本發(fā)明實(shí)施例涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別涉及一種潛在危險(xiǎn)文件的檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。其中，潛在危險(xiǎn)文件的檢測(cè)方法包括：對(duì)計(jì)算機(jī)中的待掃描文件進(jìn)行掃描；響應(yīng)于掃描到潛在危險(xiǎn)文件，基于所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼；其中，所述潛在危險(xiǎn)文件為不能被所述計(jì)算機(jī)中反病毒引擎識(shí)別的格式的文件，所述目標(biāo)文件為能被所述計(jì)算機(jī)中反病毒引擎識(shí)別的格式的文件；基于所述目標(biāo)二進(jìn)制代碼，對(duì)所述潛在危險(xiǎn)文件進(jìn)行檢測(cè)。本發(fā)明提供的方案可以解決反病毒引擎對(duì)其不能識(shí)別的格式的文件不能進(jìn)行有效檢測(cè)的問(wèn)題。

技術(shù)領(lǐng)域

本發(fā)明實(shí)施例涉及計(jì)算機(jī)安全技術(shù)領(lǐng)域，特別涉及一種潛在危險(xiǎn)文件的檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)

隨著計(jì)算機(jī)技術(shù)在社會(huì)生活中各個(gè)領(lǐng)域的廣泛運(yùn)用，病毒也如同其附屬品一樣接踵而來(lái)。由于這些病毒所具有的感染性、復(fù)制性及破壞性，使得其已成為困擾計(jì)算機(jī)使用的一個(gè)重大問(wèn)題。

相關(guān)技術(shù)中，反病毒引擎(例如殺毒軟件)為了提高檢測(cè)效率，會(huì)根據(jù)文件格式進(jìn)行分類(lèi)，對(duì)于不同的文件格式執(zhí)行不同的檢測(cè)策略。對(duì)于反病毒引擎不能識(shí)別的文件格式，反病毒引擎不會(huì)對(duì)該格式的文件進(jìn)行處理(例如刪除)。因此，不法分子通常會(huì)將惡意樣本進(jìn)行更改，來(lái)防止反病毒引擎對(duì)惡意樣本的檢出。

例如，不法分子會(huì)將惡意樣本中惡意代碼提取出來(lái)生成一個(gè)不能被反病毒引擎識(shí)別的格式的文件，然后用一個(gè)沒(méi)有惡意代碼的文件來(lái)打開(kāi)這個(gè)生成的新文件，以獲取惡意代碼并執(zhí)行惡意代碼，這是對(duì)計(jì)算機(jī)的安全不利的。而這種不能被反病毒引擎識(shí)別的格式的文件很可能就是計(jì)算機(jī)中存在的潛在危險(xiǎn)文件，因此有必要對(duì)這種潛在危險(xiǎn)文件進(jìn)行有效檢測(cè)。

發(fā)明內(nèi)容

為了解決反病毒引擎對(duì)其不能識(shí)別的格式的文件不能進(jìn)行有效檢測(cè)的問(wèn)題，本發(fā)明實(shí)施例提供了一種潛在危險(xiǎn)文件的檢測(cè)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

第一方面，本發(fā)明實(shí)施例提供了一種潛在危險(xiǎn)文件的檢測(cè)方法，包括：

對(duì)計(jì)算機(jī)中的待掃描文件進(jìn)行掃描；

響應(yīng)于掃描到潛在危險(xiǎn)文件，基于所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼；其中，所述潛在危險(xiǎn)文件為不能被所述計(jì)算機(jī)中反病毒引擎識(shí)別的格式的文件，所述目標(biāo)文件為能被所述計(jì)算機(jī)中反病毒引擎識(shí)別的格式的文件；

基于所述目標(biāo)二進(jìn)制代碼，對(duì)所述潛在危險(xiǎn)文件進(jìn)行檢測(cè)。

在一種可能的設(shè)計(jì)中，所述基于所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼，包括：

將所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼拼接到所述計(jì)算機(jī)的內(nèi)存中預(yù)先配置好的第二二進(jìn)制代碼的尾部，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼；其中，所述第二二進(jìn)制代碼用于表征保持敏感結(jié)構(gòu)的無(wú)惡意樣本。

在一種可能的設(shè)計(jì)中，所述基于所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼，包括：

打開(kāi)所述計(jì)算機(jī)的外存中預(yù)先創(chuàng)建的保持敏感結(jié)構(gòu)的無(wú)惡意樣本，得到用于表征所述無(wú)惡意樣本的第二二進(jìn)制代碼；

將所述潛在危險(xiǎn)文件對(duì)應(yīng)的第一二進(jìn)制代碼拼接到用所述第二二進(jìn)制代碼的尾部，得到目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼。

在一種可能的設(shè)計(jì)中，所述敏感結(jié)構(gòu)的數(shù)量為多種，所述目標(biāo)二進(jìn)制代碼的數(shù)量和所述敏感結(jié)構(gòu)的數(shù)量相同。

在一種可能的設(shè)計(jì)中，所述基于所述目標(biāo)二進(jìn)制代碼，對(duì)所述潛在危險(xiǎn)文件進(jìn)行檢測(cè)，包括：

利用預(yù)設(shè)的檢測(cè)策略分別對(duì)得到的與每一種所述目標(biāo)文件對(duì)應(yīng)的目標(biāo)二進(jìn)制代碼進(jìn)行檢測(cè)，以得到所述潛在危險(xiǎn)文件的檢測(cè)結(jié)果。

在一種可能的設(shè)計(jì)中，所述敏感結(jié)構(gòu)包括PE結(jié)構(gòu)和ELF結(jié)構(gòu)。