【技术实现步骤摘要】
脚本文件的病毒检测方法、装置、终端及存储介质
本专利技术涉及病毒检测领域,特别涉及一种脚本文件的病毒检测方法、装置终端及存储介质。
技术介绍
脚本文件是一种计算机编程文件,包括非PE(PortableExecutable,可移植可执行)脚本文件。非PE脚本文件是指不能在终端的操作系统上直接执行、需要借助脚本虚拟机才能执行的脚本文件。一般终端上的WScript(脚本宿主)、浏览器、Office系列软件等程序都集成有脚本虚拟机,能够运行非PE脚本文件。实际应用中,为了保证操作系统的安全性,通常需要对终端中的非PE脚本文件进行病毒检测,以确定非PE脚本文件是否为病毒文件。目前,基本都是通过安全厂商开发的病毒检测软件,并采用静态检测方法对非PE脚本文件进行病毒检测,即采用特征匹配的方式进行病毒检测。由于非PE脚本文件通常会被加密,因此,在进行特征匹配之前,还需要先通过病毒检测软件中集成的脚本虚拟机运行非PE脚本文件,得到解密后的非PE脚本文件,然后再依次从病毒特征库中取出一条病毒特征与解密后的非PE脚本文件进行匹配,检查该非PE脚本文件中是否存在该病毒特征,如果存在,则确定该非PE脚本文件为病毒文件,如果不存在,则继续匹配下一条病毒特征,直至遍历完所有病毒特征为止。但是不同的非PE脚本文件可能使用不同的脚本语言,而一种脚本虚拟机只能解密一种脚本语言的非PE脚本文件,因此为了实现多种脚本语言的非PE脚本文件的病毒检测,也就需要开发多种脚本虚拟机,成本巨大。而且由于脚本虚拟机的代码量往往很大,因此脚本虚拟机也将影响病毒检测软件的检测效率。
技术实现思路
为了解决相关技术中 ...
【技术保护点】
1.一种脚本文件的病毒检测方法,其特征在于,所述方法包括:在目标程序的运行过程中,运行预先在所述目标程序中注入的监控文件所包括的监控代码,所述目标程序是指集成有脚本虚拟机的程序;通过所述监控代码的运行,获取至少一个调用函数指针被调用时所使用的方法名和/或脚本参数,所述至少一个调用函数指针是指所述目标程序运行非可移植可执行PE脚本文件的过程中所调用的自动化对象的分发接口的调用函数指针,所述自动化对象是指集成有分发接口的组件对象模型COM对象;基于获取到的方法名和/或脚本参数,对所述非PE脚本文件进行病毒检测。
【技术特征摘要】
1.一种脚本文件的病毒检测方法,其特征在于,所述方法包括:在目标程序的运行过程中,运行预先在所述目标程序中注入的监控文件所包括的监控代码,所述目标程序是指集成有脚本虚拟机的程序;通过所述监控代码的运行,获取至少一个调用函数指针被调用时所使用的方法名和/或脚本参数,所述至少一个调用函数指针是指所述目标程序运行非可移植可执行PE脚本文件的过程中所调用的自动化对象的分发接口的调用函数指针,所述自动化对象是指集成有分发接口的组件对象模型COM对象;基于获取到的方法名和/或脚本参数,对所述非PE脚本文件进行病毒检测。2.如权利要求1所述的方法,其特征在于,所述通过所述监控代码的运行,获取至少一个调用函数指针被调用时所使用的方法名和/或脚本参数,包括:通过所述监控代码的运行,获取运行所述非PE脚本文件的过程中需要调用的所有自动化对象的分发接口的函数指针表,每个函数指针表包括对应自动化对象的分发接口的调用函数指针;将获取得到的每个函数指针表中的调用函数指针修改为自定义函数指针;对所述目标程序运行所述非PE脚本文件的过程进行监控;当每监控到所述自定义函数指针在运行所述非PE脚本文件的过程中被调用时,获取调用所述自定义函数指针时所使用的方法名和/或脚本参数。3.如权利要求1所述的方法,其特征在于,所述基于获取到的方法名和/或脚本参数,对所述非PE脚本文件进行病毒检测,包括:确定获取到的方法名对应的操作行为,基于所述操作行为确定所述非PE脚本文件是否为病毒文件;或者,将第一病毒特征库中的特征与获取到的脚本参数依次进行匹配,如果获取到的脚本参数中存在所述第一病毒特征库中的预设数目个特征,则确定所述非PE脚本文件为病毒文件,所述第一病毒特征库中的特征包括脚本参数特征;或者,将第二病毒特征库中的特征与获取到的方法名和脚本参数组成的字符串依次进行匹配,如果组成的字符串中存在所述第二病毒特征库中的预设数目个特征,则确定所述非PE脚本文件为病毒文件,所述第二病毒特征库中的特征包括方法名特征和脚本参数特征。4.如权利要求1所述的方法,其特征在于,所述基于获取到的方法名和/或脚本参数,对所述非PE脚本文件进行病毒检测之后,还包括:若确定所述非PE脚本文件是病毒文件,则结束运行所述非PE脚本文件,和/或,显示提醒信息,所述提醒信息用于提醒所述非PE脚本文件是病毒文件;若确定所述非PE脚本文件不是病毒文件,则基于获取到的方法名和脚本参数调用对应的方法函数,以完成所述非PE脚本文件的运行。5.如权利要求1所述的方法,其特征在于,所述运行预先在所述目标程序中注入的监控文件所包括的监控代码之前,...
【专利技术属性】
技术研发人员:王炳堪,崔精兵,郭晓龙,于涛,屈亚鑫,张洁烽,郭长宇,赵子云,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。