公开(公告)号：CN116305172A

公开(公告)日：2023-06-23

申请号：CN202310580571.6

申请日：2023-05-23

Applicant: 北京安天网络安全技术有限公司

Inventor： 金志强 ,  刘佳男 ,  肖新光

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及恶意代码检测领域，特别是涉及OneNote文档的检测方法、装置、介质及设备。包括：获取目标提取文件；将目标全局唯一标识符与目标提取文件进行区间确定处理，确定嵌入文件对应的提取区间；由于每一个嵌入文件均会对应一个独有的对其进行标识的全局唯一标识符，同时在此全局唯一标识符的第20个字节后是嵌入文件的头部位置；并且在此全局唯一标识符后的8个字节表示嵌入文件的大小；由此，根据全局唯一标识符对OneNote文档进行扫描，可以准确快速的定位每一个嵌入文件对应的提取区间中的代码内容。以便于更加准确的对嵌入文件进行提取及异常检测，进而提高对此类恶意OneNote文档的检出率。

公开(公告)号：CN116305172B

公开(公告)日：2023-08-04

申请号：CN202310580571.6

申请日：2023-05-23

Applicant: 北京安天网络安全技术有限公司

Inventor： 金志强 ,  刘佳男 ,  肖新光

IPC: G06F21/57 ,  G06F21/56

Abstract: 本发明涉及恶意代码检测领域，特别是涉及OneNote文档的检测方法、装置、介质及设备。包括：获取目标提取文件；将目标全局唯一标识符与目标提取文件进行区间确定处理，确定嵌入文件对应的提取区间；由于每一个嵌入文件均会对应一个独有的对其进行标识的全局唯一标识符，同时在此全局唯一标识符的第20个字节后是嵌入文件的头部位置；并且在此全局唯一标识符后的8个字节表示嵌入文件的大小；由此，根据全局唯一标识符对OneNote文档进行扫描，可以准确快速的定位每一个嵌入文件对应的提取区间中的代码内容。以便于更加准确的对嵌入文件进行提取及异常检测，进而提高对此类恶意OneNote文档的检出率。