TW201109970A - Method for blocking execution of hacking process - Google Patents

Description

201109970 六、發明說明： 【發明所屬之技術領域】 明一般係關於一種封鎖駭客程序執行之安全性程 料方法，且更具體而言’係闕於—種安全性程序的方法， :::::::在電腦土執行，並具有駭客診斷參考及骇 客程式β日紐’診斷至少—個包含有賴骇客的骇 客私式’並且封鎖骇客程式的執行。 【先前技術】 隨著超高速網際網路的普及化，線上遊戲人數快速的 有衫已經發展完全⑽上軸。—，遊戲安 =:及觀念依然非常微弱。電腦中的非法程式= =漭Γ 而遊戲中的骇客或骇客程式稱為遊戲骇 程式。戲.骇客係指用來偽造特定遊戲過程的檔案或記憶之 駭客使遊戲玩家藉由取代特定資料（例如能 里或提向如格鬥遊戲情況中一個爆 速度），或提供以偽造遊戲記憶資料的方气之5巨爆炸的 戲中獲得勝利。因此，遊戲玩;希望在=線： 遊戲時安裳遊戲骇客。然而，在線上遊 ^線上 問題，例如破壞㈣者之間的平衡及對 器泣成超載。換言之，對於線上遊戲而言，―一 由於非正當方法而在遊戲中占有優勢時』使用者 使用者間的平衡，並失去在關鍵情勢中整體線上 201109970 衡’使得遊戲伺服器變成超載。 =:序停止時，封鎖遊戲程序的執行G二 線上紅豕進行顿時，安全性程序與賴 虽 仃，从使安全性程序封鎖遊戲駭客。 被執 :本發明的說明中，「遊戲骇客」、「 ，„腦上執行而依序寫人的 檔案」 才曰在電腦中所執行的程式。換 ^矛王序」 2功能並在玩家的電腦上執；，該==戲程 程序的功能並麵_電腦上計生^具有安全 封鎖各種駭客程序（包人在安全性程序 行。 3在電恥中執行的遊戲駭客）的執 程序行安全性程序不應封鎖所有執行的 全性種序應本質地被執;;遊t系統程序、遊戲程序及安 允許。 #财料軸錢行應被 在本發明的說明中，系 序通稱為必要程序，而非必要程心序及女全性程 應被封鎖的非法、一般程序=的程序稱為-般程序。 二::被允許之非·程序的-般程序及其：:： 執行安在執行程序中之必要程序的 序疋否為骇客程序或非骇客程序。診 201109970 斷的結果假如是該一般程序確定為骇客程序時安八性程 :由此封鎖其執行；而假如是-般程序確定為非駭：程序 時，安全性程序由此允許其執行。 力大多數玩家希望使用遊戲,骇客，但沒有能 直接發展遊戲骇客。因此，出現了發展遊戲财及販賣 收費遊戲骇客給玩家的遊戲骇客開發者。 遊戲骇客開發者發展不被安全性程序封鎖的新遊戲骇 客’並販買給玩家。當玩家使用新遊戲駭客時 司分析該新遊戲駭客並更新安全性程式：程： 封鎖該新遊戲駭客。 枉斤 —第1圖係為一圖示，其顯示遊戲骇客開發者、玩家及 安全性公司之間更新遊戲駭客及安全性程式的輕序。 客開發者發展不被安全性程序封鎖的新遊戲骇 、在V驟S11中將其更新至傳播伺服器。之 新遊戲駭客被下載至複數個玩家電叫^ ^中，*全性公司該玩家所使用之新遊戲駭客的 ，，並在步驟S14中進行分析，且於步驟Sl5更新用於 封鎖對應該遊戲駭客的安全性程式。之後在步驟S16中， 安全性公司將更新的安錄喊分佈至玩家電腦，使得每 ^吏用者電腦中所更新的安全性程式封鎖新駭客程式。在 4 S17 +，當遊戲骇客被安全性程式封 :發者分析對應之安全性程序封鎖新遊戲駭客所= 賴準的料。之後，程相到遊戲骇 $發者利用所偵測的方法來發展新遊朗客的步驟 6 201109970

Sll ’並將新遊戲駭 言，安全性公3必料對線上遊戲而 爭，與複㈣軸錄-更新的戰 與絲===鎖;:診斷遊戲骇客的診斷標準 序診斷電腦準相同。換言之，安全性程 -μ皮 行的—般程序是否為遊戲财，而假如該 般程序被判定為遊戲駭客時，安全性 ° 之骇客程相執行。 H封鎖對應 家電腦使用新遊戲駭客的初期，安全性程序益法 ::相客:並錯誤地將其診斷成非骇客程序:、因

新版本遊㉟财料的執彳了被允許。#安全性公司分析 新版本遊_客賴式錢新安全财時 I 斷該遊戲骇客為遊戲駭客，然後封鎖之。 性㈣" 因此，在玩家電腦使用新遊戲駭客的初期，安 序無法將新_料識別為遊戲駭客，㈣於讓安全性八 ::費了：量的精力與時間編分析新版本遊戲駭客二 =本。相對的，遊戲，駭客開發者用簡單的方法更新遊戲骇 =，並且測試所更新的遊戲駭客能否躲避安全性程序，並 提供玩家可躲避安全性程序的新版本遊戲駭客。在此’雖 =遊=客是以相同編碼模式寫人的程式或即使是重新編 譯，遊戲駭客可成為一新版本的駭客程式。 每田個新版本遊戲駭客被建立並發布時，安全性八 要耗費大量精力與時間來惠集對應遊戲骇： 的樣本’並♦定模式用來診斷遊戲骇客。以安全性公司的 201109970 =要，集模式一戲—的時間 【發明内容】 明，且本發明的目的係提供—種封㈣ 出本發 =其使安全性程序具有骇客診斷參考及敏客=方 雙重性’因為遊戲骇客開發者可輕易躲避安全性程^之 客封鎖參考，所以使遊戲财開發者 ；、骇 診斷參考，致使驗⑽斷新遊戲财^識別該骇客 _ = 本實施例之-種封 性程序從一電腦中被執行之複 驟選安全 步驟，二5=與骇客診斷參考比較…第三 的模式被包含於該等駿客診斷參考中:;果=則試程序 定該被測試程序為-駭客程序；一第四步二：程:判 性程序計算該駭客程序的特 ^ ’、該安全 值與‘駿客封鎖參考比較;一第五步驟:二==:凑 客封鎖參考中時，該==凑值被包含於該等骇 而當該骇客程序的特有錄==_客程序的執行， 考中時，紗純_料會封_财料的執行封鎖參 8 201109970 進—步，根據本發明另一具體實施例 程序執行的方法，包含:一第一步驟二=骇客 電：中被執行之複數個程序内，選擇要被二3 一 ’第-步驟’其中該安全性程序計算該被 ^有雜湊值’並將該特有雜凑值與駭客封料考比較、 程驟，其中該第二步驟中該比較的結果為該被_ 性程序^雜凑值包含於該等骇客封鎖參考中時’該安全 二牛^ 測試程序的執行；—第畴驟，其中該第 包^於該^匕較的結果為該被測試程序的特有雜凑值並非 試程序的執‘客= 安全性程序允許該被測 的模式與駭客診::考:: = = = _ :::::較的結果為該被測試程序的模 等骇客诊斷參考中時，該被^於該 進一步，根據本發明又足曰 客程序執行的方法，包含··〜/、體'施例之一種封鎖駭 序從—電腦中姑热―、〜第一步驟，其令一安全性程 程序；U驟仃^數個程序内，選擇要被測試的一 的一特有雜凑Γ /、該安全性程序計算該被測試程序 較；—第三步驟讀特有雜凑值與骇客封鎖參考比 被測試程序的特有雜凑田孩第二步驟中該比較的結果為該 •驟 時，該安全性程序封射=包含於該等㈣封鎖參考_ 鎖該破娜試程序的執行；-第四步， 201109970 = 中該比較的結果為該被測試程序的特有 雜湊值並未被包含於該箅龄 斤幻将有 序允許該被载程式的計封鎖參考中時’該安全性程 式，並且將該所獲取的模式H取 試程式的一模 第五步驟，其中當該第：駿客妓斷參考比較；以及- 程序的模式被包含於該骇客4巾該比較的結果為該被測試 時間之後，該安全性程二°》斷標準中時’在經過-臨界 如上所述由被測試程序的執行。 避安全程式_客封鎖^允4麵龄開發者輕易的躲 新遊戲駭料，並轉i ^得該韻絲_者發布 在於，安全性公㈣客的模式’如此具有優點 客，並且減少-辦：1 辦新遊戲駭客是否為遊戲骇 心錢遊戲骇客所需耗費之精力及時間。 【實施方式】 以下配合參照所附圖式詳述根據本發明之一且 例的-種封鎖II客程序執行的方法。 〃 程序=圖係顯示應用本發明的—⑽，其用於封鎖骇客 =玩家的意圖’遊戲骇客從遊_ ^下載至玩家電腦22。當然，安全性程式連同_^一 .起被下載並安裝至玩家電腦22。 " 服器Μ定期或·地更新。 料藉由安全性祠 當玩家執行遊戲程式，安全性程式 — 全性程序藉由玩家電腦叫並且藉由應=:斷: 201109970 考來判疋玩豕電腦中至少一個被執行的一般程序是否為駭 客程序或非，駭客輕序，並且藉由應用駭客封鎖參考㈣定 該般程序疋否為被封鎖程序或不被封鎖程序。較佳地， 在本發財’料診斷參考餘據遊戲駭客之模式，而駭 客封鎖參考雜據軸駭客之财祕_ashvalue)。 即使玩豕電腦+被執行的—般程序被判定為骇客程 叙使1程序並非要被封鎖的程序，則安全性程序不 相對應之駿客程序。取而代之的是，安全性程序將 ΐ游两程序識別為―新‘駭客程序，計算該新駭客程序所具 入性^客的特有雜凑值’傳送所計算的特有雜凑值至安 ’並等待直到相對應的龍客程序之特有雜凑 值被包含在駭客封鎖參考中。 、 於二===Γ相同的特有雜凑值大 至駭客封鎖參考中，==相對應的特有雜湊值 安全性程式至玩家電腦。進-步假= 被接受的時間客具有相對應特有雜凑值第-次 值至性祠服器藉由加入相對應的特有雜凑 策下載=:全:==式’並且依照安全政 考沒有藉〜程參 程序的特有雜加入相對應新駭客 客程序執行。 ^ 然後封鎖相對應的駭 11 201109970 不同’因為即使安:3:::示顯得其與習知方法沒有 明，遊戲駭客開發I 然而’根據本發 :遊_客的方二:::=::::法— 在那樣的情況下，重 的骇客封鎖參考。 與現存遊戲駭客的模式相=戲駭客（新礎戲骇客的模式 全性程序可根據該模大被敢佈至玩家，並且安 沒有蒐集該遊戲.駿客的樣本Γ換2應的每戲骇客，即使 點來看，可減少蒐集與分 、。，以安全性公司的觀 當新版本的遊戲萝② 客的*<所消耗的時間。 來菀隹盎、4 戲駭客被散佈時，需耗費12至24 I主 來鬼集與分析相對應的遊 、至24小時 時間使用新版本的遊戲骇客。本發:==可在那段 玩家使用新版本的遊戲骇客X▲、並非凡全的防止 者在沒有修改遊戲駭客之模式下='^導遊戲骇客開發 而減少安全性八%、Λ散布新版本遊戲骇客，因 間。 Α司為了 5續遊戲駿客所耗費的精力與時 第3圖係一流程圖，其顯示 例的鎖駭客程序之安全”體實施 田文全性程序被執行時，步驟S31從複數個在電腦中 ^仃之1程序當中選取其中之―作為要被測試的程序， ^驟S32中獲取所選取被測試之程序的模式，並且在步驟 S33中判定所獲取的被測試程序之模式是否包含於駭客診 斷參考中。 12 201109970 含於;判定結果為:被测試程序之模式並未包 ㈣應的被賴料被識別為非骇 =序i且在步驟S34中允許相對應的非骇客程序之執 於骇Γ定結果為:被測試程序之模式被包含 所有被於斷2日/皮測試程序被診斷為骇客程序。然而， m二骇客程序之執行並未被封鎖，步驟S35中計 凑值’並且在步驟咖中判定所計 ，$有雜隸是科衫於财封鎖參考當中。 當步驟S36的判定結果為：被: 存在於骇客診斷參考時，將相、/序之特有雜凑值 封鎖的骇客程序，且在= = =序識別為被 的執行封鎖。U幻7中將要被封鎖之骇客程序 不存:二:』3:的判定結果為:被測試程序之特有雜湊值 中被斷參考時’相對應的被測試程序在步請 ==:程序’並在步驟S39中將相對應的新駭 序之特有雜湊值傳送至安全性伺服器。 部分雜凑值可藉由計算整體或- 整濟式-都 序的雜凑值來獲得，或藉由計算

Hu骇客檔案（其剌責 雜湊值來獲得。 7斤旳執仃）的 性伺ίΐ::，當新骇客程序的特有雜凑值被傳送至安全 :佳為安全性程序在編碼後傳送特有雜湊值。 ’骇客診斷參考包含㈣程序的複數個特徵模 13 % 201109970 j。當被測試程序包含駭客診斷參考中所有特徵模式時， 安全性裎序將被測試程序識別為駭客程序，且當被測試程 序包，駭客程序之複數個特徵模式中至少部份特徵模式 時，安全性程序將被測試程序識別為駭客程序。 、二 步驟S31至S39在所有執行程序中重複地運作。 虽來自於玩家電腦的安全性程序之新駭客程序的特有 雜湊值被輸入時，安全性伺服器藉由加入新駭客程序的特 有雜湊值至駭客封鎖參考，來更新安全性程式，其係根據 ，用新骇客程序之玩家的數量，或是根據㈣客程序依照 安全政策從最初被偵測到後所經過的時間。當新駭客程序、 的特有雜凑值被加人至駭客封鎖參考時，安全性程序封鎖 相對應的新駭客程序之執行。或者，當臨界時間過了新駭 客程序被偵測到的時間時，玩家電腦的安全性程序藉由^ 入新駭客程序的特有雜湊值至駭客封鎖參考，可封鎖相對 應的新駭客程序之執行。 進-步在第3圖中，偵測被測試程序的模式並與駭客 診斷參考比較’紐計算被測試程序㈣有雜紐並與骇 客封鎖參考啸。然而，本發明並不限於此，且被測試程 序的特有祕值可被計算並與骇客封鎖參考比較，然後被 剩試程序的模式可被偵測並與駭客診斷參考比較。 儘管本發明的技術精神連同參考所附圖式^被詳細說 明’其係關於示例性詳述本發明之較佳具體實_，而本 發明並不被此限制。進-步，本技術專#人士將可瞭解到 在不惊離本發明之範•及精神之下可以進行多種修正及變 14 201109970 化0 【圖式簡單說明】 以上與本發明的其他目的、特徵及其他優點，將於以 下詳細描述並配合所附圖式可更加清楚易懂，其中： 第1圖為一示意圖，其係顯示遊戲駭客開發者、玩家 及安全性公司之間更新遊戲駭客及安全性程式的程序。 第2圖係顯示應用本發明的一系統，其用於封鎖駭客 程序執行。 第3圖為一流程圖，其顯示根據本發明之一具體實施 例的一種封鎖駭客程序執行的方法。 【主要元件符號說明】 21 遊戲駭客分配伺服器 22 玩家電腦 23 安全性伺服器 24 網際網路 S11-S17 步驟 S31-S39 步驟

S 15

Claims (1)

1. 201109970 七、申請專利範圍： 1. 一種封_客程序執行的方法，該方法包含： 複數：：驟選::被:::!=，讀執行之 模式模:::::=:被_序的-第二步驟’其+當該第二步驟中該 序的模式被包含於該等骇客診斷參;果芯 全性程序判定該被測試程序為—駭客程序；哼这女 料右:ΐ四步驟其中該安全性程序計算該骇客輕序的- 7有雜溱值，並且將該特有雜凑值與骇客封鎖參考比較； 及 -第五步驟’其中當該第四步驟該比較的結果為該骇 客程序的特有雜湊值被包含於該等駭客封鎖參考中時該 安全性程序封鎖該駭客程序的執行，而當該駭客程序的特 有雜湊值並未包含於該等駭客封鎖參考中時，該安全性程 序就不會封鎖該駭客程序的執行。 2.如申請專利範圍第丨項所述之方法，進一步包含一第六步 驟，其中當該第二步驟中該比較的結果為該被測試程序的 模式並未包含於該等駭客診斷參考中時，該安全性程序判 定該被測試程序為一非駭客程序，並允許該被測試程序的 執行。 3.如申請專利範圍第1項所述之方法，其中該第四步驟係配 置成計算該駭客程序中至少一些部分之一雜湊值，該骇客 16 201109970 程序係已載入記憶體，並且設定 駭客程序的特有雜凑值。 11的榦凑值成為該 4·如申請專利範料丨項所述之方法，巧 =計算1案的至少-些部份之-雜凑值己 責該駭客程序^ ^ 該檔案係負 骇客程序的特有^值。且言又"該所計算的雜凑值成為該 如申請專利範圍第！項所述之方法，盆中 :’當該第四步驟中該比較的結果為該骇客== 湊值並非包含於該等_封鎖參 雜 特有雜凑值至一安全性傳鐵'客程序的- 6===:r述之方法，其中該安全性程序編 雜湊==:凑值，然後傳〜的特有 7·如申請專利範圍第5項所述之 :::雜湊值之已傳送次數相等或大;一:;值；客3 二::將該新駿客程序的特有雜凑值加入至該等骇 8. 如申請專利範圍第5項所述之方法，其中當—臨界時間已 ^接收騎駭客程相特有祕值之後，該安全性飼服 考i該新骇客程序的特有雜湊值加入至該等駭客封鎖參 9. ?請專利範圍第1項所述之方法，其中該第五步驟& 田該第四步驟巾該比較的結果為該駿客程序的特有御 201109970 =值並非包含於料封鎖參考中時該安全性程序判 定Λ骇客程序為__新骇客程序，並且在過了—臨界時間 後，封鎖該新駭客程序的執行。 10.-種=駭客程序執行的方法，該方法包含： 第步驟’其中一安全性程序從一電腦中被執行 之複數個程相，選擇要被測試的-程序； 一第—步驟’其中該安全性程序計算該被測試程序 寺有雜凑值，並將該特有雜湊值與骇客封鎖參考比 較； / 、一第三步驟’其中該第二步驟中該比較的結果為該 ^測試，序的财雜湊值包含於該等駭客封鎖參考中 枯，該女全性程序封鎖該被測試程序的執行； 一第四步驟，其中該第二步驟中該比較的結果為該 被測試程序的財祕值並非包含於該料客 中時，該安全性程序允許該被測試程序的執行，獲取該 被測試程序m並將該縣_式_客^斷^ 考比較；以及 一第五步驟，其中該第四步驟中該比較的結果為該 被测試程序的模式被包含於該等駭客診斷參考中時，^ 安全性程序將該被測試程序識別為一新駭客程序，並將 該新骇客程序的一特有雜湊值傳送至一安全性飼服界。： 11.如申請專利範圍帛10項所述之方法，其中當該新骇客程 序的特有雜凑值之已傳送次數相等或大於一臨界值時， 該安全性伺服器將該新駭客程序的特有雜凑值加入至該 201109970 等駭客封鎖參考中。 12 13 14. .如申請專職項所述之方法，其中當—臨 已過了接收靖财程序的特有祕值之後，該安= 舰器將辑，駭客程相特有雜 = 鎖參考中。 略寻駭客封 如申請專·㈣Π)項所述之方法，其中該安全 編碼該新駭客料㈣麵隸，並㈣所編碼的 雜湊值傳送至該安全性伺服器。 -種封鎖辟程序執行的方法，該方法包含： ★第#驟，其中一安全性程序從一電腦中 之複數個程序内’轉要被測朗-程序； 第一步驟，其中該安全性程序計算該被測試程岸 的:特有雜隸’並且㈣特有祕值與駭客封鎖參考 比較； 〆巧 、-第二步驟’其中當該第二步驟中該比較的結果 該被測試程序的特有轉值被包含於該等财封鎖參考 中時，該女全性程序封鎖該被測試程序的執行； 一第四步驟，其中當該第二步驟中該比較的結果為 該被測試程序的特有雜練並未被包含於料骇客封鎖 參考中時，該安全性程序允許該被測試程式的執行，獲 取該被測試程式的一模式，並且將該所獲取的模式與 客珍斷參考比較；以及， 一第五步驟，其中當該第四步驟中該比較的結果為 該被測試程序的模式被包含於該駭客診斷標準中時，在 201109970 經過一臨界時間之後，該安全性程序封鎖該被測試程序 的執行。 15. 如申請專利範圍第10至14項中任一項所述之方法，其 中該第二步驟係配置成計算該被測試程序中至少一些部 份之一雜湊值，該被測試程序係已載入記憶體，並且設 定該所計算的雜湊值成為該被測試程序的特有雜湊值。 16. 如申請專利範圍第10至14項中任一項所述之方法，其 中該第二步驟係配置成計算一檔案的至少一些部份之一 雜湊值，該檔案係負責該駭客程序的執行，並且設定該 所計算的雜湊值成為該駭客程序的特有雜湊值。 20