[发明专利]一种有害脚本识别方法、装置、设备及存储介质

权利要求书

1.一种有害脚本识别方法,其特征在于，所述方法包括：

通过钩挂COM对象虚函数监控脚本的动作行为，对监控到的所述脚本的动作行为及对应的行为描述结构进行记录；

当监控到目标脚本的动作行为为危险动作时，将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配；

当匹配成功时，则确定所述目标脚本为有害脚本。

2.根据权利要求1所述的方法，其特征在于，所述通过钩挂COM对象虚函数监控脚本的动作行为，包括：

通过钩挂COM对象虚函数监控脚本的文件操作，其中，所述文件操作至少包括自拷贝动作、删除文件动作、修改文件动作、创建文件动作；

通过钩挂COM对象虚函数监控脚本的创建进程操作，其中，所述创建进程操作至少包括执行程序动作；

通过钩挂COM对象虚函数监控脚本的注册表操作，其中，所述注册表操作至少包括写自启动项动作

通过钩挂COM对象虚函数监控脚本的邮件发送操作，其中，所述邮件发送操作至少包括发送邮件动作，添加邮件附件动作

通过钩挂COM对象虚函数监控脚本的Internet访问操作，其中，所述Internet访问操作至少包括Internet访问动作、下载程序动作。

3.根据权利要求1所述的方法，其特征在于，所述脚本的动作行为包括监控动作和危险动作，其中：

所述监控动作包括：自拷贝动作、下载程序动作、添加邮件附件动作、Internet访问动作以及创建文件动作；

所述危险动作包括：写自启动项动作、发邮件动作、执行程序动作、删除文件动作、修改文件动作以及写StartPage注册表项。

4.根据权利要求1所述的方法，其特征在于，有害脚本行为规则包括：

邮件蠕虫规则一：遍历地址本，发送邮件；

邮件蠕虫规则二：添加脚本文件附件，发送邮件；

下载者木马规则一：下载程序文件并执行该程序文件；

下载者木马规则二：下载程序文件并为该程序文件添加启动项；

P2P蠕虫规则：拷贝脚本自身到P2P软件共享目录；

Autorun蠕虫规则：修改或创建磁盘根目录Autorun.inf文件启动程序；

StartPage木马规则：修改StartPage注册表项；

恶意删除、修改系统文件病毒规则：删除、修改操作系统相关文件。

5.根据权利要求1所述的方法，其特征在于，所述将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配，包括：

发现脚本解释程序运行；

定位脚本文件，对脚本的动作行为进行监控并记录到行为描述结构；

对记录的行为描述结构与有害脚本行为规则库进行比较；

根据比较结果判断是否是有害脚本行为。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当确定所述目标脚本为有害脚本，则报警并阻止脚本继续执行。

7.一种有害脚本识别装置，其特征在于，所述装置包括：

监控模块，用于通过钩挂COM对象虚函数监控脚本的动作行为，对监控到的所述脚本的动作行为及对应的行为描述结构进行记录；

匹配模块，用于当监控到目标脚本的动作行为为危险动作时，将所述目标脚本的动作行为所对应的行为描述结构与预设的有害脚本行为规则进行匹配；

确定模块，用于当匹配成功时，则确定所述目标脚本为有害脚本。

8.一种电子设备，其特征在于，包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时实现如权利要求1至6任一所述的一种有害脚本识别方法。

9.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至6任一所述的一种有害脚本识别方法。