技術領域

本發明涉及一種計算機安全的檢測方法，特別是涉及一種非可執行文件中包含惡意代碼的檢測方法及其裝置。

背景技術

互聯網絡安全技術的發展已經使直接的遠程攻擊大大減少。而通過發送一些包含惡意代碼的文件，誘騙攻擊目標打開來進行入侵的間接攻擊行為成為一種主要的攻擊形式。使網絡和計算機安全都成為日益嚴峻的問題。由于現有技術的發展和網絡用戶意識的提高，直接使用包含惡意代碼的可執行文件進行間接式攻擊已經基本不可能。然而在計算機中，系統和各種應用軟件都存在著未知的安全漏洞，如未知溢出漏洞等，這些漏洞常常允許把惡意代碼捆綁到如文檔，電子表格，圖片等非可執行文件中去。出于對這類文件的信任，這類文件很容易被打開，導致其中的惡意代碼被入侵。

因此有效的檢測非可執行文件的安全性，判斷非可執行文件是否包含惡意代碼也成為互聯網安全的重要課題。傳統的基于特征碼查殺的方法，很容易被通過修改特征碼免殺繞過。基于行為檢測的方法在漏洞已被修復或者漏洞依賴的系統環境不滿足而無法觸發的時候也會失效。另外這種方法不需要依賴系統環境，因而不僅在一般計算機用戶檢測有害文件的時候使用，在專業安全公司進行大量樣本篩選的時候也能有效地工作。

發明內容

本發明的目的在于克服現有技術之不足，提供一種非可執行文件中包含惡意代碼的檢測方法及其裝置，通過對非可執行文件中是否有有效CPU指令代碼塊的判斷，達到了有效地檢測出非可執行文件中惡意代碼的目的，起到了發現和防御有害非可執行文件的作用，保證了計算機使用的安全性。

本發明解決其技術問題所采用的技術方案是：一種非可執行文件中包含惡意代碼的檢測方法，包括如下步驟：

打開被檢查的文件，讀取并解碼有效內容數據到內存；

從數據起始開始，對數據中是否含有有效CPU指令代碼塊進行檢查，如果當前位置一定數量的數據含有有效CPU指令代碼塊，則認為該文件包含惡意代碼；

如果該位置數據不含有有效CPU指令代碼塊，則移動到下一個數據位置繼續檢查；

如果檢查所有數據均沒有發現有效CPU指令代碼塊，則認為該文件不包含惡意代碼。

所述的對數據中是否含有有效CPU指令代碼塊進行檢查的過程，包括：

檢測該數據是否配備可執行指令代碼塊的規則而不是一段不可執行的數據塊；

將數據作為一段代碼使用指令模擬執行程序進行執行，在指定的有限時間或指定的有限指令個數內是否能夠合法運行而不出現錯誤。

所述的使用指令模擬執行程序進行執行的過程，包括：

a.判斷是否已到文件尾，如果是則結束，否則從文件中讀取一塊數據；

b.判斷是否已到數據塊結尾，若已到數據塊結尾則返回步驟a，否則從該數據塊中讀取一條指令；

c.判斷該指令是否為預先設定的非法指令形式；如果是則返回步驟b，否則繼續下一步驟；

d.解析該指令，復制該指令到緩沖區；

e.調用通用處理過程處理緩沖區內的代碼，在緩沖區內的代碼處理過程中，若在指定規則下運行不出現錯誤，且滿足預先設定的惡意代碼指令形式，則認為文件中含有有效CPU指令代碼塊，結束模擬；否則返回步驟b。

所述的預先設定的非法指令形式，包括：指令中任意的使用了未初始化的寄存器、指令進行了無意義的操作、指令是特權指令、指令包含無效存儲地址、指令包含不常用的指令或指令包含其他預定義的指令。

所述的預先設定的惡意代碼指令形式，包括：代碼中含解密算子、代碼中含代碼重定位、代碼中含跳板、代碼中含API導入或代碼中含其他用戶預定義的規則。

本發明的一種非可執行文件中包含惡意代碼的檢測方法，所述的檢測該數據是否配備可執行指令的規則，是指：不包含了未定義指令，特權指令，取地址無效指令，破壞運行環境的指令或其他特定指令形式的數據塊符合指令代碼塊的規則；代碼結構類似常見的惡意代碼所使用到的技法。

本發明的一種非可執行文件中包含惡意代碼的檢測方法，所述的將數據作為一段代碼執行在有限時間和有限指令個數內能夠合法運行的規則，是指：使用能夠解釋大多數常用指令的指令模擬執行程序(虛擬機)對符合可執行指令的規則的數據起始部分開始解釋執行，在指定的指令個數或者時間內，執行能夠正常實現而沒有出現執行了引發錯誤異常指令或者發現代碼功能類似常見的惡意代碼所使用到的技法。就認為該數據塊符合指令代碼塊的規則。

本發明的一種非可執行文件中包含惡意代碼的檢測方法，所述的代碼結構或者功能類似常見的惡意代碼所使用到的技法包括但不限于惡意代碼解密算子、惡意代碼重定位、惡意代碼跳板、惡意代碼API導入等。