[发明专利]一种恶意脚本的检测方法、装置、电子设备及存储介质

权利要求书

1.一种恶意脚本的检测方法，其特征在于，所述方法应用于电子设备，所述方法包括：

将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行；

在所述脚本代码仿真运行过程中，扫描所述脚本代码，并获取所述脚本代码的特征信息；

根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件。

2.如权利要求1所述的方法，其特征在于，所述特征信息包括所述脚本代码中的变量值；

所述根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述变量值与病毒特征库中的病毒特征进行匹配；

当所述变量值与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

3.如权利要求1所述的方法，其特征在于，所述特征信息包括所述脚本代码中的应用程序接口的运行参数；

所述根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述运行参数与病毒特征库中的病毒特征进行匹配；

当所述运行参数与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

4.如权利要求1所述的方法，其特征在于，所述特征信息包括所述脚本代码仿真运行时调用所述应用程序接口的行为链；

所述根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件包括：

将所述行为链与病毒特征库中的病毒特征进行匹配；

当所述行为链与所述病毒特征相匹配时，确定所述目标脚本文件为所述恶意脚本文件。

5.如权利要求4所述的方法，其特征在于，所述获取所述脚本代码的特征信息包括：

在所述脚本代码仿真运行过程中，记录所述应用程序接口的调用行为生成日志信息；

根据所述日志信息生成所述行为链。

6.如权利要求5所述的方法，其特征在于，所述日志信息包括所述应用程序接口的标识信息和调用所述应用程序接口的调用时间；

所述根据所述日志信息生成所述行为链包括：

按照所述调用时间的先后顺序，将所述标识信息排列成一串字符串作为所述行为链。

7.如权利要求1-6任一项所述的方法，其特征在于，所述将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行包括：

当所述虚拟系统仿真运行的所述脚本代码的累积条数超过预设阈值时，停止仿真运行所述脚本代码。

8.如权利要1所述的方法，其特征在于，所述将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行之前，还包括：

确定所述目标脚本文件的文件格式是否为预设文件格式；

当所述文件格式为所述预设文件格式时，执行所述将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行的操作。

9.如权利要求3所述的方法，其特征在于，所述获取所述脚本代码的特征信息包括：

当所述脚本代码中包含所述应用程序接口时，确定所述应用程序接口的函数类型；

当所述函数类型为无返回值型时，获取所述应用程序接口的输入参数作为所述运行参数。

10.一种恶意脚本的检测装置，其特征在于，所述装置包括：

仿真模块，用于将目标脚本文件中的脚本代码加载到虚拟系统中进行仿真运行；

获取模块，用于在所述脚本代码仿真运行过程中，扫描所述脚本代码，并获取所述脚本代码的特征信息；

确定模块，用于根据所述脚本代码的所述特征信息，确定所述目标脚本文件是否为恶意脚本文件。