[发明专利]一种恶意文件检测方法、装置、电子设备及存储介质

说明书

本发明提供一种恶意文件检测方法及相关装置，包括：获取输入法程序所使用的函数库文件，以及函数库文件在内存中对应的模块文件；当确定函数库文件及模块文件均为PE文件时，将函数库文件中的第一代码段及模块文件中的第二代码段进行对比，确定第二代码段中与第一代码段中不同的机器码；当确定机器码包含预设指令时，判定模块文件为恶意文件；预设指令包括jmp、push、pop及int3；可在确定函数库文件及模块文件均为PE文件后，通过将两文件进行比较的方式提取出模块文件中的异常机器码，进而根据异常代码段中是否包含内联挂钩常用指令的方式来确定模块文件中的恶意内联挂钩设置情况，可有效检测输入法程序中的恶意内联挂钩。

技术领域

本发明涉及安全检测领域，特别涉及一种恶意文件检测方法、装置、电子设备及存储介质。

背景技术

为便于用户使用，操作系统中通常会预装输入法程序。由于该程序的普及度较广，因此恶意攻击人员可对该程序进行恶意篡改，以对输入法用户的操作信息进行监听，进而窃取该用户所输入的信息。具体的，恶意攻击人员可在输入法程序所使用的函数库文件中增加内联挂钩(Inline hook)，进而利用该挂钩对用户的操作信息及输入内容进行监听和记录。然而，内联挂钩的隐蔽性较强，难以利用一般对挂钩(hook)的检测手段进行检测。

因此，如何快速有效地对输入法程序中存在的恶意文件进行检测，是本领域技术人员所需面对的技术问题。

发明内容

本发明的目的是提供一种恶意文件检测方法、装置、电子设备及存储介质，可通过将函数库文件及其在内存中对应的模块文件进行比较的方式检测模块文件中的恶意内联挂钩设置情况，进而可有效检测输入法程序中的恶意内联挂钩。

为解决上述技术问题，本发明提供一种恶意文件检测方法，包括：

获取输入法程序所使用的函数库文件，以及所述函数库文件在内存中对应的模块文件；

当确定所述函数库文件及所述模块文件均为PE文件时，将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比，确定所述第二代码段中与所述第一代码段中不同的机器码；

当确定所述机器码包含预设指令时，判定所述模块文件为恶意文件；所述预设指令包括jmp、push、pop及int3。

可选地，在确定所述函数库文件及所述模块文件均为PE文件之前，还包括：

从所述函数库文件和所述模块文件中提取DOS头和NT头；所述DOS头包括所述函数库文件的第一DOS头和所述模块文件第二DOS头，所述NT头包括所述函数库文件的第一NT头和所述模块文件第二NT头；

判断所述DOS头和所述NT头中是否均包含预设PE文件标识；

若是，则确定所述函数库文件及所述模块文件均为所述PE文件。

可选地，在将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比之前，还包括：

从所述第一NT头中提取数字签名，并利用所述数字签名检测所述函数库文件是否被篡改；

若是，则对所述函数库文件进行修复；

若否，则进入所述将所述函数库文件中的第一代码段及所述模块文件中的第二代码段进行对比的步骤。

可选地，所述从所述函数库文件和所述模块文件中提取DOS头和NT头，包括：

根据所述函数库文件的大小所述函数库文件将写入所述内存，并获取所述函数库文件在所述内存中对应的内存地址，同时获取所述模块文件在所述内存中的基地址；

在所述内存中利用所述内存地址获取所述第一DOS头，以及利用所述基地址获取所述第二DOS头；