压缩文件的检测方法及装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,尤其涉及一种压缩文件的检测方法及装置。
【背景技术】
[0002]目前,随着文件压缩技术的发展,Zip压缩算法由于具有较高的压缩率,可应用的平台较多等优势,得到了广泛的认可。通过Zip压缩算法可以将文件进行压缩来形成应用程序安卓包等,例如安卓(Android)系统中的Android安装包(Android Package,简称APK)就是采用了 Zip压缩算法形成的。
[0003]当前,通过Zip压缩算法压缩文件而形成的APK存在漏洞。例如,在Android系统中,一些恶意的可执行文件(例如执行文件classes, dex)被压缩到APK中,并且该恶意的可执行文件的排列顺序在合法的可执行文件之前,在Android系统组建签名验证文件映射表的时候,会误将合法的可执行文件覆盖掉,从而恶意的可执行文件能够绕过安装验证环节。最终APK在被安装后会将该恶意可执行文件作为运行实例,例如该恶意可执行文件运行后,将以一个伪造的网银登入界面替代原有的网银登入界面,从而可能造成用户网银信息的泄露。可见,确定Zip压缩文件中有无恶意的可执行文件尤为重要。目前确定Zip压缩文件中有无恶意的可执行文件的方法一般需要先开启该Zip压缩文件,例如开启Android系统中的APK,即需要进行文件校验、文件寻址、文件分类等操作,之后需要遍历该APK中的各文件,以判断是否存在重复的可执行文件。
[0004]当前的Zip压缩文件的检测方式中,均需要开启Zip压缩文件,以进行文件校验、文件寻址、文件分类等操作,导致整个检测过程时间较长。
【发明内容】
[0005]本发明的实施例提供一种压缩文件的检测方法及装置,能够解决现有技术中由于当前的Zip压缩文件的检测方式的检测过程时间较长的问题。
[0006]为达到上述目的,本发明采用如下技术方案:
[0007]一种压缩文件的检测方法,包括:
[0008]获取压缩文件的尾部分页;所述压缩文件中包括各包内文件,所述尾部分页中包括各包内文件的文件信息;
[0009]遍历所述尾部分页,从所述尾部分页中按照预设规则依次选择包内文件的文件信息;
[0010]判断所述包内文件的文件信息中有无待测的可执行文件的信息;
[0011]若所述包内文件的文件信息中有所述可执行文件的信息,确定所述可执行文件信息在所述各包内文件的文件信息中出现的次数;
[0012]若所述可执行文件信息在所述各包内文件的文件信息中出现的次数大于一预定阈值,则确定所述可执行文件为恶意文件。
[0013]一种压缩文件的检测装置,包括:
[0014]获取单元,用于获取压缩文件的尾部分页;所述压缩文件中包括各包内文件,所述尾部分页中包括各包内文件的文件信息;
[0015]遍历单元,用于遍历所述获取单元获取的尾部分页,从所述尾部分页中按照预设规则依次选择包内文件的文件信息;
[0016]判断单元,用于判断所述遍历单元选择的所述包内文件的文件信息中有无待测的可执行文件的信息;
[0017]确定单元,用于在所述判断单元判断到所述包内文件的文件信息中有所述可执行文件的信息,确定所述可执行文件信息在所述各包内文件的文件信息中出现的次数;
[0018]所述确定单元,还用于若所述可执行文件信息在所述各包内文件的文件信息中出现的次数大于一预定阈值,则确定所述可执行文件为恶意文件。
[0019]本发明实施例提供的压缩文件的检测方法及装置,获取了压缩文件的尾部分页,遍历所述尾部分页,并判断压缩文件中的包内文件的文件信息中有无待测的可执行文件的信息;在所述包内文件的文件信息中有所述可执行文件的信息时,通过确定所述可执行文件信息在所述各包内文件的文件信息中出现的次数,来判断所述可执行文件是否为恶意文件,这样无需开启压缩文件,在避免进行文件校验、文件寻址、文件分类等操作的情况下,能够进行压缩文件的安全性检测。而现有技术中,Zip压缩文件的检测方式中,均需要开启Zip压缩文件,以进行文件校验、文件寻址、文件分类等操作,导致整个检测过程时间较长。因此,本发明在避免进行文件校验、文件寻址、文件分类等操作的情况下,能够进行压缩文件的安全性检测,整个检测过程时间较短。
【附图说明】
[0020]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0021]图1为本发明实施例提供的压缩文件的检测方法的流程图;
[0022]图2为本发明又一实施例提供的压缩文件的检测方法的流程图;
[0023]图3为本发明实施例中出现重复的可执行文件的示意图;
[0024]图4为本发明实施例提供的压缩文件的检测装置的结构示意图一;
[0025]图5为本发明实施例提供的压缩文件的检测装置的结构示意图二。
【具体实施方式】
[0026]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0027]为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
[0028]如图1所示,本发明实施例提供的压缩文件的检测方法,包括:
[0029]101、获取压缩文件的尾部分页。
[0030]所述压缩文件中包括各包内文件,所述尾部分页中包括各包内文件的文件信息。所述压缩文件一般为Zip压缩算法压缩的文件,例如安卓(Android)系统中的安装包(Android Package,简称APK)就是采用了 Zip压缩算法形成的。在所述压缩文件的尾部分页中,一般包括压缩文件的各包内文件的文件信息,所述文件信息中包括,例如文件分页标志、用于指示文件名称与类型的文件标志位等信息。
[0031]所述获取压缩文件的尾部分页可以是通过winhex等工具获取,但不仅局限于此。
[0032]102、遍历所述尾部分页,从所述尾部分页中按照预设规则依次选择包内文件的文件信息。
[0033]在获取尾部分页时,还可能获取到压缩文件的其他分页,该其他分页在所述尾部分页之前,因此在遍历所述尾部分页时,所述预设规则可以是从尾部分页的尾部向头部遍历,从而依次选择包内文件的文件信息。
[0034]103、判断所述包内文件的文件信息中有无待测的可执行文件的信息。
[0035]在检测压缩文件之前,需要预先确定需要测试的可执行文件,即待测的可执行文件,例如在Android系统APK中的classes, dex文件。由于classes, dex作为可执行文件,其中的代码可能被修改,因此该classes, dex可作为待测的可执行文件,但不仅局限于此。
[0036]104、若所述包内文件的文件信息中有所述可执行文件的信息,确定所述可执行文件信息在所述各包内文件的文件信息中出现的次数。
[0037]所述可执行文件的信息至少包括该可执行文件的文件标志位以及该可执行文件的分页标志等。
[0038]105、若所述可执行文件信息在所述各包内文件的文件信息中出现的次数大于一预定阈值,则确定所述可执行文件为恶意文件。
[0039]若所述可执行文件信息在所述各包内文件的文件信息中出现的次数大于一预定阈值,例如所述预定阈值为1,则表示在各包内文件中,存在至少两个名称相同的可执行文件。在压缩文件中,例如在Zip压缩文件中,若出现至少两个名称相同的可执行文件,即可确认该可执行文件存在风险,属于恶意文件。
[0040]值得说明的是,本发明实施例的执行主体是一种压缩文件的检测装置,可以运行于杀毒软件等应用程序中,但不仅局限于此。或者所述压缩文件的检测装置自身可以作为应用程序