一種惡意PDF文檔檢測(cè)方法

基本信息

申請(qǐng)?zhí)?/td> CN202011536712.7 申請(qǐng)日 -
公開(kāi)(公告)號(hào) CN112464239A 公開(kāi)(公告)日 2021-03-09
申請(qǐng)公布號(hào) CN112464239A 申請(qǐng)公布日 2021-03-09
分類(lèi)號(hào) G06F21/56(2013.01)I 分類(lèi) 計(jì)算;推算;計(jì)數(shù);
發(fā)明人 肖樹(shù)根;胡建勛 申請(qǐng)(專(zhuān)利權(quán))人 中科信息安全共性技術(shù)國(guó)家工程研究中心有限公司
代理機(jī)構(gòu) - 代理人 -
地址 100080北京市海淀區(qū)中關(guān)村大街19號(hào)新中關(guān)大廈B座北翼16層
法律狀態(tài) -

摘要

摘要 一種惡意PDF文檔檢測(cè)方法包括查詢(xún)已知文件數(shù)據(jù)庫(kù)并確認(rèn)待檢測(cè)PDF文檔是否有檢測(cè)記錄,如有,直接輸出檢測(cè)結(jié)果并結(jié)束檢測(cè);如在已知文件數(shù)據(jù)庫(kù)中未檢測(cè)到待檢測(cè)PDF文檔的檢測(cè)記錄,提取待檢測(cè)PDF文檔中的惡意攻擊載荷代碼并作為靜態(tài)檢測(cè)和動(dòng)態(tài)檢測(cè)的輸入。有益效果在于:本發(fā)明提出的檢測(cè)方法和裝置不僅在靜態(tài)檢測(cè)部分針對(duì)代碼混淆做了處理,提高了靜態(tài)檢測(cè)的準(zhǔn)確率和可靠性;還結(jié)合了動(dòng)態(tài)檢測(cè)部分,可以檢測(cè)出未知的惡意PDF文檔;動(dòng)態(tài)檢測(cè)使用基于Libemu的仿真模擬法,相比使用虛擬機(jī)的方案速度更快,開(kāi)銷(xiāo)更??;動(dòng)態(tài)檢測(cè)的結(jié)果通過(guò)反饋可以進(jìn)一步加強(qiáng)靜態(tài)檢測(cè)的效果。本發(fā)明實(shí)現(xiàn)簡(jiǎn)單,模塊分離,易于系統(tǒng)集成。??