公开(公告)号：CN102043915B

公开(公告)日：2013-01-23

申请号：CN201010531717.0

申请日：2010-11-03

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 郭小春 ,  张永光 ,  吴鸿伟

IPC: G06F21/60

Abstract: 本发明公开了一种非可执行文件中包含恶意代码的检测方法及其装置，该方法包括打开被检查的文件，读取并解码有效内容数据到内存；从数据起始开始检查，如果当前位置一定数量的数据满足有效CPU指令代码块形式，则认为该文件包含恶意代码；如果该位置数据不满足有效CPU指令代码块形式，则移动到下一个数据位置检查；如果检查所有数据没有发现有效CPU指令形式代码块，则该文件不包含恶意代码。本发明通过搜寻非可执行文件中存在的可执行的指令代码块，来判断一个非可执行文件是否被注入了恶意代码，与其他检测方法相比，该检测方法识别率高，不易被免杀修改绕过，并且能够发现使用了未知漏洞或者无法触发漏洞的非可执行文件捆绑恶意代码，能作为现有检测方法的一个有效地补充。

公开(公告)号：CN102043915A

公开(公告)日：2011-05-04

申请号：CN201010531717.0

申请日：2010-11-03

Applicant: 厦门市美亚柏科信息股份有限公司

Inventor： 郭小春 ,  张永光 ,  吴鸿伟

IPC: G06F21/00

Abstract: 本发明公开了一种非可执行文件中包含恶意代码的检测方法及其装置，该方法包括打开被检查的文件，读取并解码有效内容数据到内存；从数据起始开始检查，如果当前位置一定数量的数据满足有效CPU指令代码块形式，则认为该文件包含恶意代码；如果该位置数据不满足有效CPU指令代码块形式，则移动到下一个数据位置检查；如果检查所有数据没有发现有效CPU指令形式代码块，则该文件不包含恶意代码。本发明通过搜寻非可执行文件中存在的可执行的指令代码块，来判断一个非可执行文件是否被注入了恶意代码，与其他检测方法相比，该检测方法识别率高，不易被免杀修改绕过，并且能够发现使用了未知漏洞或者无法触发漏洞的非可执行文件捆绑恶意代码，能作为现有检测方法的一个有效地补充。