CN102918541A - 阻断恶意代码使用执行文件的装置和方法 - Google Patents
阻断恶意代码使用执行文件的装置和方法 Download PDFInfo
- Publication number
- CN102918541A CN102918541A CN201180012046XA CN201180012046A CN102918541A CN 102918541 A CN102918541 A CN 102918541A CN 201180012046X A CN201180012046X A CN 201180012046XA CN 201180012046 A CN201180012046 A CN 201180012046A CN 102918541 A CN102918541 A CN 102918541A
- Authority
- CN
- China
- Prior art keywords
- execute file
- file
- malicious code
- blocking
- dna value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
- Bioethics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Computer And Data Communications (AREA)
Abstract
一种阻断恶意代码使用执行文件的装置,包括:数据库,其存储代理系统内的各个执行文件的原始DNA值;阻断单元,其设置阻断模式以阻断执行文件被移动、改变或者生成,并在阻断模式下,如果任意执行文件正在被改变,则在代理系统内的任意执行文件被改变之前备份原件;以及文件执行单元,如果存在关于代理系统内的特定执行文件的执行请求,则比较存储在数据库中的特定执行文件的DNA值和特定执行文件的原始DNA值,从而确定是否执行特定执行文件,以及如果特定执行文件是任何这种改变后的执行文件,则其恢复并执行已备份的原件。
Description
技术领域
本发明涉及恶意代码的阻断,具体涉及阻止恶意代码使用执行文件的装置和方法,该装置和方法能够阻断代理系统内的执行文件被移动、删除、改变或者生成,从而阻断在该代理系统中生成包含恶意代码的执行文件或者阻断恶意代码改变执行文件。
发明背景
通常,为了阻止恶意代码感染专用代理系统,如工厂中管理自动化设备的专用计算机系统,可在该专用代理系统中安装具有反病毒引擎的客户端反病毒产品。反病毒引擎需要定期更新以阻止恶意代码感染,此外,为了安全起见,专用代理系统也需要更新。
但是,反病毒引擎的这种更新存在将计算机系统中正在运行以执行专用功能的文件误认为含有恶意代码的风险,以及不利地,计算机系统的更新有与专用程序不兼容的风险。
同时,存在一种由管理员结合恶意代码诊断程序阻断非授权文件的执行以在专用计算机系统中阻止恶意代码的方法。例如,在其上安装了安全操作系统的现有系统通过组合文件的路径名、文件名、散列等而设置规则,阻断不符合该规则的文件的执行或者读取。
但是,当更新系统或者安装新程序时,需要改变规则,而这种规则太过复杂,以至于难以得到更正,因此管理起来很不方便。
发明内容
技术问题
综上所述,本发明提供了阻止恶意代码使用执行文件的装置和方法,该装置和方法能够通过检测要执行的特定执行文件是否被恶意代码感染,然后比较已完成检测的特定执行文件的在数据库中存储的DNA值和原始DNA值,以在阻断模式状态下执行或者阻断该执行文件(在该状态下,阻断在代理系统中安装的执行文件被移动、删除、改变和生成),阻止包含恶意代码的执行文件被生成或者阻止恶意代码改变执行文件。
根据本发明,存在一种恶意代码阻止装置,该装置包含:数据库,存储了在代理系统中存储的各个执行文件的原始DNA值;阻断单元,适用于设置阻断模式以阻断执行文件被移动、改变或者生成,并在阻断模式下,在代理系统内的给定执行文件被改变之前,对给定执行文件的原件执行备份;和文件执行单元,适用于比较代理系统内的被请求执行的特定执行文件的DNA值和该特定执行文件在数据库中存储的原始DNA值,以确定是否执行该特定执行文件,并当该特定执行文件已被改变时,恢复备份原件,并执行该备份原件。
根据本发明,存在一种阻止恶意代码使用执行文件的方法,该方法包含:计算在代理系统中存储的各个执行文件的DNA值,并将计算出的DNA值存储在数据库中;设置阻断模式以阻断执行文件被移动、删除、生成或者改变;当存在对执行来自代理系统的特定执行文件的请求时,检测该特定执行文件是否被恶意代码感染;计算已被感染的特定执行文件的DNA值;针对该特定执行文件,比较在数据库中存储的计算出的DNA值和原始DNA值,当它们不相等时,阻断该特定执行文件。
有利作用
根据本发明,通过阻断代理系统内的执行文件被移动、删除、改变或者生成,可以阻断包含恶意代码的执行文件的生成或者阻断恶意代码改变执行文件,从而不用执行额外的更新就能保护代理系统免受恶意代码感染。
此外,根据本发明,阻断安装在代理系统中的执行文件的移动、删除、改变或者生成,并当执行文件被执行时,比较该执行文件的在数据库中存储的原始DNA值和DNA值,以执行或者阻断该执行文件,从而不用更新反病毒引擎或者代理系统,仅用少量资源就能增强代理系统的安全性。
附图说明
下面通过结合附图对实施例进行描述,本发明的上述及其它目的和特性将会变得清楚,其中:
图1是包含了根据本发明的实施例的用于阻止恶意代码的恶意代码阻止装置的计算机网络系统的框图,以及;
图2示出了由根据本发明的实施例的恶意代码阻止设备执行的恶意代码阻止流程的流程图。
本发明的最佳模式
通过结合附图的以下实施例,将清楚地理解本发明的目的和作用以及实现它们的技术构成。
在以下描述中,如果不必要的细节可能会使本发明模糊不清,则众所周知的功能或者结构将不会被详细描述。此外,鉴于本发明的功能描述了以下术语,而且其可能随用户或者操作者的目的或者实践而改变。
在下文中,结合附图将详细描述本发明的实施例。
图1是包含根据本发明的实施例的用于阻止恶意代码的恶意代码阻止装置的计算机网络系统的框图。计算机网络系统包含代理系统10,其上安装了恶意代码阻止装置100,和管理服务器150,其通过有线/无线通信网络200连接至代理系统10。
代理系统10可以是低规格的终端,如工厂中用于管理自动化设备的终端、生产管理系统、电子收款机(POS)系统等。恶意代码阻止装置100安装在代理系统10中,其包含阻断单元102、文件执行单元104、阻断解除单元106、管理员单元108、更新单元110、恶意代码检测单元112、数据库114、和执行文件存储单元116。
执行文件存储单元116存储将在代理系统10中执行的执行文件,其可以是硬盘、只读存储器(ROM)、随机存取存储器(RAM)等。
数据库114存储针对执行文件存储单元116中存储的各个执行文件的多个部分的DNA初始值。例如,执行文件可以是常规EXE文件、具有可执行代码的脚本文件、具有脚本功能的文档文件等,而DNA值可以是基于冗余码校验(CRC)应用散列函数获得的值。
当代理系统10被初始化后,阻断单元102设置代理系统10至阻断模式。在这里使用的术语阻断模式是指一种用于阻断代理系统10内的执行文件被移动、删除、生成或者改变的模式。
同时,当在阻断模式下存在改变给定执行文件的请求时,阻断单元102在该给定执行文件被改变之前备份该给定执行文件(原件);而当存在对执行改变后的给定执行文件的请求时,阻断单元102删除该给定执行文件,从而阻断它的执行。在这种情况下,例如,阻断单元102对于特定执行文件,比较在数据库114中存储的DNA值和DNA值,当它们不相等时,阻断单元102删除给定执行文件。该备份原件被提供至文件执行单元104。
文件执行单元104执行由阻断单元102提供的给定备份执行文件的原件。为此,文件执行单元104将比较DNA值和给定备份执行文件的原件存储在数据库114中的DNA值,以确定是否执行该执行文件的原件。
换言之,当存在执行代理系统10内的特定执行文件的请求时,文件执行单元104计算该特定执行文件的DNA值,并比较该特定执行文件的数据库114中存储的DNA值和原始DNA值。文件执行单元104进而基于比较结果来确定该特定执行文件是否已被改变,以执行该特定文件或者阻断该特定文件的执行。
此外,当在数据库114中存储的特定执行文件的DNA值和特定执行文件的原始DNA值不相等时,文件执行单元104将该特定执行文件的DNA值传送至通过有线/无线通信网络200连接的管理服务器150,并请求检测该特定执行文件。
当接收到来自代理系统10的管理员或者管理服务器150的解除阻断的请求时,阻断解除单元106计算代理系统10内的各个执行文件的DNA值。随后,阻断解除单元106比较存储在数据库114中的计算出的DNA值和原始DNA值,以检查每个执行文件是否已被改变,并确定是否解除阻断模式。
当确定代理系统10内的各个执行文件没有改变时,阻断解除单元106解除阻断模式,并且响应于阻断模式的解除,管理员可以允许更新代理系统10内的执行文件、在代理系统10中安装新程序、或者在代理系统10中改变或者删除文件。
在代理系统10工作在阻断模式的情况下,管理员单元108提供了响应于来自管理员的请求而允许设置代理系统10至管理员模式的接口。在管理员模式中,管理员可以移动、删除、生成或者改变特定执行文件以修复或者删除含有代理系统10未察觉到的恶意代码的执行文件。
当阻断解除单元106解除阻断模式后,在更新代理系统10内的执行文件的同时,更新单元110还用已更新的执行文件的DNA值更新存储在数据库114中的原始DNA值。当数据库114的更新完成后,阻断单元102将代理系统10返回至阻断模式。
恶意代码检测单元112在请求执行代理系统10内的特定文件时对该特定文件执行恶意代码检测,或者在预先设置的周期对代理系统10内的文件执行恶意代码检测。例如,该恶意代码检测单元112可以是反病毒引擎。
更具体地说,当代理系统10内的给定执行文件已被改变时或者当请求执行特定执行文件时,恶意代码检测单元112检测改变后的执行文件或者该特定执行文件以确定其是否已被恶意代码感染。恶意代码检测单元112可基于确定结果提供通知消息至代理系统10的管理员。在这种情况下,通知消息可通过生成日志或者通知窗口提供至管理员,或者通过电子邮件传输提供至管理员的电子邮箱。当接收通知消息后,管理员甚至可以在阻断模式状态下(必要时)通过管理员单元108设置代理系统10至管理员模式,以手动地移动、删除、生成或者改变代理系统10内的执行文件。
例如,在代理系统10中,特定执行文件已被恶意代码检测单元112鉴别为正常文件,而不是恶意代码,但是其后,当更新恶意代码检测单元112的引擎后,该特定执行文件就可能会被鉴别为恶意代码,或者由于有关恶意代码鉴别函数的错误更新,正常文件可能会被鉴别为恶意代码。在这种情况下,恶意代码检测单元112以通知消息的形式将关于特定文件的检测结果提供至管理员,这样管理员可以设置代理系统10至管理员模式,以手动地删除或者移动被鉴别为恶意代码的文件,或者常规地恢复被鉴别为恶意代码的正常文件。
在本发明的实施例中,以阻断单元102自行设置阻断模式的情况为例,但在通过有线/无线通信网络200连接的管理服务器150的控制下也可以设置阻断模式。在这点上,管理服务器150可由反病毒服务供应企业进行操作,该企业可提供代理系统10的恶意代码检测单元112的恶意代码信息的更新功能。即,管理服务器150可以请求在代理系统10中设置阻断模式。
根据本发明的实施例,通过使用阻断单元102来保护代理系统内的执行文件不被移动、删除、改变或者生成,借以能够阻止任意包含恶意代码的执行文件的添加或者能够阻止恶意代码改变已有的执行文件。
参考图2将描述由具有前述结构的恶意代码阻止装置100执行的恶意代码阻止流程。
图2示出了由根据本发明的实施例的恶意代码阻止装置执行的恶意代码阻止流程的流程图。
如图2所示,代理系统10的恶意代码阻止装置100在步骤S200为存储在执行文件存储单元116中的各个执行文件计算原始DNA值,并将计算出的DNA值存储在数据库114中。
然后,恶意代码阻止装置100的阻断单元102在步骤S202设置代理系统10至阻断模式,以阻断执行文件的移动、删除、生成或者改变。
此后,文件执行单元104在步骤S204确定是否存在执行特定执行文件的请求。
基于步骤S204的确定结果,如果存在执行特定执行文件的请求,则恶意代码检测单元112在步骤S206使用反病毒引擎检测该特定文件是否被恶意代码感染,基于检测结果生成通知消息,并将该通知消息提供至代理系统的管理员。例如,当该执行文件被恶意代码感染时,恶意代码检测单元112生成通知消息,其简单指示了该特定文件已被恶意代码感染,没有修复即更正或者删除该特定文件,并将该通知消息提供至代理系统10的管理员。当接收通知消息后,必要时,管理员可以在阻断模式状态下通过管理员单元108设置代理系统10至管理员模式,以手动地移动、删除、生成或者改变代理系统10内的特定执行文件。经恶意代码检测单元112完全检测后的特定执行文件被提供至文件执行单元104。
文件执行单元104在步骤S208计算已经经过恶意代码检测的特定执行文件的DNA值,并在步骤S210比较该特定执行文件的在数据库114中存储的计算出的DNA值和原始DNA值,以确定它们是否相等。
基于步骤S210的确定结果,当计算出的DNA值和原始DNA值不相等时,阻断单元102在步骤S214确定该特定执行文件的备份文件是否存在。
基于步骤S214的确定结果,当备份文件存在时,阻断单元102在步骤S216删除该特定执行文件,并提供该备份文件至文件执行单元104以用于在步骤S218执行该备份文件。
但是,如果根据步骤S214的确定结果,备份文件不存在,则阻断单元102在步骤S220可删除该特定执行文件,并通过有线/无线通信网络200传送该特定执行文件的DNA值至管理服务器150,以请求检测该特定执行文件是否已被恶意代码感染。
同时,基于步骤S210的确定结果,当计算出的DNA值和原始DNA值相等时,文件执行单元104在步骤S212执行该特定执行文件。此后,恶意代码阻止装置100在步骤S222确定是否存对更新来自管理员的代理系统10内的执行文件的请求。
基于步骤S222的确定结果,当存在更新请求时,阻断解除单元106计算代理系统10内的各个执行文件的DNA值。阻断解除单元106比较存储在数据库114中的计算出的DNA值和原始DNA值,并当它们相等时,阻断解除单元106解除由阻断单元102已经设置的阻断模式,而且相应地,管理员可以在代理系统10中安装新程序,或者移动、删除或者改变已有的执行文件以更新代理系统10内的执行文件。当执行文件的更新完成后,更新单元110计算代理系统10内的已更新的执行文件的原始DNA值,并在步骤S224基于计算出的原始DNA值更新数据库114。
当在步骤S226更新完成后,阻断单元102重新设置阻断模式以保护代理系统10内的执行文件,而恶意代码阻止装置100在步骤S230确定是否存在来自管理员的解除用于检测和修复恶意代码的阻断模式的请求。
基于步骤S230的确定结果,当存在来自管理员的解除阻断模式的请求时,恶意代码阻止装置100的管理员单元108在步骤S232解除由阻断单元102已经设置的阻断模式,借此管理员可以移动、删除或者改变特定执行文件。
根据本发明的实施例,阻止安装在代理系统10内的执行文件的移动,删除、改变或者生成,以及当执行一个执行文件时,比较该执行文件的在数据库114中存储的原始DNA值和DNA值,以执行或者阻断该执行文件,借此不用更新反病毒引擎或者系统,只用少量资源就能增强代理系统的安全性。
实施例可以被实现为在计算机可读记录介质中能被计算机读取的代码。该计算机可读记录介质包含各种存储计算机系统可读数据的记录装置。计算机可读记录介质的示例包含只读存储器(ROM)、随机存取存储器(RAM)、光盘只读存储器(CD-ROM)、磁带、软盘、光学数据存储装置等。同样,它可以以载波(例如,通过互联网传输)的形式实现。此外,计算机可读记录介质分布在通过网络连接的计算机系统中,并可用分布式方法存储计算机可读的以及可执行的代码。
虽然本发明是参照本实施例描述的,但本发明并不局限于此。本领域的技术人员应该理解,在不脱离以下权利要求限定的本发明的范围的情况下,可以对其进行各种更改和修正。
Claims (14)
1.一种恶意代码阻止装置,所述装置包括:
数据库,其存储代理系统中存储的各个执行文件的原始DNA值;
阻断单元,适用于设置阻断模式以阻断执行文件被移动、改变或者生成,并且在所述阻断模式下,对给定执行文件被改变之前的所述代理系统中的所述给定执行文件的原件执行备份;以及
文件执行单元,适用于对请求要在所述代理系统中执行的特定执行文件的DNA值与所述特定执行文件的在所述数据库中存储的原始DNA值进行比较,以确定是否执行所述特定执行文件,并且当所述特定执行文件是已经被改变的文件时,恢复备份的原件,执行所述备份的原件。
2.根据权利要求1所述的装置,还包括:
阻断解除单元,适用于当通过通信网络连接的管理服务器请求解除所述阻断模式时,对所述代理系统中的所述各个执行文件的DNA值与在所述数据库中存储的DNA值进行比较,以检查执行文件是否已被改变,从而确定是否解除所述阻断模式。
3.根据权利要求1所述的装置,其中所述阻断单元适用于:
响应于来自通过通信网络连接的管理服务器的请求,设置所述阻断模式。
4.根据权利要求1所述的装置,还包括:
恶意代码检测单元,适用于当在阻断模式状态下存在对执行所述特定执行文件的请求时,对所述特定执行文件执行恶意代码检测,以向所述文件执行单元提供已检测的特定执行文件。
5.根据权利要求4所述的装置,其中所述恶意代码检测单元还适用于生成通知消息,所述通知消息指示针对所述特定执行文件的恶意代码检测的结果。
6.根据权利要求5所述的装置,其中通过日志生成、通知窗口生成、或者电子邮件传送提供所述通知消息。
7.根据权利要求1所述的装置,其中当在所述数据库中存储的特定执行文件的DNA值与所述特定执行文件的原件的DNA值不相等时,所述文件执行单元适用于阻断执行所述特定执行文件,并向通过通信网络连接的管理服务器传送所述特定执行文件的DNA值以请求对所述特定执行文件检测。
8.根据权利要求1所述的装置,还包括:
管理员单元,适用于将所述代理系统设置到管理员模式,在所述管理员模式中,响应于在所述阻断模式下来自所述代理系统的管理员的请求,能够移动、删除、生成或者改变给定执行文件。
9.根据权利要求2所述的装置,还包括:
更新单元,适用于在所述阻断解除单元解除了所述阻断模式之后,当更新所述执行文件时,用所述代理系统中的更新后执行文件的DNA值更新所述数据库。
10.根据权利要求9所述的装置,其中所述阻断单元适用于:
当完成所述数据库的更新时,将所述代理系统重置到所述阻断模式。
11.一种阻止恶意代码使用执行文件的方法,所述方法包括:
计算在代理系统中存储的各个执行文件的原始DNA值,并将计算出的DNA值存储在数据库中;
设置阻断模式以阻断所述执行文件被移动、删除、生成或者改变;
当存在对执行来自所述代理系统的特定执行文件的请求时,检测所述特定执行文件是否被恶意代码感染;
计算已被检测到的所述特定执行文件的DNA值;以及
比较所述特定执行文件的在所述数据库中存储的所计算出的DNA值和所述原始DNA值,当所计算出的DNA值和所述原始DNA值不相等时,阻断所述特定执行文件。
12.根据权利要求11所述的方法,还包括:
确定在阻断模式状态下是否存在对所述特定执行文件进行改变的请求;
当存在所述的对所述特定执行文件进行改变的请求时,对所述特定执行文件执行备份,然后改变所述特定执行文件;以及
当存在对执行改变后的执行文件的请求时,恢复备份的执行文件并执行所述备份的执行文件。
13.根据权利要求12所述的方法,其中所述的对备份的执行文件进行恢复且执行所述备份的执行文件包括:
当存在对执行所述改变后的执行文件的请求时,检测所述改变后的执行文件是否被恶意代码感染;
比较所述改变后的执行文件的DNA值和在所述数据库中存储的DNA值,当所述改变后的执行文件的DNA值和在所述数据库中存储的DNA值不相等时,删除所述改变后的执行文件;以及
恢复所述备份的执行文件并执行所述备份的执行文件。
14.根据权利要求13所述的方法,其中所述的检测所述改变后的执行文件是否被恶意代码感染还包括:
检测所述改变后的执行文件是否被恶意代码感染;
当基于检测结果所述改变后的执行文件被恶意代码感染时,生成通知消息,所述通知消息指示所述改变后的执行文件已被恶意代码感染;并向所述代理系统的管理员提供所述通知消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2010-0020016 | 2010-03-05 | ||
| KR20100020016A KR101138746B1 (ko) | 2010-03-05 | 2010-03-05 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
| PCT/KR2011/001469 WO2011108864A2 (ko) | 2010-03-05 | 2011-03-03 | 실행 파일을 이용한 악성 코드 차단 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102918541A true CN102918541A (zh) | 2013-02-06 |
Family
ID=44542724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180012046XA Pending CN102918541A (zh) | 2010-03-05 | 2011-03-03 | 阻断恶意代码使用执行文件的装置和方法 |
Country Status (3)
| Country | Link |
|---|---|
| KR (1) | KR101138746B1 (zh) |
| CN (1) | CN102918541A (zh) |
| WO (1) | WO2011108864A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017107896A1 (zh) * | 2015-12-23 | 2017-06-29 | 北京奇虎科技有限公司 | 一种文档防护方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115458A1 (en) * | 2001-12-19 | 2003-06-19 | Dongho Song | Invisable file technology for recovering or protecting a computer file system |
| US20050262576A1 (en) * | 2004-05-20 | 2005-11-24 | Paul Gassoway | Systems and methods for excluding user specified applications |
| US20080115219A1 (en) * | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
| CN101359353A (zh) * | 2008-09-05 | 2009-02-04 | 成都市华为赛门铁克科技有限公司 | 一种文件保护方法及装置 |
| WO2009017382A2 (en) * | 2007-08-02 | 2009-02-05 | Planty-Net Co., Ltd. | Method for verifying application programs and controlling the execution thereof |
| KR20090055669A (ko) * | 2007-11-29 | 2009-06-03 | 한국전자통신연구원 | 악성코드 탐지장치 및 방법 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100684986B1 (ko) * | 1999-12-31 | 2007-02-22 | 주식회사 잉카인터넷 | 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법 |
| KR100690187B1 (ko) * | 2005-06-21 | 2007-03-09 | 주식회사 안철수연구소 | 악성 코드 차단 방법 및 장치 및 그 시스템 |
| KR100870140B1 (ko) * | 2006-11-13 | 2008-11-24 | 한국전자통신연구원 | 악성 코드가 숨겨진 파일 탐지 장치 및 방법 |
| KR100968267B1 (ko) * | 2008-06-13 | 2010-07-06 | 주식회사 안철수연구소 | 컴파일러 구분에 의한 악성코드 진단장치 및 방법 |
-
2010
- 2010-03-05 KR KR20100020016A patent/KR101138746B1/ko active IP Right Grant
-
2011
- 2011-03-03 WO PCT/KR2011/001469 patent/WO2011108864A2/ko active Application Filing
- 2011-03-03 CN CN201180012046XA patent/CN102918541A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030115458A1 (en) * | 2001-12-19 | 2003-06-19 | Dongho Song | Invisable file technology for recovering or protecting a computer file system |
| US20050262576A1 (en) * | 2004-05-20 | 2005-11-24 | Paul Gassoway | Systems and methods for excluding user specified applications |
| US20080115219A1 (en) * | 2006-11-13 | 2008-05-15 | Electronics And Telecommunications Research | Apparatus and method of detecting file having embedded malicious code |
| WO2009017382A2 (en) * | 2007-08-02 | 2009-02-05 | Planty-Net Co., Ltd. | Method for verifying application programs and controlling the execution thereof |
| KR20090055669A (ko) * | 2007-11-29 | 2009-06-03 | 한국전자통신연구원 | 악성코드 탐지장치 및 방법 |
| CN101359353A (zh) * | 2008-09-05 | 2009-02-04 | 成都市华为赛门铁克科技有限公司 | 一种文件保护方法及装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017107896A1 (zh) * | 2015-12-23 | 2017-06-29 | 北京奇虎科技有限公司 | 一种文档防护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101138746B1 (ko) | 2012-04-24 |
| WO2011108864A2 (ko) | 2011-09-09 |
| KR20110100924A (ko) | 2011-09-15 |
| WO2011108864A3 (ko) | 2012-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11681591B2 (en) | System and method of restoring a clean backup after a malware attack | |
| US11113156B2 (en) | Automated ransomware identification and recovery | |
| US8612398B2 (en) | Clean store for operating system and software recovery | |
| US7310818B1 (en) | System and method for tracking computer viruses | |
| CN101777062B (zh) | 场境感知的实时计算机保护系统和方法 | |
| CN101809566B (zh) | 高效的文件散列标识符计算 | |
| US8694983B1 (en) | Systems and methods for providing guidance on the potential impact of application and operating-system changes on a computing system | |
| US7437764B1 (en) | Vulnerability assessment of disk images | |
| US8533818B1 (en) | Profiling backup activity | |
| US20130160126A1 (en) | Malware remediation system and method for modern applications | |
| US8281403B1 (en) | Methods and systems for evaluating the health of computing systems based on when operating-system changes occur | |
| KR20110086732A (ko) | 어플리케이션 복구 포인트들 | |
| US8621625B1 (en) | Methods and systems for detecting infected files | |
| CN103400075A (zh) | 基于硬件的反病毒扫描服务 | |
| US20110153571A1 (en) | Analyzing Server Copies Of Client Files | |
| US20120030766A1 (en) | Method and system for defining a safe storage area for use in recovering a computer system | |
| CN112970020A (zh) | 使用分布式账本监视设备部件 | |
| US7685174B2 (en) | Automatic regeneration of computer files | |
| WO2006137657A1 (en) | Method for intercepting malicious code in computer system and system therefor | |
| CN104778410A (zh) | 一种应用程序完整性验证方法 | |
| US9342550B1 (en) | Systems and methods for preventing data loss via temporary-file generating applications | |
| US8132047B2 (en) | Restoring application upgrades using an application restore point | |
| US20100325149A1 (en) | System and Method for Auditing Software Usage | |
| CN115906184B (zh) | 一种控制进程访问文件的方法、装置、介质及电子设备 | |
| CN102918541A (zh) | 阻断恶意代码使用执行文件的装置和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20130206 |