1.一种识别文档代码的方法,其特征在于,包括:
对目标文档满足预设格式字节位置进行定位;
对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;
对所述执行结果进行特征提取,获得特征提取结果;
根据所述特征提取结果,识别所述目标文档是否包含恶意代码。
2.如权利要求1所述的方法,其特征在于,所述对目标文档的满足预设格式字节位置进行定位,包括:
对所述目标文档进行格式化解析,识别出所述目标文档的格式;
根据识别出的所述目标文档的格式,在所述目标文档对应的位置进行恶意代码定位。
3.如权利要求1所述的方法,其特征在于:对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行包括:
从所述满足预设格式字节的起始位置开始,每次调整偏移量,逐次进行模拟CPU指令执行,获得执行结果,直到所述满足预设格式字节的结束位置。
4.如权利要求1所述的方法,其特征在于:对所述执行结果进行特征提取,获得特征提取结果包括:
逐一比较从所述执行结果提取出的特征是否符合预设的恶意代码特征,如果符合,则记录所述特征。
5.如权利要求1所述的方法,其特征在于:根据所述特征提取结果给出分析结论包括:
对特征提取获得的每个特征提取结果按照预设标准进行评分,根据特征提取获得的所有特征提取结果的评分结果与预设阈值进行比较,获得所述目标文档的满足预设格式字节是否为恶意代码的分析结论。
6.一种识别文档代码的装置,其特征在于,包括:
定位模块,设置为对目标文档的满足预设格式字节位置进行定位;
指令模块,设置为对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;
特征提取模块,设置为对所述执行结果进行特征提取,获得特征提取结果;
分析模块,设置为根据所述特征提取结果,识别所述目标文档是否包含恶意代码。
7.如权利要求6所述的装置,其特征在于:所述定位模块包括:
格式识别模块,设置为对所述目标文档进行格式化解析,识别出所述目标文档的格式;
根据所述格式识别模块识别出的所述目标文档的格式,在所述目标文档对应的位置进行恶意代码定位。
8.如权利要求6所述的装置,其特征在于:所述指令模块对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行是指:
从所述满足预设格式字节的起始位置开始,每次调整偏移量,逐次进行模拟CPU指令执行,获得执行结果,直到所述满足预设格式字节的结束位置。
9.如权利要求6所述的装置,其特征在于:所述特征提取模块对所述执行结果进行特征提取,获得特征提取结果是指:
逐一比较从所述执行结果提取出的特征是否符合预设的恶意代码特征,如果符合,则记录所述特征。
10.如权利要求6所述的装置,其特征在于:所述分析模块根据所述特征提取结果给出分析结论是指:
对特征提取获得的每个特征提取结果按照预设标准进行评分,根据特征提取获得的所有特征提取结果的评分结果与预设阈值进行比较,获得所述目标文档的满足预设格式字节是否为恶意代码的分析结论。
11.一种识别文档代码的装置,包括存储器和处理器,其特征在于:
所述存储器用于存储用于识别文档恶意代码的程序;所述用于识别文档恶意代码的程序在被所述处理器读取执行时,执行如下操作:
对所述目标文档的满足预设格式字节位置进行定位;
对所述满足预设格式字节的起始位置至结束位置进行模拟中央处理器CPU指令执行,获得执行结果;
对所述执行结果进行特征提取,获得特征提取结果;
根据所述特征提取结果,识别所述目标文档是否包含恶意代码。