[发明专利]检测恶意软件的方法、装置、电子设备及存储介质

权利要求书

1.一种检测恶意软件的方法，其特征在于，所述方法包括：

获取目标软件的代码文件；

根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算所述代码文件与所述已知恶意代码文件之间的第一相似度；

根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度；

根据所述第一相似度和所述第二相似度，确定所述代码文件与所述已知恶意代码文件之间的综合相似度；

将所述代码文件的动态行为特征与已知恶意动态行为特征进行匹配，得到所述代码文件的动态行为特征匹配结果；所述代码文件的动态行为特征是在沙箱中运行所述代码文件中的代码的过程中采集到的；

根据所述代码文件与所述已知恶意代码文件之间的综合相似度，和所述代码文件的动态行为特征匹配结果，确定目标软件的恶意软件检测结果。

2.根据权利要求1所述的方法，其特征在于，所述根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度，包括：

根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，计算所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度；

根据所述代码文件中各函数与所述已知恶意代码文件中各函数之间的函数相似度，确定所述代码文件中函数相似度超过函数相似度阈值的目标函数；

根据所述目标函数的数量、所述代码文件中函数的数量和所述已知恶意代码文件中函数的数量，确定所述代码文件与所述已知恶意代码文件之间的第二相似度。

3.根据权利要求1或2所述的方法，其特征在于，所述根据所述代码文件中各函数的模糊哈希与所述已知恶意代码文件中各函数的模糊哈希，确定所述代码文件与所述已知恶意代码文件之间的第二相似度之前，所述方法还包括：

对所述代码文件进行反汇编处理，得到反汇编代码；

将所述反汇编代码中各函数中的操作数移除；

计算移除操作数后所述反汇编代码中各函数的模糊哈希，得到所述代码文件中各函数的模糊哈希。

4.根据权利要求1所述的方法，其特征在于，所述根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算所述代码文件与所述已知恶意代码文件之间的第一相似度之前，所述方法还包括：

确定所述代码文件的文件类型；

若所述代码文件的文件类型为文档类型，则移除所述代码文件中的宏代码。

5.根据权利要求4所述的方法，其特征在于，所述确定所述待检测文件的类型之后，所述方法还包括：

若所述代码文件的文件类型为脚本语言类型，则判断所述代码文件中是否存在被混淆的代码；

若所述代码文件中存在被混淆的代码，则对所述代码文件中被混淆的代码进行解混淆。

6.根据权利要求1所述的方法，其特征在于，所述根据所述代码文件的文件模糊哈希与已知恶意代码文件的文件模糊哈希，计算所述代码文件与所述已知恶意代码文件之间的第一相似度之前，所述方法还包括：

检测所述代码文件是否加壳；

若确定所述代码文件加壳，则对所述代码文件进行脱壳处理。

7.根据权利要求1所述的方法，其特征在于，所述根据所述代码文件与所述已知恶意代码文件之间的综合相似度，和所述代码文件的动态行为特征匹配结果，确定目标软件的恶意软件检测结果，包括：

综合所述代码文件与所述已知恶意代码文件之间的综合相似度、所述代码文件的动态行为特征匹配结果和静态特征匹配结果，确定所述目标软件的恶意软件检测结果。