TW200825836A - Improvements in resisting the spread of unwanted code and data - Google Patents
Improvements in resisting the spread of unwanted code and data Download PDFInfo
- Publication number
- TW200825836A TW200825836A TW096142679A TW96142679A TW200825836A TW 200825836 A TW200825836 A TW 200825836A TW 096142679 A TW096142679 A TW 096142679A TW 96142679 A TW96142679 A TW 96142679A TW 200825836 A TW200825836 A TW 200825836A
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- processing
- data
- electronic
- electronic file
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Description
200825836 九、發明說明: 【發明所屬之技術領域】 —本發明係有關於電腦系統以及用於防止不想要的碼和 貝料傳播散佈系統之操作方法。本發明特別有關於改善申 月多考文件GB專利申請第051 1 7494號中所說明的系统 與方法。 、 L先前技術】 在匕去十年中’電腦系統漸漸的受到不想要的碼的攻 擊截至目則為止所遭遇最嚴重的不想要的碼的攻擊為電 腦病毒。電腦病毒(如同复 _ ,、生物子上的名稱)可以感染機 益’並且藉由對電子郵件 ^ 丨仵糸統的資源下指令而將帶有病毒 的電子郵件從病毒所在的 電傳 通訊錄中的其他電腦 而感染其他機器。其中所 斤/良費的頻寬對使用者來說是件惱 、事清。另外,許多病毒會 么 行一此不相要的叙I 玲在母口病毒所在的電腦上執 '^要的動作,例如清除電腦令的權案。 病毒及其他惡意的# 其可能會隱藏為部分的電:不同的附加檔案,然 時無法將其拆離並且會執::;牛广得接收者於接收病毒 子處理盗、斌异表以及資料庫 又 語言,以允許文件/檔案包括了^括強有力的巨指令腳本 病毒者可使用這樣的腳本語:某些操作的腳本。撰寫 有附加文件/槽案的電子郵件;4撰帶寫巨指令病毒,使得具 彳午了挾帶隱藏的病羞。 不想要的碼並不單單只包括 包含隱藏惡意刺探 3044-9246-PF/Ahddub 5 200825836 軟體(spyware)的免費程式可隱藏地安裝於使用者電腦,並 且將所瀏覽的網站或是其他異動回報至遠端電腦。某些惡 思刺楝軟體將會企圖使數據機重複的撥打高費率電話,而 惡意刺探軟體的撰寫者便可從中取得來自電信運營商 (telecom operator)的利潤。其他類型有害的程式碼包括 有毒軟體、蟲以及破解密碼。 病毒是從一電腦自我傳輸至其他電腦,其他類型之不 想要的碼係藉由濫發(S p a m)電子郵件而隱藏地發佈至光碟 或是非故意的從所瀏覽的網站下載而發佈。所有這種類型 之不想要的碼存在或真實目的通常隱藏於目標擁有者與電 腦使用者中。儘管某些類型之不想要的碼相對無害,而其 他類型之不想要的碼可能可以消滅有價值的商務資料,因 此產生了提供防毒軟體的公司。
^目前已知的防毒軟體係由程式所構成,並且可執行於 待保護的電腦。這樣的程式通常操作於監控模式,並於每 ,存取檔案時檢查即將存取之棺案中的病毒;或可操作於 知r田模式,在掃⑽模式巾,所有特定位置中(例 播f皆會被掃i防毒程式供應者係監控病毒的爆發、,= 新的病毒時,防毒程式會伴隨著分析病毒並且 電腦可取得該資料,並且會將該資料上傳 = 的網站以供下載。 々t担式么司 藉由各種不同的方式 部分病毒的特徵程式碼串 皆可以偵測到病毒。所儲存形成 列以及掃瞄該串列出現與否的輸 3044-9246^PF;Ahddub 200825836 檔案可作為病毒的特性,,$ b ,, 指定特徵可偵測病主^ 疋指紋”。另外,藉由 闲㈧病t,並且可藉 來偵測病毒特性的預定操作。曰解析來源碼或腳本檔案 不幸的,病毒如同其生物學 要對程式碼猶作改變(取代大:“容易被改變’只 性。藉由任意方法可將用來伯測病二):可改變病毒的特 大,且防毒# ^ # 、…f的 > 料槽案變成無限 π母私式所花費的時間 的成長而增加。_ 思耆必須檢查特性或規則 曰刀 4在病毒掃瞄模式φ Α π、、丄 在監柝掇△处& 、式中南可以被接受,然而 牡孤控挺式中會持續增加 外,合m w ^案所需要的等待時間。另 田下載罝變大並且更常需要執 承受1 τ # 下載時,使用者必須 又…、去下載必要的更新並將因 的)疝主峑斗士 1 …、去對最新的(最危險 的)病毋產生有效的防護的風險。 因此,本發明係透過全麸 裎气踩^ ^ 、、'冋的方式來防護不想要的 六次把恭 捉仏種接收包含預定資料格式内 谷貝科之電子檔案的方法,該 w 7 忐包括下列步驟··藉由接 收電子樓案、判斷資料格式 奸人. 貝1^式以及解析内容資料來判定是否 付0預疋資料袼式,若内容資 合貝枓付合預定資料袼式,則再 生解析的資料而產生該資料格式的再生電子權案。 本發明亦提供具有這種程式的電腦系統、程式以及媒 费t 〇 本發明實施例係分析每個接收槽案並接著根據接收槽 案重建-替代檔案。由於受保護的電腦尚無法直接儲存或 存取原始擋案,因此不會直接危害電腦。例如,可將其儲 存為無法被執行的位元反置形式或其他型式。另一方面, 3044-924 5-PF;Ahddub 7 200825836 • 使用只產生清除碼與資料的產生器常式將可產生替代檔 案。因此可以產生符合接收檔案中任何碼之不想要的碼。 本發明關於電腦檔案的某些部分係取決於與電腦檔案 中長久以來被視為事實相關之新的應用程式。輸入電腦的 大量檔案現今為標準的檔案格式。私有軟體(pr〇prietary program)係建立自己的檔案格式(這些程式使用的資料必 須符合這些格式),然其足以提供對不同私有軟體之間資料 交換的需求,首先,私有軟體通常具有輸入濾波器來讀取 ( 被其他私有軟體寫入的資料,第二,存在與任何私有軟體 不相關的許多袼式。這種同屬格式的例子為ASCn文字、 豐富文字格式(rich text f0rmat,RTF)、超文本標記語言 (Hyper Text Markup Language, HTML)以及擴展標記語言 (eXtendible Markup Language, XML)。 因此,若檔案中的資料即將被任何應用程式讀取,則 必須精確地符合硬性標準(rigid standard),且不同檔案 (所使用的格式係廣泛的被瞭解。本發明的發明者瞭解,即 使允許檔案使用廣泛變異的格式,大部分的檔案包含符合 某些相對有限實體限制的資料。例如,大部分的作業系2 與應用程式將會接受較長標題的檔案,但大部分的使用者 在大部分的時候係使用較短且易於辨識的檔案名稱。 因此,本發明實施例所執行的分析可包括偵測資料是 否符合用於違反實際限制之指定檔案類型的規格。這些實 際的限制致能本發明來偵測一般可接受的檔案。任何不對 應至此類型之實際限制之檔案内容不會被遞送至產生器程 3044-9246-PF;Ahddub 8 200825836 式,並因而無法以可執行形式到達使用者電腦。 因此可以看見本發明實施例藉由不同的方法來操作 傳’充防毋%式。傳統防毒程式係用來偵測病毒,並且略過 未被侦測為病毒的任何資料。因&,傳統防毒程式總是益 法避免使用者遭受較大的危害,也就是未知的病毒。在防 毒公司注意到所發射的每個新病毒之前,這些新病毒必定 已經感染數台電腦。 另外’即使已安裝了防毒軟體並且持有最新組已谓測 資料,在防毒軟㈣測到病毒之前,病毒通常會健存於已 防護電腦的硬碟或其他媒體中。若基於某些原因使得防毒 軟體無法執行,則病毒會被啟動。 在美國專利公開第2003/0145213號中係揭露一系 統’在該系統的檔案中偵測到巨指令或是惡意㉟,接下來 將檔案重建為樣版,並域樣版中移除非惡意豸, 未受感染版本的播案。 ’、 藉由完全對比的方式使得本發明不需要 或是甚至拒絕類病毒的特性。反之,其可以完全拒絕= 的輸入播案並取代其位置’該位置可能產生無法 望碼與資料的檔案。因而可避免不期望碼與資料 j 的形式到達受防護電腦的硬碟,也無法從一電腦傳遞至: -電腦。另外,本發明係提供對未知病毒的即時防護, 其不必維持所有已知病毒的最新資料庫。 使 在此提到美國專利公開第2003/22981 0號,f + 丹干揭靈 避免病毒之光學防火牆的提案。在說明書中揭 纷 糸統, 9 3044-9246-PF;Ahddub 200825836 , 系統中的防火牆電腦接收一檔案(例如影像檔案),並且將 影像顯示於防火牆電腦的顯示器。光學感測陣列掃瞄影 像,接下來將已掃瞄的影像提供至指定收件者。任何隱藏 於影像中的病毒不會顯示,並且因而不會傳送至已掃瞄的 影像中。在變異中可使用螢幕的位元映像(bitmap)來取代 實際的螢幕顯示。 基於各種理由,上述美國專利所揭露的光學耦合器防 火牆無法提供對病毒有效且可信賴的防護。 、 例如,使用光學字元辨識(optical charactei· π⑶gnition,0CR)軟體再生可提供不精確的資訊。另外, 使用視訊科技來再生影像可提供比指定更低品質的影像。 同樣的,若輸入檀案包含病毒,則接收輸入槽案的電腦將 會受到感染。 一另一方面,藉由分析以及再生檔案來取代執行檔案、 顯不播案以及光學的掃瞒檔案,本發明實施例可提供替代 ;檔案,大部分例子中的替代檔案很接近模擬的原始檔案(若 不具有不期望碼),使得產生替代檔案透明化。 檔案格式在複雜度上有所變化。一方面,文字檔案具 =易格式。包含腳本或巨指令例如文字處理或試二紙標 案)的杬案具有甲等複雜度,反 *另稭田碼剖析态才能完 :^碼的檔案。根據本發明實施例,這樣 來將所有巨指令以及腳本從播案中移除,並且不 曰傳遞包含單㈣式、碼、巨指令或是腳本的任何檀案。 句頁瞭解的是,有些時候使用者可能會想要接收這樣 3〇44-9246-pF;Ahddub 1〇 200825836 的檔案。因此,在本發明較佳實施例中可沿著用來過濾檔 案來源的濾波器操作,以便從某些來源傳遞檔案(或是某些 類型的檔案),並且拒絕來自其他電腦中這樣的檔案。 因此,本發明實施例可封鎖使用者接收 中的碼,平㈣波器僅允許接收來自已知來源中這 案。因此,使用者可接收可能會被發明所拒絕之例如來自 系統管理員或是已認證網站的檔案。本發明係藉由辨識使 用者想接收碼的這些來源來封鎖不想要的碼。辨識使 由於本發明可藉由偵測與播案標準的符合度以及一妒 使用免的特徵而不是藉由偵測病毒來操作,因此不需要頻又 繁的進行更新,只右尤挪、、隹μ# 、 有在‘準增盈普及接收度有重大改變或 疋使用者特性有實質改微士 毒更新的速度相比,、上^= 行更新’與分散式防 上述兩者皆為較慢的處理程序。 【發明内容】 本發明係揭露_籍_ 田+ 部分内容資料並判斷=理f法’藉由辨識電子播案中的 _被動内容資料或是:固二内谷資料皆為具有固定 處理電子權案。若部分:被f主動内容資料來 重新產生該部分被動内 貝丁寸 右部分為主動内交咨粗, 則藉由分析該部|來匈斷 、’ 容資料。接下來,從匈定為,頁重新產生該部分主動内 產生再生電子楷案。為即將重新產生之部分内容資料 3044-924β-PF/Ahddub 11 200825836 【實施方式】 為讓本發明之上述和其他目的、特徵、和優點能更明 顯易僅,下文特舉出較佳實施例’並配合所附圖式,作說 明如下: 實施例: 第1圖顯示根據本發明第一實施例所述之基本系統配 置圖。於來源102處產生電子檔案並藉由傳輸媒介1〇3傳 送該電子檔案。傳輸媒介1〇3可以為任何用來傳送電子檔 案的媒體,例如固線式(hardwired)或是無線系統或網路。 一般的方法為透過傳輸媒介103傳送電子檔案,直到電子 檔案到達目的地。在此實施例中,防毒(anti-virus,Av) 應用程式105係安裝於目的地系統1〇9中。AV應用程式1〇5 的操作將使得輸入電子檔案資料無法進入目的地系統之作 業系統107,直到輸入電子檔案資料被分析或重新產生並 且被判疋為允許進入作業系統1 〇 7。如下所述,接收電子 檔案的某些部分可能被分析為違反預定義的許可格式,對 於接收電子檔案的其他部分而言,可產生湊雜(hash)並且 查找先前辨識為非惡意内容的湊雜資料庫i 〇6。AV應用程 式105包括付合度分析器(C〇nfQrmity analySer)131、湊 雜產生器133、湊雜核對器134以及内容再生器 (re-generator)135,用以判斷電子檔案ι〇1是否具有傳送 至作業糸統1 〇 7的許可以及用來再生的許可内容。 第2圖顯示使用第1圖目的地系統1 〇9之電腦系統的 方塊圖。系統109於輸入介面111接收輸入電子檔案1〇1。 12 3044-9246-PF;Ahddub 200825836 輸入"面111係連接至處理器113,處理器j j 3 收槽案的各種處理#皮U 〇 /、貫現接 子"μΛ 113包㈣來剖析接收電 剖析器115。處理器⑴更連接至記憶 體驅動琴119Γ:除式媒體驅動器119而讀取可移除式媒 =動:119的資料或是將資料寫入可移 1 (例…。或是軟碟(未圖示))。處理器1 = ;=:及介面(121,123),以致能作為輸出裝^ 不态125以及鐽盤127)的連結。 因此,當輸入可執行檔案進入防毒應用程式時不允許 檔案自動執行,系統將會以任意適當 ° 子檔案鍺存於記憶體中。 、”、將輸入電 在此實施例中,擾虜匕方法合一 倒。也^ ^ 凡組内的位元順序顛 也就疋,依序接收位元7,但是以位元反置的方 式儲存,例如位元0與位元7交換、位元!與位元6交換、 P 2與位疋5交換以及位元3與位元4交換。因此,包 3 1 ° 11 " ο 〇的位元組可依下列順序儲存"〇 " ='=中’任何可執行碼皆無法自動執行,同樣 的任何文感染的電子權案皆無法感染防毒 的地作業系統。 飞疋目 第3圖顯示在本發明實施例中由防毒應用程式105所 實現之處理步驟流程圖,用來判斷是否允許電子檔案⑴
傳送至目的地作業系統107。在步驟則中係藉由*任何適 當的裝置將電子檔f 1Q1輸人防毒應用程式郎,使防毒 應用程式m接收電子檔案1G1。輪入裝置可㈣所接Z 13 3044-924β-PF/Ahddub 200825836 之電子檔案101類型以及待傳送的介質而有所不同。在此 貫施例中,允許電子播案1〇1輸入防毒應用程式。. 在此貫施例中,系統工〇 9接收的電子權帛⑻包括即 將被防毋應用程式i 〇5分析之至少—部分的内容資料。該 °P刀内谷貝料可以為被動的内容資料,其為具有固定指定 資料型態的内容’例如文字、圖片、影音或是影像内容資 抖。另外,該部分的内容資料亦可以為主動内容資料,例 士腳本(script)、巨指令(macr〇s)或是可執行碼。 :在此實施例中,防毒應用程式僅允許透過符合複數所 儲存已知、可允許、預定義格式之一者的被動内容資料以 及辨識為非惡意的主動内容資料來傳送。根據本發明實施 例’電子檔案可由根據包括特定規則組播案類型規格所編 碼與設置的内容資料所組成,每個檔案類型(文字、HTML、 m以及試算表等等)皆具有相關的規則組。一般檔案類型 通常由權案名稱的下標(例如.pdf,txt,doc)或是槽案 貝料的前幾個位元組來標示。許多檔案類型包括代表槽案 結構的標頭,接著為内容資料(例如文字、數量、影音或是 料、腳本、巨指令)。電子檔案101可包括複數部分 6谷貝料’其中某些部分為被動内容而某些部分為主動内 容。 被動内容資料可包括參數(例如標示内容資料的 4示為粗體)。形成檔案類型規格的規則可用來Μ 值與範圍。 〃 熟悉此技藝之人士皆瞭解’應用程式可開啟特定類型 3〇44-9246-PF;Ahddub 14 200825836 ^案^包合剖析器而將形成檔案類型規袼的規則應用至 “案以萃取待顯示或處理的内容資料。例如,文字處理 Μ矛式可依照其專屬檔案格式(例如微軟的Word)、其他 文子處理應用程式的專屬檔案程式、以及同屬(generic) 檔案袼式(例如豐富文字格式(rich text format,RTF)、 、I 乂及HTML)來開啟槽案。應用程式可以將被動内容資 料儲存為包含產生器而將形成檔案類型規格的規則應用至 被動内谷身料之特定類型檔案,以產生請求格式的檔案。 在此實施例中,每個檔案類型係儲存為預定袼式。預 疋才α式通吊包括形成檔案規格的規則。然而,預定格式僅 包括關於時常使用部分袼式的規則。另外,預定格式包括 限制内容和參數之值以及/或範圍的規則,使得只能包括一 般以及時常使用之值與範圍。因此,只有部分被動内容的 既定類型檔案以及包含除了常常發生的資料與參數之外可 根據本發明所儲存之預定格式來進行解析。 HTML頁面的I —資料框以及ΜΡ3檔案的一般封裳物件 (general encapsulation object,GE0B)標籤為不被允許 傳送至系統的被動内容資料類型元件。不被允許傳送至系 統之不常使用的資料值為在ASCII檔案中除了一般所使用 TAB,CR/LF以及LF字元之外的控制字元。 上述内容資料也可以為主動内容資料。所接收的電子 檔案101可以為包含標準HTML標籤以及相關文字内容的數 個部分被動内容資料或是包含可執行腳本(例如 javascript或是VB script功能)的至少一部分主動内容 3044-9246~PF;Ahddub 15 200825836 的特定組規則可用 文件的該組規則將
資料之HTML頁面。所接收電子檔案1〇l 來判斷主動内容資料。例如’用於HTML 匕括對〈javascript〉標籤的定義,其係用於定義作為 javascript可執行瑪的部分醜檔案。根據本發明另一 =施例,用於MiCrQS〇ft w〇rd槽案/文件的特定組規則係 定義子檔案的目錄結構以及包含於特定.⑽旧㈣播 案内的子目錄。-種標不為,’ VBA”的特定子目錄係用來定 義Microsoft…以檔案内的巨指令。定義部分主動内容的 子檔案的另一實施例為檔案,,-VBA-PR〇 JECT” 。其他具有
Microsoft Word 檔案内其 非標準名稱的子檔案可列於定義 他主動内容部分的” PR0JECTwm,,檔案中。 因此,在步驟S3-3中,處理器113辨識即將被處理的 下個部分内纟,這是第一次執行已接收電子檔帛1〇1内容 的第一部份。在此實施例中,如擋案類型規袼的定義,辨 識此部分的方法係取決於電子檔案的結構。因此,處理器 113係根據所接收檔案的類型對已接收電子檔案ι〇ι進行 處理,以根據與該檔案類型之檔案類型規袼相關的特定組 規則辨識下個部分内容。例如,用於JPEG檔案的檔案類型 規格包括定義包含關於JPEG圖片資料之數個標籤的一組 規則。根據本發明另一實施例,HTML檔案係由根據定義用 於HTML檔案元件之不同組標籤的特定組規則而設置的内 容資料所構成。 在步驟S3-4中,處理器113會判斷目前已辨識部分内 容是否與已接收電子檔案101的類型相關且對應至被特定 3044-924 6-PF;Ahddub 16 200825836 組規則辨識的部分。若處理益11 3判定該部分内容並非由 特定檔案類型規則的定義,則已接收電子檔案i 〇丨在步驟 S3-15中係藉由取代隔離中的電子稽案而被封鎖。因此, 已接收電子槽案將不會以任何型式再生,並且中止對 該檔案的處理。 換句話說’若處理器113判定部分内容資料已經過辨 識’則在步驟S3-5中’處理器113將判定目前已辨識的部 分内容為被動或主動内容資料。另外,在此實施例中,處 理器113根據與已接收電子檔案ι〇1相關的特定組規則來 進行判斷。 若處理器113在步驟S3-5中判定部分内容為被動内容 資料,則符合度分析器131係於步驟S3 — 6處理該部分被動 内容資料,以判斷該部分内容是否符合上述預定格式。熟 悉此技藝之人士皆瞭解,已辨識部分被動内容可包括複數 子部分,每個部分皆具有不同的相關預定格式。在此實施 例中,在步驟S3-6中可遞迴的呼叫符合度分析器131來輪
流處理每個子部分,以騎每個子部分是否符合個別的預 定格式。在步驟S3-7中,若符合度分析器131判定該電子 播案為上述格式,且所有的參數符合與特定電子播案類型 相關之預定格式’則在步驟S3_9中被允許的部分被動内容 資料會傳送至内容再…35來執行再生。在此實施例 中’内容資料再生$ 135係用以根據與原始已接收電子檔 案類型相關的預定格式之部分已許可内容資料來再生替= 檔案。 17 3044-9246~PF;Ahddub 200825836 接下來,處理步驟繼續進行至步驟S3 i3 s⑽處理器113係判斷是否具有任何其他内容=步驟 =理。若判斷具有其他内容需要執行處理,則處二進: 曰返回步驟S3-3來辨識下-部分即將被處理的内容 若在步驟S3_7中符合度分析1131判定該部二。 谷不符合任何預定格式,則在步驟S3_u中處 會判疋在防毒應用程式1G5 t是否設定為清 113 在此實施例中,電子檔案1。1中不符合部分不會,: 除已接收電子檔案m的處理步驟可藉由設定於記= 17中的旗幟所控制。藉由將清除模式旗幟設定為,,”, =步驟㈣的清除處理程序,使得已接: 二的不符合部分被移除或清除,並且不會出現於再: 曰案中。在此清除處理的例子中,檀案中包含 任何片段或部分會因而被移除,但仍舊提供使用者可使= 的再生檔案。換句話說,清除旗幟可能被設定為,,否,,來 去能清除處理程序。若清降盧 i 右,月除處理耘序被去能’則信息或電 案的任何部分會被判定為不一致,使得電子檔案完全 被封鎖,並且不會以任何型式進行再生。 若已設定清除旗織且於步驟S3_12中執行清除處理程 序’則處理程序進行至步驟S3_9,其中内容再生器135係 用來再生對應於已接收電子檔案ι〇ι中不符合部分之再生 檔案中的’月除部分。在此實施例中,剩餘的清除部分可包 括不具有不符合原始電子播案資料之相關部分的標藏。另 外,可插入標籤使得結果檔案維持與原始接收電子檔案類 18 3044-9246-PF;Ahddub 200825836 型相關的預定格式。一旦清除部分以預定格式再生,則在 步驟S3-13中,處理器113係判定是否有如上所述之任何 其他需要處理的内容。如第3圖之實施例,若已辨識的部 分被動内容資料包括複數子部分,則符合度分析器1 31在 步驟S3-6中將會遞迴地依序處理每個複數子部分,以於步 驟S3-7中判定是否全部的被動内容資料皆符合預定格 式。另外’可能可以對符合度分析器1 3丨判定不符合預定 格式的每個子部分執行清除處理程序。 以上對步驟S3-7至S3-15的描述係有關於對已接收電 子槽案101中被動部分内容資料的處理程序。然而,如上 所述,該部分内容資料可以為主動容資料。因此,若處理 器113在步驟S3-5中判定目前的部分内容為主動内容資 料’則在步驟S3-17中,湊雜產生器133係用來產生用於 部分主動内容的湊雜。在步驟S3-19中,湊雜核對器134 係核對湊雜資料庫來判斷所產生的湊雜是否以存在於湊雜 資料庫1G6中。若湊雜已存在於湊雜資料庫1()6中,表示 相關的部分主動内容在先前已辨識為非惡意的,且已允許 的主動内容係於步驟S3 —9中傳送至内容再生器135而由再 生器135來進行再生。換句話說,若在步驟S3-19中判定 湊雜不存在於湊雜資料庫1〇6中,則在步驟s3 —21中處理 程序繼續進行至步驟S3 —u,其中處理器113係判定是否 需,對該部分主動内容資料執行清除處理程序或是電子標 案是否需要被封鎖。處理程序接τ來進行至㈣.Η, 八中處理《11 3係判定是否有其他内容需要被處理。若判 3044-9246-PF;Ahddub 19 200825836 ^有其他内容需要被處理’則處理器⑴重複步 S3-21直到接收雷早梦茔 " 3至 接收電子檔案1〇1的所有部分理
分為許可的内容資料,則進行再生。 右該。P -旦完成對所有部分已接收電子檔案的處理程 在步驟S3-25中再生電子稽宰係 、 丁鈿系係依序正向遞送至目 統109的作業系統1〇7 糸 掏泡- 便,、了以正常的方式進行處理。 再生猎由形成該預定格式規則㈣案中操取出的所 有被動内容資料以及被辨識為非惡意的所有主動内容資 料,且無法擷取出的任何部分也無法進行再生。 、 在此方法中,由於檔案的符合度核對以及再生,病主 無法進入並感染作業系統,事實上是藉由摘取—般格式^ 被動内容資料以及非惡意的主動資料來進行再生。 熟悉此技藝之人士皆瞭解’當沒有重新產生不一致的 部分已接收電子㈣101時,防毒應用程式m的内容再 生器135可於再生電子㈣中插入相關的警告文字來通知 接收者不允許部分的信息通過1外,可選擇性的使此警 告文字顯示不允許該部分通過的原因。 另外,電子檔案1 〇 1中部分被動内容的子部分可能會 被封鎖,也就是若該部分與經過許可的預定格式不一致則 不會重新產生並且較佳為將其抹除。也就是,若Ascn電 子檔案中的字元串列包括控制字元(例如,BBL,字元),此 子元串列可以被由防毒應用程式1 0 5所插入的警告文字取 代,以通知接收者由於串列的該部分不符合預定格式,因 此不會對該部分重新產生電子檔案。符合度分析器131並 3044-9246-PF;Ahddub 20 200825836 非特定用來尋找未經許可的控制字元(例如,BBL,字 疋),而是僅使通過許可的控制字元通過(如預定經過許可 的格式所定義)。 登記湊雜 在上述說明中,湊雜資料庫106包含先前分析並且標 不為好的或非惡意主動内容資料的湊雜值。熟悉此技藝之 人士❾瞭解’需要持續的維護這樣的資料庫來維持並更新 新遭遇之非惡意腳本、巨指令以及可執行碼,使得系統與 f 方法可以達到最佳效能。現在我們將簡單的描述如何於管 理模式期間分析這些新遭遇的主動内容資料並使其包含於 湊雜資料庫1 〇 6中。 在此實施例中,第1圖所顯示之目的地系統1〇9為網 頁代理伺服器(web proxy server),用來接收來自系統管 理者的請求,並且將腳本註冊於HTMl頁面中。在此實施例 中系統管理者係使用不同於一般用來瀏覽網頁的連接埠 (例如連接埠8181)將該HTML頁面與即將註冊為HTTP請求 的腳本一同傳送至網頁代理伺服器1 09。使用不同於一般 網頁流量請求的連接埠也會讓註冊腳本更安全,因為存取 此連接埠可以受到防火強的限制。雖然使用這樣獨特的連 接埠會讓網頁代理伺服器1〇9瞭解系統管理者正在請求註 冊腳本’額外的安全性可以藉由執行另外的驗證查核(例如 限制許可的ip位址以及使用密碼)而達成。
一旦成功地完成驗證,網頁代理伺服器丨〇 9係將請求 傳遞至網際網路並且等待HTTP的回應,接下來會將HTTP 3044-9246-PF;Ahddub 21 200825836 回應回傳至網頁代理伺服器1〇9。網頁代理伺服器1〇9會 將已接收的回應;^ §己為註冊請求而不是當作一般的劉覽回 應,且該回應將會傳遞至防毒應用程式105。在此實施例 :具有將要註冊腳本之眶網頁的已接收回應係藉由防 毒應用程式105以相同於第3圖的上述方法來操作,但是 在此實施例中的例外是’由於已接收檔案被標記為註冊請 ^因此防毒應用程式105係定義為操作於註冊模式而不 是操作於上述正常查核模式。
在註冊處理程序中,符合度分析器131係檢查已接收 檔案之HTML部分是否符合眶規格並且具有合理的值。 在處理已接收檔案的javascript部分時,湊雜產生器⑼ 係產生用於特定^町ipt功能的凑雜,且防毒應用程式 1〇1會檢查該凑雜目前是否存在於湊雜資料庫⑽中。若 先前已註冊過該腳本,則不需要對該特定腳本進行任何動 作。然而’㈣腳本未出現於湊雜資料庫⑽巾,則防毒 將會笼集關於該特定聊本的資訊並呈現給系 將:產二二斷…該註冊該腳本。在此實施例中, θ顯不,·,。系統管理者的Η T M L形式,讓系統管理者尸 不出應該將哪一些腳本註冊於凑雜資料庫 : 生職形式,資料結構係用來惹集 中為了產 頁面的所有湊雜。為了提供充足的:“冊至待處理則L 做決定,在此實施例中給系統管理者使其 -同包含於資料結射。一旦防\:文,與所產生的凑雜 部分的已接收ΗΤΜ槽案,使得資=式+ 105處理所有 、科、、、°構卩思者系統管理員將 22 3〇44-9246-PF;Ahddub 200825836 要檢視的凑雜與功能而增加, 式仆& TTTm ^丄 铒甲的母個項目係格 、為TML形式中的項目。當資料結構中的所有項 換為HTML型式之後,會將該型式 者 那個新遭遇的腳本為非"的並…糸理者來辨識 非心思的並將其包含於湊雜資料庫 鮮-。I旦接收到來自系統管理者的註冊回應,則會將 所私不腳本的湊雜加入湊雜資料庫1〇6中。 發展階段
以上為對處理槽案資料以及藉由已知的資料重寫播案 之糸統與方法的說明,豸資料為適用於檔案格式規格以及 其他特定限制的資料,或是在先前被辨識為非惡意資料, 以確保檔案接收者接收到非惡意資料。為了確保接下來整 個發展階段操作的正確性,因此在防毒應用程< 阳的測 试發展期間出現幾個爭議性的問題。現在就_ —的說明這 些爭議的問題。 5 雙層錯誤彳貞測 在重寫處理程序期間,所執行的錯誤可能會產生再生 槽案的可能性,再生檔案不適用於假設要執行之上述系統 與方法的樓案袼式規格以及其他特定限制。因&,在發展 内谷再生ϋ 135期間必須測試再生檔案以確保整個發展階 丰又知作的正確性。 第4圖顯示再生器135的發展與測試階段期間的處理 程序。如第4圖所示,再生器135的測試開始於步驟34—^ 在步驟S4-1中係接收電子檔案。這相同於第3圖中接收電 子檔案的步驟。在步驟S4一3中,處理器113係處理電子檔 3044-9246-PF;Ahddub 23 200825836 案,以判斷電子檔案中經過 定柊式之& 十了的内容並因此重新產生預 疋心式之祂案。步驟S4-3所勃介从名 _的牛驟斤執仃的處理步驟與上述第3圖 r的γ驟類似。如上所述, c〇 第3圖的處理結果不是產生再 生檔案S3-25)就是隔離該 名牛騍山 电于镉案(S3-15)。因此, 在^S4-5中,處理器113係匈斷是 沒有產生再生檔案,則在步驟再生枯案右 因為不符合預定格式而被隔離。 -的電子枯案 換句話說,若已產生再生檔案, 旗幟會被設定為去能,使得 、厂 /月除 再…# ! 驟^9的二次處理中處理 再生檔案時,當碰到任何不符人 制的任何内容時,處理將會立;失/;_式或是其他特定限 0 即失效。在步驟S4-9中所執 -的步驟為第3圖中所說明的步驟 理器U3再次判斷是否產生 中處 結果為產生再生播案,則在步驟:案。右步驟Μ的處理 的功能性是正確的。換句話說,若在生器135 -t 右在步驟S4-9中沒有荖吐 再生播案\則代表在步驟㈣中再生器135已失效。 任何炉誤=』S4-3中一次處理的再生步驟期間產生 14些錯誤會呈現於在步驟S4-9中進行二-欠處理 的再生檔案中。接下來-地里 為不餘人日一 I在—處理中會將這些錯誤標示 制之統與方法所執行之槽案格式或其他特定限 制之具有錯誤的再生檔案。 例。::將說明於發展與測試期間錯誤偵測的具體實施 檔/ 上34方法來處理酌音樂 般末說’在這樣的MP3檔案内具有各種不同包含 3〇44-9246-PF;Ahddub 24 200825836 關於特定音樂之額外資訊的標籤,這些標籤係與編碼音樂 資料隔離。一旦這樣的MP3標籤為,,TC0M”標籤,該標籤 詳細說明了關於特定MP3檔案之音樂資料内容組合器 (composer)的資訊。 第5圖顯示根據本發明實施例所述之雙層測試與發展 方法中待處理之MP3音樂檔案的示意圖。第5圖所顯示儲 存於未交換原始資料緩衝器中的範例MP3檔案501包括標 籤’’ TC0M” 、ΊΧ0Μ資料以及音樂資料内容。處理器113係 於步驟S4-3的一次處理期間讀取Mp3檔案5〇1。在第5圖 的貫施例中,再生器i35的執行錯誤係導致錯誤# 將’’ TC0M”標籤重新寫入至輸出緩衝器,使得再生的Mp 檔案503包含無效的標籤” TCM〇” 。因此,此標籤不符名 MP3檔案格式規袼,因而當於步驟s[g之二次處理期間肩 理再生檔t 5G3時將會遭遇不合法的” 『標籤且再连 播案503將會被隔離。由於在二次處理期間無法重新產逢
播案’使得再生器135 |、、表认 I ^ …、法於一乂處理期間正確的 生電子檔案。 錯誤分離(faul tspl i t) 2發明相與方法發展期間的另_爭議性的心 處理私序必須對數個電子檔案進行測 好的檔案的資訊並且產生已知㈣咅、/集關於c 他特定限制之資料庫。檢查電子二二檔案袼式以石 產品發展者處理發展模4 ^、、处理程序通常依 定所需執行的動作。此處理程序需要相當;出來 25 3044-9246-PF;Ahddub 200825836 為了克服此問題,因而設計一種可有 並且幫助產品發展去彳士 4认 自動&查程序 係透過蒐集檔案之目钎 方法。該方法 執行第3圖之處理虚再 錄中的母個檔案 的每個檔案進行操作, ^ 序係對目錄中 、 因此處理程序係回值扯At 誤串列,並且譯知々叫 恶碼以及錯 尤且砰細說明隔離檔案或是取代 原因。對於處理程序的每個可能錯誤原因將會二的:何 錯誤碼以及原因串列。本發展與測試方法係❹這^ : 二列來產生具有以錯誤碼以及原因串列作為子目::二 移動至個別的子g掉 T應播案 ㈣子目錄。-旦完成對所有檔宰的卢理立 發展可体诘沾认、日Vα細系的處理,產品 展了決速的私視所有封鎖檔案 清單。另林,太π々 尺% η丨阳離播案的原因 另卜產印赉展者可藉由察看每 播幸而氺ΒΒ、丄nr 于目錄内的數個 棕案而查明思些原因的相對重要性 展者可找出導致笋夕由 ’中’產品發 导致最多中止的錯誤原因。 第顯示此發展與測試處縣序的示意圖。第 =可藉由錯誤分離發展與測試模組 ^^t601§i,〇s^6〇1 " ^ JPE^t, m ^ , 1nc 丁町母個檔案係傳送至防毒應 二,防,應用程式1G5對每個檔案的操作係 說明。當完成每個特定播案的處理,若於 疋私案時發生錯誤,防毒應 寺 因。 〜私式1〇5會回傳其狀態與原 在第6圖的實施例中,防毒 ” 母應用私式105於處理檔案” ….㈣時發現具有原因串列,,錯誤標頭值 3〇44-9246-PF;Ahddub 26 200825836
Uncorrect header value)”的錯誤〇〇54。此錯誤碼與原 因串列係回傳至錯誤分離模組6〇3。錯誤分離模組6〇3係 判斷子目錄是否已存在相同的錯誤串列,若是,則只需要 將對應的㈣複製至子目錄^在第6圖之實施例中不具 有其他的子目錄,因此錯誤分離模組6〇3產生錯誤串列名 稱為” failUre_〇〇54_incorrect_header—value,,的新子 目錄607旦產生子目錄607,則會接著將對應的檔案” 圖片1. jpg”複製至此子目錄6〇7中。 錯誤分離模組603處理原始目錄6〇1中的每個檔案直 到該目錄中的所有檔案皆被處理為止。在此方法I 完成發展與測試處理程序,當處理原始請6()1中的楷案 並且將對應檔案複製至個別子目錄時,目錄結構6〇7將會 包含適用於所遭遇之每個錯誤碼的子目錄。 第二實施例 接下來的第二實施例係與第一實施例類似,電子播案 為透過網際網路將電子郵件從發信者傳送至目的裝置(在 此實施例中為網際網路服務業者Internet P^vider,ISP))。ISP將電子郵件轉寄至電子郵件客戶飼 服器’當接收時’電子郵件客戶飼服器將電子郵件轉寄至 指定的接收者收件g。 第7圖顯示根據本發明實施例之電子郵件系統的配置 圖’其中包含本發明之防毒應用程式。傳送者係從來源位 置201轉寄電子郵件。藉由電子郵件中的網域名稱可以將 電子郵件透過網際網路2〇3轉寄至網際網路服務業者 3044-9246-PF;Ahddub 27 200825836 (ISP)205。收件者的電子郵件客戶伺服器2Q7係透過開啟 連”、σ而連接至ISP2〇5。第一連結為用來將輸出電子郵件 從電子郵件客戶飼服器2〇7轉寄至脱2〇5的簡單郵件傳 ^^ti(SimpleMail Transfer Pr〇t〇c〇1, SMTP)^^# 2091二連結為從lsp 操取電子郵件的郵局協議 Office Protocol)輸入連結 211。 防毒應用程式m係設置於ISP2G5。防毒應用程式 105係常·㈣連接至收件者電子郵件客戶飼服器聊的輪 入/輸出連接槔1來分析電子郵件客戶健器⑽待傳送 與接收之所有輸出與輸入電子郵件。 在此實施例中,防毒應用程式1〇5為藉 程技術來執行的-組電腦程式碼。在電子郵件進入電= 件客戶何服器207之前,所有傳送至電子郵件客戶词服号 m的電子郵件皆必須通過防毒應用程式ig 由 進入ISP 205之前皆必須通過防毒應用程式1〇5。 防毒應用程式m藉由解析進入應用程式的資料來分 斤輸入電子郵件訊息。如同第 式儲存,以中止任何可執行 J貝抖係以編碼模 丨J』矾仃檔案的執行。防毒應链 係判定個別部分的輸入電子郵/ " ,Λ , 疋否付合通過許可的預宏 Γ 不符合,則重新產生每個部分的電子郵件气自 因此,不允許電子郵件中的任何 " 他 . J届母進入感染收件者的备 、、4 ’或是透過收件者的系統感染ISP。 糸 如第一實施例的說明,在.者 在此例中的符合度分析器 3〇44>9246-PF;Ahddub 28 200825836 131係藉由分析每個特定資料類型來判斷是否符合適用於 該資料類型的預定格式,並且擷取符合的内容資料。接下 來,内容再生器135係使用預定許可格式重新產生適用於 該資料類型的資料。在此實施例中係藉由特定的符合度分 析器以及内容再生器來分析並再生每個型態的資料。 每個符合度分析器131係根據所接收的資料類型對資 料執行特定組規則。該規則係由適用於該檔案類型以及實 際發生於已知資料類型的例子之官方預定規格所定義。一 般來說’該規則僅允許小部分符合檔案類型規袼的槽案, 但也可能放寬官方規格中通常會被違背的某些規則。例 如’電子郵件位址不應該包含空白,但是一些常用的電子 郵件應用程式係違反此規則,使得電子郵件通常在這方面 會違反規格,因此根據此實施例所接受包含空白之電子郵 件位址來分析電子郵件的預定格式,因此該實施例可分析 並擷取這樣的電子郵件位址。 同樣的,符合度分析裝置可檢查資料檔案中的某些參 數。例如,若標頭顯示該檔案為RTF檔案,則讀取資料的 前幾個位元組並根據RTF檔案格式規格來判斷是否正確。 第8圖顯示根據本發明實施例所述之系統如何與防毒 應用私式合作的流程圖。如第8圖所示,在步驟Sg — 1中, ISP係透過SMTP輸入連結接收電子郵件。 在步驟S8-3中,通訊協定符合度分析裝置係執行讀取 輸入電子郵件基本格式並重新產生電子郵件的程序,使其 符合基本電子郵件通訊協定。電子郵件讀取器係藉由不符 3044-9246-PF;Ahddub 29 200825836 見"^的方式㊉取電子郵件。接下來,該讀取資料係傳送 至符合基本電子郵件通訊協定的電子郵件寫入器。在此方 法中,一般的不符合規袼的電子郵件會被轉換為符合規袼 的電子郵件。例如’若收件者的電子郵件位址是不好的格 弋電子郵件寫入器係重新寫入使其符合規格(例如藉由移 、 或疋在末鳊插入結束角括號(closing angle bracket)) 〇 另一實施例為當接收到不具有標頭,,寄件者,,的電子 郵,件訊息。在此實施例中係將電子郵件訊息封裝為包含標 頭”寄件者’’的全新電子郵件訊息。 電子郵件中的其他參數也必須符合規格。例如,行長 度、使用正確的AseiI字元碼、使㈣#且正確的基本μ 編瑪、完整的標頭資訊(‘收件者,,、旨,#等)、介於 電子郵件標頭與内容之間的間距等等。 、 若電子郵件不符合規袼,則部分的電子郵件無法重先 寫入,因此當不符合規格的部分遺失時必須判斷是 合理的電子料。若騎結果為存在合理㈣子郵件 重新寫入不具有不符合規格部分的電子郵件。並 會出現警告文字。 社此出 同樣的,通訊協定符合度分析裝置可能會拒絕整 :郵件。例如,若通訊協定符合度分析裝置偵測到 件内的大量資料係使用不符合規格的基本64編喝牛 驟S8-17中會徹底的拒絕該電子郵件。 、y 若通訊協定符合度分析裝置判斷該電子郵件不符合電 3044-924 6-PF;Ahddub 30 200825836 子郵件協定,則通訊協定符合度分析裝置會重新產 郵件並傳送至下一步驟進行處理。 所有的電子郵件皆應當符合當前用於電子郵件的rfc 標準(例如RFC 822及其後續)^在此標準中係定義如” 生電子郵件。當電子郵件通過通訊協定符合度分析J = 後,RFC 822符合度分析裝置係檢查判定電子郵件是否》 合該RFC 822標準。RFC 822符合度分析裝置係藉:將電寸 子郵件分成數個分開的元件,尋找電子郵件中的邊界(如 述)’並接著解析電子郵件的每個成分部分來判斷是否符合 RFC 822來執行符合度檢查。 σ 必須瞭解的是,當更新RFC標準時必須進行更新,以 確保RFC 822符合度分析裝置可檢查所有已知資料 符合度。 、 眾所皆知的是,電子郵件是由數個個別部分所組成(如 第9圖所示)。電子郵件的開頭為似標頭9〇ι,在標 頭中定義了幾個攔位,例如寄件人、收件人以及主旨等等^ 接下來為MIME標頭903,定義用私κ拙功〜仏土 心我用於延伸協定的數個欄位, 例如”内容類型”,其中定義用*社-# ^ ^ t 我用來才曰不電子郵件不同部分 之間邊界的文字。 在標頭(,_之後係為第—邊界9Q5。電子郵件的 下-部份開始於另一個MIME標頭9〇?,定義用於此部分的 格式。在此實施例中的此部分包括即將以文字格式顯示的 文字。因此接著為文字909區塊。在文字區塊9〇9的末端 具有另一個邊界911。 3044-9246-PF;Ahddub 31 200825836 另—個MIME標頭913代表電子郵件下一部分的格式。 在此實施例中,電子郵件的下一部份係為混合了文字與 HTML格式的區塊915。另_邊界917係用來表示電子郵件 此部分的結尾。 對下一部份的電子郵件來說,MIME標頭919代表電子 郵件附加檔案的資料類型,在此實施例中為ζιρ檔案。 檔案921為基本64編碼並且附加至電子郵件中。另一邊界 923代表ZIP檔案區塊的結尾。 對電子郵件的最後部分來說,MIME標頭925代表電子 郵件另一附加檔案的資料類型,在此實施例中為部分的可 執仃碼。可執打碼927為電子郵件中部分主動内容資料的 範例。接下來為代表可執行碼區塊結果的最後邊界929。 在第8圖的步驟S8-7中,RFC 822符合度分析裝置係 透過解析器來解析形成電子郵件的Ascn字元❶rfc 822 符合度分析裝置可用來偵測電子郵件的邊界並檢查某些參 數是否符合已知可接受預定格式。例如’ RFC 822符合度 分析裝置係藉由檢查行長度來判斷其是否符合rfc 822 ^ 準’並且僅於行長度為2〇〇〇或小於2〇 〇〇時才執行再生。 進一步的檢查可以判斷電子郵件中以解析的資料是否 符合RFC 822標準。例如,檢查電子郵件中的字元是否為 定義於標準中的已知可接受ASCII字元,以及標頭長度是 否符合標準定義。這些檢查清單僅為RFc 822符合度分析 裝置用來檢查的一些例子(熟悉此技藝之人士皆瞭解rfc 822符合度分析裝置用來檢查的其他部分),然而本發明並 3044-9246-PF;Ahddub 32 200825836 未限定於上述範圍。 如同分析該已解析資料來判斷其是否符合基本RFC 822私準’ RFC 822符合度分析裝置亦可檢查某些參數是否 付口實際RFC 822標準電子郵件㈣例。也就是,某些參 數的規;^ 乃保留給使用者來定義,因此,實際上只能使用 合理的值。例如,電子郵件通常只包括少數的部分。因此, 右所接收的電子郵件包括1〇〇〇個邊界,其必定不是實際 RFC 822才票準電子郵件的例子並因而會被RFC 822符合度 刀析裝置封鎖,也就是不會再生且較佳為被抹除。 對包含資料之電子郵件的每個元件部分皆需要執行進 一步的符合度檢查,防毒應用程式係判斷元件部分是否由 2動,主動内容資料所構成,如上述第—實施例中的討 淪。若判定元件部分為被動内容資料,則在步驟s8 —9中, 疋件部分係根據對應部分的資料類型而平行的正向遞送至 個別的被動内容資料符合度分析器。也就是,若被分析的 〔、電:郵件部分定義為文字,組成文字的A·字元則正向 遞运至文子符合度分析裝置。若被分析的電子郵件部分定 義為TIFF㈣,則組成而檔案的字元係正向遞送至而 符合度分析裝置。 在步驟S8-9中’每個被動資料符合度分析裝置係藉由 分析正向遞送來的資料來判斷是否符合主旨格式。若資料 符合,則透過符合度分析裝置重新產生資料。若資料T包 含任何不符合的資料’則排除該資料,或是有可能的話藉 由符合度分析裝置執行再生使其成為符合的資料。執心 3044-9246-PF;Ahddub 33 200825836 生使其符合資料的實施例為,不論 標案中增加巢狀括號。 逍失貝枓’皆在rtf 若電子郵件包括巢狀之不同類型的資料 呼叫被動資料符合度分 、《遞迴的 仃,且每個特定裝 置佤序執 個點。在此方法中,貝料類型被發現的每 〃、有zip檔案的電子郵件包〜 理文件’包括JPEG圖片檔的電子:处 分析装置(〜、文字處理、觸來執广不_付合度 ^ ;术執仃,以下拉巢肤柃安 並且/刀析序列中的每個檔案。 田案 換句話說,若防毒應用程式判定 容資斜所播士 n , 丨刀你由主動内 、讨斤構成,則在步驟1〇中 分析該資料,以剌齡脸士 , 貝才叶刀析态會 彳以判斩腳本、巨指令或是可執行碼為非亞咅 二:主動内容資料分析器所執行的處理步驟係產生:: 於主動内容的湊雜,並 、用 斷凑雜疋否出現於凑雜資料庫 在第一貫轭例中已說明此處理程序。 化斤的最後’檔案係藉由符合度再生部分而合理 化0糟由在步驟S8 — 1]t中判斷爯 形成適當的同調、可瞭解…一刀電子郵件以 鱼使用再生邱八的電子郵件,該資料係 S813: P刀之RFC 822符合度分析裝置相似,如步驟 技水此確保再生的電子郵件係以正確的格式轉寄。 下,在驟S8'15中,應用程式係使用SMTP協定將再生 電子郵件轉寄至收件者。 Λ然而’若在步驟S8_U中,防毒應用程式判斷再生的 ^分電子郵件不足以形成有用的電子郵件,則在步驟S8_17 3044-9246-PF;Ahddub 34 200825836 令會拒絕該電子郵件。在步驟S8-17期間係將尊告文字轉 寄至電子郵件的收件者,以告知本來要記送的電子郵件被 系統所拒絕。警告文字可包括訊息被删除的詳細資訊,以 及幫助接收者辨識傳送者或是電子郵件被原因之 進一步的資訊。 以下為用於此實施例之被動内容資料符合度分析器之 些實加例的詳細說明,其可使用於步驟S8 — g。例如,若 電子郵件的元件部分根據RFC 822標頭、標頭或是檔 案延伸主旨為文字資料,文字元件部分係遞送至文字符合 度刀析裝置。文字符合度分析裝置係透過解析文字資料來 判斷是否符合其預定許可格式(如下述)。 在此有數種不同類型的文字檔案,例如逗號分隔變量 (Comma Separated Variable, CSV)以及豐富文字袼式 (Rich Text Format, RTF),文字符合度分析裝置首先必須 辨別已解析資料主旨為哪一種類型的文字檔案。附加至電 子郵件的所有檔案將具有關於代表應該為哪種檔案類型的 檔案延伸(file extension)。文字符合度分析裝置係分析 該MIME標頭内的已解析檔案延伸,以判斷文字檔案是否為 傳ASCI I檔案。若是,僅必須使用ASCI丨符合度分析裝置(如 下述)。 然而,若文字符合度分析裝置於分析時判斷文字檔案 為除了純ASC11之外的檔案類型,例如CSV檔案,則將會 啤叫CSV符合度分析裝置來分析並重新產生該CSV資料。 首先,由於該ASCII符合度分析裝置係分析構成電子郵件 35 3044-9246-PF;Ahddub 200825836 内文字檔案的ASCI I字元,以判斷文字串列是否符合ASCI j 預定格式,若是,則重新產生該ASCI I檔案。 ASC11符合度分析裝置係解析該資料,以確保檔案符 合最小ASCII預定格式。例如,Ascn符合度分析裝置僅 允許ASCII字元32至127,以及即將被再生且遞送至系統 的四個控制字元,,換行(line feed),, (LF = l〇),,,回車 (carriage return)” (CR=13),,,標記(tab),, (TAB = 9) 以及”垂直標記(vertical tab),, (VT=11)。
如防毒應用程式的定義,其他控制字元(例如1】字 元(BEL=7))並未在適用於ASCII格式之預定許可格式中。 因此,ASCII符合度分析裝置在帶解析之Ascn碼區塊中 並不會重新產生BEL字元,但其將會拒絕ASCI工字元。 ASC 11符合度分析裝置執行分析的其他例子: •自然行長度是否小於1 024字元? •字長度是否小於25字元? •空白對字元的百分比是否小於預定限制? 若在任何時候該ASCII符合度分析裝置因為不符合基 本預定格式而無法重新產生適用於該部分ascii碼的資 料,則ASCII符合度分析裝置係檢查資料並判斷是否符合 其他類型的ASCII碼。例如,來源碼、BinHex以及基本^ 等等。若該資料符合其他類型的Ascn碼’則將資料正向 遞送至與該ASCII類型相關的符合度分析裝置,其他的 ASCII類型可以為上述的來源碼符合度分析裝置、 符合度分析裝置或是基本64符合度分析裴置。可以瞭解的 3044-9246-PF;Ahddub 36 200825836 是,基本64 ASCI I編碼檔幸汰7 1 類 遞 Θ田茶亦可包含該編碼資料中其他 型的檔案。接下來,這4b其# # ----他頰型的檔案亦可以被正向 送至相關的檔案類型符合度分析袭置等等。 適用於其他ASC11編蜗類型的被動内容資料符合度分 析器更可具有適用於電子郵件此部分内資料之符合度限 制。例如,可藉由檢查檔案來判斷其是否為適當結構的編 碼,是否具有正確的行長度等等。一旦每個被動内容資料
符合度分析器判定内容符合參數時,則擷取其内容,並藉 由被動内容資料符合度分析器將所揭取的内容資料再生為 許可預定格式。 一 ASCI I符σ度为析裝置完成其任務,再生的A% η 資料會被正向遞送至資料主旨所屬的相關文字符合度分析 裝置。在此實施例中,文字檔案“sv檔案,因此資料會 被正向遞送至CSV符合度分析裝置。 、下為由csv付a度分析裝置執行檢查的實施例。csv 2合,分析裝置係解析ASGII f料,以確保其中沒有長文 字奴落樣的段落並不是csv檔案的部分預定格式。由 於:符合的資料會被csv符合度分析裝置拒絕,因此任何 的資料皆無法被解析。csv符合度分析裝置亦會檢查並判 =其定界符號數量是否符合csv檔案預定的定界符號數 量。當CSV符合度分析裝置判定資料不符合時,會將該資 料再生為相同的格式。 、 …在此方法中,只有部分符合預定格式的文字播案被允 許通過防毒應用程式的下-階段。在資料被重編並且遞送 3〇44-9246-PF;Ahddub 37 200825836 • 至目的地之前’只有符合的部分文字檔案會與其他已再生 貝料類型一同被再生。因此,任何包含病毒的電子郵件部 分不符合併且會被封鎖,也就是不會被再生並且較隹的被 抹除。任何不符合的部分不被允許通過防毒應用程式並且 感染作業系統。 另一種符合度分析裝置為標籤圖像文件格式(Tagged Image File Format,TIFF)符合度分析裝置,用來分析並 再生TIFF檔案。 ( TIFF檔案為具有設置於預定格式中的一組目錄以及標 鐵之結構格式。無法判斷圖像資料本身是否代表有意義的 圖像。然而,TIFF符合度分析裝置係解析並分析圖像資料, 以確保其處於預定限制内。 藉由解析並分析TIFF檔案中的標頭資訊來判斷正確 的貝料疋否完整。例如,TIFF符合度分析裝置係執行檢查 來判斷標頭資訊是否包括合理TIFF圖像限制内的解析 度、尺寸以及深度攔位。另外,TIFF符合度分析裝置係判 i 斷標頭中所標示的條紋數量是否符合該圖像資料。 TIFF檔案通常係藉由LZW(Lempel-Ziv-Welch)壓縮技 術來進行壓縮。TIFF檔案包括複數TIFF條紋,在此實施 例中的每個TIFF條紋為防毒應用程式1〇5所操作圖像中的 最小單位、原子或是元件,並且可應用於實際的限制中。 每個TIFF條紋係藉由符合度分析裝置進行壓縮,並且判斷 條紋長度是否在合理預定限制内。例如,若條紋長度不等 於或小於最大圖像尺寸限制(例如,大於標準A〇紙張尺 3044-9246-PF;Ahddub 38 200825836 •八J該條紋會被拒絕。若其中一個條紋被TIFF符合度 为析裝置拒絕,則整個^吓檔案會被拒絕。 s符合度分析裝置亦會對TIFF檔案内的標籤(也就 貝料)進行分析。藉由檢查標籤是否違反狀許可格 二:斷標藏是否位於特定階(根據標頭中的標鐵資訊目 、/且輯標籤是否以正確的方法彼此關聯。 切田_JIFF付合度分析裝置判定該f料符合狀許可格 式寺,會重新產生資料以建立 HFF檔案(其^ & Μ %的再生 郵m 預定格式)。袋重編入電子 ^生TIFF播案係正向遞送至電子郵件伺服器。 圖像可本身巾可具有其他®像類型。例如,JPEG ㈡像了以破封裝於TIFiM#案中。 谓測到不同的圖像類型,則會將二〜度分析裝置 其他的符合度分析裝置,在此 像相關的資料遞送至 裝置。_符合;^析穿置/施例中為JPEG符合度分析 斷是否符合期望的卿格 析,刀析貝枓’以判 格式資料。接下士 右符合則將其再生為JPE(; 子郵件的再…式。此電子二重編再生電 件伺服器。 丨仟曰接者遞迗至電子郵 本實施例的另一選擇為讓防毒靡 來取帶電子郵件中不符合的部分。:就告文字 度分析器解析部分資料來判定該部分不符合::二付合 再生電子郵件時,符合度 : 取…合的部分,以通知電子郵件的指定收二;:: 3044-9246-PF/Ahddub 39 200825836 件的部分被防毒應用程式拒絕。另外,—* 於不符合的因素而拒絕整個電子郵仲口度分析汽油 於電子郵件…警告文字來通知指二 -:分被封鎖,也就是不會執行再生且 : 程式抹除。 q攸丨万毋應用 第三實施例 參照第10圖,現在將要說明本發 第三實施例結合了第一盥 第—貫把例。此 、卜 /、弟一貫施例的特徵,包括在第一 或第二實施例中所討論的任何選擇性。 此實施例係有關於防毒應用程式封鎖部分或是整個電 子郵件時的狀態(代表此實施例中不符合的部分)。夫 一實施例所討論的第3®,基料多理由都會發生這樣的 ^兄,例如在步驟S3_15中’由於部分的被動内容資料不 付合預定格式且並未設定清除格式,因此可能將整個播案 置放於隔離所。另外’若在步驟S3_n中設定清除模式旗 幟,則可忽略部分的被動内容資料。 、 在此實施例中,當防毒應用程式判定電子槽案或是其 子部分不符合日夺,則不允許電子槽案通過㈣地作業= 統’而疋將原始電子檔案傳遞至來源過濾器應用程式,以 判定該電子檔案是否在來自可靠的來源。 k疋根據預期接收來自某些可靠來源的系統所判定。 系統藉由檢視儲存於技藝體中違反預定來源清單的資料類 型α單來執行判定,以判斷資料類型是否為來源所接受, 換句話說就是透過來源來過濾電子郵件。因此,若接收來 3044-9246-PF;Ahddub 40 200825836 自可靠來源中包含不符合資 浐幸禎A夾白w 、枓的祂案’則將不符合資料的 才田案視為來自可靠來源的資 私T ^入次叙為非惡思的,並允許原 始不付合資料的檔案通過作業 主 、、作業糸統。在此方法中,包括防 Γ式以及來源過遽應用程式的系統係動態地允許大 分安全的電子檔案傳遞至其指定目的地。 第10圖顯不根據第三實施例所述之處理程序的流程 圖。在步驟训]巾’防毒應用程式係判定部分權荦是否 為不符合的資料,若是則封鎖檔案。若被防毒應用程式封 鎖’則會將不符合的部分傳遞至來源過濾應用程式確定所 接收播案是否來自可靠來源(如步驟S1G-3所示)。 來源過遽應用程式係根據系統使用者偏好來判定不符 合部^是否來自可靠來源。系統的技藝體中係儲存檔案類 型’月早以及關於這些不被視為可靠來源的來源(例如寄件 者的位址)。因此’系統可根據檔案寄件者以及檔案類型來 判斷是否允許檔案通過。 若在步驟S10-3中判定檔案類型不在允許來源的清單 中則於步驟S10-5中封鎖之。若判定為允許通過的檀案 類型’則不符合部分在步驟S10 —7中係略過防毒應用程 式。在步驟S10-9中防毒應用程式係重新產生剩餘的已接 檔案重編該已再生的符合部分,並且在步驟S1 丨中 略過檔案中的不符合部分。 例如,銀行系統接收來自已知寄件者的大量電子郵 件,包括與複雜巨指令結合的試算紙,對於附加試算紙中 的巨指令可能不是預定許可格式,使得巨指令符合度分析 3044-9246 -PF;Ahddub 41 200825836 衣置可封鎖此部分的電子郵件。 然由於銀㈣統可賴傳送此電子郵件 者’且在檔案類型資料庫 牛 ± 巾寄件者被4定為銀行系統可 此/則電子郵件中的試算紙會被視為非惡意的。因 ,糸統使用者可設定來源過濾制程式,以允許不符人 令部分略過防毒應靠式並且電子郵件的再生部: 共同重編入電子郵件。 主另外,來源過濾、應用程式可操作於判斷所接收來 毋應用程式的已再生於岽日 的模式。⑼^ 過目的地系統 防,應用程式接收包含不符合部分的擋案(作不 足以讓防毒應用程式拒絕整個檔案),使得再生的符合播案 不同於原始播案,則兮真& 八 3再生㈣會被遞送至來源過濾應用 王"。列如’由於防毒應用程式執行清除權案程序,使得 原始權案尺寸可能比再生檔案的檔案尺寸大。 來原過濾應用私式係用來判斷所接收標案類型是否來 :經:認可的來源’若是,則允許該檔案類型通過系統。 其他貫施例 必須瞭解的是’在此所揭露的僅作為本發明的實施 例’任何熟習此項技藝者,在不脫離本發明之精神和範圍 内,當可做些許的更動與潤飾。 、必須瞭解的是,本發明可應用於可以將電子稽案從來 原私動至目的地的任何系統。本發明傳送電子 並未限定為任何特定方法。士就Η φ 也就疋’電子檔案可從電腦系 統硬體内的一元件值、矣$ 一 騎傳送至另-兀件。另外,電子檔案可以 3044-9246-PF;Ahddub 42 200825836 藉由空氣從基地台傳送至行動電話裝置。同樣的,電子檔 案可错由區域網路(local area netw〇rk,UN)、廣域網路 (wide area network, WAN)或是網際網路來傳送。 熟悉此技藝之人士皆瞭解,在資源受限於目的地裝置 (例如行動電話)的網路環境中,由於受限的資源,使得每 個裝置可具有執行上述實施例中部分處理步驟的功能性。 在這樣的實施例巾,網$上可具有其他具有全功能性的網 路裝置。其他網路裝置亦可藉由將較新的功能性與其他網 路裝置結合而具有任何較新的功能性。在此方法中,不需 要更新網路上每個資源受限的裝置。在行動電話網路中, 每個行動電話被製造時可具有初始的限制功能。行動電話 功能可藉由手持裝置使用者安裝其他軟體而被更新。若新 安裝的軟體係用來請求並接收未知袼式的電子檔案至行動 電話的防骨應用程式上,接下來防毒應用程式將會辨識何 時不具有處理接收電子擋案的能力,並且會將該電子檔案 遞送至具有全功能性的網路裝置。網路裝置將會被更新以 辨識新的功能性,並因而可於行動電話上處理已接收電子 檔案。接,網路裝置可將再生版本的電子㈣遞送回 打動電話。另外,具有全功能性的網路裝置可設定為用來 擷取傳送至行動電話的資料。接下來,在將再生版本傳送 至仃動電話之前,網路裝置可在功能性受限的行動電話上 處理特定電子檔案。 在上述第一實施例中,防毒應用程式係設置於目的地 系統中。热悉此技藝之人士皆瞭解,當防毒應用程式可在 3044-9246-PF;Ahddub 43 200825836 沿者傳輸路控上的點分折雷早於空主 刃點刀祈冤千棕案時,可以將防毒應用程 式設置於來源或是傳輸媒體中。 在上述第一實施例中,電子檔案係由根據包含特定組 規則的檔案類型規格來編碼與設置的内容資料所構成。熟 悉此技藝之人士皆瞭解,所接收的電子槽案ι〇ι可以為串 流資料(例如視訊或影音串流中的串流資料)。在這樣的例 子中,除了根據包含特定組規則的檔案類型規格而編碼血 設置之外’所接收的資料可根據協定規格(例如用於串流資 料的傳輸協定)來編碼與設置。因此,為了儲存用於每_ 案類型規格的預定格式以及規則,防毒應用程式亦可儲= 用於各種協定規格的預定格式與規則。接下來,防毒應用 程式可處理已接收串流資料來判斷資料是否根據用於協 的預定格式來編碼與設置。 、 在上述第-實施例的目的地系統109内具有湊雜資料 庫106以及湊雜產生器133。熟悉此技藝之人士 , 對電子播案中部份主動内容資料的處理程序可藉由傳 其他防毒應用程式來實現。例如,若已接收電诗案為呈 :巨指令―Word文件,防毒應用程。。5將會 處理構成被動内容資料的大量的WQrd文件,以判斷並 ,安全的文件,且傳統的防毒產品可藉由掃晦構成^内 谷資料的巨指令内容’以判斷其是否包括已知的開發。妙 而’這樣的選擇具有可依賴第三防毒應用程式的優點,:: 應用程式的資料庫不是最新時容易受到零天的攻擊右 外’目的地可藉由與下載病毒特性資料庫相同= 3044-9246-PF;Ahddub 44 200825836 機制下載來自可靠第三者的已知好腳本、巨指+、可行碼 等等的湊雜資料庫來更新其湊雜資料41G6e此機制亦可 用來提交包含於第三者凑雜資料庫中的巨指令、 可執行碼。 在上述第一實施例中,若被動内容資料不符合預定格 式且/月除模式旗幟被去能,則會隔離整個電子播案。熟系 此技藝之人士皆瞭解’當整個檔案被置放於隔離所時,未 知格式/規格的部分電子檔案可透過處理主動内容資料的 方法來執行操作。因此,會產生適用於這些部分未知内容 、、雜並且會私查該溱雜是否違背好的内容之湊雜資料 庫0 在上述第一實施例中,若致能清除模式旗幟,則會朝 行清除處理程序來移除不符合的部分,且内容再生号:相 據預定槽案類型重新產生再生檔案中必要的空白或乾淨的 區段。熟悉此技藝之人士皆瞭解,在此清除處理程序中, 可額外的將處理器設定為對部分内容資料執行明顯的校 正。例如,由於明顯的省略某些資料位元而形成壞的聰 檔案。在具有這樣明顯錯誤的例子中,可於清除處理程序 d門加入遺失的位元,以修改部分的内容資料。 次在上述第一實施例中所產生的湊雜係適用於主動内容 資料的任何部分。若該腳本、巨指令以及可執行碼被修正 ,不具有語意上的差異,則所有不同版本的主動内容資料 可=會產生不同的凑雜,並且必須將所有的湊雜登記於凑 雜貝料庫中。為了避免這個狀況,因此可以將腳本、巨指 45 3〇44~9246-PF;Ahddub 200825836 令以及可執行碼正規化,因此可於產生即將儲存於湊雜資 料庫中的湊雜之前移除配置與變異名稱改變。例如,可移 除所有的空白與換行,並且以標準符號取代所有的變異名 稱。即使所產生的腳本、巨指令或是可執行碼可能表現為 無效的,當功能性相同但是具有不同潤釋的腳本、巨指令 或是可執行碼被正規化為相同的文字時,這個問題就變得 不重要了。例如,下列部分程式碼係定義了可於HTML檔案 内所接收的Javascript功能。
function detectBrowserO { var browser=navigator. appNarae; var b一version=navigator· appVersion; var version=parseFloat(b— version); if ((browser=” Netscape” 11 browser==,> Microsoft Internet Explorer” ) M (version>=4)) { /^Browser okay, do nothing*/ } else、 { “ alert( “To get full functionality you need to upgrade your browser” ); } } 藉由移除所有的空白(字串外部)並且以標準名稱(在 此例中為$<n>,其中<n>為對每個變數增加的次數)取代所 有變數可以將此部分的程式碼正規化。在此實施例中,正 規化後的程式碼如下: funct i ondetectBrowser(){var$1=nav i gator. appName;var$2=navi gator. appVersion;var$3=parseFloat($2);if(($l==” Netscape” I|$1==” Micr 3044-9246-PF;Ahddub 46 200825836 osoft Internet Explorer" )&&($3>=4)){/^Browser okay, do nothingV}else{alert( "To get full functionality you need to upgrade your browser” );}} 在上述第一實施例中所產生的湊雜係適用於部分的主 動内容資料。熟悉此技藝之人士皆瞭解,兩種不同腳本、 巨才0令或疋可執行碼的函式可產生相同的凑雜。為了降低 此情況發生的可能性,可以在產生湊雜之前藉由以預定且 可重複的方法增加隨機位元來暗存(sa 11)腳本、巨指令咬 是可執行碼,使其更難以如同已註冊腳本般的讓惡意腳本
通過。熟悉此技藝之人士皆瞭解,藉由這樣的方法修改主 動内容資料,將使得熟悉湊雜資料庫的人更難產生如同許 可主動内容資料般通過的惡意腳本、巨指令或是可執行 碼,因為製造者在湊雜產生之前並不具有修改或變更内容 之處理程序的知識。 在上述第一實施例中,湊雜資料庫106為單一資料 庫,用來儲存適用於先前標示為非惡意的主動内容資料之 所有凑雜。熟悉此技藝之人士皆瞭解,凑雜資料庫可用來 儲存複數資料庫,例如適用於每個已知類型之腳本、巨扑 令或是可執行碼的資料庫。在此方法中係針對主動内容資 料的類型來查找湊雜f料庫,例如由於該凑雜符合已註冊 Javascnpt,使得VB腳本無法錯誤地的通過。 :外’必須瞭解的是’對於前述任何實施例的其他選 擇來任何㈣設備可讓制者於接收電切案時手動 ,驅動任㈣毒應用程式或是來源過據應用程式所做的決 疋。也就疋’當防毒應用程式令的符合度分析裝置封鎖部 3044-9246-PF;Ahddub 47 200825836 刀或t封電子郵件時,由於其不一致性,使用者可選擇允 許重新產生不一致的檔案並將其重編入電子郵件中。實現 此垃擇的一種方法為供應指定收件者文字警告訊息,並詢 門收件者疋否允許被分析為不一致的電子郵件如同符合預 定許可格式般的通過系統。若可重編電子郵件,則對於此 警告訊息的回應係提供符合度分析裝置再生指令。另外, 允許原始電子郵件通過防毒應用程式以及來源過濾、應用程 式並且在不執行再生的情況下通過系統。 另外,必須瞭解的是,如上述第二實施例所述之防毒 應用程式可設置於除了 ISp電子郵件伺服器之外的其他地 方。例如,防毒應用程式可設置並安裝於收件者的電子郵 件客戶伺服器t。在此方法中,任何從電子郵件客戶飼服 器遞送至硬碟上收件者之收件夾的電子郵件為如上述之再 生電子郵件。 另外,必須瞭解的是,防毒應用程式可固線於半導體 裝置中,例如矽、砷化_(GaAs)、磷化銦(Inp),然其並非 用以限定本發明的範圍。也就是,防毒應用程式可計 ,的任,,其不需要對處理程序更新對預定義符合格式的 定義。實現防毒應用程式之任務所需要的指令包括可於任 何適當半導體裝置上實現的解析、分析、再生以及重編程 序另外,實現防毒應用程式所需要的指令可儲存於半永久 或永久記憶裝置。接下來,記憶裝置可 衣直了用來執行關於連結 處理器的防毒應用程式。在這些例子 j钕供與本發明 待防護之電腦不同的電腦,作為包含 U %侍防護電腦之 48 3044-9246-PF;Ahddub 200825836 處理器以及記憶體的個別裝置(例如數據卡、網路卡或是硬 碟驅動控制器中的個別裝置)。其優點為可完全地將輸入電 子檔案與檔案系統以及其他待防護電腦之資源隔離,並將 其儲存於無法正常寫入或更新的位置,以避免防毒應用^ 式本身破解密碼的攻擊’換句話說也就是實體防護等級。 半導體裝置係由處理器以及記憶裝置所構成,其中處理器 係執行記憶裝置中的防毒應用程式,並且將輪入槽案儲存 於記憶裝置中而隔離之。 另外,必須瞭解的是 統方法之任何適當網路卡的一部分。在此方法中,用於通 訊網路中的網路卡為可藉由使用上述方法重新產生已接收 電子檔案來確保網路對不期望碼或資料執行防護的裝置。 另外,必須瞭解的是,藉由電腦裝置可接收第一實施 例中所述之電子檔案,纟中電子權案係儲存於可移除二記 憶裝置中°例如’電子檔案可儲存於直接連接或是透過無
線媒體連接至電腦裝置的USB磁碟裝置、知巷 ^ ^ 3慧卡、保全數 位(secure digital,SD)記憶裝置、多媒 夕綠體卡(multi media card,MMC)記憶裝置、XD卡、軟碟、 乙丄r磁碟、可攜式硬 碟或是其他適當的記憶裝置中。 另外,必須瞭解的是,此應用 # A甲的作業系統可以 為使用檔案的任何系統。例如,嵌 路卡等等。 入入式系、絶、路由器、網 另外,必須瞭解的是’其他編碼方法可用 已接收可執行槽案無法自動的被執行。例浚 來確保任何 編碼方法係 3044-9246-PF;Ahddub 49 200825836 4t 使用位元組交換方法來儲存每對輸入位元組。在此實施例 中,若防毒應用程式依序接收6位元組ABcdef,並且依下 列順序儲存於記憶體中BADCFE。第一位元組(A)係儲存於 第二記憶體位置,且第二位元組⑻係儲存於第一記憶體位 置。每-對已接收位元係倒置的出現於接下來的記憶體位 置:在此方法中,任何可執行碼無法自動的執行,並且任 何受感染的電子檔案無法感染防毒應用程式或是目的地作 業統。 纟上述實施例中,目的地“係接收電子檔案來進行 處理。熟悉此技藝之人士皆瞭解,當處理通訊串流内的槽 f資料時’資料係以定量或封包的方式到達目的地系統: 錯由計算定量或封包資料可形成整個待處理的電子播案。 -般來說,接收整個電子樓案並且儲存於連續的:憶體 中。在這樣的例子中,若必須分析電子檔案中不同位置的 資料以確認電子檔案,由於整個權案出現於記憶體中使得 這樣的處理程序為可行的。例如,例如網路卡或路由琴之 裝置通常具有受限的記憶體資源,且其可能不適用於暫存 這些裝置内要執行的整個電子播案。在這樣的環境中,來 源裝置(例如傳送者的電腦)將具有比資源受限網路裝置更 多的資源。來源裝置可因而被設定為用來重新寫入電子广 二:得所有必須由防毒應用程式一起處理的相關檔案: 段將』序流至來源受限裝置。在此方法中,來源受 置不需要暫存整個電子權案,且可使用較小的緩衝器來儲 存待處理播案的這些部分。一旦部分電子權案經過處理並 304 4-924 6-PF;Ahddub 50 200825836 且被判定為非惡意的,該部分可以被再生並且立即傳送至 目的地裝置(例如收件者的電腦)。若在此方法中使用全緩 衝方法,則可達成相對於叢發性型態傳輸的串流資料傳 輸,其中資料串流係持續開始並中止。 本發明雖以較佳實施例揭露如上,然其並非用以限定 本’X月的範圍’任何熟習此項技藝者,在不脫離本發明之 精神和範圍内’當可做些許的更動與潤飾,因此本發明之 保濩耗圍當視後附之申請專利範圍所界定者為準。 【圖式簡單說明】 第1圖顯不根據本發明實施例所述之電子檔案系統。 第2圖顯示用於本發明實施例的電腦系統。 第3圖顯示根據本發明實施例所述之處理程序的流程 圖。 第 ® ”、、員示根據本發明實施例所述之發展與測試方法 的流程圖。 第5圖顯示第4圖所示之發展與測試方法的示意圖。 第6圖顯示根據本發明另一實施例所述之發展與測試 的示意圖。 第7圖顯示根據本發明第二實施例所述之電子郵件系 統的方塊圖。 第8圖顯示根據本發明第二實施例所述之處理程序的 流程圖。 第9圖顯示形成電子郵件之不同部分配置的示意圖。 3044-9246-PF;Ahddub 51 200825836 第ίο 的流程圖。 圖顯示根據本s明第ζ實施例所i之處理程 【主要兀件符號說明】 101〜電子檔案,· 102〜來源; 10 3〜傳輪媒介; 〜防毒應用程式; 106〜凑雜資料庫; 107〜作業系統; 109〜目的地系統; 111〜輸入介面; 113〜處理器; 115〜剖析器; 117〜記憶裝置; 119〜可移除式媒體驅動器; 120〜CD ; 1 21、123〜輸出介面; 12 5〜顯示器; 127〜鍵盤; 131〜符合度分析器; 133〜湊雜產生器; 134〜湊雜核對器; 135〜内容再生器; 501〜MP3檔案; 503〜再生MP3檔案; 601〜JPEG影像檔案; 6 0 3〜錯誤分離模組; 607〜子目錄; 2 01〜來源位置; 203〜網際網路; 205〜網際網路服務業者; 209〜輸出連結; 207〜電子郵件客戶伺服器; 211〜輸入連結; 901 〜RFC822 標頭; 909〜文字; 915〜文字/HTML ; 9 2 7〜可執行碼; 921〜ZIP槽案(基本64編碼) 905 、 911 、 917 、 923 、 929〜邊界; 903 、 907 、 913 、 919 、 925〜MIME標頭。 3044-9246-PF;Ahddub 52
Claims (1)
- 200825836 十、申請專利範圍: 1 · 一種處理方法,適爾HbV各 用於處理一電子檔案,包括: 辨識上述電子檔案中的、 的部分内容資料; 判斷上述已辨識部分内容 、;斗疋否為具有一固定目的 的被動内容資料,或是且右一 "、有相關功能的主動内容資料; 若判定上述已辨識部分 、 U谷貝杆為被動内容資料 判斷上述部分被動内容眘 、 —.、tt 鬥谷貝枓的一檔案型態或是通訊協 疋,以及 若上述被動内容資料符合包 匕3對應於上述檔案類型或 通訊協定的一組規則之一 、 頂疋貝料格式,則判斷上述部分 被動内谷資料是否會被重新產生; 若判定上述已辨識部分内容資料為主動内容資料,則 分析上述部分主動内容資料 貝针孓判疋上述部分主動内容資料 疋否即將被重新產生;以及 若判定即將重新產生上述部分内容資料,則 上述部分内纟資料以建卜再生電子播案。 2.如申明專利範圍第j項所述之處理方法,其中上 電子檔案包括複數部分内容資料,且其中上述處理方 處理每個上述複數部分内容資料來判斷是否需要重新產味、 每個部分主動内容資料,並且重新產生這些被判定必須重 新產生的部分内容資料而產生一再生電子檔案。 3.如申凊專利範圍第2項所述之處理方法,更包括判 定一清除模式為致能或去能的步驟,若至少一部份主| 容資料被判定為不需要重新產生且上述清除模式:去能内 3044-924β-PF/Ahddub 53 200825836 則不執行上述重新產生部分内容資料而產生再生電子播案 的步驟。 4.如申請專利範圍第3項所述之處理方法,若至少_ 部分主動内容資料不需要被重新產生且上述清除模式為去 能’則上述電子檔案會被設置於隔離所中。 5 ·如申請專利範圍第1至4項中任一項所述之處理方 法’其中上述分析部分主動内容資料的步驟包括: 產生用於上述部分主動内容資料的一湊雜; r 判斷所產生的上述湊雜是否出現於已知主動内容資料 的一湊雜資料庫中;以及 若所產生的上述湊雜出現於湊雜資料庫中,則判定上 述部分主動内容資料即將被重新產生。 6.如申請專利範圍第丨至5項中任一項所述之處理方 法,其中上述電子檔案甲的一部份被動内容資料包括複數 子部分被動内容資料,纟中對上述每個子部分執行處理可 用來判斷上述子部分被動内容資料是否符合一預定資料格 式,右所有上述子部分皆符合一預定資料格式,則判定上 述部分被動内容資料符合上述預定資料袼式。 7.如申請專利範圍第6項所述之處理方法,其中每個 上述複數子部分被動内容資料皆具有不同的檔案類型。 、8.如申請專利範圍第項中任_項所述之處理方 法,其中上述分析部分主動内容資料的步驟係藉由使用一 第三者防毒制程式處理上述部分主動内容資料來判定是 否需要重新產生上述部分主動内容資料。 疋 54 3044-9246-PF;Ahddub 200825836 1至8項中任一項所述之處理方 料包括文字、圖像、影音或是視 9 ·如申請專利範圍第 法,其中上述被動内容資 訊内容資料。 .如中請專利範圍第1至9項中任-項所述之處理方 法其中上述主動内容資料包括腳本、巨指令或是可執行 碼0、11.如中請專利範圍第i i 1G項中任—項所述之處理 吹八中右無法判定上述部份被動内容資料之目的預定 資料格式’則將分析該部分被動内容資料作為部分主動内 容資料來分析。 12. 如申請專利範圍第5項所述之處理方法,更包括正 規化部分主動内容資料的步驟,且其中上述產生湊雜的步 驟係產生用於已正規化部分主動内容資料的—凑雜。 13. 如申請專利範圍第5項所述之處理方法,更包括以 預定且可f複的方式變更部分主動内容資料的步驟,且其 中上述產Μ雜的㈣係產生用於以變更部分主動内容資 料的一湊雜。 14·如申請專利範圍第1 i 13項中項所述之處理 方法’更包括將編碼格式的上述電子播案儲存於記憶體中。 15. 如申請專利範圍第14項所述之處理方法,其甲資 料的每個位元組係以位元反置順序而儲存。 16. 如申請專利範圍第14項所述之處理方法,其甲儲 存上述資料,使得所接收的每對資料位元組設置為反置記 憶體順序。 3 〇 4 4-92 4 β-PF;Ahddub 55 200825836 、I7·如申請專利範圍第1至16項中任一項所述之處理 法更包括以警告文字取代判定不需要重新產生的部分 内容資料。 I8.如申請專利範圍第1項所述之處理方法,其中上述 電子槽案係為—電子郵件,且上述方法更包括將重新產生 的上述電子郵件轉寄至指定收件者。 一 19.如申請專利範圍帛i項所述之處理方法,更包括從可移除式記憶裝置接收上述電子檔案,並且將重新產生 的上述電子檔案轉寄至一運算裝置。 2〇·—種預處理方法,用來預處理即將傳送至一處理模 組的一電子檔案,包括: 、 、 重新寫入上述電子播案,使得即將被上述處理模組共 同處理的#分電子檔案依序的設置;以及 將上述重新寫人的電子檔案傳送至上述處理模扭。 .21.如申請專利範圍第2〇項所述之預處理方法,更包於上述處理模組處接收部分 案; 上述重新寫入的電子檔 將上述所接收上述部分重新寫入的電子 緩衝器中;以及 一旦接收所有即將共同處理的部分後,處理緩衝号中 所接收上述部分重新寫入的電子檔案。 22.-種測試方法,用來測試—電子檔案之— 生模組,包括: 刀析與再 3044-9246-PF;Ahddub 56 200825836 接收上述電子檔案; 使用上述分析與再生模組來處理所接收的上述電子檔 案’以產生一再生電子檔案; 使用上述分析與再生模組處理上述再生電子檔案;以 及 … 右使用上述分析與再生模組來處理上述再生電子檔案 而產生另-再生電子檔案,則判斷上述分析與再生模:是 否正確的運作。 23·如申請專利範圍第22項所述之測試方法,其中上 述分析與再生模組係根據申請專利範圍第丨項至第Μ項中 的任一方法處理一電子檔案。 、24· 一種處理方法,使用一處理模組來處理一目錄中的 複數電子槽案,上述處理模組係分析一電子檀案並回傳一 文子串列的處理結果,對每個上述複數電子檔案皆包括下 列步驟: 使用上述處理模組來處理上述電子檔案; 接收文字串列的回傳處理結果; 根據上述已接收文字串列產生具有一目錄名稱的一子 目錄; 將上述電子檔案移動至所建立的上述子目錄。 25.如申請專利範圍第24項所述之處理方法,其中上 述處理模組係根據申請專利範圍第j項至第丨g項中的任一 方法處理一電子檔案。 26· —種電腦可讀取媒體,包括一電腦程式,上述電腦 3044-9246-PF;Ahddub 57 200825836 述電腦程式執行於-電腦時用來執行申請專利 靶圍第1項至第25項中的任—方法。 27·—種半導辦驴$ 裝置’包括包含複數指令的一記惰體 置,用來執行申請專利r阁蚀 已K體裝 灯〒叫專利乾圍$ i項至第25項中的任一方法 况如申請專利範圍第27項所述之半導體裝置,盆 上述+導體裝置係為-半永久或永久記憶裝置。 29·—種網路卡’包括中請專利範圍第27或28項所述 之上述半導體裝置。 、斤之30.—種處理裝置,用來處理一電子檔案,包括: 用來辨識上述電子檔案中的一部份内容資料的裝置; 用來判斷所辨識的上述部分内容資料為具有一固定目 的的被動内容資料或是具有一相關功能的主動内容資料的 >用來判斷部分被動内容資料之一檔案類型或是通訊協 定的裝置’藉由判斷上述被動内容資料是否符合包含對應 於上述檔案類型或通訊協定的一組規則之一預定資料格式 來判斷部分被動内容資料是否需要重新產生的裝置; 用來分析部分主動内容資料以判斷部分主動内容資料 是否必須重新產生的裝置;以及 ' 用以當部分内容資料被判定為必須重新產生時,用來 重新產生部分内容資料而產生一再生電子檔案的裝置。 31·如申請專利範圍第30項所述之處理裝置,其中上 述電子檔案包括複數部分内容資料,且其中上述裝置係用 來處理每個上述複數部分内容資料,以判斷每個部分内容 3044-9246-PF;Ahddub 58 200825836 資料是否必須重新產生’並且重新產生這些判定必須重新 產生的σ卩刀内谷資料以建立一再生電子檔案。 32,如申請專利範圍第31項所述之處理裝置,更包括 用來判斷一清除模式為致能或去能的裝置,若至少—部份 主:内容資料被判定為不需要重新產生且上述清除模式: 去此’則不使用上述重新產生部分内容資料的裝置,因而 不產生一再生電子檔案。 33· 士申明專利範圍第32項所述之處理裝置,其中當 至少一部分被動内容資料被歡為不需要重新產生^上: 清除模式為去料,上述裝置將上料子_設置於隔離 所0 # 34·如申請專利範圍第3〇至%項中任一項所述之處理 竑置其中係使用上述用來分析部分主動内容資料的裝置 產生用於上述部分主動内容資料的一湊雜; 判斷所產生的上述湊雜是否出現於已知主動内容資料 的一湊雜資料庫中;以及 、 * “疋所產生的上述湊雜出現於已知主動内容資料的 湊雜資料庫中,則判斷是否需要重新產生部分主動内容資 料。 35·如申請專利範圍第3〇至“項中任一項所述之處理 裝置丄其中用來判斷部分被動内容資料之權案類型或是通 疋的裝置包括複數符合度分析器,每個上述符合度分 析态係與特定檔案類型或通訊協定相關。 3044-9246-PF;Ahddub 59 200825836 36·如申請專利範圍第35項所述之處理裝置,其中上 述電子槽案中的部分被動内容資料包括複數子部分被動内 容資料,且個別的上述複數符合度分析器係處理每個上述 子《卩分,以判斷上述子部分被動内容資料是否符合一預定 資料格式。 37·如申請專利範圍第30至36項中任一項所述之處理 裝置’其中上述用來重新產生部分内容資料的裝置包括複 數内谷再生器,每個内容再生器係與特定檔案類型或是通 : 訊協定相關。 38·如申請專利範圍第3〇至37項中任一項所述之處理 裝置’其中上述用來分析部分主動内容資料的裝置係藉由 使用一第二者防毒應用程式處理上述部分主動内容資料來 断上述σ卩为主動内容資料是否需要被重新產生。 39·如申請專利範圍第3〇至38項中任一項所述之處理 凌置,其中上述被動内容資料包括文字、圖像、影音或是 視訊内容資料。 I η •如申請專利範圍第30至39項中任一項所述之處理 哀置,其中上述主動内容資料包括腳本、巨指令或是可執 行ζ馬。 41·如申請專利範圍第3〇至4〇項中任一項所述之處理 裝置其中若上述用來判斷部分被動内容資料之目的預定 資料類型的裝置無法判斷用於該部分被動内容資料之目的 預疋貝料類型,則上述用來分析部分主動内容資料的裝置 更可用來分析部分被動内容資料。 3044-9246-PF;Ahddub 60 200825836 42·如申請專利範圍第3〇至41項中任一項所述之處理 裝置’更包括用來正規化部分主動内容資料的裝置。 43·如申請專利範圍第3〇至42項中任一項所述之處理 裝置’更包括用來將上述電子槽案以_編竭格式儲存於記 憶體中的裝置。 44·如申請專利範圍第43項所述之處理裝置,其中每 個位元組的資料係以位元反置順序儲存。 45·如申請專利範圍第43項所述之處理裝置,其中上述資料係健存,使得所接收的每對資料位元組係以反置記 憶體順序而設置。 46·如申請專利範圍第3()至45項中任_項所述之處理 裝置,其中上述用來再生—電子檔案的裝置更以警告文字 取代判定為不需要重新產生的部分内容資料。 、47.如中請專利範圍第3{)項所述之處理裝置, 述電子檔案係為一電子郵件, 且上述裝置更包括用來將上 再生電子郵件轉寄至指定收件者的裝置。 …48.如申請專利範圍第3〇項所述之處理裝置 仗-可移除式記憶裝置接收上括 ±^ Μ ^ Φ ^ ^ ^ 电丁展置的裝置,以及將 電子私案轉寄至一電腦裝置的裝置。 49. 一種預處理系統,用來卢 測非惡意資料7即將被傳送至用來痛 耦、、且的一電子郵件,包括·· 辨識在藉由上述處理模組八 Jt m ^ 、、’刀析非w忍碼的過程中必須 Π執仃之個別部分檔案的裝置; 、 用來重新寫入上述電子 檔案使得即將共同處理的上述 3〇44-9246-PF;Ahddub 〇1 200825836 部分連續設置的裝置;以及 用來將重新寫入之上述電子檔案傳送至上述處理模址 的裝置。 、、 50.如申請專利範圍第49項所述之預處㈣統,更包 括一處理模組,用來·· 接收部分重新寫入的上述電子檔案,· 將上述所接收部分重新寫入的電子楷案儲存於一緩衝 器中;以及 -旦在接收整個標案之前接收所有即將一起處理的部 分,則處理已緩衝的上述已接收部分重新寫人的電子播案。 51.-種測試系統,用來測試一電子權案分析與再生模 組,包括: 、 用來接收上述電子檔案的裝置; 一分析與再生模組用來處理所接收的上述電子稽案而 產生一再生電子檔案; 其中上述系統係藉由倍用 _㈣上4分析與再生模組來執行 上述再生電子彳當牵,Θ r〇 … 帛且右使用上述分析與再生模組來處理 上述再生電子檔案而產生 生電子祂案,則上述分析 〃再生杈組被判定為正確的運作。 述八Γ盘如申請專利範圍第51項所述之測試系統,其中上 ='、:生模組係為根據申請專利範圍第30項至第48 頁之任者所述之裳置。 53· —種處理系統, 置,包括· 处里一目錄中的複數電子裝 62 3044-9246-PF;Ahddub 200825836 一處理模組, 用來分析_電子檔 . …案並且回傳一文宝虫 列處理結果; 口丨矛又子串根據上述回傳的文拿虫 哥扪文子串列建立具有一目目錄的裝置; 置 錄名稱之一子用來將上述電子檔案移動至上述所建立之子目 錄的裝 、54.如申請專利範圍第53項所述之處理系統,其中上 述處理模組係為根據申請專利範圍第3〇項至第48項之任 一者所述之裝置。 附圖不所描述的電 55· —種處理裝置,用來處理參照所 子檔案。 5 6 · —種測試系統’用來測試並發 知展參照所附圖示所描 达的電子檔案。 3044-9246~PF;Ahddub 63
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
GB0624224A GB2444514A (en) | 2006-12-04 | 2006-12-04 | Electronic file re-generation |
Publications (2)
Publication Number | Publication Date |
---|---|
TW200825836A true TW200825836A (en) | 2008-06-16 |
TWI488065B TWI488065B (zh) | 2015-06-11 |
Family
ID=37671847
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104108578A TWI534650B (zh) | 2006-12-04 | 2007-11-12 | 電子檔案處理方法以及相關之處理裝置 |
TW096142679A TWI488065B (zh) | 2006-12-04 | 2007-11-12 | 電子檔案處理方法、預處理方法及測試方法、以及相關之處理裝置、預處理系統及測試系統 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW104108578A TWI534650B (zh) | 2006-12-04 | 2007-11-12 | 電子檔案處理方法以及相關之處理裝置 |
Country Status (10)
Country | Link |
---|---|
US (3) | US8533824B2 (zh) |
EP (1) | EP2089829A2 (zh) |
JP (3) | JP5069308B2 (zh) |
CN (2) | CN103530558A (zh) |
AU (1) | AU2007330580B2 (zh) |
CA (1) | CA2671804C (zh) |
GB (1) | GB2444514A (zh) |
MY (2) | MY170629A (zh) |
TW (2) | TWI534650B (zh) |
WO (1) | WO2008068450A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8505080B2 (en) | 2011-08-26 | 2013-08-06 | National Taiwan University Of Science And Technology | Method for generating cross-site scripting attack |
TWI494787B (zh) * | 2012-05-28 | 2015-08-01 | Hung Chi Lin | Vba模組隱藏方法 |
Families Citing this family (176)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US8615800B2 (en) * | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US20080141376A1 (en) * | 2006-10-24 | 2008-06-12 | Pc Tools Technology Pty Ltd. | Determining maliciousness of software |
US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
US9729513B2 (en) * | 2007-11-08 | 2017-08-08 | Glasswall (Ip) Limited | Using multiple layers of policy management to manage risk |
GB0709527D0 (en) | 2007-05-18 | 2007-06-27 | Surfcontrol Plc | Electronic messaging system, message processing apparatus and message processing method |
CN102077201A (zh) | 2008-06-30 | 2011-05-25 | 网圣公司 | 用于网页的动态及实时归类的系统及方法 |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) * | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US8881287B1 (en) * | 2009-03-20 | 2014-11-04 | Symantec Corporation | Systems and methods for library function identification in automatic malware signature generation |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
GB201008868D0 (en) | 2010-05-27 | 2010-07-14 | Qinetiq Ltd | Computer security |
JP5779334B2 (ja) | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
US9369438B2 (en) | 2011-05-20 | 2016-06-14 | Bae Systems Plc | Supervised data transfer |
CN102855432B (zh) | 2011-06-27 | 2015-11-25 | 北京奇虎科技有限公司 | 一种文件、文件夹解锁和删除方法及系统 |
US11126720B2 (en) | 2012-09-26 | 2021-09-21 | Bluvector, Inc. | System and method for automated machine-learning, zero-day malware detection |
US9292688B2 (en) * | 2012-09-26 | 2016-03-22 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US8813242B1 (en) * | 2013-02-25 | 2014-08-19 | Mobile Iron, Inc. | Auto-insertion of information classification |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
EP3014443B1 (en) * | 2013-06-24 | 2020-06-10 | Cylance Inc. | Automated system for generative multimodel multiclass classification and similarity analysis using machine learning |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US20150082424A1 (en) * | 2013-09-19 | 2015-03-19 | Jayant Shukla | Active Web Content Whitelisting |
CN105493095A (zh) * | 2013-09-24 | 2016-04-13 | 迈克菲股份有限公司 | 用于样本提交的自适应和递归过滤 |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
GB2518880A (en) * | 2013-10-04 | 2015-04-08 | Glasswall Ip Ltd | Anti-Malware mobile content data management apparatus and method |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
DE102013226171A1 (de) * | 2013-12-17 | 2015-07-02 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zur Übertragung von Daten |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
US10469510B2 (en) * | 2014-01-31 | 2019-11-05 | Juniper Networks, Inc. | Intermediate responses for non-html downloads |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US9306940B2 (en) | 2014-09-08 | 2016-04-05 | Square, Inc. | Mitigating risk of account enumeration |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9419991B2 (en) * | 2014-09-30 | 2016-08-16 | Juniper Networks, Inc. | De-obfuscating scripted language for network intrusion detection using a regular expression signature |
US9832216B2 (en) | 2014-11-21 | 2017-11-28 | Bluvector, Inc. | System and method for network data characterization |
US9330264B1 (en) | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
JP2017142552A (ja) * | 2016-02-08 | 2017-08-17 | 株式会社日立アドバンストシステムズ | マルウェア注意喚起装置および方法 |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US20170353475A1 (en) | 2016-06-06 | 2017-12-07 | Glasswall (Ip) Limited | Threat intelligence cloud |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
JP2018063563A (ja) * | 2016-10-12 | 2018-04-19 | Jns株式会社 | コンピュータ装置及びコンピュータシステム |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US9858424B1 (en) | 2017-01-05 | 2018-01-02 | Votiro Cybersec Ltd. | System and method for protecting systems from active content |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10331889B2 (en) | 2017-01-05 | 2019-06-25 | Votiro Cybersec Ltd. | Providing a fastlane for disarming malicious content in received input content |
US10331890B2 (en) | 2017-03-20 | 2019-06-25 | Votiro Cybersec Ltd. | Disarming malware in protected content |
US10015194B1 (en) | 2017-01-05 | 2018-07-03 | Votiro Cybersec Ltd. | System and method for protecting systems from malicious attacks |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
JP6671693B2 (ja) * | 2018-06-27 | 2020-03-25 | 株式会社プロット | 電子ファイルの無害化処理プログラム、電子ファイルの無害化処理方法および記録媒体 |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11347851B2 (en) * | 2019-02-25 | 2022-05-31 | Saudi Arabian Oil Company | System and method for file artifact metadata collection and analysis |
US10992703B2 (en) * | 2019-03-04 | 2021-04-27 | Malwarebytes Inc. | Facet whitelisting in anomaly detection |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
TWI723664B (zh) * | 2019-12-05 | 2021-04-01 | 中華電信股份有限公司 | 惡意圖像檔案淨化方法及系統 |
CA3205712A1 (en) | 2021-01-29 | 2022-08-04 | Petra VUKMIROVIC | Machine learning methods and systems for determining file risk using content disarm and reconstruction analysis |
Family Cites Families (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5050212A (en) | 1990-06-20 | 1991-09-17 | Apple Computer, Inc. | Method and apparatus for verifying the integrity of a file stored separately from a computer |
US5649095A (en) | 1992-03-30 | 1997-07-15 | Cozza; Paul D. | Method and apparatus for detecting computer viruses through the use of a scan information cache |
US5655130A (en) | 1994-10-14 | 1997-08-05 | Unisys Corporation | Method and apparatus for document production using a common document database |
US5745897A (en) | 1994-11-21 | 1998-04-28 | Bay Networks Group, Inc. | Method and system for compiling management information base specifications |
NL1000669C2 (nl) * | 1995-06-26 | 1996-12-31 | Nederland Ptt | Werkwijze en inrichtingen voor het overdragen van data met controle op transmissiefouten. |
US6493761B1 (en) | 1995-12-20 | 2002-12-10 | Nb Networks | Systems and methods for data processing using a protocol parsing engine |
US5832208A (en) | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US6144934A (en) | 1996-09-18 | 2000-11-07 | Secure Computing Corporation | Binary filter using pattern recognition |
US5951698A (en) * | 1996-10-02 | 1999-09-14 | Trend Micro, Incorporated | System, apparatus and method for the detection and removal of viruses in macros |
JPH10143403A (ja) * | 1996-11-12 | 1998-05-29 | Fujitsu Ltd | 情報管理装置および情報管理プログラム記憶媒体 |
US6807632B1 (en) * | 1999-01-21 | 2004-10-19 | Emc Corporation | Content addressable information encapsulation, representation, and transfer |
JPH11224190A (ja) * | 1998-02-09 | 1999-08-17 | Yaskawa Electric Corp | コンピュータネットワーク網に接続した計算機の保護方法及びそのプログラムを記録した記録媒体 |
US6401210B1 (en) * | 1998-09-23 | 2002-06-04 | Intel Corporation | Method of managing computer virus infected files |
US6336124B1 (en) | 1998-10-01 | 2002-01-01 | Bcl Computers, Inc. | Conversion data representing a document to other formats for manipulation and display |
US6519702B1 (en) | 1999-01-22 | 2003-02-11 | Sun Microsystems, Inc. | Method and apparatus for limiting security attacks via data copied into computer memory |
US7391865B2 (en) | 1999-09-20 | 2008-06-24 | Security First Corporation | Secure data parser method and system |
WO2001026004A2 (en) | 1999-10-04 | 2001-04-12 | Kana Communications, Inc. | Method and apparatus for interprocess messaging and its use for automatically generating transactional email |
US6697950B1 (en) | 1999-12-22 | 2004-02-24 | Networks Associates Technology, Inc. | Method and apparatus for detecting a macro computer virus using static analysis |
US7225181B2 (en) | 2000-02-04 | 2007-05-29 | Fujitsu Limited | Document searching apparatus, method thereof, and record medium thereof |
DE60122033D1 (de) | 2000-02-04 | 2006-09-21 | Aladdin Knowledge Systems Ltd | Schutz von Computernetzen gegen böswillige Inhalte |
US7093135B1 (en) | 2000-05-11 | 2006-08-15 | Cybersoft, Inc. | Software virus detection methods and apparatus |
GB2357939B (en) | 2000-07-05 | 2002-05-15 | Gfi Fax & Voice Ltd | Electronic mail message anti-virus system and method |
GB0016835D0 (en) | 2000-07-07 | 2000-08-30 | Messagelabs Limited | Method of, and system for, processing email |
US7636945B2 (en) | 2000-07-14 | 2009-12-22 | Computer Associates Think, Inc. | Detection of polymorphic script language viruses by data driven lexical analysis |
US6895011B1 (en) * | 2000-08-15 | 2005-05-17 | Lucent Technologies Inc. | Method and apparatus for re-sequencing data packets |
JP4415232B2 (ja) | 2000-10-12 | 2010-02-17 | ソニー株式会社 | 情報処理装置および方法、並びにプログラム記録媒体 |
US9311499B2 (en) | 2000-11-13 | 2016-04-12 | Ron M. Redlich | Data security system and with territorial, geographic and triggering event protocol |
US7322047B2 (en) | 2000-11-13 | 2008-01-22 | Digital Doors, Inc. | Data security system and method associated with data mining |
JP2002259187A (ja) | 2001-03-01 | 2002-09-13 | Nec Corp | 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム |
US6895534B2 (en) | 2001-04-23 | 2005-05-17 | Hewlett-Packard Development Company, L.P. | Systems and methods for providing automated diagnostic services for a cluster computer system |
US7058858B2 (en) | 2001-04-23 | 2006-06-06 | Hewlett-Packard Development Company, L.P. | Systems and methods for providing automated diagnostic services for a cluster computer system |
US8095597B2 (en) * | 2001-05-01 | 2012-01-10 | Aol Inc. | Method and system of automating data capture from electronic correspondence |
US7502829B2 (en) | 2001-06-21 | 2009-03-10 | Cybersoft, Inc. | Apparatus, methods and articles of manufacture for intercepting, examining and controlling code, data and files and their transfer |
CN100346338C (zh) | 2001-07-12 | 2007-10-31 | 捷讯研究有限公司 | 用于为移动通信设备提供远程数据访问和代码转换的系统和方法 |
US7526572B2 (en) | 2001-07-12 | 2009-04-28 | Research In Motion Limited | System and method for providing remote data access for a mobile communication device |
US7487544B2 (en) | 2001-07-30 | 2009-02-03 | The Trustees Of Columbia University In The City Of New York | System and methods for detection of new malicious executables |
US6947947B2 (en) * | 2001-08-17 | 2005-09-20 | Universal Business Matrix Llc | Method for adding metadata to data |
US20040008368A1 (en) | 2001-09-07 | 2004-01-15 | Plunkett Michael K | Mailing online operation flow |
GB2381170A (en) * | 2001-10-19 | 2003-04-23 | Ipwireless Inc | Method and arrangement for asynchronous processing of CCTrCH data |
US20030079142A1 (en) | 2001-10-22 | 2003-04-24 | Aladdin Knowledge Systems Ltd. | Classifying digital object security category |
US20030079158A1 (en) | 2001-10-23 | 2003-04-24 | Tower James Brian | Secured digital systems and a method and software for operating the same |
CN1352426A (zh) * | 2001-11-26 | 2002-06-05 | 北京实达铭泰计算机应用技术开发有限公司 | 一种计算机病毒防御方法 |
US7363506B2 (en) * | 2002-01-30 | 2008-04-22 | Cybersoft, Inc. | Software virus detection methods, apparatus and articles of manufacture |
US6922827B2 (en) | 2002-02-22 | 2005-07-26 | Bea Systems, Inc. | Iterative software development environment with prioritized build rules |
US20030163732A1 (en) | 2002-02-28 | 2003-08-28 | Parry Travis J. | Device-specific firewall |
US7171691B2 (en) | 2002-04-10 | 2007-01-30 | International Business Machines Corporation | Content sanitation via transcoding |
US20030229810A1 (en) | 2002-06-05 | 2003-12-11 | Bango Joseph J. | Optical antivirus firewall for internet, LAN, and WAN computer applications |
US7240279B1 (en) | 2002-06-19 | 2007-07-03 | Microsoft Corporation | XML patterns language |
DE10235819B4 (de) | 2002-08-05 | 2005-12-01 | Utz Schneider | Verfahren und Anordnung zum Blockieren von an einen Benutzer gesendeten Daten und/oder Informationen und/oder Signalen elektronischer Medien sowie deren Verwendung |
GB2391965B (en) | 2002-08-14 | 2005-11-30 | Messagelabs Ltd | Method of, and system for, heuristically detecting viruses in executable code |
US8335779B2 (en) | 2002-08-16 | 2012-12-18 | Gamroe Applications, Llc | Method and apparatus for gathering, categorizing and parameterizing data |
TWI231899B (en) * | 2002-10-29 | 2005-05-01 | Trek 2000 Int Ltd | System and method for authentication |
US7020804B2 (en) * | 2002-12-03 | 2006-03-28 | Lockheed Martin Corporation | Test data generation system for evaluating data cleansing applications |
US7644361B2 (en) | 2002-12-23 | 2010-01-05 | Canon Kabushiki Kaisha | Method of using recommendations to visually create new views of data across heterogeneous sources |
US20050071477A1 (en) | 2003-03-27 | 2005-03-31 | Microsoft Corporation | Providing information links via a network |
US7269733B1 (en) | 2003-04-10 | 2007-09-11 | Cisco Technology, Inc. | Reliable embedded file content addressing |
GB2400933B (en) | 2003-04-25 | 2006-11-22 | Messagelabs Ltd | A method of, and system for, heuristically detecting viruses in executable code by detecting files which have been maliciously altered |
US7849401B2 (en) | 2003-05-16 | 2010-12-07 | Justsystems Canada Inc. | Method and system for enabling collaborative authoring of hierarchical documents with locking |
US20040240472A1 (en) * | 2003-05-28 | 2004-12-02 | Alok Kumar | Method and system for maintenance of packet order using caching |
US7685174B2 (en) | 2003-07-08 | 2010-03-23 | Seventh Knight Inc. | Automatic regeneration of computer files |
US20050081057A1 (en) * | 2003-10-10 | 2005-04-14 | Oded Cohen | Method and system for preventing exploiting an email message |
WO2005050369A2 (en) | 2003-11-12 | 2005-06-02 | The Trustees Of Columbia University In The City Ofnew York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
US7467409B2 (en) | 2003-12-12 | 2008-12-16 | Microsoft Corporation | Aggregating trust services for file transfer clients |
US7475427B2 (en) | 2003-12-12 | 2009-01-06 | International Business Machines Corporation | Apparatus, methods and computer programs for identifying or managing vulnerabilities within a data processing network |
US20050149720A1 (en) | 2004-01-07 | 2005-07-07 | Shimon Gruper | Method for speeding up the pass time of an executable through a checkpoint |
US7721334B2 (en) | 2004-01-30 | 2010-05-18 | Microsoft Corporation | Detection of code-free files |
US7707634B2 (en) * | 2004-01-30 | 2010-04-27 | Microsoft Corporation | System and method for detecting malware in executable scripts according to its functionality |
US7512658B2 (en) * | 2004-02-26 | 2009-03-31 | International Business Machines Corporation | Providing a portion of an electronic mail message based upon a transfer rate, a message size, and a file format |
US7607172B2 (en) | 2004-03-02 | 2009-10-20 | International Business Machines Corporation | Method of protecting a computing system from harmful active content in documents |
US8186026B2 (en) * | 2004-03-03 | 2012-05-29 | Rockstar Bidco, LP | Technique for maintaining secure network connections |
US7451394B2 (en) | 2004-04-30 | 2008-11-11 | Convergys Cmg Utah | System and method for document and data validation |
US7444521B2 (en) * | 2004-07-16 | 2008-10-28 | Red Hat, Inc. | System and method for detecting computer virus |
GB0418066D0 (en) | 2004-08-13 | 2004-09-15 | Ibm | A prioritization system |
US20060044605A1 (en) * | 2004-08-24 | 2006-03-02 | Schneider Charles R | Systems, methods and computer program products for labeled forms processing |
WO2006047163A2 (en) * | 2004-10-26 | 2006-05-04 | Priderock, L.L.C. | System and method for identifying and removing malware on a computer system |
US10043008B2 (en) | 2004-10-29 | 2018-08-07 | Microsoft Technology Licensing, Llc | Efficient white listing of user-modifiable files |
US7636856B2 (en) | 2004-12-06 | 2009-12-22 | Microsoft Corporation | Proactive computer malware protection through dynamic translation |
US8037534B2 (en) | 2005-02-28 | 2011-10-11 | Smith Joseph B | Strategies for ensuring that executable content conforms to predetermined patterns of behavior (“inverse virus checking”) |
US9507919B2 (en) * | 2005-04-22 | 2016-11-29 | Microsoft Technology Licensing, Llc | Rights management system for streamed multimedia content |
EP1877905B1 (en) | 2005-05-05 | 2014-10-22 | Cisco IronPort Systems LLC | Identifying threats in electronic messages |
US20060272006A1 (en) | 2005-05-27 | 2006-11-30 | Shaohong Wei | Systems and methods for processing electronic data |
GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
US20070067397A1 (en) * | 2005-09-19 | 2007-03-22 | Available For Licensing | Systems and methods for sharing documents |
US7756834B2 (en) | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
US7966654B2 (en) * | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
-
2006
- 2006-12-04 GB GB0624224A patent/GB2444514A/en not_active Withdrawn
-
2007
- 2007-11-08 AU AU2007330580A patent/AU2007330580B2/en active Active
- 2007-11-08 JP JP2009539791A patent/JP5069308B2/ja active Active
- 2007-11-08 CN CN201310359471.7A patent/CN103530558A/zh active Pending
- 2007-11-08 CA CA2671804A patent/CA2671804C/en active Active
- 2007-11-08 CN CN200780050858.7A patent/CN101611412B/zh active Active
- 2007-11-08 EP EP07824491A patent/EP2089829A2/en not_active Ceased
- 2007-11-08 WO PCT/GB2007/004258 patent/WO2008068450A2/en active Application Filing
- 2007-11-08 MY MYPI2013003010A patent/MY170629A/en unknown
- 2007-11-08 MY MYPI20092270A patent/MY149569A/en unknown
- 2007-11-08 US US12/517,614 patent/US8533824B2/en active Active
- 2007-11-12 TW TW104108578A patent/TWI534650B/zh active
- 2007-11-12 TW TW096142679A patent/TWI488065B/zh active
-
2012
- 2012-07-20 JP JP2012161669A patent/JP2012230704A/ja active Pending
-
2013
- 2013-05-21 US US13/899,043 patent/US9038174B2/en active Active
-
2014
- 2014-06-12 JP JP2014121522A patent/JP5628455B2/ja active Active
-
2015
- 2015-05-18 US US14/715,300 patent/US20150269382A1/en not_active Abandoned
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8505080B2 (en) | 2011-08-26 | 2013-08-06 | National Taiwan University Of Science And Technology | Method for generating cross-site scripting attack |
TWI494787B (zh) * | 2012-05-28 | 2015-08-01 | Hung Chi Lin | Vba模組隱藏方法 |
Also Published As
Publication number | Publication date |
---|---|
JP5628455B2 (ja) | 2014-11-19 |
US20130326624A1 (en) | 2013-12-05 |
JP2010511951A (ja) | 2010-04-15 |
MY149569A (en) | 2013-09-13 |
GB0624224D0 (en) | 2007-01-10 |
CN101611412A (zh) | 2009-12-23 |
TW201525746A (zh) | 2015-07-01 |
US9038174B2 (en) | 2015-05-19 |
AU2007330580B2 (en) | 2013-03-21 |
CA2671804C (en) | 2014-08-26 |
AU2007330580A1 (en) | 2008-06-12 |
TWI534650B (zh) | 2016-05-21 |
US20150269382A1 (en) | 2015-09-24 |
CA2671804A1 (en) | 2008-06-12 |
JP2012230704A (ja) | 2012-11-22 |
CN101611412B (zh) | 2014-02-12 |
JP2014194822A (ja) | 2014-10-09 |
US20100154063A1 (en) | 2010-06-17 |
EP2089829A2 (en) | 2009-08-19 |
GB2444514A (en) | 2008-06-11 |
TWI488065B (zh) | 2015-06-11 |
JP5069308B2 (ja) | 2012-11-07 |
US8533824B2 (en) | 2013-09-10 |
CN103530558A (zh) | 2014-01-22 |
WO2008068450A2 (en) | 2008-06-12 |
WO2008068450A3 (en) | 2008-08-07 |
MY170629A (en) | 2019-08-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TW200825836A (en) | Improvements in resisting the spread of unwanted code and data | |
US11218495B2 (en) | Resisting the spread of unwanted code and data | |
AU2012258355B2 (en) | Resisting the Spread of Unwanted Code and Data | |
AU2013204036A1 (en) | Improvements in Resisting the Spread of Unwanted Code and Data |