本申請公開了一種有害腳本識別方法、裝置、設備及存儲介質。該方法包括首先通過鉤掛COM對象虛函數監控腳本的動作行為，對監控到的腳本的動作行為及對應的行為描述結構進行記錄；當監控到目標腳本的動作行為為危險動作時，將目標腳本的動作行為所對應的行為描述結構與預設的有害腳本行為規則進行匹配；當匹配成功時，則確定目標腳本為有害腳本，可以看出，本申請的技術方案使得在當前嚴峻的木馬、病毒威脅環境下，提升未知腳本木馬、病毒的發現及防御能力，代替傳統以特征碼為主的防御策略，提升終端安全軟件的防御能力，保障用戶電腦的安全性。

技術領域

本發明涉及計算機技術領域，特別涉及一種有害腳本識別方法、裝置、設備及存儲介質。

背景技術

由于腳本語言學習和程序編寫簡單，致使大量的腳本病毒出現，而腳本病毒本身就是病毒源代碼或者通過簡單轉換很容易得到病毒源代碼，所以它的傳播、變種更加廣泛，加之腳本病毒文件本身沒有像PE等二進制文件的特定格式，所以腳本病毒更容易實自變形導致更多的變種出現，急劇增加了腳本病毒對計算機造成的危害。

目前安全軟件對病毒的識別方法仍然采用特征值匹配方法：特征值匹配方法是對程序、代碼、數據中的部分(或全部)程序、代碼、數據信息與已有的特征數據信息進行比對來判斷病毒的方法。特征匹值配是目前殺毒軟件用于識別病毒的主要方法，特征值匹配對已出現的腳本病毒可以準確的匹配到，但由于腳本病毒本身就是腳本源代碼或者通過簡單轉換很容易得到腳本源代碼，再加上腳本程序致使編寫簡單等特點，修改病毒變得非常容易，加上腳本本身的自變形、加密，病毒的變種以及新的腳本病毒很快會大量出現，而特征匹配永遠滯后于變種以及新病毒的出現。

發明內容

基于此，本申請實施例提供了一種有害腳本識別方法、裝置、設備及存儲介質，解決了目前殺毒軟件特征值匹配滯后的問題，更好的保護了計算機不受腳本病毒的侵害。

第一方面，提供了一種有害腳本識別方法，該方法包括：

通過鉤掛COM對象虛函數監控腳本的動作行為，對監控到的所述腳本的動作行為及對應的行為描述結構進行記錄；

當監控到目標腳本的動作行為為危險動作時，將所述目標腳本的動作行為所對應的行為描述結構與預設的有害腳本行為規則進行匹配；

當匹配成功時，則確定所述目標腳本為有害腳本。

可選地，所述通過鉤掛COM對象虛函數監控腳本的動作行為，包括：

通過鉤掛COM對象虛函數監控腳本的文件操作，其中，所述文件操作至少包括自拷貝動作、刪除文件動作、修改文件動作、創建文件動作；

通過鉤掛COM對象虛函數監控腳本的創建進程操作，其中，所述創建進程操作至少包括執行程序動作；

通過鉤掛COM對象虛函數監控腳本的注冊表操作，其中，所述注冊表操作至少包括寫自啟動項動作

通過鉤掛COM對象虛函數監控腳本的郵件發送操作，其中，所述郵件發送操作至少包括發送郵件動作，添加郵件附件動作

通過鉤掛COM對象虛函數監控腳本的Internet訪問操作，其中，所述Internet訪問操作至少包括Internet訪問動作、下載程序動作。

可選地，所述腳本的動作行為包括監控動作和危險動作，其中：

所述監控動作包括：自拷貝動作、下載程序動作、添加郵件附件動作、Internet訪問動作以及創建文件動作；

所述危險動作包括：寫自啟動項動作、發郵件動作、執行程序動作、刪除文件動作、修改文件動作以及寫StartPage注冊表項。

可選地，，有害腳本行為規則包括：

郵件蠕蟲規則一：遍歷地址本，發送郵件；