本发明专利技术的实施例公开一种恶意行为检测方法、装置、电子设备及存储介质。该方法包括:获取安装程序制作程序生成的软件安装程序;从所述软件安装程序中提取用于描述安装行为的脚本;根据所述脚本内容判断所述软件安装程序中是否存在恶意行为;根据判断结果输出提示信息。本发明专利技术实施例提供的一种恶意行为检测方法、装置、电子设备及存储介质可检测出安装程序制作程序生成的软件安装程序是否存在恶意行为,从而降低用户被恶意攻击的风险。并且,不需要特征检测及建立特征库,可有效减少占用的存储空间和检测耗时。存储空间和检测耗时。存储空间和检测耗时。
【技术实现步骤摘要】
一种恶意行为检测方法、装置、电子设备及存储介质
[0001]本专利技术涉及计算机安全
,尤其涉及一种恶意行为检测方法、装置、电子设备及存储介质。
技术介绍
[0002]Nullsoft脚本安装系统(Scriptable Install System,NSIS)作为一种安装程序制作程序,提供了安装、卸载、系统设置、文件解压缩等功能。NSIS通过它的脚本语言来描述安装程序的行为和逻辑。NSIS的脚本语言和通常的编程语言有类似的结构和语法,但它是为安装程序这类应用所设计的。NSIS因为可以通过请求系统函数完成诸如修改计算机注册表,创建修改文件等操作,也可以利用压缩算法将程序所需的文件加入到安装包中,等到用户安装时解压到特定的文件夹。
[0003]NSIS提供的便利虽然降低了开发人员为自己的程序制作安装包的耗时,但也为恶意软件的传播提供了便利。由于NSIS可以进行多种影响计算机系统的操作,恶意程序开发人员就可以利用这些操作完成很多攻击操作,比如通过压缩操作将独立的恶意程序加入进安装程序内,在安装程序执行时释放并执行恶意程序。因此亟需一种对恶意行为的检测方法,来对安装程序制作程序生成的软件安装程序进行检测,降低用户被恶意攻击的风险。
[0004]现有的恶意行为检测方法主要是基于文件特征实现,具体包括:判断文件是否存在恶意行为。如果存在恶意行为,检测产生恶意行为的具体位置以及特征,比如特定的字符串,如某些病毒文件在文件起始的位置存有自己病毒的名称,或者特殊的函数调用。针对这些特征及特定区域,采用摘要算法为样本生成标识,一般采用MD5、SHA1或者SHA256算法。对以后遇到的样本,在相同的位置提取相同长度的字符串生成标识,与样本的标识进行比较,如果相同说明存在一样的特殊字符串,就可以判断新的样本有很大的可能存在与原样本相同的恶意行为。这种方法虽然可以检测出一定的恶意行为,但存在如下缺点:由于病毒跨家族检测能力差,针对不同的变种,需要提出不同的特征检测,对于新出现的病毒检测能力不一定,需要重新获得特征。需要存储空间存储特征库,当特征过多时需要优化比较思路,否则检测过程耗时会过长。
技术实现思路
[0005]有鉴于此,本专利技术实施例提供一种恶意行为检测方法、装置、电子设备及存储介质,可检测出安装程序制作程序生成的软件安装程序是否存在恶意行为,从而降低用户被恶意攻击的风险,并且不需要特征检测及建立特征库,可有效减少占用的存储空间和检测耗时。
[0006]在第一方面,本专利技术实施例提供一种恶意行为检测方法,该方法包括:
[0007]获取安装程序制作程序生成的软件安装程序;
[0008]从所述软件安装程序中提取用于描述安装行为的脚本;
[0009]根据所述脚本内容判断所述软件安装程序中是否存在恶意行为;
[0010]根据判断结果输出提示信息。
[0011]优选的,所述根据所述脚本内容判断所述软件安装程序中是否存在恶意行为,包括:根据所述脚本判断是否存在利用字符串复制拼接URL或可执行文件名的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断是否存在设置所述软件安装程序自动关闭,静默安装后释放可执行程序,并在执行所述可执行程序后删除所述可执行程序的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断在系统调用函数语句中是否有利用变量名代替部分语句的内容;如果是,则确定存在恶意行为。
[0012]优选的,所述获取安装程序制作程序生成的软件安装程序,包括:获取可移植可执行PE文件;若所述PE文件中包括安装程序制作程序对应的特定字符串,则确定所述PE文件为所述安装程序制作程序生成的软件安装程序。
[0013]优选的,所述从所述软件安装程序中提取用于描述安装行为的脚本,包括:利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本。
[0014]优选的,所述方法还包括:如果利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本失败,提取所述软件安装程序中不符合PE文件格式且存在于PE文件尾部的附属内容,并利用所述解压缩软件对所述附属内容进行解压缩,以获取用于描述安装行为的脚本。
[0015]在第二方面,本专利技术实施例提供一种恶意行为检测装置,该装置包括:
[0016]获取单元,用于获取安装程序制作程序生成的软件安装程序;
[0017]提取单元,用于从所述软件安装程序中提取用于描述安装行为的脚本;
[0018]判断单元,用于根据所述脚本内容判断所述软件安装程序中是否存在恶意行为;
[0019]输出单元,用于根据判断结果输出提示信息。
[0020]优选的,所述判断单元具体用于:根据所述脚本判断是否存在利用字符串复制拼接URL或可执行文件名的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断是否存在设置所述软件安装程序自动关闭,静默安装后释放可执行程序,并在执行所述可执行程序后删除所述可执行程序的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断在系统调用函数语句中是否有利用变量名代替部分语句的内容;如果是,则确定存在恶意行为。
[0021]优选的,所述获取单元具体用于:获取可移植可执行PE文件;若所述PE文件中包括安装程序制作程序对应的特定字符串,则确定所述PE文件为所述安装程序制作程序生成的软件安装程序。
[0022]优选的,所述提取单元具体用于:利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本。
[0023]优选的,所述提取单元具体还用于:如果利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本失败,提取所述软件安装程序中不符合PE文件格式且存在于PE文件尾部的附属内容,并利用所述解压缩软件对所述附属内容进行解压缩,以获取用于描述安装行为的脚本。
[0024]在第三方面,本专利技术实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可
执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述第一方面所述的恶意行为检测方法。
[0025]第四方面,本专利技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现第一方面所述的恶意行为检测方法。
[0026]本专利技术实施例提供的一种恶意行为检测方法、装置、电子设备及存储介质,通过获取安装程序制作程序生成的软件安装程序,从软件安装程序中提取用于描述安装行为的脚本,根据脚本内容判断是否存在恶意行为,根据判断结果输出提示信息。基于此,本专利技术实施例提供的一种恶意行为检测方法、装置、电子设备及存储介质可检测出安装程序制作程序生成的软件安装程序是否存在恶意行为,从而降低用户被恶意攻击的风险。并且,本专利技术实施例提供的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种恶意行为检测方法,其特征在于,所述方法包括:获取安装程序制作程序生成的软件安装程序;从所述软件安装程序中提取用于描述安装行为的脚本;根据所述脚本内容判断所述软件安装程序中是否存在恶意行为;根据判断结果输出提示信息。2.根据权利要求1所述的方法,其特征在于,所述根据所述脚本内容判断所述软件安装程序中是否存在恶意行为,包括:根据所述脚本判断是否存在利用字符串复制拼接URL或可执行文件名的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断是否存在设置所述软件安装程序自动关闭,静默安装后释放可执行程序,并在执行所述可执行程序后删除所述可执行程序的行为;如果是,则确定存在恶意行为;和/或,根据所述脚本判断在系统调用函数语句中是否有利用变量名代替部分语句的内容;如果是,则确定存在恶意行为。3.根据权利要求1所述的方法,其特征在于,所述获取安装程序制作程序生成的软件安装程序,包括:获取可移植可执行PE文件;若所述PE文件中包括安装程序制作程序对应的特定字符串,则确定所述PE文件为所述安装程序制作程序生成的软件安装程序。4.根据权利要求1所述的方法,其特征在于,所述从所述软件安装程序中提取用于描述安装行为的脚本,包括:利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本。5.根据权利要求4所述的方法,其特征在于,所述方法还包括:如果利用解压缩软件从所述软件安装程序中提取用于描述安装行为的脚本失败,提取所述软件安装程序中不符合PE文件格式且存在于PE文件尾部的附属内容,并利用所述解压缩软件对所述附属内容进行解压缩,以获取用于描述安装行为的脚本。6.一种恶意行为检测装置,其特征在于,所述装置包括:获取单元,用于获取安装程序制作程序生成的软件安装程序;提取单元,用于从所述软件安装程序中提取用于描述安装行为的脚本;判断单元,用于根据所述脚本内容判断所述软件安装程序中是否存在恶意行为;输出单元,用于根据判断结果输出提示信息。7....
【专利技术属性】
技术研发人员:徐珩程,董雷,
申请(专利权)人:安天科技集团股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。