技術(shù)特征：

1.一種惡意文檔的檢測方法，其特征在于，包括：

根據(jù)預(yù)置邏輯操作對可疑文檔進行解密；

檢測所述解密的可疑文檔中是否包含惡意執(zhí)行程序；

若包含，則確定所述可疑文檔為惡意文檔。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)預(yù)置邏輯操作對可疑文檔進行解密包括：

根據(jù)異或邏輯操作對所述可疑文檔進行解密。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述根據(jù)異或邏輯操作對可疑文檔進行解密之前，所述方法還包括：

根據(jù)預(yù)置腳本引擎獲取所述可疑文檔中的加密數(shù)據(jù)；

所述根據(jù)異或邏輯操作對可疑文檔進行解密包括：

根據(jù)異或邏輯操作對所述加密數(shù)據(jù)進行解密。

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述檢測所述解密的可疑文檔中是否包含惡意執(zhí)行程序包括：

檢測所述解密的數(shù)據(jù)是否為惡意執(zhí)行程序；

所述若包含，則確定所述可疑文檔為惡意文檔包括：

若所述解密的數(shù)據(jù)為惡意執(zhí)行程序，則確定所述可疑文檔為惡意文檔。

5.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述根據(jù)異或邏輯操作對所述加密數(shù)據(jù)進行解密包括：

通過預(yù)置異或算法規(guī)則對所述加密數(shù)據(jù)進行異或邏輯操作解密。

6.根據(jù)權(quán)利要求5所述的方法，其特征在于，所述通過預(yù)置異或算法規(guī)則對所述加密數(shù)據(jù)進行異或邏輯操作解密包括：

對所述加密數(shù)據(jù)進行逐字節(jié)異或相同的數(shù)解密；或

對所述加密數(shù)據(jù)進行逐字節(jié)異或不同的數(shù)解密。

7.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述根據(jù)異或邏輯操作對可疑文檔進行解密之前，所述方法還包括：

根據(jù)預(yù)置規(guī)則獲取所述可疑文檔。

8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述根據(jù)預(yù)置規(guī)則獲取所述可以文檔包括：

根據(jù)進程啟動關(guān)系、崩潰進程、填充數(shù)據(jù)Shellcode、掃描到的函數(shù)判斷執(zhí)行的文檔是否合法；

若不合法，則確定所述執(zhí)行的文檔為可疑文檔。

9.一種惡意文檔的檢測裝置，其特征在于，包括：

解密單元，用于根據(jù)預(yù)置邏輯操作對可疑文檔進行解密；

檢測單元，用于檢測所述解密的可疑文檔中是否包含惡意執(zhí)行程序；

確定單元，用于若所述解密的可疑文檔中包含惡意執(zhí)行程序，則確定所述可疑文檔為惡意文檔。

10.根據(jù)權(quán)利要求9所述的裝置，其特征在于，

所述解密單元，具體用于根據(jù)異或邏輯操作對可疑文檔進行解密。