本方案提供了一种恶意代码的检测方法、装置和计算机可读介质,该方法应用于新技术文件系统NTFS,包括:对系统进行文件扫描,获得可疑文件;对可疑文件进行解析,并根据解析后的数据判断可疑文件是否含有隐藏文件;若可疑文件含有隐藏文件,则记录与隐藏文件相关的告警信息,并进行可视化输出,以由用户确定是否为恶意代码;若可疑文件不含有隐藏文件,则确定可疑文件中不含有此类隐藏文件所对应的恶意代码,并进行可视化输出。本方案能够对NTFS系统下隐藏的恶意代码进行有效的检测。
【技术实现步骤摘要】
一种恶意代码的检测方法、装置和计算机可读介质
本专利技术涉及网络安全
,尤其涉及一种恶意代码的检测方法、装置和计算机可读介质。
技术介绍
随着互联网的飞速发展和计算机的快速普及,在方便人们的同时,也带来了安全隐患。恶意代码对个人乃至社会和国家所带来的影响和危害也越来越大,在很多场景中用人来处置恶意代码是不现实的,需要一种能够自动化快速检测恶意代码的工具,来应对大规模感染恶意代码的场景。目前,新技术文件系统(NewTechnologyFileSystem,NTFS)因为它的稳定性和强大的功能以及它所提供的安全性而成为一种更优越的文件系统,NTFS交换数据流是NTFS磁盘格式的一种特性,NTFS系统中的一个普通文件是可以拥有多个数据流文件的,而数据流文件的格式却没有限制,并且当我们运行这个文件时,其附带的数据流文件也会运行。由于现有系统自带的任务管理器、进程管理器等工具都不能很好的检测到NTFS交换数据流,这样,如果黑客将恶意代码程序作为数据流文件捆绑于正常的文件中,当用户运行这个文件,就会同时运行恶意代码程序。因此,亟需提供一种恶意代码的检测方法,以解决上述现有技术的不足。
技术实现思路
本专利技术要解决的问题是当恶意代码程序作为数据流文件捆绑于NTFS系统中的正常文件中时,任务管理器、进程管理器等工具都不能很好的进行检测。本方案提供了一种恶意代码的检测方法、装置和计算机可读介质,能够对NTFS系统下隐藏的恶意代码进行有效的检测。第一方面,本专利技术实施例提供了一种恶意代码的检测方法,该方法应用于新技术文件系统NTFS,可以包括:对系统进行文件扫描,获得可疑文件;对所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件;若所述可疑文件含有隐藏文件,则记录与所述隐藏文件相关的告警信息,并进行可视化输出,以由用户确定是否为恶意代码;若所述可疑文件不含有隐藏文件,则确定所述可疑文件中不含有此类隐藏文件所对应的恶意代码,并进行可视化输出。在一种可能的实现方式中,所述对系统进行文件扫描,获得可疑文件,包括:在系统中指定的位置进行文件扫描,获得可疑文件;和/或,对系统的全盘进行文件扫描,获得可疑文件。在一种可能的实现方式中,所述对所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件,包括:将所述可疑文件进行解析,获得所述可疑文件的至少一个NTFS属性;从所述NTFS属性中查找数据属性;判断查找出的所述数据属性的个数是否大于1;若查找出的所述数据属性的个数大于1,则所述可疑文件包含隐藏文件;若查找出的所述数据属性的个数不大于1,则所述可疑文件不包含隐藏文件。在一种可能的实现方式中,在对系统进行文件扫描,获得可疑文件之后,在对所述可疑文件进行解析,判断所述可疑文件是否含有隐藏文件之前,进一步包括:判断是否有程序调用了预先定义的应用函数;若判断出有程序调用了预先定义的应用函数,则生成告警信息后输出,以及;查询调用所述应用函数的程序的路径和名称,并根据所述路径和名称将该程序隐藏的文件提取出来后进行研判处理,以确定是否为恶意代码。第二方面,本专利技术实施例还提供了一种恶意代码的检测装置,该装置应用于新技术文件系统NTFS,包括:扫描模块、解析判断模块和执行模块;所述扫描模块,用于对系统进行文件扫描,获得可疑文件;所述解析判断模块,用于对所述扫描模块扫描出的所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件;所述执行模块,用于在所述解析判断模块判断出所述可疑文件含有隐藏文件时,记录与所述隐藏文件相关的告警信息,并进行可视化输出,以由用户确定是否为恶意代码;以及在所述解析判断模块判断出所述可疑文件不含有隐藏文件时,确定所述可疑文件中不含有此类隐藏文件所对应的恶意代码,并进行可视化输出。在一种可能的实现方式中,所述扫描模块,用于在系统中指定的位置进行文件扫描,获得可疑文件;和/或,所述扫描模块,用于对系统的全盘进行文件扫描,获得可疑文件。在一种可能的实现方式中,所述解析判断模块,用于执行如下操作:将所述可疑文件进行解析,获得所述可疑文件的至少一个NTFS属性;从所述NTFS属性中查找数据属性;判断查找出的所述数据属性的个数是否大于1;若查找出的所述数据属性的个数大于1,则所述可疑文件包含隐藏文件;若查找出的所述数据属性的个数不大于1,则所述可疑文件不包含隐藏文件。在一种可能的实现方式中,该恶意代码的检测装置进一步包括:应用函数调用判断模块;所述应用函数调用判断模块,用于执行如下操作:判断是否有程序调用了预先定义的应用函数;若判断出有程序调用了预先定义的应用函数,则生成告警信息后输出,以及;查询调用所述应用函数的程序的路径和名称,并根据所述路径和名称将该程序隐藏的文件提取出来后进行研判处理,以确定是否为恶意代码。第三方面,本专利技术实施例还提供了一种恶意代码的检测装置,包括:至少一个存储器和至少一个处理器;所述至少一个存储器,用于存储机器可读程序;所述至少一个处理器,用于调用所述机器可读程序,执行上述第一方面任一实施例所述的方法。第四方面,本专利技术实施例还提供了一种计算机可读介质,所述计算机可读介质上存储有计算机指令,所述计算机指令在被处理器执行时,使所述处理器执行上述第一方面任一实施例所述的方法。实施本专利技术的一种恶意代码的检测方法、装置和计算机可读介质,至少具有以下有益效果:由上述技术方案可知,该恶意代码的检测方案适用于新技术文件系统NTFS中,在进行恶意代码检测时,首先在系统中进行文件扫描,扫描出可疑的文件,然后对该可疑的文件进行解析,并根据解析后的数据判断该可疑文件是否包含隐藏文件,如果包含隐藏文件,则记录与该隐藏文件相关的告警信息,进一步通过可视化输出时用户确定该可疑文件是否为恶意代码,如果不包含隐藏文件,则可以直接可视化输出不含有此类隐藏文件所对应的恶意代码。由此可见,本方案通过对可疑文件进行解析,能够通过解析后的数据来确定该可疑文件是否包含隐藏文件,从而也就能够有效地检测出系统中是否有恶意代码。附图说明图1是本专利技术一个实施例提供的一种恶意代码的检测方法的流程图;图2是本专利技术一个实施例提供的一种恶意代码的检测装置所在设备的示意图;图3是本专利技术一个实施例提供的一种恶意代码的检测装置的结构示意图;图4是本专利技术另一个实施例提供的一种恶意代码的检测装置的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术的一部分实施例,而不是全部的实施例。基于本专利技术中的实施本文档来自技高网...
【技术保护点】
1.一种恶意代码的检测方法,其特征在于,应用于新技术文件系统NTFS,包括:/n对系统进行文件扫描,获得可疑文件;/n对所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件;/n若所述可疑文件含有隐藏文件,则记录与所述隐藏文件相关的告警信息,并进行可视化输出,以由用户确定是否为恶意代码;/n若所述可疑文件不含有隐藏文件,则确定所述可疑文件中不含有此类隐藏文件所对应的恶意代码,并进行可视化输出。/n
【技术特征摘要】
1.一种恶意代码的检测方法,其特征在于,应用于新技术文件系统NTFS,包括:
对系统进行文件扫描,获得可疑文件;
对所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件;
若所述可疑文件含有隐藏文件,则记录与所述隐藏文件相关的告警信息,并进行可视化输出,以由用户确定是否为恶意代码;
若所述可疑文件不含有隐藏文件,则确定所述可疑文件中不含有此类隐藏文件所对应的恶意代码,并进行可视化输出。
2.根据权利要求1所述的方法,其特征在于,所述对系统进行文件扫描,获得可疑文件,包括:
在系统中指定的位置进行文件扫描,获得可疑文件;
和/或,
对系统的全盘进行文件扫描,获得可疑文件。
3.根据权利要求1所述的方法,其特征在于,所述对所述可疑文件进行解析,并根据解析后的数据判断所述可疑文件是否含有隐藏文件,包括:
将所述可疑文件进行解析,获得所述可疑文件的至少一个NTFS属性;
从所述NTFS属性中查找数据属性;
判断查找出的所述数据属性的个数是否大于1;
若查找出的所述数据属性的个数大于1,则所述可疑文件包含隐藏文件;
若查找出的所述数据属性的个数不大于1,则所述可疑文件不包含隐藏文件。
4.根据权利要求1至3中任一所述的方法,其特征在于,在对系统进行文件扫描,获得可疑文件之后,且对所述可疑文件进行解析,判断所述可疑文件是否含有隐藏文件之前,进一步包括:
判断是否有程序调用了预先定义的应用函数;
若判断出有程序调用了预先定义的应用函数,则生成告警信息后输出,以及;
查询调用所述应用函数的程序的路径和名称,并根据所述路径和名称将该程序隐藏的文件提取出来后进行研判处理,以确定是否为恶意代码。
5.一种恶意代码的检测装置,其特征在于,应用于新技术文件系统NTFS,包括:扫描模块、解析判断模块和执行模块;
所述扫描模块,用于对系统进行文件扫描,获得可疑文件;
所述解析判断模块,用于对所述扫描模块扫描出的所述可疑文件进行...
【专利技术属性】
技术研发人员:郭洪亮,张慧云,曹鑫磊,肖新光,
申请(专利权)人:北京安天网络安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。