[发明专利]一种恶意文件检测方法及装置

权利要求书

1.一种恶意文件检测方法，其特征在于，包括：

将待检测的文件存储至待查文件库中；

识别所述待查文件库中各个文件的文件类型，并根据所述文件类型生成检测任务列表，其中，所述检测任务列表记录有所述各个文件分别对应的运行环境；

从所述待查文件库中依次选择目标文件，通过所述检测任务列表中记录的所述目标文件的运行环境，确定所述目标文件对应的文件检测器，其中，所述文件检测器设置在容器中；

调用所述目标文件对应的文件检测器对所述目标文件进行检测。

2.根据权利要求1所述的恶意文件检测方法，其特征在于，在所述识别所述待查文件库中各个文件的文件类型之前，还包括：

获取所述待查文件库中各个文件的哈希值；

将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配；

若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同，确定所述第一文件的检测结果与所述第二文件的检测结果相同，并将所述第一文件从所述待查文件库中删除。

3.根据权利要求1所述的恶意文件检测方法，其特征在于，在所述识别所述待查文件库中各个文件的文件类型之前，还包括：

检测所述待查文件库中各个文件是否包含恶意文件的特征码；

若所述待查文件库中的第三文件包含所述恶意文件的特征码，确定所述第三文件为恶意文件，并将所述第三文件从所述待查文件库中删除。

4.根据权利要求1所述的恶意文件检测方法，其特征在于，所述恶意文件检测方法还包括：

若通过检测，确定所述目标文件并非恶意文件，记录所述目标文件的检测结果；

若通过检测，确定所述目标文件为恶意文件，记录所述目标文件的检测结果，并销毁检测所述目标文件的文件检测器。

5.根据权利要求1所述的恶意文件检测方法，其特征在于，所述调用所述目标文件对应的文件检测器对所述目标文件进行检测，包括：

根据所述目标文件的类型，确定所述目标文件是否为高危文件；

若所述目标文件并非高危文件，调用所述文件检测器通过第一检测方法对所述目标文件进行检测，并根据所述第一检测方法的检测结果确定所述目标文件是否为恶意文件；

若所述目标文件为高危文件，调用所述文件检测器通过第一检测方法和第二检测方法对所述目标文件进行检测，其中，若任意一种检测方法检测到所述目标文件为恶意文件，则确定所述目标文件为恶意文件。

6.一种恶意文件检测装置，其特征在于，包括：

文件存储模块，用于将待检测的文件存储至待查文件库中；

类型识别模块，用于识别所述待查文件库中各个文件的文件类型，并根据所述文件类型生成检测任务列表，其中，所述检测任务列表记录有所述各个文件分别对应的运行环境；

检测器确定模块，用于从所述待查文件库中依次选择目标文件，通过所述检测任务列表中记录的所述目标文件的运行环境，确定所述目标文件对应的文件检测器，其中，所述文件检测器设置在容器中；

文件检测模块，用于调用所述目标文件对应的文件检测器对所述目标文件进行检测。

7.根据权利要求6所述的恶意文件检测装置，其特征在于，还包括：

哈希值获取模块，用于在所述识别所述待查文件库中各个文件的文件类型之前，获取所述待查文件库中各个文件的哈希值；

哈希值匹配模块，用于将所述各个文件的哈希值分别与已知检测结果的各个文件的哈希值进行匹配；

第一删除模块，用于若所述待查文件库中的第一文件的哈希值与已知检测结果的第二文件的哈希值相同，确定所述第一文件的检测结果与所述第二文件的检测结果相同，并将所述第一文件从所述待查文件库中删除。