本发明专利技术公开了一种计算机文件检测的方法及装置。本发明专利技术方法包括:检测文件的属性,选出可疑的检测项,所述属性包括结构属性和文件属性;为所述可疑的检测项赋予权值,统计同一可疑的检测项的出现数量;使用预置的可疑的检测项的权值和所述同一可疑的检测项的出现数量计算所述文件的可疑度,若所述可疑度大于或等于预置可疑标准,则所述文件为可疑文件,若所述可疑度小于所述预置可疑标准,则所述文件为非可疑文件。本发明专利技术可以实现对静态未知病毒的主动防御,加强病毒的防御。
【技术实现步骤摘要】
本专利技术涉及计算机通信领域,尤其涉及一种计算机文件检测的方法及装置。
技术介绍
目前,在业界出现了未知计算机病毒主动防御技术,标志着反病毒技术由;坡动向主动方向发展。主动反病毒主要是对当前运行的进程进4亍行为分析, 监测运行的程序是否有恶意的行为,进而给出运行的程序的可疑概率。这种检 测方式使得未知病毒的检测取得了较好的识别率,但这种方式只能检测到运 行着的病毒文件,对于静态的病毒样本和静态病毒文件则无法检测到。经实 践证明,处于运行状态的病毒文件只占总病毒文件的40。/。左右甚至更少,由 于一个病毒文件会在几个不同的文件路径下保存,但是同时运行的只有一个 副本;基于行为判定的未知病毒检测,由病毒样本释放到其他多个不同文件 夹位置的静态样本和例如通过Web浏览、USB设备、Email传播到本地的静 态病毒文件则无法检测到。在对现有技术的研究和实践过程中,专利技术人发现现有技术存在以下问题 现有技术基于行为检测的病毒主动防御措施不能检测到处于静态的病毒文 件,因此只使用现有技术的病毒主动防御技术,会出现部分病毒清除不干净 的现象,不能完全实现病毒的主动防御。
技术实现思路
本专利技术实施例要解决的技术问题是提供一种计算机文件检测的方法及装 置,能够实现对静态未知病毒的防御。本专利技术实施例所提供的计算机文件检测的方法及装置实施例是通过以下 技术方案实现的本专利技术实施例提供一种计算机文件检测的方法,包括步骤检测文件的属性,选出可疑的检测项,所述属性包括结构属性和文件属性;为所述可疑的检测项赋予权值,统计同一可疑的检测项的出现数量;使用预置的可疑的检测项的权值和所述同 一可疑的检测项的出现数量计 算所述文件的可疑度,若所述可疑度大于或等于预置可疑标准,则所述文件 为可疑文件,若所述可疑度小于所述预置可疑标准,则所述文件为非可疑文件。本专利技术实施例还提供一种计算机文件检测的装置,包括检测单元,用于检测文件的属性,选择可疑的检测项,所述属性包括结 构属性和文件属性;赋值单元,用于为所述可疑的检测项赋予权值;统计单元,用于统计同一个可疑的检测项的出现数量;计算单元,用于使用所述可疑的检测项的权值和所述同 一个可疑的检测 项的出现数量计算得出所述文件的可疑度;比较单元,用于将所述文件的可疑度与预置可疑标准比较,若所述可疑 度大于预置可疑标准,则所述文件是可疑文件,若所述可疑度小于预置可疑 标准,则所述文件为非可疑文件。上述技术方案中的技术方案具有如下有益效果由于本专利技术实施例检测 文件的结构属性和文件属性,选出可疑的检测项,并为所述可疑的检测项赋 予权值,统计同一个可疑的检测项的出现数量,然后计算得出被检测文件的 可疑度,根据预置的规则确定该文件是否是可疑文件,相对于现有技术实现 对静态未知病毒的主动防御;提高未知病毒的检测概率,加强了对未知病毒 的防御。附图说明图1是本专利技术实施例提供的计算机文件检测的方法流程图; 图2是本专利技术实施例提供的计算机文件检测的装置图。具体实施方式本专利技术实施例提供了 一种计算机文件检测的方法及装置,用于实现对静 态病毒的主动防雄卩。本专利技术实施例通过对静态的文件的结构属性和文件属性进行检测,选出 可疑的检测项,根据每个检测项的权重赋于该检测项权值,利用该权值和同 一个可疑检测项的出现数量计算得出被检测文件的可疑度,根据计算出的可 疑度确定该文件是否被感染了病毒。本专利技术实施例通过对静态文件的检测, 实现对静态病毒的主动防御。当操作终端的用户选择利用本专利技术实施例提供的计算机文件检测装置开 始检测终端中文件是否被感染了病毒,开始进入本专利技术实施例提供的计算机 文件检测方法步骤中。请参阅图1是本专利技术实施例提供的计算机文件检测的方法流程图。开始检测时,首先打开文件并读取文件,然后执行步骤101。 步骤101 、检测文件的有效性;为加快文件的检测速度,在打开文件后首先检测文件的有效性,防止在 无效的文件上花费时间进行检测。本专利技术实施例以检测word文件为例。检测文件的有效性主要通过检测文 件结构属性中的映像DOS头(IMAGE_DOS_HEADER)结构中e_magic项是 否等于一预设值,例如IMAGE_DOS_SIGNATURE,若不相等则是无效可执 行文件(PE文件);若相等则根据结构属性中的映像DOS头结构中e—lfanew 项指向的地址找到映像NT头(IMAGE_NT_HEADER )所在位置,比较映像 NT头结构中的PE文件标识(Signature)项是否等于 "PE00", 若相等则 认为是有效的PE文件;否则显示信息表示该文件不是有效的PE结构的文件, 则该文件是无效的;该步骤检测文件是有效的PE结构文件。若检测打开的文 件是有效的文件,执行步骤102,若检测打开的文件是无效文件,直接结束检 测。步骤102、检测文件的结构属性;检测文件的结构属性具体包括检测结构属性中的映像DOS头中各项;检测映像文件头(IMAGE_FILE_HEADER )各项;检测可选映像头 (IMAGE—OPTIONAL_HEADER ) 各项;检测段映像头 (IMAGE—SECTION—HEADER)各项。检测结构属性中的映像DOS头中各项具体如下结构属性中的映像DOS头中e一lfanew项如果该项的数值超出待检测文件长度或小于0x10,则认为是可疑的。 检测映像文件头各项具体如下 映像文件头中Number Of Sections项;正常情况下该项的数值多为4,如果该项的数值小于3则认为是可疑文件。 才企测可选映像头中各项具体如下 段映像头中的Base Of Code项;可疑文件此项的数值不等于任一段的起始地址,即不在任一段中。或 起始地址异常,正常情况下在Win32下,起始地址多为0x1000、 0x10000000、 0x00400000。若不是这些数值则认为是可疑的。若此项的数值等于某 一 段的起始地址,但该段的段名 (IMAGE—SECTION—HEADER中Name项)如果不是常见的".text"、 ".rsrc" 则认为是可疑的。段映像头中的BaseOfData项;可疑文件此项的数值不等于任一段的起始地址,即不在任一段中,或 此项的数值'J、于0x400,则认为是可疑的。若此项的数值等于某 一 段的起始地址,但该段的段名 (IMAGE—SECTION—HEADER中Name项)如果不是常见的".data"也认为 是可疑的。段映像头中ImageBase项;若此项的数值大于0x20000000则认为是可疑的。段映像头中FileAlignment项;若此项的数值不等于0x200则认为是可疑的。 段映像头中Checksum项;病毒及一些非法程序,在修改PE文件格式时,常将此项置O,而正常编 译器编译的文件有正确的数值。若此项为O,则认为是可疑的。段映像头中Import table的VirtualAddress和Size项;如IMAGE_OPTIONAL_HEADER32陽〉DataDirectory.Size的凄W直大于 0且小于0x28则认为是可疑的;段映像头中Resource项;另外还有其他文件的结构上的异常,例如资源段中又包含有PE文件普通文件的资源段一般存放文件的图标、文件相关的位图、版本信息等 内容。如果本文档来自技高网...
【技术保护点】
一种计算机文件检测的方法,其特征在于,包括步骤: 检测文件的属性,选出可疑的检测项,所述属性包括结构属性和文件属性; 为所述可疑的检测项赋予权值,统计同一可疑的检测项的出现数量; 使用预置的可疑的检测项的权值和所述同一可疑的检测项的出现数量计算所述文件的可疑度,若所述可疑度大于或等于预置可疑标准,则所述文件为可疑文件,若所述可疑度小于所述预置可疑标准,则所述文件为非可疑文件。
【技术特征摘要】
【专利技术属性】
技术研发人员:樊震,
申请(专利权)人:成都市华为赛门铁克科技有限公司,
类型:发明
国别省市:90[中国|成都]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。