[发明专利]文件检测方法和装置

说明书

本申请公开了一种文件检测方法和装置。其中，该方法包括：获取输入的非可执行文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；若加密信息符合可执行文件的文件特征，则检测出非可执行文件中内嵌有可执行文件。本申请解决了使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

技术领域

本申请涉及计算机领域，具体而言，涉及一种文件检测方法和装置。

背景技术

在计算机反病毒技术发展过程中，病毒和木马为了逃避查杀，也在不断发展演变，产生出不同的加密和变形手段，从而可以绕过杀毒软件查杀形成有效攻击，这种查杀和攻击技术不断对垒演变的过程通常称为对抗过程。病毒和木马为了逃避检测，会进行加密和变形进而隐藏起来，其中一类比较常用的加密方法是通过对文件进行逐字节异或加密，或者逐次对异或密钥key进行等差变换后进行异或加密，或者逐字节循环移位加密，或者上述几种方式的组合加密等。这类加密方式，在更换异或key或循环移位次数重新加密后，旧的检测签名就会失效，从而逃过杀毒软件的检测。

对于APT攻击来说，通常由邮件或网页中附带非PE格式的文档(比如Office文档、PDF文档等)发起攻击。这些文档通常会内嵌加密的病毒或木马，而病毒或木马一般都是PE文件。由于PE文件本身直接执行太容易被检测，所以一般都要经过加密后内嵌在非PE文件中，用户在不知情时打开这些非PE文档，如果系统有漏洞，并且该非PE文件有漏洞利用代码形成有效攻击的话，就有可能解密激活内嵌的病毒或木马，从而形成真正的攻击，由此，检测内嵌在非PE文件中的加密的病毒或木马就成为了检测APT攻击的一个很重要的技术手段。比较常见的检测技术是许多杀毒软件常用的签名算法，这类检测技术的特点是只能针对已知病毒或木马进行检测，一旦病毒或木马重新加密或变形后，原先的签名无效，用签名算法就无法检测到了。

针对上述使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题，目前尚未提出有效的解决方案。

发明内容

本申请实施例提供了一种文件检测方法和装置，以至少解决使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

根据本申请实施例的一个方面，提供了一种文件检测方法，该方法包括：获取输入的非可执行文件；在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

根据本申请实施例的另一方面，还提供了一种文件检测装置，该文件检测装置包括：获取单元，用于获取输入的非可执行文件；检测单元，用于在检测出非可执行文件中存在加密信息的情况下，检测加密信息是否符合可执行文件的文件特征；确定单元，用于若加密信息符合可执行文件的文件特征，则检测出非可执行文件为非法文件。

在本申请实施例中，检测非可执行文件中的加密信息是否符合可执行文件的文件特征，以检测非可执行文件中是否内嵌有加密的可执行文件，若非可执行文件中内嵌有加密的可执行文件，则将该非可执行文件确认为非法文件，该非法文件可以为病毒文件或木马文件。通过该实施例，通过可执行文件的文件特征检测非可执行文件中是否携带有加密的PE格式的病毒或木马文件，而不再使用签名算法对非可执行文件进行检测，由于可执行文件的文件特征不因加密算法的变化而变化，即便是这类加密文件在重新加密后也能有效检测，以发现未知病毒或木马，解决了现有技术中使用签名算法无法检测加密或变形后的计算机病毒或木马程序的问题。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请实施例的一种文件检测方法的计算机终端的硬件结构框图；

图2是根据本申请实施例的文件检测方法的流程图一；