一種excel宏表病毒的檢測方法及系統的制作方法
【技術領域】
[0001]本發明涉及計算機網絡安全技術領域,特別涉及一種excel宏表病毒的檢測方法及系統。
【背景技術】
[0002]目前excel的宏病毒一般為兩種形式,一種是在excel中插入普通的宏代碼來實現惡意功能,另一種是利用excel的宏表來插入惡意代碼實現惡意功能。這兩種形式功能雖然似,但是惡意數據在excel中保存的形式是完全不一樣的,因此現有通過對文件宏代碼進行檢測的方式,無法檢測到宏表中添加的宏代碼。在excel中插入MS Excel4.0宏表,利用宏表插入惡意代碼,是通過在宏表的單元格中添加紅代碼,沿著同一列逐行添加,在代碼執行過程中可以順序執行到RETURN函數,所以很多惡意代碼作者使用這樣的方式來編寫惡意代碼,早在Excel 2003等早期的版本中,在文檔中定義AUT0_0PEN名稱,就可以在Excel表格打開的時候自動執行任意宏表的代碼,實現自我復制和對正常文檔的感染,新感染文件的宏表中雖然包含相同的代碼,但在不同文件中保存的形式不同,導致感染后的文件差別較大。因此這種類型的惡意代碼很難歸并檢測用特征,人工提取代價又比較高。
【發明內容】
[0003]本發明提供一種excel宏表病毒的檢測方法及系統,解決了宏表病毒無法進行歸一化檢測的問題。
[0004]一種excel宏表病毒的檢測方法,包括:
提取待檢測excel文檔中macro sheet substream流數據;
通過根據微軟提供的excel文件格式文檔,自行編寫提取程序代碼,提取workbook數據流,進而提取其中可能存在的macro sheet substream流數據;對于部分不包含macrosheet substream流數據的文件,則其不存在excel宏表病毒,可以通過現有的其他檢測手段進行檢測;
分析macro sheet substream流數據,得到宏表中所有單元格的信息,并提取每個單元格的公式命令數據;
提取每個公式命令數據中的token和公式長度;
計算所有token和公式長度的哈希值;
遍歷惡意excel宏表病毒特征庫,與所述哈希值匹配,匹配成功則所述待檢測excel文檔為惡意,否則非惡意。
[0005]所述的方法中,所述惡意excel宏表病毒特征庫,為根據已知惡意excel宏表病毒文檔得到的哈希值列表,即通過上述方法得到的哈希值列表。
[0006]—種excel宏表病毒的檢測系統,包括:
數據提取模塊,用于提取待檢測excel文檔中macro sheet substream流數據;
分析模塊,用于分析macro sheet substream流數據,得到宏表中所有單元格的信息,并提取每個單元格的公式命令數據;
特征提取模塊,用于提取每個公式命令數據中的token和公式長度;
計算模塊,用于計算所有token和公式長度的哈希值;
檢測模塊,用于遍歷惡意excel宏表病毒特征庫,與所述哈希值匹配,匹配成功則所述待檢測excel文檔為惡意,否則非惡意。
[0007]所述的系統中,所述惡意excel宏表病毒特征庫,為根據已知惡意excel宏表病毒文檔得到的哈希值列表。
[0008]本發明針對excel宏表病毒感染后結果數據的復雜性,在提取宏表公式后,對提取到的信息進行分析,保留了公式的token和公式長度,拋棄了其他信息,保證了同樣的宏表病毒感染多個不同excel文件后提取到的信息是一致的,這樣就實現了多個感染同樣宏表病毒的excel文件能夠提取到同樣的病毒特征,有效的實現了檢測用特征的歸一化,減少檢測用特征數量的同時,也提升了檢測速度。同時提取的結果信息具有一定的復雜性,能夠有效的防止誤報。
[0009]本發明方案的技術效果在于,由于檢測用特征來源于每條宏表病毒中每個單元格的命令,所以檢測的結果也更加準確,檢測的特征準確的命中了惡意代碼。相對于其他自動化提取特征的方法,本方法準確性更高,誤報率低。另外同樣的宏表病毒感染后的樣本能夠提取到一致的檢測特征,有效的實現了特征的歸一化,減少了特征數量,反病毒引擎匹配的次數也相應降低,所以同時提升了反病毒引擎工作的效率。
[0010]本發明提供了一種excel宏表病毒的檢測方法及系統,包括:提取待檢測excel文檔中macro sheet substream流數據;分析macro sheet substream流數據,得到宏表中所有單元格的信息,并提取每個單元格的公式命令數據;提取每個公式命令數據中的token和公式長度;計算所有token和公式長度的哈希值;遍歷惡意excel宏表病毒特征庫,與所述哈希值匹配,匹配成功則所述待檢測excel文檔為惡意,否則非惡意。通過本發明的方法,能夠有效的檢測宏表病毒,并提出了一種excel宏表病毒的歸一化檢測方法。能夠快速判斷excel的宏表中是否存在惡意代碼,同時有效減少特征數量。
【附圖說明】
[0011]為了更清楚地說明本發明或現有技術中的技術方案,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本發明中記載的一些實施例,對于本領域普通技術人員來講,在不付出創造性勞動的前提下,還可以根據這些附圖獲得其他的附圖。
[0012]圖1為本發明一種excel宏表病毒的檢測方法實施例流程圖;
圖2為本發明一種excel宏表病毒的檢測系統實施例結構不意圖。
【具體實施方式】
[0013]為了使本技術領域的人員更好地理解本發明實施例中的技術方案,并使本發明的上述目的、特征和優點能夠更加明顯易懂,下面結合附圖對本發明中技術方案作進一步詳細的說明。
[0014]本發明提供一種excel宏表病毒的檢測方法及系統,解決了宏表病毒無法進行歸一化檢測的問題。
[0015]—種excel宏表病毒的檢測方法,如圖1所不,包括:
5101:提取待檢測excel文檔中macro sheet substream流數據;
通過根據微軟提供的excel文件格式文檔,自行編寫提取程序代碼,提取workbook數據流,進而提取其中可能存在的macro sheet substream流數據;對于部分不包含macrosheet substream流數據的文件,則其不存在excel宏表病毒,可以通過現有的其他檢測手段進行檢測;
5102:分析macro sheet substream流數據,得到宏表中所有單元格的信息,并提取每個單元格的公式命令數據;
5103:提取每個公式命令數據中的token和公式長度;
5104:計算所有token和公式長度的哈