发明名称 |
flash恶意文件检测方法及装置 |
摘要 |
本申请提供了一种flash恶意文件检测方法,包括以下步骤:对flash文件进行解析,提取其中的虚拟机字节码;将所述虚拟机字节码与特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数,若次数超过阈值,则确定所述flash文件为恶意文件。本申请还提供了一种实现前述方法的flash恶意文件检测装置。本申请的一种flash恶意文件检测方法及装置,具有较高的检测效率和精度。 |
申请公布号 |
CN102592080B |
申请公布日期 |
2015.11.11 |
申请号 |
CN201110442268.7 |
申请日期 |
2011.12.26 |
申请人 |
北京奇虎科技有限公司 |
发明人 |
宋申雷;张聪 |
分类号 |
G06F21/55(2013.01)I |
主分类号 |
G06F21/55(2013.01)I |
代理机构 |
北京润泽恒知识产权代理有限公司 11319 |
代理人 |
苏培华 |
主权项 |
一种flash恶意文件检测方法,其特征在于,包括以下步骤:预先收集恶意flash文件和正常flash文件,对所述恶意flash文件和所述正常flash文件进行比较,确定特征字节码,所述特征字节码在所述恶意flash文件中出现的次数多于在所述正常flash文件出现的次数;对flash文件进行解析,提取其中的虚拟机字节码,所述虚拟机字节码为所述flash文件里面的ActionScript字节码;将所述虚拟机字节码与所述特征字节码进行匹配,若能够匹配,则统计所述虚拟机字节码出现的次数,若次数超过阈值,则确定所述flash文件为恶意文件,其中,当所述虚拟机字节码经过加密时,将所述虚拟机字节码与按照同样加密方法进行加密的特征字节码进行匹配。 |
地址 |
100088 北京市西城区新街口外大街28号D座112室(德胜园区) |