[发明专利]针对恶意软件分析受口令保护的文件

说明书

背景技术

恶意软件(“malware”)可以指代用来扰乱计算机操作、收集敏感信息、取得对私有计算机系统的访问等的任何软件。恶意软件可以指代各种类型的敌对性或者侵入性软件，包括计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件、恐吓软件、或者其他恶意软件。

发明内容

根据一些可能的实施方式，一种设备可以接收将被访问用于分析的受口令保护的文件。该设备可以识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别：与该受口令保护的文件相关联的元数据，与该受口令保护的文件从其被接收的源相关联的元数据，或者与该受口令保护的文件从其被接收的源相关联的文本。该设备可以应用该上下文项作为用以尝试访问该受口令保护的文件的口令。

根据一些可能的实施方式，一种计算机可读介质可以存储一个或多个指令，该一个或多个指令在由一个或多个处理器执行时促使该一个或多个处理器接收受口令保护的文件。该一个或多个指令可以促使该一个或多个处理器识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别：与该受口令保护的文件相关联的第一未加密文本，与该受口令保护的文件从其被接收的源相关联的第二未加密文本，或者与另一文件相关联的第三未加密文本，该另一文件与该受口令保护的文件共享一定程度的相似性。该一个或多个指令可以促使该一个或多个处理器应用该上下文项作为用以尝试访问该受口令保护的文件的口令。

根据一些可能的实施方式，一种方法可以包括：由设备接收将被访问用于分析的受口令保护的文件。该方法可以包括：由该设备识别将被使用作为用以尝试访问该受口令保护的文件的口令的、与该受口令保护的文件相关联的上下文项。该上下文项可以基于以下各项中的至少一项而被识别：与该受口令保护的文件相关联的第一文本，或者与该受口令保护的文件从其被获得的源相关联的第二文本。该方法可以包括：由该设备应用该上下文项作为用以尝试访问该受口令保护的文件的口令。该方法可以包括：由该设备基于应用该上下文项或者非上下文项作为口令，来确定该受口令保护的文件已经成功地被访问。该方法可以包括：由该设备访问该受口令保护的文件用于分析。

附图说明

图1是本文所描述的一种示例实施方式的概览的示图；

图2是本文所描述的系统和/或方法可以在其中被实施的示例环境的示图；

图3是图2的一个或多个设备的示例组件的示图；

图4是用于访问受口令保护的文件从而可以针对恶意软件来分析该受口令保护的文件的示例过程的流程图；以及

图5A-5E是与图4中所示出的示例过程有关的一种示例实施方式的示图。

具体实施方式

对多种示例实施方式的以下详细描述参考了附图。不同附图中的相同参考标号可以识别相同或相似的元件。

反恶意软件的应用可以能够分析文件(例如，二进制文件)以确定该文件是否为恶意软件。然而，恶意用户可以使用口令来保护恶意软件文件，由此防止反恶意软件的应用分析该文件，因为反恶意软件的应用可能不具有访问该文件的口令。本文所描述的实施方式可以协助访问受口令保护的文件，以针对恶意软件来分析该文件。

图1是本文所描述的一种示例实施方式100的概览的示图。如图1中所示出的，安全设备(例如，服务器、防火墙、网关等)可以接收将针对恶意软件而被分析的受口令保护的文件。如进一步所示出的，安全设备可以识别将被使用作为用以尝试访问该文件的口令的、与该文件相关联的上下文项。例如，安全设备可以分析包括该文件的电子邮件、可以分析托管该文件的网站、可以分析文件元数据等等，以识别上下文项。本文的其他地方更详细地描述了用于识别上下文项的其他技术。