[发明专利]一种基于复合特征码的恶意文件检测方法

权利要求书

1.一种基于复合特征码的恶意文件检测方法，其特征在于，包括：

步骤1：预先设置主特征码集合，并为所述主特征码集合中的每个主特征码设置与其对应的非特征码；

步骤2：采用所述主特征码集合扫描待检测文件，当且仅当所述待检测文件中能匹配到所述主特征码集合中的任意一个主特征码且不能匹配到该主特征码所对应任意一个非特征码时，所述待检测文件为恶意文件。

2.如权利要求1所述的一种基于复合特征码的恶意文件检测方法，其特征在于，所述步骤2包括：

S21：采用所述主特征码集合扫描待检测文件开头的预定长度的代码段；

S22：判断当前扫描的待检测文件的代码段是否能够与所述主特征码集合中的任意一个主特征码相匹配？若是，则继续S23；否则，执行S27；

S23：判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征码？若是，则继续执行S24；否则，输出待检测文件为恶意文件的检测结果，结束检测流程；

S24：判断是否已经采用所述主特征码集合扫描到所述待检测文件的结尾？若是，则认为待检测文件为非恶意文件；否则，继续执行S25；

S25：将当前匹配到的主特征码从所述主特征码集合中删除；

S26：采用主特征码集合扫描待检测文件的下一个预定长度的代码段，并返回执行S22；

S27：判断是否已经采用所述主特征码集合扫描到待检测文件的结尾？若是，则认为待检测文件为非恶意文件，否则，跳至执行S26。 

3.如权利要求2所述的一种基于复合特征码的恶意文件检测方法，其特征在于，所述步骤1包括：

预先设置并在数据库中存储由n个主特征码组成的主特征码集合；其中，n为大于等于0的整数；

预先为所述主特征码集合中的每个主特征码设置与其对应的若干个非特征码，得到对应于每个主特征码的非特征码集合并将所述非特征码集合存储于所述数据库中；

将所述数据库中的所有数据读入内存，并将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间建立映射关系。

4.如权利要求3所述的一种基于复合特征码的恶意文件检测方法，其特征在于，步骤S23所述判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的任意一个非特征 码，包括：

获取所述当前匹配到的主特征码在内存中的地址；

根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的非特征码集合在所述内存中的地址之间的映射关系，获取所述当前匹配到的主特征码所对应的非特征码集合；

判断所述待检测文件中是否能匹配到当前获取的非特征码集合中的任意一个非特征码。

5.如权利要求4所述的一种基于复合特征码的恶意文件检测方法，其特征在于，步骤1中所述将所述数据库中的所有数据读入内存之前，还包括：预先为所述主特征码集合中的每个主特征码设置与其对应的若干个从特征 码，得到对应于每个主特征码的从特征码集合并将所述从特征码集合存储于所述数据库中；

步骤1中所述将所述数据库中的所有数据读入内存之后，还包括：将所述主特征码集合中的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间建立映射关系。

6.如权利要求5所述的一种基于复合特征码的恶意文件检测方法，其特征在于，所述步骤S22和S23之间还包括步骤：

判断在所述待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码？若是，则继续执行S23，否则，跳至执行S24。

7.如权利要求5所述的一种基于复合特征码的恶意文件检测方法，其特征在于，当所述步骤S23的判断结果为否时，所述步骤S23之后还包括步骤：

判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码？若否，则继续执行步骤5；若是，则输出待检测文件为恶意文件的检测结果，结束检测流程。

8.如权利要求6或7所述的一种基于复合特征码的恶意文件检测方法，其特征在于，所述判断在待检测文件中是否能匹配到当前匹配到的主特征码所对应的全部从特征码，包括：获取所述当前匹配到的主特征码在内存中的地址；

根据预先配置的每个主特征码在所述内存中的地址与该主特征码所对应的从特征码集合在所述内存中的地址之间的映射关系，获取所述当前匹配到的主特征码所对应的从特征码集合；

判断所述待检测文件中是否能匹配到当前获取的从特征码集合中的全部特征码。