[发明专利]一种恶意文件检测方法、装置、电子设备及存储介质

权利要求书

1.一种恶意文件检测方法，其特征在于，包括：

获取输入法程序所使用的函数库文件，以及所述函数库文件在内存中对应的模块文件；

当确定所述函数库文件及所述模块文件均为PE文件时，将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比，确定所述第二代码段中与所述第一代码段中不同的机器码；

当确定所述机器码包含预设指令时，判定所述模块文件为恶意文件；所述预设指令包括jmp、push、pop及int3。

2.根据权利要求1所述的恶意文件检测方法，其特征在于，在确定所述函数库文件及所述模块文件均为PE文件之前，还包括：

从所述函数库文件和所述模块文件中提取DOS头和NT头；所述DOS头包括所述函数库文件的第一DOS头和所述模块文件第二DOS头，所述NT头包括所述函数库文件的第一NT头和所述模块文件第二NT头；

判断所述DOS头和所述NT头中是否均包含预设PE文件标识；

若是，则确定所述函数库文件及所述模块文件均为所述PE文件。

3.根据权利要求2所述的恶意文件检测方法，其特征在于，在将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比之前，还包括：

从所述第一NT头中提取数字签名，并利用所述数字签名检测所述函数库文件是否被篡改；

若是，则对所述函数库文件进行修复；

若否，则进入所述将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比的步骤。

4.根据权利要求2所述的恶意文件检测方法，其特征在于，所述从所述函数库文件和所述模块文件中提取DOS头和NT头，包括：

根据所述函数库文件的大小所述函数库文件将写入所述内存，并获取所述函数库文件在所述内存中对应的内存地址，同时获取所述模块文件在所述内存中的基地址；

在所述内存中利用所述内存地址获取所述第一DOS头，以及利用所述基地址获取所述第二DOS头；

在所述内存中根据所述第一DOS头的偏移信息获取所述第一NT头，以及根据所述第二DOS头的偏移信息获取所述第二NT头。

5.根据权利要求4所述的恶意文件检测方法，其特征在于，所述将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比，包括：

在所述内存中根据所述NT头中的偏移信息从所述函数库文件和所述模块文件中提取代码段节表；所述代码段节表包括所述函数库文件的第一代码段节表和所述模块文件的第二代码段节表；

从所述第一代码段节表中提取所述第一代码段，以及从所述第二代码段节表中提取所述第二代码段；

将所述第二代码段复制到所述内存的另一区域，并将所述第一代码段与复制后的第二代码段进行对比。

6.根据权利要求1至5任一项所述的恶意文件检测方法，其特征在于，在判定所述模块文件为恶意文件之后，还包括：

获取所述模块文件在所述内存中的基地址，并利用进程快照获取所述内存中所有模块的加载基地址和所述模块在磁盘中对应的磁盘路径；

将所述基地址与所述加载基地址进行匹配，并根据匹配结果确定所述模块文件的目标磁盘路径；

将所述目标磁盘路径发送至预设系统服务主程序，以使所述预设系统服务主程序删除所述目标磁盘路径所存放的文件。

7.根据权利要求6所述的恶意文件检测方法，其特征在于，在获取输入法程序所使用的函数库文件之前，还包括：

当接收到所述预设系统服务主程序发送的启动指令时，进入所述获取输入法程序所使用的函数库文件的步骤。