[发明专利]恶意文档检测方法及系统、电子设备及存储介质有效
| 申请号: | 202011503210.4 | 申请日: | 2020-12-18 |
| 公开(公告)号: | CN112613034B | 公开(公告)日: | 2022-12-02 |
| 发明(设计)人: | 裴曼 | 申请(专利权)人: | 北京中科网威信息技术有限公司 |
| 主分类号: | G06F21/56 | 分类号: | G06F21/56;G06F21/57 |
| 代理公司: | 北京路浩知识产权代理有限公司 11002 | 代理人: | 蒋娟 |
| 地址: | 100094 北京市海淀区*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 恶意 文档 检测 方法 系统 电子设备 存储 介质 | ||
1.一种恶意文档检测方法,其特征在于,包括:
采用目标文档中每相邻两个字节互相做异或处理,得到所述目标文档的第一反混淆数据;
在所述第一反混淆数据中查找是否存在预设特征串;
若存在预设特征串,则确定所述目标文档中存在恶意执行代码;
若不存在预设特征串,则在预设区域确定的特征值符合逐个递增规律,基于每相邻两个字节的递增值进行第二反混淆处理,得到所述目标文档的第二反混淆数据;
在所述第二反混淆数据中查找是否存在预设特征串;
若存在预设特征串,则确定所述目标文档中存在恶意执行代码;
若不存在预设特征串,则在预设区域确定的特征值符合逐个递减规律,基于每相邻两个字节的递减值进行第三反混淆处理,得到所述目标文档的第三反混淆数据;
在所述第三反混淆数据中查找是否存在预设特征串;
若存在预设特征串,则确定所述目标文档中存在恶意执行代码。
2.根据权利要求1所述的恶意文档检测方法,其特征在于,所述预设特征串为Thisprogram cannot be runin DOS mode。
3.根据权利要求1所述的恶意文档检测方法,其特征在于,所述目标文档包括Office文档和pdf文档。
4.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-3任一所述的恶意文档检测方法的步骤。
5.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-3任一所述的恶意文档检测方法的步骤。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京中科网威信息技术有限公司,未经北京中科网威信息技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011503210.4/1.html,转载请声明来源钻瓜专利网。
- 上一篇:一种基于物联网的用于井下勘探的监测系统
- 下一篇:一种心血管介入穿刺引流装置
