1.一种恶意脚本文件的检测方法,其特征在于,包括:
在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;
判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;
若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。
2.根据权利要求1所述的方法,其特征在于,在所述监测运行所述待检测脚本文件时所调用的待检测函数之前,所述方法还包括:
挂钩所述预设函数及所述预设解释引擎,所述预设函数包括恶意脚本疑似函数以及用于变形所述输入参数的变形函数;
通过所述预设解释引擎,检测是否需要输入用于页面交互的所述填充参数;
若需要输入所述填充参数,调用所述恶意脚本疑似函数或所述变形函数输入所述填充参数;
生成包含所述填充参数的所述填充参数数据集。
3.根据权利要求2所述的方法,其特征在于,所述挂钩所述预设函数及所述预设解释引擎包括:
通过超文本预处理器PHP扩展法挂钩所述预设函数及所述预设解释引擎,其中,所述PHP扩展法用于修改所述待检测脚本文件的执行逻辑。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述恶意脚本疑似函数包括以下一种或几种:用于将字符串作为PHP语法执行的函数、用于判断条件是否正确的函数、用于调用执行系统命令的函数以及用于进程执行的函数。
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述变形函数包括以下一种或几种:用于编码解密的函数、用于解压缩的函数以及用于字符串旋转解密的函数。
6.一种恶意脚本文件的检测装置,其特征在于,包括:
监测单元,用于在执行获取到的待检测脚本文件的过程中,监测运行所述待检测脚本文件时所调用的待检测函数;
判断单元,用于判断所述待检测函数的输入参数是否包含在预先生成的填充参数数据集中,其中,所述填充参数数据集包括用于页面交互的填充参数,所述填充参数为根据预先挂钩的预设函数及预设解释引擎生成的,所述预设函数用于输入所述填充参数,所述预设解释引擎用于检测是否需要输入所述填充参数;
确定单元,用于若所述输入参数包含在所述填充参数数据集中,确定所述待检测脚本文件为恶意脚本文件。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
挂钩单元,用于挂钩所述预设函数及所述预设解释引擎,所述预设函数包括恶意脚本疑似函数以及用于变形所述输入参数的变形函数;
检测单元,用于通过所述预设解释引擎,检测是否需要输入用于页面交互的所述填充参数;
调用单元,用于若需要输入所述填充参数,调用所述恶意脚本疑似函数或所述变形函数输入所述填充参数;
生成单元,用于生成包含所述填充参数的所述填充参数数据集。
8.根据权利要求7所述的装置,其特征在于,所述挂钩单元用于执行以下步骤挂钩所述预设函数及所述预设解释引擎:
通过超文本预处理器PHP扩展法挂钩所述预设函数及所述预设解释引擎,其中,所述PHP扩展法用于修改所述待检测脚本文件的执行逻辑。
9.根据权利要求6至8中任一项所述的装置,其特征在于,所述恶意脚本疑似函数包括以下一种或几种:用于将字符串作为PHP语法执行的函数、用于判断是否正确的函数、用于调用执行系统命令的函数以及用于进程执行的函数。
10.根据权利要求6至8中任一项所述的装置,其特征在于,所述变形函数包括以下一种或几种:用于编码解密的函数、用于解压缩的函数以及用于字符串旋转解密的函数。