本申请属于计算机软件及安全检测,具体涉及一种计算机操作系统的快捷方式的检测方法及装置。
背景技术:
1、目前,快捷方式在计算机操作系统中广泛应用,越来越多的攻击者利用快捷方式实施攻击。现有技术中,主要是通过分析快捷方式指向的目标文件系统路径和在快捷方式目标激活时系统指定的命令行参数来表征恶意快捷方式,即从快捷方式文件中获取快捷方式指向的系统文件路径,分析该文件路径对应的文件是否是病毒文件,现有的方式依赖于杀毒软件的查杀能力,无法依据快捷方式的行为分析对快捷方式的攻击进行有效检测,降低了计算机的安全性。
技术实现思路
1、本申请提供了一种计算机操作系统的快捷方式的检测方法及装置,能够对计算机操作系统的快捷方式进行有效检测,确定是否为攻击性快捷方式,进而提高计算机的安全性。
2、第一方面,本申请提供了一种计算机操作系统的快捷方式的检测方法,所述方法包括如下步骤:
3、在确定第一文件的文件类型为快捷方式时,获取创建的文件对应的文件路径a和重命名后的文件路径b;
4、通过调用函数对文件路径a的文件获取所述快捷方式的存储大小,依据存储大小之间第一阈值关系得到文件路径a的第一异常评估值;
5、提取文件路径b的文件名,去掉所述文件名的.lnk后缀得到过滤文件名,对所述过滤文件名的字符串进行伪装检测确定文件路径b的第二异常评估值;
6、依据所述第一异常评估值和所述第二异常评估值确定该文件的总评估值,依据所述总评估值确定第一文件是否为恶意的快捷方式。
7、第二方面,提供一种计算机操作系统的快捷方式的检测装置,所述装置包括:
8、监控单元,用于实时监控快捷方式指向的文件的创建行为和文件重命名行为,在确定第一文件的文件类型为快捷方式时,获取创建的文件对应的文件路径a和重命名后的文件路径b;
9、评估单元,用于通过调用函数对文件路径a的文件获取所述快捷方式的存储大小,依据存储大小之间第一阈值关系得到文件路径a的第一异常评估值;提取文件路径b的文件名,去掉所述文件名的.lnk后缀得到过滤文件名,对所述过滤文件名的字符串进行伪装检测确定文件路径b的第二异常评估值;依据所述第一异常评估值和所述第二异常评估值确定该文件的总评估值,依据所述总评估值确定第一文件是否为恶意的快捷方式。
10、第三方面,本申请提供了一种计算机存储介质,存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行如本申请第一方面所描述的部分或全部步骤。
11、本申请实施例具有以下有益效果:
12、本申请的技术方案就能够通过快捷方式的存储大小以及重命名的文件名来对快捷方式是否为恶意攻击文件进行快速的识别,上述快速过滤快捷方式的机制无需杀毒软件的参与,提高了快捷方式过滤的时效,提高了计算机的安全性。
1.一种计算机操作系统的快捷方式的检测方法,其特征在于,所述方法包括如下步骤:
2.根据权利要求1所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述对所述过滤文件名的字符串进行伪装检测确定文件路径b的第二异常评估值具体包括:
3.根据权利要求1所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述对所述过滤文件名的字符串进行伪装检测确定文件路径b的第二异常评估值具体包括:
4.根据权利要求3所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述对第一后缀和第二后缀执行冲突检测,依据冲突检测的结果确定文件路径b的第二异常评估值具体包括:
5.根据权利要求1-4任意一项所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的金融数据的异常判断方法,其特征在于,所述依据隐藏属性以及自启动属性确定第一文件的第三异常评估值具体包括:
7.根据权利要求1-4任意一项所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述依据所述总评估值确定第一文件是否为恶意的快捷方式具体包括:
8.根据权利要求7所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述依据所述总评估值所处于的区间,调用该区间对应的检测流程判断所述第一文件是否为恶意的快捷方式具体包括:
9.根据权利要求8所述的计算机操作系统的快捷方式的检测方法,其特征在于,所述调用二次检测流程具体包括:
10.一种计算机操作系统的快捷方式的检测装置,其特征在于,所述装置包括:
