TW200525346A - Detection of code-free files - Google Patents

Description

200525346 發明說明： 【發明所屬之技術領域】 本發明係有關於可執行的沒有病毒感染程式電腦槽 案（code-free computer files)的檢測。 【先前技術】 複雜電腦檔案格式，因其可容許擴充且功能性較高， 因而變得越來越受歡迎。不幸地，他們也提供一惡意的病 毒軟體之作者可隱藏惡意病毒之可執行程式碼的傳播媒 介。為了對抗這種情勢，因此出現抗病毒（anti_viral，AV) 軟體製造者與病毒製造者間的抗爭競賽，其中抗病毒 (anti-viral，AV)軟體製造者需隔離每種新出現的病毒的複 製本並且為該種新病毒添增一識別標誌（siSnature)，以便 在後續能認出該種新病毒。 因此，設置抗病毒的（AV)軟體來掃描輸入檔案以尋找 每種已知病毒的識別標誌。如果沒有發現已知的識別標 誌，即假設一輸入檔案無病毒感染。 但不幸地，經常出現的情況是，因A V軟體尚未更新將 一新病毒納入其中致使新病毒將可通過A V軟體的檢測。雖 然A V軟體製造者傾向於能更迅速地回應，在許多情況下是 在他們能以一升級做出回應之前及消費者在安裝該升級版 之前，該新病毒已造成許多案件損害。因此，仍然需要一 種更好、能防止一新軟體病毒感染電腦系統的技術。 3 200525346 【發明内容】 所揭示者為一種沒有病毒感染程式檔案的檢測方法。根 據一實施態樣，分析一輸入檔案來識別一檔案格式。根據所 檢測出的檐案格式，如果有的話，檢查該輸入檔案的内容， 試圖確定是否在該輸入檔案内存在可執行的病毒感染程 式。然後傳送一狀態以回應該檢查。 【實施方式】 使用相同的參照數字貫穿參照所有圖示中相同部件和 特徵。 概述 下列討論係關於沒有病毒感染程式之檔案的偵測技 術。偵測沒有病毒感染程式的檔案的優點在於這樣的檔案 可大大降低對使用者之電子郵件、即時傳訊、網際網路瀏 覽和其他應用程式之安全性所造成的風險。知道一檔案是 沒有病毒感染程式的，使用者也更有機會享受沒有一更高 惡意“病毒”軟體的可能。 一般性方法 第1圖示出該沒有病毒感染程式的檔案偵測之一般的 方法。在方塊1 0 2，藉由將一輸入檔案組態來分析該輸入檔 案使能識別一檔案格式。檔案格式是按可供使用和貯存組 4 200525346 織該資料的協定；許多這樣的檔案格式是著名# 檔案名字擴展有關，其中一有限和非全涵蓋的工頁 jpeg，pdf，doc( Word®) » vsd(Visio®)，等等。 塊中，根據該識別的檔案格式，如果有的話，來 檔案的内容，以便在該輸入檔案内找到可執行的 在第1 0 6塊中，根據所檢查到的可執行的程式碼的 一狀態。須知在此「程式碼」或者「可執行的卷 其廣義解釋，包括但不限於··處理器可執行的指 (s c r i p t)和其他南階语㊂’擴充機制和任何其他遇 或者可設計、損毀（corrupted)或在任何其他模式 定一病毒，蠕蟲（worm)的機制或者惡意的、未經 需要或非故意的惡性產物（malware)的任何其他汚 些實施例中，可傳送該（例如反映出一檔案有病毒 狀態，或者一檔案沒有病毒感染程式或不知道是 感染程式狀態）狀態至電子郵件、即時傳訊、網際 和其他的應用程式，其中由防禦病毒感染之軟葡 安全性是有助益的。 示範的環境 第2至4圖說明在其示範環境内可操作一系翔 病毒感染程式檔案的示範環境200-400。尤其， 明在環境200-400内分別設置一電子郵件客戶难 202、一即時傳訊應用程式302或者網際網路劉 ，並且與 目包括： L第1 0 4方 檢查輸入 程式碼。 結果傳送 式碼」採 令、語言 輯，裝置 實施來制 授權、不 式。在一 感染程式 否有病毒 網路瀏覽 而來的該 二偵測沒有 第2-4圖說 應用程式 覽程式402 200525346 接收可包含一或更多夾帶檔案2 〇 4的訊息。須知應用程式 2 02、3 02、402代表多種硬體或者軟體設備，可加以設定以 從一病毒檢測模組2 0 6來接收訊息。另外的代表性裝置包含 一防火牆（硬體和/或軟體），一個主機入侵檢測器（供一伺服 器，客戶端，工作站，等等使用），一主機受入侵鑑定器（供 一伺服器，客戶端，工作站，等等使用），一軟體備份的管 理程式，CD和/或DVD燒錄程式，一個點對點（對等）檔案分 旱的程式或者多種其他應用程式。設置^一病毒檢測模組2 0 6 模來分析夾帶檔案204確定是否存在可執行的程式碼。藉著 該分析，病毒檢測模組206的輸出提供該應用程式202、 302、402以下三種可能的輸入之一：一檔案有病毒感染程 式狀態2 0 8、一檔案沒有病毒感染程式狀態2 1 0或者一未知 (如果該檔案有病毒感染程式）狀態212。在第一個情況中， 檐案有病毒感染程式狀態208反映出根據檔案格式充分識 別出一輸入檔案且發現在該輸入檔案内含可執行程式碼。 由於一槽案内存在有可執行程式碼的危險，應用程式2〇2， 3 02，402等等可使用該狀態的消息來在一與這些危險一致 的模式上執行。在第二種情況裡，檔案沒有病毒感染程式 狀態2 1 0反映出根據檔案格式充分識別出一輸入擋案和發 現在輸入槽案内沒有可執行程式碼。應用程式2〇2，3〇2, 402確彳5該槽案204是沒有病毒感染程式的，該使用者不必 被該使用者的對話框或一用戶界面的其他方面麻煩地請求 其決疋疋否L賴該槽案。在第三種情況裡，未知（如果檔案 200525346 有可執行程式碼）狀態2 1 2反映出無法識別該輸入檔案的檔 案格式以及不確定輸入檔案内是否存在有可執行程式碼這 樣的結果。 示範系統 第5圖示出在第2-4圖裡描述的該程式檢測模組206的 示範細節，可將該示範病毒檢測模組2 0 6設置在軟體、韌體 或硬體中，例如透過AS 1C(特定功能積體電路）來進行設 置。可將一可擴展的分析模組502設置成包含複數組成元件 分析模件506( 1 )-506(N)的一目錄。例如以在第6圖所示的 示範方法600，可擴展該可擴展的分析模組。隨著新檔案格 式變為已知及希望知道該等已知檔案格式的興趣愈來愈高 的同時，可擴充性是合乎需要。因此，可擴展的分析模組 5 02可被擴大來包含設置來識別一附加檔案格式以及設置 來在新檔案格式内檢查可執行程式碼之附加的組成分析模 組5 06(N+1)。第6圖示出擴展該病毒檢測模組2〇6的町擴展 分析模組502的一示範處理600。在第602方塊，識別出一檔 案格式並將其增加至該可擴展分析模組502中。例如，可能 想要擴展可擴展分析模組502供jpeg檔案使用。在第604方 塊’根據新棺案格式（例如j p e g)設置一新組成元件分析， 其中設置該新組成元件來識別該新格式的檔案並且在該檔 案内識別可執行的程式碼。在第606方塊，在可擴展分析模 組5 02内透過該增加新組成元件分析506(N+1)至一玎擴展 200525346 的目錄，擴展可擴展分析模組5 〇2的功能性。 再次參照第5圖，設置可擴展分析模組5 0 2來包含複數 組成元件分析模組506( 1 )-506(N)，其中為簡明起見’只示 出兩個組成元件分析模組。設置每組組成元件分析模組第 5 0 6( 1 )-5 06 (N)來識別一特定檔案格式的檔案，並且當識別 出該特定檔案格式時，額外設置其來識別該檔案内所包含 的可執行程式碼。例如，可設置該分析模組5 0 6 ( 1 )來識別 一（例如，用於儲存組織該資料的格式）W 〇 r d ®文件之權案 格式。也可設置分析模組506( 1 )，經檔案格式的識別，在 一含Word®檔案格式之輸入檔案内識別可執行的程式碼。 這樣的話，識別檔案格式有助於識別可執行程式碼。 該組成元件分析模組5 0 6每組包含格式調查模組5 0 8， 設置該模組來分析該輸入檔案204,並且確定是否該輸入檔 案與分析器鑑定的檔案格式相配。該組成元件分析模組也 包括病毒感染程式部分檢測器5 1 〇，在發現該檔案具有與組 成元件分析模組相關的檔案格式的地方，在輸入檔案内設 置該檢測器來檢測可執行程式碼。 也設置每組組成元件分析模組5 〇 6來包含表明該輸入 檔案204有病毒感染程式512、輸入檔案沒有病毒感染程式 514和未知是否該輸入檔案有病毒感染程式516的三組輸 出。在第5圖的實施例中，當格式調查模組5 〇 8不能檢測與 輸入檔案204相關的格式時，該組成元件分析器返回一未知 狀態5 1 6。當識別出該檔案格式時，該病毒檢測器$ 1 〇的輸 200525346 出可用來確定是否該輸入檔案有病毒感染程式512(即病毒 檢測器5 1 0發現病毒程式）或該輸入檔案沒有病毒感染程式 5 1 4這樣的輸出是適當的（即病毒檢測器5 1 0沒發現病毒程 式）。 該可擴展的分析模組5 〇2也包含一控制器或者分派處 理5 0 4，典型上設置該模組來：對所有可得到的組成元件分 析模組5 0 6 ( 1 ) - 5 0 6 (N)服務該輸入檔案；處理組成元件分析 器所有的輸出；並且傳送一整體的回應（即病毒感染程式/ 沒有病毒感染程式/未知）至一適當的應用程式。設置控制 單元5 0 4包含複合病毒程式部分檢測器5 1 8，設置該來接收 從每組組成元件分析器506( 1 )-5 06(N)的輸入和確定是否 組成元件分析器中任何一組發現病毒程式。藉由該組成元 件分析器506( 1 )-506(N)之一來檢測這裡的病毒程式，該病 毒檢測模組206的輸出將是檔案有病毒感染程式狀態208。 設置一複合格式調查模組520來確定是否該組成元件分析 506( 1 ) -506(N)的任一組來識別輸入檔案204的格式。這樣 的調查通常適合在沒有該組成元件分析器506(1)-506(N) 檢測可執行程式的地方。藉由組成元件分析器 506(1)-506 (N)之一來檢測這裡的檔案格式，該病毒程式檢 測模組2 0 6的輸出將是檔案沒有病毒感染程式狀態2 1 〇。當 未識別出一檔案格式時，該病毒程式檢測模組2 0 6的「未知 的」輸出（如果那些檔案有病毒程式）將是該未知狀態212。 200525346 示範方法 將在主要參 沒有病毒感染矛呈 一般係關於如上 範元件的操作。 例如，包含，在 器可讀媒介上定 在此，一種 傳播，或者經由 器實行的任何構 電子，磁，光學 裝置或者傳播媒 例子包含，其中 便攜式電腦軟碟 憶體（ROM)，一 -者快閃記憶體） 式光碟唯讀的記 第7圖示一： 感染程式。在方 識別藉此以設定 設置，例如第5糧 該複合分析器包 一個設置來識別 照之第7圖的流程圖下描述一種用以實行 式樓案檢測之態樣的示範方法700。該方法 關於第2 - 4圖之討論，和特別是第$圖之示 可藉適當的構件來執行該描述方法的要素 一 ASIC上的硬體邏輯區塊或者經由在處理 義的處理器可讀指令的執行。 「處理器可讀的媒介」包含，儲存，交流， 一處理器傳送用以使用指令或經由一處理 件。一種處理器可讀媒介包含但不限於一 ’電磁，紅外線’或者半導體系統，儀器， 介。一種處理器可讀媒介的更多的具體的 有，具·一或更多電線的電力接驳位置，一 ，一個隨機存取記憶體（RAM)，一唯讀記 T抹拭的可編程式唯讀的記憶體（EPROM或 ，一光纖，一可複寫的光碟（CD-RW)和便攜 憶體（CDROM)。 和範方法7 0 0用以在檔案内檢測可執行病毒 塊7 02,分析一輸入檔案啟動該檔案格式的 該輸入檔案。該分析器可能以混合的模式 3的該複合或可擴展性的分析器5 02，其中 含複數組成元件分析器506( 1 )-506(N)，每 特定的檔案格式。 10 200525346 在方塊7 0 4，如果一檔案格式已被識別出，然做出一決 定。如一檔案格式已被識出（隨著方塊704這個Yes支流跳至 方塊70 6)，然後在方塊706根據該識別出的檔案格式來檢查 輸入檔案的内容以尋找在輸入檔案内可執行的病毒感染程 式。注意到分析器5 02是具可擴展和/或複合的，藉由設置 該組成元件分析器506( 1 )-506(N)來作識別，一檔案格式可 與該檔案格式相符合。因此，當確定是否識別一檔案格式， 該控制器5 04(第5圖）將從每組組成元件分析器 506(1 )-506(N)鑑定訊息。 在方塊708，如果發現可執行的病毒感染程式，做出一 決定。如果發現可執的病毒感染程式（隨著方塊7〇8的Yes 支流跳至方塊712)，然後在方塊712，傳送檔案有病毒感染 程式狀態’即當該識別出輸入檔案的檔案格式和發現可執 行的病毒感染程式時傳送檔案有病毒感染程式狀態。經由 任何組成元件分析器5 06( 1 )-5 06(N)可分析出該識別。以第 5圖所示該示範病毒感染程式檢測模組2 〇 6的架構的回顧來 看，在識別該檔案格式的地方，如果提出，一組成元件分 析器能檢測可執行的病毒感染程式。這樣的病毒感染程式 不符合於該槽案格式，或者根據檔案格式的集合被指派於 該位置，並且因此容易被認出。因此，組成元件分析器之 一識別出可執行的病毒感染程式的地方，該控制器適當的 回應用以提供一檔案有病毒感染信號或消息。 在方塊708,如果做出該表明沒有發現可執行的病毒感 200525346 染程式的一決定（隨著方塊708支流No跳至方塊71〇)，當該 識別出輸入檔案的檔衆格式和發現沒有可執行的病毒感染 程式時，然後在方塊7 1 〇傳送一檔案沒有病毒感染程式狀 態。尤其參照第5圖’ _然在輸入檔案内如果沒有組成元件 分析器識別出可執行的病毒感染程式，並且該檔案格式已 經被至少組成元件分柄'器之一組所識別出，則記錄該槽案 沒有病毒感染程式狀態。注意到已發現該輸入檔案沒有可 執行的病毒感染程式的察覺通常是有利的，因為無可執行 的病毒感染程式保證無蓄意的可執行的病毒感染程式，例 如一種病毒。 返回參照方塊704，如果無法識別出一檔案格式（隨著 方塊714的No支流跳至方塊704)，然後在方塊714(如果該輸 入檔案有可執行的病毒感染程式）當該檔案格式是未知的 時，傳送一未知狀態2 1 2。如參照所示看第5圖中的方塊 212，每組該組成元件分析器不能確定該檔案的格式，設置 控制器5 0 4來發出一未知狀態至適^的接收者，例如電子郵 件應用程式202(第2圖），一即時訊息應用程式3〇2(第3 圖），一網際網路瀏覽程式的4〇2(第4圖）等等。 在方塊7 1 6，在一些應用過程中’即使在該組成元件分 析器之一組識別出該輸入檔案的格式之後，該組成元件分 析器506(1 )-5 06(N)可繼續分析該輸入檔案204。此提供多 —層的安全，即在極少數的情形下，多於一組成元件分析 器可以有效的識別出該檔案格式（即’ 一檔案能在稀有的實 12 200525346 例内與兩不同的檔案格式一致）。因此在極少數的情形内， 其中第二組成元件分析器識別出該輸入檔案的格式，如果 任何一個該組成元件分析器識別出可執行的病毒感染程 式，可設定該控制器5 04報告該輸入檔案有病毒感染程式。 或者，當該組成元件分析器之一識別出該輸入檔案的格式 時，可設置該複合分析器中斷分析。這傾向於降低在分析 操作上花費的時間。 如上面所示，可傳送該檔案沒有病毒感染程式、檔案 有病毒感染程式或者未知的狀態至電子郵件程式、即時訊 息程式、網際網路瀏覽程式和其他的應用程式，其中該防 禦病毒影響的軟體之安全性是有利的。第2-4圖說明病毒感 染程式檢測模組206的示範用途。但是，對病毒感染程式檢 測模組之其他用途是可能的，例如在檔案儲存器應用，其 中期望該儲存器只儲存可執行的沒有病毒感染程式的檔 案，等等。 當經由流程圖方法已透露出一種或更多方法並且文字 與流程圖的方塊相關時，應該瞭解到該方塊不一定必須被 在他們被提出的命令裡依序執行，並且一另外的順序可以 導致相似的利益。而且，該方法並不是唯一的，並且能單 獨執行或在與另一的結合。 不範電腦 第8圖是一示範電腦系統，其中可實行第1-7圖的該示 13 200525346 範病毒程式感染檢測模組和操作方法。雖然顯示一特定的 構造，但是在其他計算的構造過程中可實現該病毒程式感 染檢測模組。該計算環境800在一電腦802的形式上包含一 通用的計算系統。該電腦802的部件能包含，一或更多處理 器或處理單元804，一系統記憶體806，和聯接各種包括該 處理器8 0 4至該系統記憶體8 0 6的不同系統部件之一系統匯 流排8 0 8，但不以此為限制。 該系統匯流排8 0 8代表一或多個任何不同種類的匯流 排架構，包含一記憶體匯流排或記憶體控制器，一外部匯 流排，一加速圖形埠和一處理器或一使用任何各種匯流排 結構的本區匯流排❶一系統匯流排8 0 8的例子將是一周邊零 件連接界面（P CI)匯流排’也是被稱為一夾層匯流排。 電腦802通常包含多種電腦可讀的媒介。這樣的媒介可 能是經電腦802存取和包括揮發和非揮發性，可抹除和非可 抹除媒介的任何可得到的媒介。該系統記憶體8〇6包括以揮 發性記憶體形式的電腦可讀媒介，例如隨機存取存儲器81〇 (Ram)，和/或非揮發性記憶體，例如唯讀記憶體812 (ROM)。一基本輸入/輸出系統（BI〇s)814 ,包含幫助轉移 在電腦802内元件之間訊息的那些例如在開機期間儲存在 ROM 的基本常規。RAM 81〇通常包含由處理單元 立即存取和/或當即操作的資料和/或程式模組。 電腦802也能包含其他可抹除/非可抹除，揮發/非揮發 性電腦儲存媒介。在例子方面’第8圖說明一用於讀取和寫 14 200525346 入至非可抹除、非揮發性之磁性 „ „,, ffl . ' 未不出）的硬碟驅動 ^16’用於讀取和寫入至可 .^ ^ 王石兹碟驅動器8 1 8， 非揮發性磁性磁碟片82〇(例如， ) 和一'用於讀取和 /或寫入至可抹除、非揮發 ηΛ_ _ 贽f生先碟824(例如CD-ROM， DVD-ROM)磁片，或者其他光風 η 先干媒，丨的光碟機822 ^該硬碟 機816、磁性磁碟機818和光碟 2 ' 田—或更多資料媒 介界面825每個連接至系統匯 8。 、

4 有，由一 SCSI 界面（未示出）可連接該硬碟機816、 曰 峨迮磁碟機818,和光 碟機822至系統匯流排808。 該磁碟機和他們的相關電腦可讀媒介提供電腦可讀指 令、資料節構、程式模組和電腦802之其他資料的非揮發性 储存。雖然該例子說明-硬碟816，一可抹除磁碟片82〇，以 及可抹除光碟Μ 824 1將被領會到例如磁帶盒__ cassettes)或其他磁性的储存裝置、快閃記憶卡、cd r〇m、 數位多用途磁碟片（DVD)或其他光學儲存器、隨機存取記 憶體（RAM)、唯讀記憶體（R〇M)、電力可抹除的可編程唯 讀記憶體（EEPROM)和其他類似裝置之經由一電腦可存取 儲存資料的電腦其他類型的可讀媒介，也能被利用實施至 該示範計算系統和環境。

可能被儲存許多例如包含，一作業系統8 2 6、一或更多 應用秋式8 2 8、其他程式模組8 3 0和程式資料8 3 2的程式模組 在硬碟816，磁碟片820，光碟片824，ROM 812，和/或RAM 8 1 0 °應該瞭解到該病毒感染程式檢測模組2 〇 6可能設置作 15 200525346 為-應用程式828 ’或者一程式模组83。或作為一位 合宜位置的模組。另外’在資料832之中包含該輸入槽案2 或者包含在其他合宜的位置。這樣的作業系統咖中的20/ 個、-或更多應用程式828、其他程式模級83〇，和程十： 料832 (或者一些其結合)可以包含一使用者網路存取：身 之快取方案的具體例。 貝成 電腦802能包含多種定義為通訊介質之電腦/處理器 可讀的媒介。通訊介質通常具體實現於電腦可讀指令、益的 料結構、程式模組或在例如一 I I 1 ^ J 戰及次者其他傳送機制和勺 含任何訊息交付媒介之一調整的資料上的不同信號。該 調整的資料信號”表示有一或多個它的特徵集合或者在員 此的方法上把在信號裡的訊息進行編碼的改變的一 〇 藉由該例子，並非限制於通訊介質包含例如一有線網路η、 者直接線（direct-wired)之連接的有線媒介，以及例如* 波、射頻(RF)、紅外線和其他無線媒介的無線媒介。在電 腦可讀媒介範圍内也包含任何在上面的結合。 —指向裝置836(例 輪入電腦系統8〇2。 麥克風、遊戲控制 衛星天線接收器 一使用者能透過例如一鍵盤8 3 4和 如，一，，滑鼠”）的輸入裝置把命令和訊息 其他輸入裝置838(不特定顯示）可包含一 才干（joystick)、遊戲搖桿（game pad)、 (satellite dish)、序列埠、掃描器和/或其他類似裝置。透 過連接到系統匯流排808的輸入/輸出界面84〇來連接這些 界面和匯流 和其他輸入裝置至處理單元804,但是經由其他 16 200525346 排架構可連結，例如平行埠，遊戲連接埠或者一通用序列 匯流排（USB)。 一監控器842或例如視訊配接器844的其他類型的顯示 裝置也能透過一界面連接至系統匯流排8 08。除監控器842 之外’其他可能透過輸入/輸出界面840連接電腦802的輪出 外部裝置能包含如一擴音器（未示出）和一印表機846。 電腦802能對一或更多遠端電腦使用邏輯連接在一網 路環境裡操作，例如一遠端電腦裝置848 在例子方面，遠 端電腦裝置848可是一個人電腦，便攜式電腦，一伺服器， 路由器，一網路電腦，一位於同網路層位的裝置（peer device)或者其他常見的網路節點，和其他類似裝置。描述 該遠端計算裝置848作為一便攜式電腦，該能包含此中描述 相關於電腦系統802的很多或所有元件和特徵。 描述在電腦802之間的邏輯連接和遠端電腦848為一區

排808 8 〇 8匕應該被瞭解到該描述的網路連接是矛 示範並且可利 17 200525346 用在電腦802和848之間建立通訊鏈結的不同裝置。 在，用路的私丨兄裡，可此儲存如該用計算環境8 〇 〇說明 的’相對於電腦802描述的程式模組，《者關於那部分，在 -套遠端記憶體儲存裝置裡。在例子方面，遠端應用程式 858保存在一遠程電腦848的記憶體裝置裡。為此說明意 圖，此中描述例如作業系統的應用程式和其他可執行的程 式部件為分離的區塊（discrete blQeks) ’雖然理解到這樣的 程式和部件在電腦系統802不同的儲存部件裡在不同時間 存在，並且經由電腦的資料處理器執行。 結論 雖然僅特定用於構造特徵和方法邏輯技藝的語言描述 該發明’應、該理解到定義在如附的申請專利範圍的本發明 不一定局限於描述的特定特徵或者行為。反之，揭露該特 定特徵和行為作為實現如實施該申請專利範圍發明的=範 【圖式簡單說明】 第1圖是描述一藉該來檢測病毒感染程式 A瑁案的流裎 囫’包含利用使用在識別檔案格式和檢測可 、 j 7¾ ^& 毒感染程式檢 染程式的資訊 第2圖說明一示範環境，其中設置一病 測模組來提供在一檔案内包含可執行病毒感 至一電子郵件程式。 18 200525346 第： 3圖說明一第 二 示蘇 環 境 ，其 中 δ又 置一病毒感 染 程 式 檢測 模組來提供在· 一樓 案 内 包含 可 執 行病毒感染 程 式 的 資訊 至即時通訊程式。 第‘ 4圖說明一第 三 示範 環 境 ，其 中 設 置一病毒感 染 程 式 檢測 模組來提供- 在， 一檔 案 内 包含 可 執 行病毒感染 程 式 的 資訊 至網際網路瀏覽程式。 第 5圖說明在該 地 2-4 圖 病 毒感 染 程 式檢測模組 内 包 含 的結 構示範細節1 •包含- -可擴充分析模組。 第 6圖是藉該第 5 圖上 所 示 可擴 充 分 析模組描述 一 示 範 方法 的流程圖。 第 7圖描述一示 範 方法 來 檢 測沒 有 病 毒感染程式 的 一 流 程圖 〇 第 8圖是一示範 電 腦系 統 其中 可 實 施一病毒感 染 程 式 檢測 模組。 【主要元件符號說明 ] 801 計算環境 818 磁性磁碟機 820 磁碟片 822 光碟機 824 光碟 842 監視器 848 遠端計算裝置 850 系統匯流排 852 網際網路 858 遠端應用程式 802 電腦 806 系統記憶體 826 作業系統 828 應用程式 830 其他程式模組 832 程式資料 19 200525346 810 隨機存取記憶體 812 唯言買記憶體 815 基本輸出/輸入系統 808 系統匯流排 804 處理單元 840 輸出/入介面 844 視訊配接器 854 網路配接器 825 資料媒介介面 816 硬碟 826 作業系統 828 應用程式 830 程式模組 832 程式資料 846 印表機 836 滑鼠 834 鍵盤 838 其他裝置 20

Claims (1)

1. 200525346 I合、申請專利範圍： 1 . 一種處理器可讀媒介，至少包含處理器可執行指令 用以： 分析一輸入檔案來識別該輸入檔案的檔案格式； 根據該識別出的樓案格式*如果有的話1檢查該輸入 檔案的内容，以確定是否在該輸入檔案内存在有可執行病 毒感染程式；並且 傳送一狀態以回應該檢查結果。 2.如申請專利範圍第1項所述之處理器可讀媒介，其 中傳送一狀態的動作更至少包含用以執行下列動作的指 令： 當識別出該輸入檔案的檔案格式和沒發現可執行病毒 感染程式時，傳送一 「檔案沒有病毒感染程式 (file-has-no-code)」狀態；並且 當發現可執行的病毒感染程式時，傳送一「檔案有病 毒感染程式（file-has-code)」的狀態。 3 .如申請專利範圍第1項所述之處理器可讀媒介，另 外至少更包含當未識別出該輸入檔案的檔案格式時用以傳 送一「未知（don’t-know)」狀態的指令。 4.如申請專利範圍第1項所述之處理器可讀媒介，其 21 200525346 中分析該輸入檔案更至少包含在可擴展的語法分析程式内 用具有複數個部件分析器以反覆分析該輸入檔案的指令。 5 .如申請專利範圍第4項所述之處理器可讀媒介，另 外更至少包含當在該可擴展的分析器内所包含的複數部件 分析器的每組均不能識別出該輸入檔案的部分時，用以傳 送一「未知（don’t-know)」狀態的指令。 6. 如申請專利範圍第1項所述之處理器可讀媒介，其 中傳送該狀態更至少包含用以傳送該狀態至一電子郵件程 式的指令。 7. 如申請專利範圍第1項所述之處理器可讀媒介，其 中傳送該狀態更至少包含用以傳送該狀態至一即時訊息的 指令。 8. 如申請專利範圍第1項所述之處理器可讀媒介，其 中傳送該狀態更至少包含用以傳送該狀態至一網際網路瀏 覽程式的指令。 9 ·如申請專利範圍第1項所述之處理器可讀媒介，其 中檢查該輸入檔案的内容至少更包含操作一可擴展的部件 分析器的部件分析器部分來識別一特定的資料檔案格式的 22 200525346 指令。 1 0.如申請專利範圍第1項所述之處理器可讀媒介，其 中分析該輸入檔案至少包含用以操作一設置來識別一複數 檔案格式之分析器的指令。 1 1 .如申請專利範圍第1項所述之處理器可讀媒介，其 中檢查該輸入檔案的内容至少更包含用於具一複數部件分 析器的複合分析器之操作的指令，其中設置該複數部件分 析器的每組用於對一特定檔案格式的識別。 1 2.如申請專利範圍第1 1項所述之處理器可讀媒介， 另外更包含在至少一組部件分析器識別出該輸入檔案的檔 案格式之後，用以提交給全部剩下的部件分析器繼續分析 該輸入檔案的指令。 1 3 .如申請專利範圍第1 1項所述之處理器可讀媒介， 另外更至少包含用以分析該輸入檔案直到一部件分析器識 別出該輸入檔案的檔案格式。 1 4. 一種沒有病毒感染程式之檔案的檢測方法，至少 包含： 使用設置來包含複數個部件分析器的一複合部件分析 23 200525346 器來分析一輸入檔案，其中設置每組部件分析器來識別一 特定的資料檔案格式； 根據該識別出的特定檔案格式如果有的話，來分析該 輸入檔案的内容，以確定是否該輸入檔案包含可執行的病 毒感染程式；並且 傳送一狀態以回應該分析結果。 1 5 .如申請專利範圍第1 4項所述之方法，另外至少包 括： 當識別出該輸入檔案的檔案格式和沒發現可執行病毒 感染程式時，傳送一 「檔案沒有病毒感染程式 (file-has-no-code)」狀態；並且 當發現可執行的病毒感染程式時，傳送一「檔案有病 毒感染程式（file-has-code)」的狀態。 1 6 .如申請專利範圍第1 4項所述之方法，另外至少包 含當未識別出該輸入檔案的檔案格式時傳送一 「未知的 (don’t-know)」狀態。 1 7.如申請專利範圍第1 4項所述之方法，另外至少包 含傳送該狀態至一電子郵件程式。 1 8 .如申請專利範圍第1 4項所述之方法，另外至少包 24 200525346 含傳送該狀態至一即時訊息程式。 1 9.如申請專利範圍第1 4項所述之方法，另外至少包 含傳送該狀態至一網際網路瀏覽程式。 2 0.如申請專利範圍第1 4項所述之方法，其中在該複 合分析器内使用該複數個部件分析器的每組來分析該輸入 檔案。 2 1 · —種用以檢測沒有病毒感染程式之檔案的裝置， 至少包含： 一複合分析器，其係設置用以反覆分析一輸入檔案， 其中在該複合分析器之内的每組部件分析器係被設置成可 從一組資料檔案格式之中選擇出來的一特定檔案格式内來 識別出可執行的病毒感染程式；及 一控制器，用以檢查每組部件分析器成功識別出之該 特定的檔案格式，該控制器係被設置成來識別和發現在該 輸入檔案内可執行的病毒感染程式，其中該控制器係被設 置成可傳送一狀態以回應該檢查結果。 2 2.如申請專利範圍第2 1項所述之裝置，另外設置成 如果任何一該部件分析器都不能識別出該輸入檔案的檔案 格式時，即傳送一「未知的（d ο η ’ t - k η 〇 w)」狀態。 25 200525346 2 3 .如申請專利範圍第2 1項所述之裝置，其中該用以 檢測沒有病毒感染程式樓案的裝置被額外設置成可把狀態 傳送至一電子郵件程式。 2 4.如申請專利範圍第2 1項所述之裝置，其中該用以 檢測沒有病毒感染程式檔案的裝置被額外設置成可把狀態 傳送至一即時訊息程式。 2 5 .如申請專利範圍第2 1項所述之裝置，其中該用以 檢測沒有病毒感染程式檔案的裝置被額外設置成可把狀態 傳送至一網際網路的瀏覽程式。 2 6.如申請專利範圍第2 1項所述之裝置，另外設置來 傳送該狀態至： 一防火牆； 一主機入侵檢測器；或者 一主機易入侵鑑定器（host vulnerability assessor)。 27.如申請專利範圍第21項所述之裝置，另外設置來 傳送一狀態至從一組程式中選出來的一程式，其至少包 含： 一備份的程式； 26 200525346 一 CD/DVD燒錄程式；及 一點對點檔案分享的程式。 2 8 .如申請專利範圍第2 1項所述之裝置，其中每組部 件分析器係被設置成可識別該複數個資料檔案格式中之 2 9.如申請專利範圍第21項所述之裝置，其中該複合 分析器係設置成可透過增加一新的部件分析器至該複合部 件分析器的方式來擴展該複合分析器，其中該新部件分析 器可識別一更進一步的檔案格式並且在該更進一步的檔案 格式内識別出可執行的病毒感染程式。 27