意图;
[0060]图4为本发明另一实施例提供的文件的检测装置的结构示意图;
[0061]图5为本发明另一实施例提供的文件的检测装置的结构示意图;
[0062]图6为本发明另一实施例提供的文件的检测装置的结构示意图。
【【具体实施方式】】
[0063]为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0064]需要说明的是,本发明实施例中所涉及的终端可以包括但不限于手机、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(Tablet Computer)、个人电脑(Personal Computer, PC)、MP3播放器、MP4播放器、可穿戴设备(例如,智能眼镜、智能手表、智能手环等)等。
[0065]另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
[0066]图1为本发明一实施例提供的文件的检测方法的流程示意图,如图1所示。
[0067]101、利用M个指定特征,对待测文件进行匹配处理,以获得所述M个指定特征中每个指定特征的匹配结果,M为大于或等于I的整数。
[0068]可选地,在本实施例的一个可能的实现方式中,在101中,所述待测文件,是指根据检测范围即扫描范围,所确定的终端的存储设备内所存储的文件中的一个文件。具体地,所述待测文件,具体可以为在终端的存储设备所存储的全部文件中,按照一定的检测顺序依次获取的文件,或者还可以为在终端的存储设备的指定路径下所存储的全部文件中,按照一定的检测顺序依次获取的文件,本实施例对此不进行特别限定。
[0069]所述待测文件可以为可执行文件(executable file)。具体地,可执行文件,是可移植可执行(PE)文件格式的文件,它可以加载到内存中,并由操作系统加载程序执行。可执行文件的扩展名可以包括但不限于.exe、.sys和.scr,等。
[0070]所述待测文件可以为非可执行文件。具体地,非可执行文件,是除了可执行文件之外的其他文件。
[0071]在一个具体的实现过程中,所述终端的存储设备可以慢速存储设备,具体可以为计算机系统的硬盘,或者还可以为手机的非运行内存即物理内存,例如,只读存储器(Read-Only Memory, ROM)和内存卡等,本实施例对此不进行特别限定。
[0072]在另一个具体的实现过程中,所述终端的存储设备还可以为快速存储设备,具体可以为计算机系统的内存,或者还可以为手机的运行内存即系统内存,例如,随机存储器(Random Access Memory, RAM)等,本实施例对此不进行特别限定。
[0073]可选地,在本实施例的一个可能的实现方式中,在101中,具体可以将M个指定特征中每个指定特征,在待测文件中进行匹配,以获得每个指定特征是否在待测文件中出现的匹配结果。
[0074]需要说明的是,在待测文件中所进行的匹配,可以为字符的精确匹配,或者还可以为字符的模糊匹配,本实施例对此不进行特别限定。
[0075]102、对所述每个指定特征的匹配结果,进行预先设置的逻辑运算。
[0076]所谓的逻辑运算,可以包括但不限于与运算、或运算、非运算三种运算类型中的至少一项,本实施例对此不进行特别限定。
[0077]103、根据所述逻辑运算的运算结果,获得所述待测文件的检测结果。
[0078]其中,所述待测文件的检测结果可以包括但不限于如下内容:
[0079]病毒文件;或者
[0080]正常文件;或者
[0081]非病毒文件;或者
[0082]非正常文件。
[0083]所谓的病毒文件,是指包含病毒的文件。其中,病毒,又称为计算机病毒,可以包括但不限于木马、后门、局域网婦虫、邮件婦虫、间课软件、感染型病毒或Rootkits/Bootkits。
[0084]所谓的非病毒文件,是指不包含病毒的文件。
[0085]所谓的正常文件,是指不包含病毒的文件。
[0086]所谓的非正常文件,是指包含病毒的文件。
[0087]至此,就可以检测出待测文件是否为包含病毒的文件,进而根据检测结果进行相关的病毒防御处理,例如,对识别为病毒文件所进行的告警处理,或者,再例如,对识别为非病毒文件所进行的放行处理等,本实施例对此不进行特别限定
[0088]需要说明的是,101?103的执行主体的部分或全部可以为位于本地终端的应用,或者还可以为位于本地终端的应用中的插件或软件开发工具包(Software DevelopmentKit,SDK)等功能单元,或者还可以为位于网络侧的服务器中的处理引擎,或者还可以为位于网络侧的分布式系统,本实施例对此不进行特别限定,本实施例对此不进行特别限定。
[0089]可以理解的是,所述应用可以是安装在终端上的本地程序(nativeApp),或者还可以是终端上的浏览器的一个网页程序(webApp),只要能够实现文件的检测,以提供安全的系统环境的客观存在形式都可以,本实施例对此不进行特别限定。
[0090]这样,通过利用一个或多个指定特征,对待测文件进行匹配处理,以获得所述一个或多个指定特征中每个指定特征的匹配结果,进而对所述每个指定特征的匹配结果,进行预先设置的逻辑运算,使得能够根据所述逻辑运算的运算结果,获得所述待测文件的检测结果,由于采用基于特征匹配的逻辑运算,相比数值运算简单很多,不需要较多的处理资源,因此,不会占用终端的大量处理资源,从而提高了终端的处理性能。
[0091]可选地,在本实施例的一个可能的实现方式中,在101之前,还可以进一步包括所述M个指定特征的挖掘流程。具体地,在该流程中,具体可以获取P个样本文件,P为大于或等于I的整数,进而,则可以对所述P个样本文件中每个样本文件进行分段处理,以获得N个文件片段,N为大于或等于2的整数。然后,则可以根据所述N个文件片段,获得所述M个指定特征。其中,所述每个指定特征包括至少一个文件片段。
[0092]在一个具体的实现过程中,对每个样本文件所进行的分段处理,可以采用多种分段方法,例如,等长度机制、滑动窗口机制等。经过分段处理之后,所获得的每个文件片段,都可以用于表达文件特征。
[0093]通常,一个文件在终端中的存储形式为二进制,因此,文件又可以称为二进制文件。下面以滑动窗口机制为例,详细说明对每个二进制样本文件即样本文件所进行的分段处理。假设滑动窗口大小为4个字节,其移动步长为I个字节,利用该滑动窗口对用如下十六进制所表示样本文件0X1A0F58B459067CFF,进行分段处理之后,获得如下文件片段:0X1A0F58B4、0XA0F58B45、0X0F58B459、0XF58B4590、0X58B45906、0X8B459067、0XB459067C、0X459067CF、0X59067CFF、0X9067CFF、0X067CFF、0X67CFF、0X7CFF、0XCFF、0XFF 和 0XF。
[0094]在另一个具体的实现过程中,具体可以对所述每个样本文件的指定部分进行分段处理,以获得所述N个文件片段。其中,所述指定部分可以为人工根据经验进行手动设置,或者还可以为自动根据策略进行自动设置,本实施例对此不进行特别限定。
[0095]这样,由于只对样本文件的指定部分进行分段处理,而不需要对样本文件的全部部分都进行分段处理,能够避免由于对每个样本文件的全部部分进行分段处理而导致的占用终端较多的处理资源的问题,从而提高了终端的处理性能。
[0096]在另一个具体的实现过程中,根据所述N个文件片段,获得所述M个指定特的步骤,具体可以如图2所示。
[0097]201、根据所述每个样本文件的标注结果和所述P个样本文件,获得所述N个文件片段中每个文件片段在标注结果为第一类型文件的样本文件中出现的第一出现次数,以及所述每个文件片段在标注结果为第二类型文件的样本文件中出现的第二出现次数。
[0098]为了便于描述,可以将“标注结果为第一类型文件的样本文件”,简称为第一类型文件;类似地,可以将“标注结果为第二类型文件的样本文件”,简称为第二类型文件。