[发明专利]识别病毒文件的方法及装置在审
| 申请号: | 201510016091.2 | 申请日: | 2015-01-13 |
| 公开(公告)号: | CN104537306A | 公开(公告)日: | 2015-04-22 |
| 发明(设计)人: | 郭明强 | 申请(专利权)人: | 百度在线网络技术(北京)有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56 |
| 代理公司: | 广州三环专利代理有限公司 44202 | 代理人: | 温旭;郝传鑫 |
| 地址: | 100085 北京市*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 识别 病毒 文件 方法 装置 | ||
1.一种识别病毒文件的方法,其特征在于,所述方法包括:
当脚本宿主程序执行被加密的脚本文件时,通过调用系统函数进行自解密处理,并得到解密后的数据;
调用脚本病毒引擎对所述数据进行扫描,判断是否为病毒,如果是,则对所述脚本文件进行病毒报警。
2.如权利要求1所述的方法,其特征在于,所述得到解密后的数据包括:
在所述自解密处理之后,通过API hook技术获得并提取所述解密后的数据。
3.如权利要求1所述的方法,其特征在于,所述自解密处理包括:
对所述解密后的脚本文件,判断其被执行解密标志是否被设置,如果否,则返回原程序执行;如果是,则获取所述解密后的数据。
4.如权利要求3所述的方法,其特征在于,所述获取解密后的数据包括:
获取所述解密后的数据,并对所述数据中的字符进行转码处理。
5.如权利要求4所述的方法,其特征在于,所述对所述数据中的字符进行转码处理包括:
将所述字符由Unicode编码转为ASCII编码。
6.一种识别病毒文件的装置,其特征在于,所述装置包括:
调用解密模块,用于当脚本宿主程序执行被加密的脚本文件时,通过调用系统函数进行自解密处理,并得到解密后的数据;
病毒判断模块,用于调用脚本病毒引擎对所述数据进行扫描,判断是否为病毒,如果是,则对所述脚本文件进行病毒报警。
7.如权利要求6所述的装置,其特征在于,所述调用解密模块包括:
解密单元,用于所述调用系统函数进行自解密处理;
提取单元,用于通过hook技术获得并提取所述解密后的数据。
8.如权利要求7所述的装置,其特征在于,所述调用解密模块还包括:
执行解密标志单元,用于对所述解密后的脚本文件,判断其被执行解密标志是否被设置,如果否,则返回原程序执行;如果是,则获取所述解密后的数据。
9.如权利要求8所述的装置,其特征在于,所述调用解密模块还包括:
转码单元,用于获取所述解密后的数据,并对所述数据中的字符进行转码处理。
10.如权利要求9所述的装置,其特征在于,所述对所述字符进行转码处理包括:
将所述字符由Unicode编码转为ASCII编码。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于百度在线网络技术(北京)有限公司;,未经百度在线网络技术(北京)有限公司;许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201510016091.2/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种终端系统的控制方法、装置和终端
- 下一篇:网站漏洞检测方法和系统
