样本中是否存在可执行代码。

【技术特征摘要】
1.一种针对数据文件中可执行代码的检测方法，其步骤为：1)对每一待分析样本进行解析，识别该样本的文件格式；2)判断该文件格式是否为设定的安全文件格式，如果不是，则根据该文件格式选取对应的若干解码方法分别对该样本的文件内容进行解码，得到若干份解码后的数据内容；3)根据该样本的文件格式选择对应的若干可执行代码检测方案分别对步骤2)得到的每一份解码数据内容进行检测；4)根据步骤3)的检测结果确定该样本中是否存在可执行代码。2.如权利要求1所述的方法，其特征在于，根据步骤3)的检测结果确定该样本中是否存在可执行代码的方法为：根据每个可执行代码检测方案的类型对其检测结果进行评分，然后将各可执行代码检测方案的检测结果评分进行累加，如果累加后的评分超过设定阈值，则判定该样本中包含可执行代码。3.如权利要求1所述的方法，其特征在于，根据步骤3)的检测结果确定该样本中是否存在可执行代码的方法为：如果任一可执行代码检测方案的检测结果为存在可执行代码，则判定该样本中包含可执行代码。4.如权利要求1所述的方法，其特征在于，所述可执行代码检测方案包括内嵌可执行模块检测、重定位指令检测、特殊敏感指令检测、敏感API调用检测、敏感字符编码检测、内嵌可执行脚本检测。5.如权利要求1所述的方法，其特征在于，采用扩展名识别方法、文件头特...

【专利技术属性】
技术研发人员：聂眉宁，应凌云，苏璞睿，冯登国，
申请(专利权)人：中国科学院软件研究所，
类型：发明
国别省市：北京,11