发明名称 |
一种非可执行文件中包含恶意代码的检测方法及其装置 |
摘要 |
本发明公开了一种非可执行文件中包含恶意代码的检测方法及其装置,该方法包括打开被检查的文件,读取并解码有效内容数据到内存;从数据起始开始检查,如果当前位置一定数量的数据满足有效CPU指令代码块形式,则认为该文件包含恶意代码;如果该位置数据不满足有效CPU指令代码块形式,则移动到下一个数据位置检查;如果检查所有数据没有发现有效CPU指令形式代码块,则该文件不包含恶意代码。本发明通过搜寻非可执行文件中存在的可执行的指令代码块,来判断一个非可执行文件是否被注入了恶意代码,与其他检测方法相比,该检测方法识别率高,不易被免杀修改绕过,并且能够发现使用了未知漏洞或者无法触发漏洞的非可执行文件捆绑恶意代码,能作为现有检测方法的一个有效地补充。 |
申请公布号 |
CN102043915A |
申请公布日期 |
2011.05.04 |
申请号 |
CN201010531717.0 |
申请日期 |
2010.11.03 |
申请人 |
厦门市美亚柏科信息股份有限公司 |
发明人 |
郭小春;张永光;吴鸿伟 |
分类号 |
G06F21/00(2006.01)I |
主分类号 |
G06F21/00(2006.01)I |
代理机构 |
厦门市首创君合专利事务所有限公司 35204 |
代理人 |
连耀忠 |
主权项 |
一种非可执行文件中包含恶意代码的检测方法,其特征在于:包括如下步骤:打开被检查的文件,读取并解码有效内容数据到内存;从数据起始开始,对数据中是否含有有效CPU指令代码块进行检查,如果当前位置一定数量的数据含有有效CPU指令代码块,则认为该文件包含恶意代码;如果该位置数据不含有有效CPU指令代码块,则移动到下一个数据位置继续检查;如果检查所有数据均没有发现有效CPU指令代码块,则认为该文件不包含恶意代码。 |
地址 |
361000 福建省厦门市软件园二期观日路12号美亚柏科大厦 |