【技术实现步骤摘要】
一种有害脚本识别方法、装置、设备及存储介质
[0001]本专利技术涉及计算机
,特别涉及一种有害脚本识别方法、装置、设备及存储介质。
技术介绍
[0002]由于脚本语言学习和程序编写简单,致使大量的脚本病毒出现,而脚本病毒本身就是病毒源代码或者通过简单转换很容易得到病毒源代码,所以它的传播、变种更加广泛,加之脚本病毒文件本身没有像PE等二进制文件的特定格式,所以脚本病毒更容易实自变形导致更多的变种出现,急剧增加了脚本病毒对计算机造成的危害。
[0003]目前安全软件对病毒的识别方法仍然采用特征值匹配方法:特征值匹配方法是对程序、代码、数据中的部分(或全部)程序、代码、数据信息与已有的特征数据信息进行比对来判断病毒的方法。特征匹值配是目前杀毒软件用于识别病毒的主要方法,特征值匹配对已出现的脚本病毒可以准确的匹配到,但由于脚本病毒本身就是脚本源代码或者通过简单转换很容易得到脚本源代码,再加上脚本程序致使编写简单等特点,修改病毒变得非常容易,加上脚本本身的自变形、加密,病毒的变种以及新的脚本病毒很快会大量出现,而特征...
【技术保护点】
【技术特征摘要】
1.一种有害脚本识别方法,其特征在于,所述方法包括:通过钩挂COM对象虚函数监控脚本的动作行为,对监控到的所述脚本的动作行为及对应的行为描述结构进行记录;当监控到目标脚本的动作行为为危险动作时,将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配;当匹配成功时,则确定所述目标脚本为有害脚本。2.根据权利要求1所述的方法,其特征在于,所述通过钩挂COM对象虚函数监控脚本的动作行为,包括:通过钩挂COM对象虚函数监控脚本的文件操作,其中,所述文件操作至少包括自拷贝动作、删除文件动作、修改文件动作、创建文件动作;通过钩挂COM对象虚函数监控脚本的创建进程操作,其中,所述创建进程操作至少包括执行程序动作;通过钩挂COM对象虚函数监控脚本的注册表操作,其中,所述注册表操作至少包括写自启动项动作通过钩挂COM对象虚函数监控脚本的邮件发送操作,其中,所述邮件发送操作至少包括发送邮件动作,添加邮件附件动作通过钩挂COM对象虚函数监控脚本的Internet访问操作,其中,所述Internet访问操作至少包括Internet访问动作、下载程序动作。3.根据权利要求1所述的方法,其特征在于,所述脚本的动作行为包括监控动作和危险动作,其中:所述监控动作包括:自拷贝动作、下载程序动作、添加邮件附件动作、Internet访问动作以及创建文件动作;所述危险动作包括:写自启动项动作、发邮件动作、执行程序动作、删除文件动作、修改文件动作以及写StartPage注册表项。4.根据权利要求1所述的方法,其特征在于,有害脚本行为规则包括:邮件蠕虫规则一:遍历地址本,发送邮件;邮件蠕虫规则二:添加脚本文件附件,发送邮件;下载者木马规则...
【专利技术属性】
技术研发人员:刘庆林,陈建,刘正伟,魏海宇,谢辉,高鹏,吴小勇,李小琼,康柏荣,王鲲,
申请(专利权)人:北京中睿天下信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。