恶意代码的检测方法及装置制造方法

恶意代码的检测方法及装置制造方法【专利摘要】本发明提出一种恶意代码的检测方法及装置。其中该方法包括：获取待检测代码的至少一个图标文件；获取至少一个图标文件的第一摘要信息；以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。本发明实施例的恶意代码的检测方法，得到待检测代码的图标文件，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率。【专利说明】恶意代码的检测方法及装置【
技术领域：
】[0001]本发明涉及计算机【
技术领域：
】，尤其涉及一种恶意代码的检测方法及装置。【
背景技术：
】[0002]随着互联网技术的快速发展，恶意代码的黑色利益链已经形成，且发展快速。因此恶意代码的制作逐步走向产业化，恶意代码的制作者会对恶意代码不断地维护，从而形成基于同一个基础恶意代码版本的一组不同版本的恶意代码，也可以称为家族恶意代码或变种恶意代码。[0003]对于此类恶意代码，相关技术可采用以下两种方式进行检测:一种方法是静态的特征内容匹配:扫描恶意代码从而获取恶意代码的特征内容，并与预设特征内容进行匹配，如果匹配成功，则确定为恶意代码；另一种方法是行为特征匹配:分析恶意代码的动态行为，并与预设动态行为进行匹配，如果匹配成功，则确定为恶意代码。[0004]但是，相关技术存在以下问题:恶意代码的制作者在对恶意代码的不断维护过程中，使用了更多的加密、混淆等对抗处理手段，上述两种方法都受到限制，甚至有些恶意代码根本无法检测出来。【
发明内容】[0005]本发明旨在至少在一定程度上解决相关技术中的技术问题之一。[0006]为此，本发明的一个目的在于提出一种恶意代码的检测方法。该方法能够提高恶意代码的检出率和准确率，保障信息安全。[0007]本发明的第二个目的在于提出一种恶意代码的检测装置。[0008]为了实现上述目的，本发明第一方面实施例的恶意代码的检测方法，包括:获取待检测代码的至少一个图标文件；获取所述至少一个图标文件的第一摘要信息；以及根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。[0009]本发明实施例的恶意代码的检测方法，根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。[0010]为了实现上述目的，本发明第二方面实施例的恶意代码的检测装置，包括:第一获取模块，用于获取待检测代码的至少一个图标文件；第二获取模块，用于获取所述至少一个图标文件的第一摘要信息；以及判断模块，用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。[0011]本发明实施例的恶意代码的检测装置，根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。[0012]本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。【专利附图】【附图说明】[0013]本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中，[0014]图1是根据本发明一个实施例的恶意代码的检测方法的流程图；[0015]图2是根据本发明又一个实施例的恶意代码的检测方法的流程图；[0016]图3是根据本发明另一个实施例的恶意代码的检测方法的流程图；[0017]图4是根据本发明一个实施例的恶意代码的检测装置的结构框图；以及[0018]图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。【具体实施方式】[0019]下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。相反，本发明的实施例包括落入所附加权利要求书的精神和内涵范围内的所有变化、修改和等同物。[0020]在本发明的描述中，需要理解的是，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。此外，在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。[0021]流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属【
技术领域：
】的技术人员所理解。[0022]下面参考附图描述根据本发明实施例的恶意代码的检测方法和装置。[0023]由于恶意代码的制作者在对恶意代码的不断维护过程中，使用了越来越多的加密、混淆等对抗处理手段，从而产生大量的家族恶意代码或变种恶意代码，如果通过特征内容匹配和行为特征匹配的检测方法进行检测，则会受到限制，甚至很多家族恶意代码或变种恶意代码都无法检测出来，难以保证安全。[0024]为了确保能检测到家族恶意代码或变种恶意代码，本发明提出了一种恶意代码的检测方法，包括以下步骤:获取待检测代码的至少一个图标文件；获取至少一个图标文件的第一摘要信息；以及根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。[0025]图1是根据本发明一个实施例的恶意代码的检测方法。[0026]如图1所示，恶意代码的检测方法包括:[0027]SlOl，获取待检测代码的至少一个图标文件。[0028]其中，待检测代码可为PE(PortableExecute，可执行文件)文件。具体地，在本发明的一个实施例中，首先，需要对待检测代码进行预处理，如解压、识别等，例如，如果出现新的PE文件，先将该PE文件进行解压，并识别文件类型。预处理后再获取该PE文件的至少一个图标文件，例如，找到该PE文件对应的资源文件夹，并从资源文件夹中读取相应的至少一个图标文件。[0029]S102,获取至少一个图标文件的第一摘要信息。[0030]在本发明的一个实施例中，第一摘要信息基于图标文件生成，例如第一摘要信息为MD5(Message-DigestAlgorithm5,信息摘要算法第五版)值、SHA-1(SecureHashAlgorithm,安全散列算法)值、RIPEMD(RACEIntegrityPrimitivesEvaluationMessageDigest，RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是，第一摘要信息是一段数据唯一且极其紧凑的数值，任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息，在此不再一一赘述。[0031]在具体的获取过程中，首先提取该至少一个图标文件的二进制内容，并根据提取的二进制内容计算出第一摘要信息。[0032]S103，根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。[0033]本发明实施例的恶意代码的检测方法，根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。[0034]下面介绍根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码的具体实施过程。[0035]图2是根据本发明又一个实施例的恶意代码的检测方法的流程图。[0036]如图2所示，恶意代码的检测方法包括:[0037]S201，获取待检测代码的至少一个图标文件。[0038]S202，获取至少一个图标文件的第一摘要信息。[0039]S203，在第一预设样本库中查找至少一个图标文件的第一摘要信息。[0040]S204,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息，则判断待检测代码为恶意代码。[0041]其中，第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息，这些恶意代码样本可以是提前根据现有的检测方法检测出来的，也可以是专业人员收集来的，本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件，并获取图标文件的第一摘要信息，从而建立第一预设样本库。应当理解的是，第一预设样本库中可不断增加、更新，从而使得能够识别的恶意代码也能相应的增多。[0042]在本发明的一个实施例中，恶意代码的检测方法还包括:[0043]S205,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息，则进一步获取至少一个图标文件的第二摘要信息。[0044]在本发明的一个实施例中，第二摘要信息基于图标文件的分片内容生成。例如，第二摘要信息为模糊哈希值。具体地，模糊哈希值通过模糊哈希算法计算获得，模糊哈希算法的基本原理是基于内容分割对图标文件进行分片，分别计算每个分片的哈希值，再将每个分片的哈希值进行组合以获取模糊哈希值，模糊哈希算法目前也有许多的分支算法，在此不再详细赘述。[0045]根据模糊哈希算法获得的模糊哈希值对细节变化不敏感，在原始数据上插入、删除、修改少量字节后，对模糊哈希值的影响不大，因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中，可通过SSdeep(应用模糊哈希算法检测文件相似性的软件)计算至少一个图标文件的模糊哈希值，应当理解的是，还可以采用其他软件或者程序进行计算，本发明对此不进行限定。[0046]S206，根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。[0047]本发明实施例的恶意代码的检测方法，如果在第一预设样本库中查找到第一摘要信息，则可以确定待检测代码为恶意代码，由于第一摘要信息的唯一性，可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码；另外，如果在第一预设样本库中没有查找到第一摘要信息，则进一步根据第二摘要信息确定待检测代码是否为恶意代码，由于图标文件细节的改变对第二摘要信息的影响小，可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码，从而进一步提高了恶意代码的检出率和准确率。[0048]下面介绍根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码的具体实施过程。[0049]图3是根据本发明另一个实施例的恶意代码的检测方法的流程图。[0050]如图3所示，恶意代码的检测方法包括:[0051]S301，获取待检测代码的至少一个图标文件。[0052]S302,获取至少一个图标文件的第一摘要信息。[0053]S303，在第一预设样本库中查找至少一个图标文件的第一摘要信息。[0054]S304,如果在第一预设样本库中查找到至少一个图标文件的第一摘要信息，则判断待检测代码为恶意代码。[0055]S305,如果在第一预设样本库中未查找到至少一个图标文件的第一摘要信息，则进一步获取至少一个图标文件的第二摘要信息。[0056]S306，获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。[0057]其中，第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息，这些恶意代码样本可以是提前根据现有的检测方法检测出来的，也可以是专业人员收集来的，本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件，并获取图标文件的第二摘要信息，从而建立第二预设样本库。应当理解的是，第二预设样本库中可不断增加、更新，从而使得能够识别的恶意代码也能相应的增多。[0058]S307，如果存在相似度超过预设值的预设摘要信息，则判断待检测代码为恶意代码。[0059]其中，预设值为代表相似度的百分比值，可以默认设定，也可以手动更改。例如，预设值为90%，当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时，则判断待检测代码为恶意代码。[0060]另外，如果不存在相似度超过预设值的预设摘要信息，则判断待检测代码为正常代码。[0061]本发明实施例的恶意代码的检测方法，由于图标文件细节的改变对第二摘要信息的影响小，因此如果在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码，通过第二摘要信息可以检测出来，从而进一步提高了恶意代码的检出率和准确率。[0062]在本发明的另一个实施例中，在S101、S201或S301之前恶意代码的检测方法还包括(图中未示出):首先，获取待检测代码的特性内容和/或行为特性信息，具体地，对待检测代码进行预处理后，获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等);之后，在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息，具体地，特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息；然后，如果在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息，则获取待检测代码的至少一个图标文件，以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件，即继续执行步骤S101、S201或S301。由此，通过先根据待检测代码的特性内容和/或行为特性信息进行检测，再将无法识别的待检测代码根据第一摘要信息和第二摘要信息以进一步检测，提高了检测效率，利用模糊哈希值检测的优势，提高识别效率。[0063]为了实现上述实施例，本发明的实施例还提出一种恶意代码的检测装置。[0064]一种恶意代码的检测装置，包括:第一获取模块，用于获取待检测代码的至少一个图标文件；第二获取模块，用于获取至少一个图标文件的第一摘要信息；以及判断模块，用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。[0065]图4是根据本发明一个实施例的恶意代码的检测装置的结构框图。[0066]如图4所示，恶意代码的检测装置包括:第一获取模块100、第二获取模块200和判断模块300。[0067]具体地，第一获取模块100用于获取待检测代码的至少一个图标文件。其中，待检测代码可为PE(PortableExecute,可执行文件)文件。更具体地,在本发明的一个实施例中，首先，需要对待检测代码进行预处理，如解压、识别等，例如，如果出现新的PE文件，先将该PE文件进行解压，并识别文件类型。预处理后，第一获取模块100获取该PE文件的至少一个图标文件，例如，找到该PE文件对应的资源文件夹，并从资源文件夹中读取相应的至少一个图标文件。[0068]第二获取模块200用于获取至少一个图标文件的第一摘要信息。在本发明的一个实施例中，第一摘要信息基于图标文件生成，例如第一摘要信息为MD5(Message-DigestAlgorithm5,信息摘要算法第五版)值、SHA-1(SecureHashAlgorithm,安全散列算法)值、RIPEMD(RACEIntegrityPrimitivesEvaluationMessageDigest,RACE原始完整性校验消息摘要)值等中的一种或多种。应理解的是，第一摘要信息是一段数据唯一且极其紧凑的数值，任何能实现该数值的算法都可以用来获取至少一个图标文件的第一摘要信息，在此不再一一赘述。在具体的获取过程中，第二获取模块200可先提取该至少一个图标文件的二进制内容，并根据提取的二进制内容计算出第一摘要信息。[0069]判断模块300用于根据至少一个图标文件的第一摘要信息判断待检测代码是否为恶意代码。[0070]本发明实施例的恶意代码的检测装置，能够根据待检测代码的图标文件得到图标文件的第一摘要信息，并根据图标文件的第一摘要信息检测待检测代码是否为恶意代码，能够识别出传统检测方法所无法识别的家族恶意代码或变种恶意代码，提高了恶意代码的检出率和准确率，保障了信息安全，提升了用户体验。[0071]图5是根据本发明又一个实施例的恶意代码的检测装置的结构框图。[0072]如图5所示，恶意代码的检测装置包括:第一获取模块100、第二获取模块200、判断模块300、查找单元310、第一判断单元320、获取单元330、第二判断单元340、获取子单元341、判断子单元342、第三获取模块400和查找模块500。其中，判断模块300包括查找单元310、第一判断单元320、获取单元330和第二判断单元340，第二判断单元340包括获取子单元341和判断子单元342。[0073]具体地，查找单元310用于在第一预设样本库中查找至少一个图标文件的第一摘要信息。[0074]第一判断单元320用于在第一预设样本库中查找到至少一个图标文件的第一摘要信息时，判断待检测代码为恶意代码。[0075]其中，第一预设样本库中包括恶意代码样本的图标文件及其对应的第一摘要信息，这些恶意代码样本可以是提前根据现有的检测方法检测出来的，也可以是专业人员收集来的，本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件，并获取图标文件的第一摘要信息，从而建立第一预设样本库。应当理解的是，第一预设样本库中可不断增加、更新，从而使得能够识别的恶意代码也能相应的增多。[0076]获取单元330用于在第一预设样本库中未查找到至少一个图标文件的第一摘要信息时，进一步获取至少一个图标文件的第二摘要信息。在本发明的一个实施例中，第二摘要信息基于图标文件的分片内容生成。例如，第二摘要信息为模糊哈希值。更具体地，获取单元330可通过模糊哈希算法计算获得模糊哈希值。模糊哈希算法的基本原理是基于内容分割对图标文件进行分片，分别计算每个分片的哈希值，再将每个分片的哈希值进行组合以获取模糊哈希值，模糊哈希算法目前也有许多的分支算法，在此不再详细赘述。[0077]根据模糊哈希算法获得的模糊哈希值对细节变化不敏感，在原始数据上插入、删除、修改少量字节后，对模糊哈希值的影响不大，因此模糊哈希值主要用来进行相似性检测。在本发明的一个实施例中，可通过SSdeep(应用模糊哈希算法检测文件相似性的软件)计算至少一个图标文件的模糊哈希值，应当理解的是，还可以采用其他软件或者程序进行计算，本发明对此不进行限定。[0078]第二判断单元340用于根据至少一个图标文件的第二摘要信息判断待检测代码是否为恶意代码。[0079]本发明实施例的恶意代码的检测装置，如果查找单元在第一预设样本库中查找到第一摘要信息，则第一判断单元即可确定待检测代码为恶意代码，由于第一摘要信息的唯一性，可以很快确定待检测代码是否为现有的家族恶意代码或变种恶意代码；另外，如果查找单元在第一预设样本库中没有查找到第一摘要信息，则获取单元进一步获取第二摘要信息，第二判断单元根据第二摘要信息确定待检测代码是否为恶意代码，由于图标文件细节的改变对第二摘要信息的影响小，可以根据第二摘要信息进一步确定待检测代码是否为现有的家族恶意代码或变种恶意代码相关的恶意代码，从而进一步提高了恶意代码的检出率和准确率。[0080]更进一步地，在本发明的一个实施例中，第二判断单元340具体包括:[0081]获取子单元341用于获取第二预设样本库中预设摘要信息与至少一个图标文件的第二摘要信息的相似度。其中，第二预设样本库中包括恶意代码样本的图标文件及其对应的第二摘要信息，这些恶意代码样本可以是提前根据现有的检测方法检测出来的，也可以是专业人员收集来的，本发明对此不进行限定。从这些恶意代码样本中获取相应的图标文件，并获取图标文件的第二摘要信息，从而建立第二预设样本库。应当理解的是，第二预设样本库中可不断增加、更新，从而使得能够识别的恶意代码也能相应的增多。[0082]判断子单元342用于存在相似度超过预设值的预设摘要信息时，判断待检测代码为恶意代码。其中，预设值为代表相似度的百分比值，可以默认设定，也可以手动更改。例如，预设值为90%，当第二预设样本库中存在于待检测代码的第二摘要信息相似度超过90%的预设摘要信息时，判断子单元342判断待检测代码为恶意代码。相反，如果不存在相似度超过预设值的预设摘要信息，判断子单元342则判断待检测代码为正常代码。[0083]本发明实施例的恶意代码的检测装置，由于图标文件细节的改变对第二摘要信息的影响小，因此即使是在现有的家族恶意代码或变种恶意代码的基础上稍加修改的恶意代码，通过第二摘要信息可以检测出来，从而进一步提高了恶意代码的检出率和准确率。[0084]在本发明的另一个实施例中，恶意代码的检测装置还包括:[0085]第三获取模块400用于获取待检测代码的特性内容和/或行为特性信息。更具体地，对待检测代码进行预处理后，在第一获取模块100获取待检测代码的至少一个图标文件之前，可先由第三获取模块400获取待检测代码的特性内容(如特征码等)和/或行为特性信息(如修改关键文件、控制进程等)。[0086]查找模块500用于在预设的特性内容和/或行为特性信息样本库中查找待检测代码的特性内容和/或行为特性信息。其中，特性信息样本库包含恶意代码样本及恶意代码样本的特性内容和/或行为特性信息。[0087]判断模块300还用于在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息，则判断待检测代码为恶意代码。更具体地，如果查找模块500在预设的特性内容和/或行为特性信息样本库中查找到待检测代码的特性内容和/或行为特性信息，则判断模块300判断待检测代码为恶意代码，反之，如果查找模块500在预设的特性内容和/或行为特性信息样本库中没有查找到待检测代码的特性内容和/或行为特性信息，则第一获取模块100获取待检测代码的至少一个图标文件，以进一步判断当前文件是否为已知同类家族的恶意代码或其更新文件。由此，本发明实施例的恶意代码的检测装置，通过先根据待检测代码的特性内容和/或行为特性信息进行检测，再将无法识别的代码根据第一摘要信息和第二摘要信息以进一步检测，提高了检测效率，利用模糊哈希值检测的优势，提高识别效率。[0088]在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。[0089]此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。[0090]在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。[0091]在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。[0092]在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。[0093]尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。【权利要求】1.一种恶意代码的检测方法，其特征在于，包括:获取待检测代码的至少一个图标文件；获取所述至少一个图标文件的第一摘要信息；以及根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。2.根据权利要求1所述的恶意代码的检测方法，其特征在于，所述根据至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码包括:在第一预设样本库中查找所述至少一个图标文件的第一摘要信息；以及如果在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息，则判断所述待检测代码为恶意代码。3.根据权利要求2所述的恶意代码的检测方法，其特征在于，还包括:如果在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息，则进一步获取所述至少一个图标文件的第二摘要信息，其中，所述第一摘要信息基于所述图标文件生成，所述第二摘要信息基于所述图标文件的分片内容生成；以及根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。4.根据权利要求3所述的恶意代码的检测方法，其特征在于，所述根据至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码包括:获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度；以及如果存在所述相似度超过预设值的所述预设摘要信息，则判断所述待检测代码为恶意代码。5.根据权利要求1至4中任一项所述的恶意代码的检测方法，其特征在于，在所述获取待检测代码的至少一个图标文件之前，还包括:获取所述待检测代码的特性内容和/或行为特性信息；在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息；以及如果在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息，则判断所述待检测代码为恶意代码。6.一种恶意代码的检测装置，其特征在于，包括:第一获取模块，用于获取待检测代码的至少一个图标文件；第二获取模块，用于获取所述至少一个图标文件的第一摘要信息；以及判断模块，用于根据所述至少一个图标文件的第一摘要信息判断所述待检测代码是否为恶意代码。7.根据权利要求6所述的恶意代码的检测装置，其特征在于，所述判断模块包括:查找单元，用于在第一预设样本库中查找所述至少一个图标文件的第一摘要信息；以及第一判断单元，用于在所述第一预设样本库中查找到所述至少一个图标文件的第一摘要信息时，判断所述待检测代码为恶意代码。8.根据权利要求7所述的恶意代码的检测装置，其特征在于，所述判断模块还包括:获取单元，用于在所述第一预设样本库中未查找到所述至少一个图标文件的第一摘要信息时，进一步获取所述至少一个图标文件的第二摘要信息，其中，所述第一摘要信息基于所述图标文件生成，所述第二摘要信息基于所述图标文件的分片内容生成；以及第二判断单元，用于根据所述至少一个图标文件的第二摘要信息判断所述待检测代码是否为恶意代码。9.根据权利要求8所述的恶意代码的检测装置，其特征在于，所述第二判断单元包括:获取子单元，用于获取第二预设样本库中预设摘要信息与所述至少一个图标文件的第二摘要信息的相似度；以及判断子单元，用于存在所述相似度超过预设值的所述预设摘要信息时，判断所述待检测代码为恶意代码。10.根据权利要求6至9中任一项所述的恶意代码的检测装置，其特征在于，还包括:第三获取模块，用于获取所述待检测代码的特性内容和/或行为特性信息；查找模块，用于在预设的特性内容和/或行为特性信息样本库中查找所述待检测代码的特性内容和/或行为特性信息；以及所述判断模块还用于在所述预设的特性内容和/或行为特性信息样本库中查找到所述待检测代码的特性内容和/或行为特性信息，则判断所述待检测代码为恶意代码。【文档编号】G06F21/56GK103761483SQ201410040500【公开日】2014年4月30日申请日期:2014年1月27日优先权日:2014年1月27日【发明者】邹荣新,徐超,谢小军,张科申请人:百度在线网络技术（北京）有限公司