TW201122893A - Removable apparatus and method for verifying an executable file in a computing apparatus and comupter-readable medium thereof - Google Patents

Removable apparatus and method for verifying an executable file in a computing apparatus and comupter-readable medium thereof Download PDF

Info

Publication number
TW201122893A
TW201122893A TW099114933A TW99114933A TW201122893A TW 201122893 A TW201122893 A TW 201122893A TW 099114933 A TW099114933 A TW 099114933A TW 99114933 A TW99114933 A TW 99114933A TW 201122893 A TW201122893 A TW 201122893A
Authority
TW
Taiwan
Prior art keywords
executable file
removable device
file
executable
removable
Prior art date
Application number
TW099114933A
Other languages
English (en)
Inventor
Chun-Hsiang Cheng
Original Assignee
Behavior Tech Computer Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Behavior Tech Computer Corp filed Critical Behavior Tech Computer Corp
Publication of TW201122893A publication Critical patent/TW201122893A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

201122893 六、發明說明: 【發明所屬之技術領域】 本發明係關於一種用以檢驗一計算裝置之一可執行檔案之可移 除裝置、方法及其電腦程式產品。更具體而言,本發明係以一可 信裝置(trusted apparatus)檢驗一計算裝置之一可執行標案是否 為一惡意樓案。 【先前技術】 透過電腦輔助作業,使用者能夠更有效率地工作。因此,電腦 對於現今人們的日常生活已變得不可或缺。也正因為如此,電腦 安全問題愈來愈受到人們的重視。其中最嚴重的電腦安全問題之 一即為無所不在的惡意軟體(簡稱為malware ),例如電腦病毒 (computer virus) ° 由於電腦病毒會造成巨大損失,人們已開發出諸多用以偵測及 防止電腦病毒之技術。舉例而言,通常在電腦中安裝防毒軟體 (anti-virus software ),以用於伯測電腦病毒。然而,由於防毒軟 體係藉由各種病毒獨有的「病毒碼(signature)」來識別病毒,因 此,防毒軟體偵測病毒之能力便受限於病毒資料庫(virus database)。換言之,大多數防毒軟體係利用一「黑名單(black list)」 方法捕捉病毒。因此,若出現新病毒,防毒軟體在不更新病毒資 料庫之情況下,將無法保護電腦。此外,電腦病毒可能在防毒軟 體生效之前,即已存在於電腦中。因此,電腦病毒可在防毒軟體 或任何其它安全機制生效之前控制電腦。 綜上所述,如何提供一種用以防止電腦受到惡意軟體攻擊之可 201122893 靠方法,實為該領域之技術者亟需解決之課題。 【發明内容】 本發明之-目的在於提供一種以一可移除褒置檢驗一計算裝置 之-第-可執行槽案之方法。該可移除裝置係無病毒。該方法包 含下列步驟:⑷使該可移除裝置啟動該計算裝置;⑻使該可移除 裝置自該計算裝置擷取該第—可執行標案;⑷使該可移除裝置判 斷該第—可執行檔案不具有—關於該第—可執行職之一供應商 之供應商資訊(—inf_atiGn);⑷使該可移除裝置使用一訊 息摘要演算法(messagedigest如ithm)計算該第—可執行檔案 之一訊息摘要;⑷使該可移除裝置判斷其不具有與該訊息摘要相 同之摘要資叫〇使該可移除裝置债測該第一可執行棺案與該計 异裝置之-第二可執行㈣具有—觸發關係;以及⑻使該可移除 裝置根據步驟⑴之仙結果,決定該第—可執行檔案為一可疑樓 案。 本發明之另-目的在於提供一種以一可移除裳置檢驗一計算裝 置之一可執行標案之方法。該可移除裝置係無病毒。該方法包含 下列步驟:⑷使該可移除裝置啟動該計算裝置;⑻使該可移除裝 置自該計«賴取該可執行檔案;⑷使财移除裝置判斷該可 執行標案不具有—關於該可執行檔案之—供應商之供應商資訊; ⑷使該可移除裝置使用—訊息摘要演算法計算該可執行播案之— 訊息摘要;⑷使該可移除裝置判斷其不具有與該訊息摘要相同之 摘要資訊該可移除裝置判斷該可執行標案為一自動執行 (_侧)㈣’·以及(g)使該可移除裝置根據步驟⑴之判斷沾 201122893 果’決定該可執行檔案為一可疑檔案。 本發明之再-目的在於提供一種以一可移除裝置檢驗一計算聚 置之一可執行檔案之方法。該可移除裝置係無病毒。該方法包含 下列步驟:⑷使該可移除裝置啟動該計算農置;(b)使該可移除裝 置自該計算裝置擷取該可執行檔案;⑷使該可移除裝置判斷該可 執行檀案不具有—關於該可執行檔案之-供應商之供應商資訊; ⑷使該可移时置制1賴㈣算料算料執㈣案之— 。高要(e)使該可移除裝置判斷該訊息摘要與該可移除裝置所 儲存之-摘要資訊相同;以及⑺㈣步驟⑷之韻結果決定該 可執行槽案為一可信任槽案。 本發月之又-目的在於提供一種以一可移除裝置檢驗一計算裝 置之一可執行檔案之方法。該可移除裝置係無病毒。該方法包含 玄可移除裝置啟動該計算裝置,使該可移除裝 4算裝置摘取柯執行檔案;⑷使該可移除裝置判斷該可 灯:=含一供應商資訊’該供應商資訊包含一供應商資訊片 〜息及-加密訊息;(d)使該可移除裝置根據該供應商 片&梅取供應商公開金錄(Vendor PubIic key),該供應商 係儲存於該可移除裝置;⑷使該可移除裝置以該供應商 判斷該^將4加密訊.1解密為—解密訊息;⑴使該可移除裝置 步細⑽定訊息相異;以及(g)使該可移除裝置根據 步驟⑴之判斷結果,衫該可執行標案為—可疑播案。 本=月之尚-目的在於提供—種以—可移除裝置檢驗一計算裝 之1執㈣案之方法。該可移除裝置係無病毒。該方法包含 201122893 下列步驟:(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝 置自該計算裝置擷取該可執行檔案;(c)使該可移除裝置判斷該可 執行檔案包含-供應商資訊,該供應商資訊包含—供應商資訊片 段、一指定訊息及一加密訊息;⑷使該可移除裝置根據該供應商 貝机片段跡-供應商公開金錄’該供應商公開金鑰係儲存於該 可移除裝置·,⑷使該可移除裝置以.該供應商公開金錄,將該加密 訊息解密為-解密訊息;(〇使該可移除裝置判斷該解密訊息與該 指定訊息相同;以及(g)使該可移除裝置根據步驟⑴之判斷結果, ® 決定該可執行檔案為一可信任檔案。 本發明之另一目的在於提供一種以一可移除裝置檢驗一計算裝 置之-可執行财之方法。該可移除裝置係無病毒。該方法包含 下列步驟:⑷使該可移除裝置啟動該計算裝置;⑻使該可移除裝 置自該計算裝㈣取該可執行檔案;⑷使該可移除裝置判斷該可 執行檔案不具有—關於該可執行檔案之—供應商之供應商資訊; ()使該可移除裝置使用一訊息摘要演算法計算該可執行播案之一 •第-訊息摘要;(e)使該可移料置判斷其不具有與該訊息摘要相 同之摘要資訊;⑴使該可移除裝„_計算裝置;⑻於該計算 裝置自我啟動後,使該可移除裝置自該計算裝置擷取該可執行檔 案丄⑻使該可移除裝置使用一訊息摘要演算法計算該可執行檑案 之-第二訊息摘要;(i)使該可移除裝置判斷該第一訊息摘要與該 第二訊息摘要相U及⑴使該可移除裝置根據步驟⑴之判斷結 果,決定該可執行檔案為一惡意軟體。 本發明之各該方法係可儲存於一電腦程式產品之複數個電腦指 201122893 ::成。該等電腦指令包含複數個程式指令。於執 令時,該等程式指令可使一裝置(例如一可移除褒置)執行以上 &洛中所描述的本發明之任—種肋檢驗—計算裝置之 執行檔案之方法。 本發明之另一目的在於提供一種用以檢驗一計算裝置之一第一 可執行擋案之可移”置。該可移除裝置係無財q可移除裝 置包含-初始化模組、—難掃描模組、—供應商檢驗模組、一 摘要檢驗模組以及—連結㈣勤壤組1初始化模組係用以啟 動该4算裝置。該檔案掃描模組伽以自該計算裝置操取該第一 可執行權案。該供應商檢驗模組係用以判_第_可執行槽案不 、有關於該第一可執行檔案之一供應商之供應商資訊。該摘要 ^驗模組係用以使m摘要演算法計算該第-可執行檔案之 一訊息摘要’並判斷該可移除|置不具有與該訊息摘要相同之摘 要=訊。該連結㈣偵測模組仙則貞測該第—可執行檔案與該 算裝置之第—可執行檔案具有—觸發關係,並根據該债測結 果,決定該第一可執行檔案為一可疑檔案。 /本發明之另—目的在於提供—種用以檢驗—計算裝置之一可執 ^檔案之可移除裝置。該可移除裝置係無病毒。該可移除裝置包 .σ化模’’且 栺案掃描模組、一供應商檢驗模組、一摘要 «驗模組以及-自動執行判斷模組。該初始化模組係用以啟動該 。十算裝置。職案掃描模組剌以自料算裝置擷取該可執行檔 ^該供應商檢驗模組係用以判斷該可執行檔案不具有—關於該 ° /于彳曰案之(、應商之供應商資訊。該摘要檢驗模組係用以使 201122893 用訊息摘要演算法計算該可執行標案之一訊息摘要 可移除裝置不具有與該訊息摘要相同 :斷該 斷模組係心判_可執行 ㈣^ 棺案為一自動執行標案,並根據該判 斷…果,決疋該可執行檔案為一可疑之檔案。 —本發明之另-目的在於提供—種用以檢驗—計算裝置之—可執 =案之可移除裝置。該可移除裝置係無病毒。該可移除裝置包 3人初始化核組、_檔案掃描模組、—供應商檢驗模組以及一摘 要檢驗模組。該初始化馳係用以啟動料算裝置。該檔案掃描 拉組係用以自該計算裝置娜該可執行檔案。該供應商檢驗模組 係用以判斷該可執行檔案不具有—關於該可執行檔案之—供應商 ^供應商資訊。該摘要檢驗模組係用以使用—訊息摘要演算法計 异&可執行檔案之-訊息摘要’用以判斷該訊息摘要與該可移除 裝置所儲存之—摘要資訊相同,以及用以根據該判斷結果,決定 該可執行標案為一可信任槽案。 本發明之另一目的在於提供一種用以檢驗一計算裝置之一可執 仃檔案之可移除裝置^該可移除裝置係無病毒^該可移除裝置包 3初始化模組、一檔案掃描模組以及一供應商檢驗模組。該初 始化模組係用以啟動該計算裝置。該檔詩描模組係用以自該計 #裝置操取該可執行檔案。該供應商檢驗模組係用以判斷該可執 仃構案包含一供應商資訊,該供應商資訊包含一供應商資訊片 &、—指定訊息及一加密訊息,用以根據該供應商資訊片段,自 6亥可移除裝置擷取一供應商公開金鑰,用以以該供應商公開金 餘’將该加密訊息解密為一解密訊息,用以判斷該解密訊息與該 201122893 指定訊息相異’以及用以根據該判斷結果,歧該可執行楷案為 一可疑檔案。 l、… 本發明之另-目的在於提供一種用以檢驗一計算裝置之一可執 行檔案之可移除裝置。該可移除裝置係無病毒。該可移除裝置包 含-初始化模組、-標案掃描模組以及—供應商檢驗模組。該初 始化模組係心啟動該計算裝置。該檔詩描肋係用以自該計 算裝置擷取該可執行檔案。該供應商檢驗模組係用以判斷該可執 =檔案包含-供應商資訊,該供應商f訊包含—供應商資訊片 奴、-指定訊息及-加密訊息,用以根據該供應商資訊片段,自 該可移除裝置揭取一供應商公開金输,用以以該供應商公開金 鑰二將該加密訊息解密為一解密訊息,用以判斷該解密訊息與該 才曰疋u目同,以及用以根據該判斷結果,決定該可執行棺案為 一可信任檔案。 本發明之另一目的在於提供一種用以檢驗一計算裝置之一可執 v亍檔案之可移除裝置^該可移除裝置係無病毒1可移除裝置包 3初始化模組、—標輯描模組…供應商檢驗模組以及一摘 要仏驗模組。$初始化模組係用以啟動料算裝置。該檔案掃描 板組係用以自該計算裝置糊取該可執行檔案。該供應商檢驗模組 係用以判斷該可執行檔案不具有—關於該可執行檔案之一供應商 之供應商資訊。該摘要檢驗模組係用以使用_訊息摘要演算法計 算"玄可執仃檔案之_第_訊息摘要以及用以判斷該可移除裝置 不-有與該d摘要相同之摘要資訊^該初始化模組更用以關閉 αΜ*算裝置。該㈣掃描模組更用以於該計算裝置自我啟動後, 201122893 自該計算裝置獅該可執行㈣。該摘要檢驗模組更用以使用該 訊息摘要演算法計算該可執行檔案之__第二訊息摘要,然後根據 該可執行檔案之該第-訊息摘要與該第二訊息摘要相異之該判斷 結果決定該第一可執行檔案為一惡意軟體。 综上所述,本發明提供複數種用以從各種角度檢驗一計算裝置 之一可執浦案之方法及可移除裝置。各該方法可由儲存於一、電 腦程式產品中之複數個電腦指令達成。本發明利用一可信之可移 除裝置(即’無病毒之可移除裝置)啟動-計算裝置並檢驗儲存 於S玄S十具裝置中之一可執行權案。 此外,藉由檢驗該計算裝置中所包含之所有可執行播案,本發 月可檢H·!·算裝置S否已感染病毒。若判斷出該計算I置中之 一可執订檔案料-可疑檔案,聽其移至該計算裝置之—指定 區域在本發明檢驗完該計算裝置之所有可執行播案後即可確 疋该计异裝置係無財(即,可信任)。因此,即使—計算裝
=腦=毒感染,亦可利用本發明將該計算裝置作為—無 置進彳丁開Μ。 二被ϋ指?區域之可執行檔案係被確定為可疑檔案而非惡意 、、Γ。、且體=提供了用於進—步檢驗此等可疑之可執行播案之方 二個=少IS算裝置自我啟動。接著,本發明可_ 一 ,、之,檢驗此等可疑之可執行檔案。對於任 ^可^執行㈣,若檢驗結果㈣於上奴檢驗結果,本發 “此可疑之可執行標案係、為惡意檔案。 在參閱圖式及隨後描述之實施方式後,該技術領域具有通常知 201122893 識者便可瞭解本發明之其它目的,以及本發明之技術手段及實施 態樣。 【實施方式】 Μ卜將边過貫施例來解釋本發明内容,本發明的實施例並非用 以限制本發明須在如實施例所述之任何特定的環境、應用或特殊 方式方能實施1㈣者,以下實_及目式中,與本發明無關 之元件已省略而未繪示;且圖式中各元件間之尺寸㈣僅為求容 易瞭解,非用以限制實際比例。 在本發月中;^驗-可執行檀案係指檢驗該可執行播案是否為 惡意擋案。-可執行檔案為可疑構案係指該可執 备案有可此為一惡意軟體。在本發明中,在—第— 離線階段)中,可從四個層 計算裝置處於-不活動模文Γ. 丁褚案。在離線階段中, 係由可移时置《 / "Μ0;亦即,該計算褒置 是否由一可==體層面係為:(i)該可執行標案 該可執行檔案之—=:?=信任之供應商)所發佈;⑺ 或電腦可讀取_;;;; (即,—㈣除裝置及/ 己錄媒體疋否包含與此訊息摘要知门 訊);(3)該可執行播案是否斑另肖要相同之—摘要資 以及(4)該可執行㈣是否係為—自動::案具 個層面之後,即可確 ;:了階段中 一可疑檔案。 系馮—可信任檔案或 本發明可繼續進行一第二階段(即, stage))。在執行時間階段 仃日,間階段(rim-time Μ算裝置處於活動模式(即,計 12 201122893 算裝置係自我啟動)。在執行時間階段中,進一步檢驗在離線階段 中被確定為可疑檔案之可執行檔案。對於—可疑之可執 若其在第二階段中之檢驗結果與其在第—階段中之檢驗結田果相 異,則此可疑之可執行檔案為一惡意軟體之可能性大增。 本發明之細節將詳述於以下段落中。 本發明之一.第一實施例描繪於第 1A圖中’其顯示一可移除裝置
la,可移除裝置la係用以檢驗一儲存於_計算裝置&中之可執 行檔案2卜於本實施例卜係為檢驗可執行標案21是否由一可信 任之軟體製造商(即’-可信之供應商)所發佈。為檢驗可執行 檔案2卜使用者須連接可移除裝置u與計算裝置&。須說明者, 可移除裝置la係無病毒’並可為任何—種電腦儲存媒體,例如硬 ^ (harddisk)>CD-R〇M^DVD-R〇M^^^^ ( blur-ray disc ) 等。然而’電腦儲存媒體之類型並非用以關本發明之範圍。於 其它實施财’可移除裝置la可為諸如電料具有計算能力之裝 置。可移除裝置la包含-初始化馳1G、_财掃級组Η以 及一供應商檢驗模組12。 la須在其啟動計算裝置2a之 於離線階段開始時,可移除裝置 前連接至計«置2a。換言之,為防止任何惡意㈣—開始就控 制計算裝4 2a’計算裝置2a被設定為由可移除裝置&啟動。之 後’使可移除裝置la之初始化模組1G啟動計算裝置〜。初始化 模組H)可為-安裝於可移除裝置la中之作業系統。於可信任地 啟動後’檔案掃描模組U自計算裝置2a操取可執行樓案。需 說月者可移除裝置la之播案掃福模組n能夠辨識計算裝置^ 13 201122893 之檔案系統,以擷取可執行檔案21。 關於可執 通過供應 可信任檔 於擷取可執行檔案21後,供應商檢驗模組21執行 行檔案21之一供應商之供應商檢驗。若可執行幹案21 商檢驗,供應商檢驗模組12便決定可執行檔案21
*’、V 案。 首先’供應商檢驗模組12判斷可執行檔案21 '、 定否具有一關於 可執行檔案21之一供應商之供應商資訊。此虚,μ + 、 匕慝,供應商係指製作 可執行檔案21之公司、機構等。若供應商檢驗模組a 行檔案21不具有關於其供應商之供應商資訊,則供應商2 執 12便決定不再對可執行樓案21執行進一步的供應商檢驗^而 執行權案21具有一供應商資訊210,則供應商檢驗模組i2便進 步判斷供應商資訊210是否可信賴。可執行檔案21之供應商資1 210可與可執行檔案21之一憑證(certificate )相關聯。舉例而士 若可執行稽案21被設計為在Microsoft Windows中執行,貝,丨可執 行檔案21包含一憑證,該憑證係於可執行樓案21發佈時在
Microsoft Windows中註冊,使人們及/或機器能夠得知該可執行稽 案係來自供應商Microsoft,特別是當可執行檔案21係由一知名軟 體製造商發佈時,此乃是因為大多數知名軟體製造商均希望使其 軟體於Microsoft Windows下執行。對於由知名軟體製造商所發佈 之軟體’憑證具有數位簽章(digital signature)之作用。 具體而言,供應商資訊210包含一供應商資訊片段、一指定訊 息以及一加密訊息。供應商資訊片段係用以指示可執行檔案21是 由哪一軟體製造商所製作。舉例而言,若可執行檔案2〗係由〇racie 201122893 發佈,則供應商資訊片段指示「〇racle」。供應商檢驗模組12根據 供應商資訊片段,自可移除裝置la擷取一供應商公開金鑰31 ◊接 著,供應商檢驗模組12使用供應商公開金鑰31 ,將可執行檔案 21之供應商資訊210之加密訊息解密為一解密訊息。之後,供應 商檢驗模組12判斷該解密訊息是否與該指定訊息相同。若供應商 檢驗模組12判斷該解密訊息與該指定訊息相同,則供應商檢驗模 組12決疋可執行檔案21為一可信任檔案;亦即,可執行檔案21 通過供應商檢驗。相反地,若供應商檢驗模組12判斷該解密訊息 ® 與該指定訊息相異,則供應商檢驗模組12會因為可執行檔案21 可能為偽造的而判斷可執行檔案21為一可疑檔案。 因在離線&中,供應商檢驗模組12根據供應商資訊21〇判斷 可執行檔案21為一可疑檔案,故可執行檔案21被記錄於一可疑 檔案列表(suspicious list)中。隨後,初始化模組1〇關閉計算裝 置2a而退出離線階段。接著,可進入一執行時間檢驗階段。計算 裝置2a自我啟動而進入執行時間階段。檔案掃描模組η擷取記 鲁錄於可疑檔案列表之可執行檔案2卜供應商檢驗模組12接著再次 债測可執行檔案21是否具有供應商資訊。若此次可執行檔案21 不具有供應商資訊,則意切可執行標案21之供應商資訊被移 除。因此,判斷可執行檔案21為惡意檔案;亦即,可 為一惡意軟體之可能性大增。 田〆、 若檢驗之目的係判斷可執行槽案21是否由一可信任之軟體製造 商發佈時,第一實施例之可移除裝置la便能夠達成該任務。然而, 使用者有可能希望對可執行檔案21執行其它檢驗。特別是當可執 15 201122893 行槽案21不具有供應商資訊時。於此種情形中,可執行檔案 儼若惡忍軟體一樣可疑。本發明之一第二實施例即說明此種情 景。 請參閱第1Β圖,其係為本發明之一第二實施例之示意圖。第二 實施例係為一可移除裝置lb,用以檢驗儲存於一計算裝置2b十之 一可執行檔案21,。可移除裝置沁係無病毒(即,可信任),且儲 存右干摘要資訊32a,,32z。如同在第—實施例中所述之情形, 可移除裝置ib包含初始化模組1G、财掃描模組u及供應商檢 驗模組12。此外’可移除裝置&包含-摘要檢驗模組(細_純籲 module) 14。初始化模組1〇、槽案掃描模組u及供應商檢驗模組 12執行與第一實施例中相同之功能故在此不予費述。以下說明 將著重於摘要檢驗触14之細節,且係基於供應商檢驗模組^ •^斷可執行案21’不具有供應商資訊之情形。 可執订檔案21’不具有供應商資訊意味著可執行樓案2ρ應被暫 夺視為可月b之惡意軟體,而並非已被視為一惡意軟體。原因在 於並非所有可執行標案皆由知名軟體製造商發佈’某些可執行籲 檔案係被4用於特定電腦。非知名軟體製造商所發佈之可執行 ㈣可能不具有供應商資訊。因此,可移除裝置lb之摘要檢驗模 組14顯"'步檢驗可執行檔案2丨,。摘要檢驗模組Μ對可執行樓 案21執行一摘要檢驗。若可執行播案21,通過摘要檢驗’摘要檢 驗模組Μ便決定可執行_21,為—可信任槽案。 一首先摘要檢驗模組14利用一訊息摘要演算法(例如—_5 决算法)冲异可執行檔案21,之一第一訊息摘要。接著,摘要檢驗 16 * 201122893 模組μ判斷可移除裝置115是否具有—與可執行_2i,之第1 1 摘要相3ΓΓ㈣訊。換言之,摘要檢驗模組14判斷摘要資訊 二:要二疋否有任一者與可執行檔案21’之第-訊息摘要相 同。右摘要檢驗模組14判斷第—訊息摘要與摘要資訊32a 32ζ 其中之-(例如摘要資訊32a)相同,摘要檢驗模組14便決定可 執行棺案21 ’為一可信任槽案。
相反地,若摘要檢驗模組M判斷摘要資訊32a,···,32z皆不盘 第-訊息摘要相同,則摘要檢驗模組14便決定可執行檀案η,未 通過摘要檢驗。然而,儘管摘要資訊仏,,32z皆不與可執行樓 案π之第一訊息摘要相同’此並不意味著可執行檔案21,為-可 ㈣案,而是僅意味著摘要檢驗模組14無法狀可執行播案Μ, 疋否為可^5任樓案。之後,初始化模組1〇關閉計算裝置沘以 退出離線階段。此時,可進入一劲 t j進入執仃時間階段。計算裝置沘自我 啟動而進入執行時間階段。檑案掃描模組u開始自計算裝置2b 操取記錄於可疑檔案列表之可執行擋案21,。之後,摘要檢驗模組
12什异可執行槽案21’之—第二摘要訊息。若可執行棺案π之第 -摘要訊息與可執行檔案21,之第二摘要訊息相異,則意味著可執 行檔案21’在進入「執行時間」階段時已改變其完整性。因此,摘 要檢驗模組14決定可執行檔案21,為一惡意軟體。 根據第-實施例及第二實施例可知,只要—可執行檔案通過供 應商檢驗模組12所執行之供應商檢驗與摘要檢驗馳14所執行 之摘要檢驗至少其中之-,便可判定該可執行檔案為—可信任樓 案。對於不具有供應商資訊且未通過摘要檢驗之可執行檔案,本 17 201122893 發明將如下文所述在離線階段中從其它角度進一步檢驗之。 在闡述其它實施例之前,需先闡述二重要概念。首先,在電腦 之執行時間程序中,某些可執行㈣並非—開始時即由作業系統 執行’而是在-後續階段t由其它可執行檔案觸發。第二,某些 可執行檔案為自_行财。某些惡意軟體可制料特徵來攻 擊電腦及㈣用於㈣意軟體之㈣。為防止料行為攻擊電 腦’若-可執行檔案在供應商檢驗模組12所執行之供應商檢驗及 摘要檢驗模組!4所執行之摘要檢驗中皆未通過檢驗,則應檢驗其 觸發關係及/或自動執行狀態。 請參閱帛1C圖,其係為本發明之一第三實施例之示意圖。本發 明之第三實施例係為-可移除裝置le,用以檢驗儲存於一計算裝 置2c中之第一可執行檔案24。如同在第二實施例中所述之情景, 可移除裝置le包含初始化模組1G、财掃描模組u、供應商檢 驗模組12以及摘要檢驗模組14。此外’可移除裝置&包含一連 結棺案偵測模組(file-link_detect module )15。與可移除裝置lc 相連之計算裝置2e包含第—可執行檔案24及—第二可執行槽案 22。初始化模|且10、樓案掃描模组n、供應商檢驗模組12以及 摘要檢驗模組14可執行與在第一及第二實施例中相同之功能,故 在此不予贅述。 以下說明將著重於連結檔㈣測模組15。亦即,供應商檢驗模 組12判斷第一可執行檔案24未能通過一關於第—可執行檔案之 一供應商之供應商檢驗,且摘要檢驗模組14判斷第一可執行檔案 24未能通過一摘要檢驗。 201122893 連結檔案偵測模組15偵測第一可執行檔案24是否與計算裝置 2c中另-可執行檔案(例如第二可執行檔案22)具有—觸發關係。 需說明者,可執行檔案之觸發關係因計算裝置而異,因而由計算 裝置之作業系統記錄觸發關係。因此,若在第一可執行檔案以與 第一可執行樓案22之間存在一觸發關係,計算裝置2c之作業系 統(未繪示於圖式)將記錄該觸發關係。該觸發關係可為:第— 可執行檔案24能夠被第二可執行檔案22觸發,或者第一可執行 擋案24能_發第二可執储案22。若連結财偵_組15谓 測:第-可執行檔案24與第二可執行檔案22具有一觸發關係,、 則思味著執灯第-可執行檔案24便可能會導致計算裝置2c感染 電腦病毒。藉此,連結檔案偵測模組15根據對第一可執行檔案24 與第二可執行槽案22之_發關係之仙,決定第-可執行檔案 24為一可疑檔案。 田” 因在離線階段中’連結檔案偵測模挺15判斷第一可執行標案Μ 為一可疑樓案,因而第—可執行檔案24被記錄於—可疑檑案列表 中。此後’初始化模組1〇關閉計算裝置&以退出離線階段。之 後’可進人-執行時_段。計算裝置&自我啟動而進入執行時 間階段。财掃描模組11自計算裝置2e擷取記錄於可疑槽案列 表^第可執仃構案24。接著,連結稽案偵測模組15再次债測第 可執订U 24疋否具有―觸發關係。若在執行時間階段中判斷 出第可執仃檔案24不具有一觸發關係則意味著第一可執行檔 案24係& 過修改之惡意軟體。若連結㈣賴模纽η判 斷第I執仃檔案24與另-可執行槽案具有一觸發關係但與第二 可執行檔案22不具有觸發關係,此亦意味著第-可執行權案24 201122893 已經過修改。在此等情況下,連結稽案偵測模組i5判斷第一可執 行檔案24為一惡意軟體。 如上所述,另-種可疑行為係為自動執行,此闊述於一第四實 施例中。請參閱第⑴圖,其係為本發明—第四實施例之示音圖。 本發明之第四實施例係為-可移除裝置ld,用以檢驗儲存於計算 裝置2d中之可執行檔案25。如同在第二實施例中所示之情形,可 移除裝置1d包含初始化模組1〇、標案掃描模組U、供應商檢驗 杈組12以及摘要檢驗模組14。此外,可移除裝置w包含一自動 =于判斷模組16。初始化模組1G、擋案掃描· u、供應商檢驗 m以及摘要檢驗模組14執行與第—及第二實施例中相同之 功能,故在此不予贅述。 以下說明將著重於自動執行判斷模組‘亦即,供應商檢驗模 組12判斷可執行檔案25未能通過— …σ 、 關於δ亥可執行檔案之一伊廣 二之:應商檢驗’且摘要檢驗模組14判斷可執行槽 : Π要檢驗。自動執行判斷模組Μ將判斷可執行播案25是否 二管丁植案。具體而言,自動執行判斷模組16可藉由剖析 5十算裝置2d之一作聿牵铋古拿孤次— 之作辈* ,..... D胃S而進行觸。當計算裝置2d 作業系、,充已在作業系統註冊資訊 執行判斷模组16便可進行該判。動執行狀態時’自動 可執行财^ -自_崎,軸丨斷 為-可疑檔案。 更進步決疋可執行檔案25 因在離線階财,可執行縣 為一可疑矜索被自動執仃判斯模组判斷 田案""射進—步檢驗可執行檀心。在_階财, 20 201122893 自動執行判斷模組16將可執行檔案25記錄於一可疑檔案列表 中。此後,初始化模組10關閉計算裝置2d,以退出離線階段。之 後,可進入一執行時間階段。計算裝置2d自我啟動而進入執行時 間階段。檔案掃描模組11自計算裝置2d擷取記錄於一可疑檔案 列表之可執行檔案25。然後,自動執行判斷模組16再次偵測可執 行檔案25是否具有自動執行狀態。若在執行時間階段中自動執行 判斷模組16判斷可執行檔案25不為自動執行檔案,則自動執行 判斷模組16判斷可執行檔案25為一惡意軟體,此乃因可執行檔 案25已被修改。 第1E圖係為本發明之一第五實施例,係為一可移除裝置le,用 以檢驗儲存於計算裝置2e中之所有可執行檔案23a、23b、23c。 可移除裝置le包含初始化模組10、檔案掃描模組11、供應商檢 驗模組12、摘要檢驗模組14、連結檔案偵測模組15以及自動執 行判斷模組16。可移除裝置2e儲存複數摘要資訊33a、33b以供 用於摘要檢驗。所有模組及組件皆可執行在前述各實施例中所述 之功能,故在此不予贅述。 計算裝置2e儲存有可執行檔案23a、23b、23c ;然而,某些可 執行檔案23a、23b、23c可能為一可疑檔案。若預先未經任何檢 驗便啟動計算裝置2e,則可能會有愈來愈越多的可執行檔案23a、 23b、23c變成一可疑檔案。為防止出現此種情形,可移除裝置le 預先連接至計算裝置2e。之後,由可移除裝置le之初始化模組 10啟動計算裝置2e,以使可移除裝置le控制計算裝置2e。 檔案掃描模組11自計算裝置2e擷取所有可執行檔案23a、23b、 21 201122893 23c。對於各該可執行檔案23a、23b、23c,可移除裝置le皆檢驗 其為一可信任檔案還是一可疑檔案。 在本實施例中,若一可執行檔案通過供應商檢驗模組12所執行 之供應商檢驗與摘要檢驗模組14所執行之摘要檢驗其中之一,其 便為一可信任檔案。而若一可執行檔案未能通過供應商檢驗模組 12所執行之供應商檢驗,其便被決定為一可疑檔案。 若一可執行檔案不具有供應商資訊且未通過摘要檢驗模組14所 執行之摘要檢驗,則必須由連結檔案偵測模組15及/或自動執行判 斷模組16進一步檢驗該可執行檔案。於此種情形中,該可執行檔 案必須同時通過連結檔案偵測模組15與自動執行判斷模組16所 執行之檢驗,方可被判斷為一可信任檔案。換言之,該可執行檔 案不能與另一可執行檔案具有一觸發關係且不能為一自動執行檔 案,否則其將被判斷為一可疑檔案。於第五實施例中,一可疑之 可執行檔案將被暫時移至一被隔離位置。 於所有可執行檔案23a、23b、23c皆經過可移除裝置le檢驗之 後,因可疑之可執行檔案已被隔離,因而可判斷計算裝置2e為一 無病毒裝置。同樣地,第五實施例將可疑之可執行檔案記錄於一 可疑檔案列表中。此等可疑之可執行檔案可在一執行時間階段中 予以進一步檢驗。在執行時間階段中所執行檢驗之細節已闡述於 第一、第二、第三及第四實施例中,故在此不予贅述。 本發明之一第六實施例繪示於第2A-2D圖中,其係為一稜用以 檢驗一計算裝置(例如在上述實施例中所述之計算裝置2e)之一 可執行檔案之方法。 22 201122893 首先’該方法執行步驟301,使-可移除裝置啟動該計算裝置, 其中该可移除裝置係無病毒。接著,執行步驟302’使該可移除裝 置自該計算裝置操取該可執行檔案。之後,執行步驟303,使該可 Γ裝置崎該可執行檔案是否具有-關於該可執行標案之一供 “士 右於步驟3G3中判斷出該可執行標案具有一 供應商資訊,則應判斷該可執行檔案是否為可信賴的。 2㈣’可藉由第2B圖中所示之步驟進—步達成可執行楷案 ·=性檢驗。須說明者,該供應商資訊包含-供應商資訊片段、 以及-加密訊息。首先’執行步驟咖,根據該供應 商資訊片段’自該可移除裝置娜—供應商公開錄。之後,執 商公開金錄將該供應商資訊之加密訊息 盥外〜^ Λ息。接著’執行步驟3G3C,判斷該解密訊息是否 與違心疋訊息相同。若該解密 -之判斷結果為「是二指定訊息相同(即’步驟 為-可作奸宰及 步驟3〇8,決定該可執行檔案 步驟若該解密訊息與該指定訊息相異(即, 造的,之、纟叫「€」)’貞彳帛味_彻繼可能為偽 被少定rtr ,決定該可執行標案為一可疑楷案。將 /,'f標案之可執行㈣記錄於—可疑㈣列表卜至 第,、霄施例在一離線階段中執行完畢。 例=方=結束於步驟或執行進-步檢驗。第六實施 步檢驗。須:::3:::以在- 執行。步驟3〇Γ 侧無需在步驟删之後立即 驟303e至3〇3i可在一後繪办丨血y '•夺j執行。在執行時間階段中, 23 201122893 執行步驟逊,關閉該計算裝置,以退出離線階段。執行步驟 肅,於該計算裝置自我 ❿執仃步驟 動而進入執行時間階段後, 裝置擷取該可執行檔案。接著- ° 行檔荦4且右一心 步驟3〇3g’再次判斷該可執 資;,、:此商資訊。若該可執行檔案不具有-供應商 立㈣, 執订步驟決定該可執行權案為-亞 二=執右之判斷結果為「是」,則執行步驟则二 疋该可執行檔案仍為一可疑檔案。 决 右於步驟303 _,該可勃并於电 法繼續進行步驟304。於步驟3〇f中不具有一供應商資訊,則該方 法(例如- mD5演算法)計算対^該方法使用一訊息摘要演算 於步驟305 Φ °"可執仃檔案之一訊息摘要。接著, 於’驟305中,該方法判 訊是否與該可執行㈣广白亥了移除裝置中之任一摘要資 摘要與可移除裝: = 若步驟3。5判斷_ 3。8,決定該可執行檔 ::方::續執灯步驟 該可移除F置不且L任检案。反之’若步驟305判斷 來,則m 執行檔案之訊息摘要相同之摘要資 則该方法繼續執行步驟306。 於步驟306中,兮古、土枯、丨 一可執行檔案具有1 可執行檔案是否與計算裝置之另 柃宰之門&關係°若在該可執行播案與另-可執行 二可’則執行步驟黯’決定該可執行樓案 疑標案列表田中、。為可疑播案之可執行楷案記錄於一可 行。本發明之方车 305、306、306a、删係於離線階段執 X 法可結束於步驟細a或執行進一步檢驗。第六實 24 201122893 施例進一步執行步驟306b至306f,以在一執行時間階段中進一步 檢驗。須注意者,步驟306b至306f無需在步驟306a後立即執行。 步驟306b至306f可在一後續時刻執行。 於執行時間階段,執行步驟306b,關閉該計算裝置,以退出離 線階段。執行步驟306c,在該計算裝置自我啟動而進入執行時間 階段後,自該計算裝置擷取該可執行檔案。接著,執行步驟306d, 再次判斷該可執行檔案是否具有一觸發關係。若在該計算裝置之 執行時間階段中,該可執行檔案不具有一觸發關係,則此意味著 該可執行檔案為一惡意軟體,此乃因該可執行檔案已被修改。之 後,執行步驟306f,決定該可執行檔案為一惡意軟體。反之,則 執行步驟306e,決定該可執行檔案仍為一可疑檔案。 相反地,若步驟306之判斷結果為「否」,則執行步驟307,判 斷該可執行檔案是否為一自動執行檔案。若該可執行檔案不為自 動執行檔案,則執行步驟308,決定該第一可執行檔案為一可信任 檔案。若在步驟307中判斷該可執行檔案為一自動執行檔案,則 在步驟307a中決定該可執行檔案為一可疑檔案,並將被決定為一 可疑檔案之可執行檔案記錄於一可疑檔案列表中。步驟307、 307a、308係在離線階段執行。本發明之方法可結束於步驟307a 或執行進一步檢驗。第六實施例進一步執行步驟307b至307f,以 在一執行時間階段中進行進一步檢驗。須注意者,步驟307b至307f 無需在步驟307a後立即執行。步驟307b至307f可在一後續時刻 執行。 於執行時間階段,執行步驟307b,關閉該計算裝置,以退出離 25 201122893 線階段。執行步驟紙,在該計算裝置自我啟動而進人執行時門 階段後,自該計算裝置麻該可執行樓案。接著,執行步驟㈣, 再次判斷該可執行檔案是否為—自動執行㈣在 !執行時間階段中,該可執行檔案不為自動執行檔案,則此音、味 ^可ΓΓ案已被修改’因而執行步驟斯,決定該可妨稽 2為一惡.咖。反之’難行料職,峨 為一可疑檔案。 Η田系w 本發明之-第七實施例繪示於第3圖令,其係為一 Γ計算裝置(例如在上述實施财所述之計算裝置2〇之 行擋案之方法。 Ί執 I先,該方法執行步驟顿,使—可移除裝置啟動 其中該可移除裝置係無病毒。接著,執行步驟40 置 置自該計算裝置掏取該可執行檔案使J移除裝 移除裝置判斷該可執行檔荦是否不且有執仃步驟403 ’使該可 供應商之供應商資I ㈣仏案之- :1Γ::Τ可執行檔案之-第-訊息摘要可執 :5= 錄於—摘要㈣。隨後,執行步驟 算參置自Hi算裝置’以退出離線階段。執行步驟榻,在該計 裝置自我啟動而進入執行時間階段後,自 執行檔案。然後,執行步_ 裝置擷取邊可 訊息,以供在步驟彻”於後續執行槽案之—第二摘要 案,判斷該第—摘要訊息與該可執行槽 摘要4相異。此意味著該可執行槽案已被修改。因 26 201122893 此,執行步驟409,判斷該可執行檔案為一惡意軟體。 須注意者,本發明之離線階段與執行時間階段係獨立運作。換 言之,本發明可在離線階段中從該四個層面檢驗計算裝置之所有 可執行檔案。在離線階段中,某些可執行檔案被決定為可疑檔案, 且此等可疑之可執行檔案將記錄於一可疑檔案列表中。在離線階 段之檢驗完成後,進入執行時間階段之檢驗。在執行時間階段中, 再次檢驗記錄於該可疑檔案列表的可疑之可執行檔案。若一可疑 之可執行檔案在執行時間階段之檢驗結果與在離線階段之檢驗結 ® 果相異,便決定該可疑之可執行檔案為一惡意軟體。反之,則決 定該可疑之可執行檔案仍為一可疑檔案。 除了上述步驟,本發明用以檢驗一計算裝置之一可執行檔案之 方法亦能執行前述各實施例所描述之所有操作及功能。所屬技術 領域具有通常知識者可直接瞭解本發明之方法如何基於上述各實 施例以執行此等操作及功能。故不贅述。 本發明之方法可由儲存於一電腦可讀取記錄媒體之複數個電腦 • 指令執行。當該等電腦指令被載入一可移除裝置或一計算裝置 時,將運行複數個程式指令以執行第六實施例之各步驟。該電腦 可讀取記錄媒體可為軟碟、硬碟、光碟、隨身碟、磁帶、可由網 路存取之資料庫或熟習此項技藝者所習知且具有相同功能之任何 其它儲存媒體。 綜上所述,本發明係利用一可信任之可移除裝置啟動一計算裝 置並分二階段檢驗該計算裝置之所有可執行檔案。若在「離線階 段」中判斷一可執行檔案為一可疑檔案,則將該可執行檔案記錄 27 201122893 於-可疑財列表中。於該可信任之可移除裝置在「離線階段」 中檢驗完該計算裝置之所有可執行财後,仍需要執行進一步之 檢驗於執行時間」階段中,將進一步檢驗記錄於可疑播案列 表之可執行檔案,以決定其是否為惡意軟體。相應地,被判斷為 可疑檔案及惡錄體之可執行财將被移至—單獨位置。藉此, 判斷該計算裝置無病毒(即,可信任)。因此,即使一計算裝置已 被電腦病毒感染,本發明之可移除裝置仍可將該計算裝置作為一 無病毒裝置進行開啟。 上述之實施例僅用來例舉本發明之實施態樣,以及闊釋本發Β月鲁 之技術特徵,並非用來限制本發明之保護範·。住何熟悉此技術 者可輕易完成之改變或均等性之安排均屬於本發明所主張之範 圍,本發明之權利保護範圍應以申請專利範圍為準。 【圖式簡單說明】 第1Α圖係為本發明之一第一實施例之示意圖; 第1Β圖係為本發明之一第二實施例之示意圖; 第1C圖係為本發明之一第三實施例之示意圖; _ 第1D圖係為本發明之一第四實施例之示意圖; 第1Ε圖係為本發明之一第五實施例之示意圖; 第2Α圖係為本發明之一第六實施例之流程圖; 第2Β圖係為第六實施例之部分流程圖; 第2C圖係為苐六實施例之部分流程圖; 28 201122893 第2D圖係為第六實施例之部分流程圖;以及 第3圖係為一第七實施例之流程圖。
【主要元件符號說明】 la :可移除裝置 lc :可移除裝置 le :可移除裝置 2b :計算裝置 2d :計算裝置 1 〇 .初始化模組 12 :供應商檢驗模組 15 .連結檀案彳貞測模組 21 :可執行檔案 22 :第二可執行檔案 23b :可執行檔案 24 :第一可執行檔案 31 :供應商公開金鑰 33a :摘要資訊 210 :供應商資訊 1 b :可移除裝置 I d :可移除裝置 2a :計算裝置 2c :計算裝置 2e :計算裝置 II .棺案掃描模組 14 .摘要檢驗模組 16:自動執行判斷模組 21’ :可執行檔案 23a :可執行檔案 23c :可執行檔案 25 :可執行檔案 32a-32z :摘要資訊 33b :摘要資訊 29

Claims (1)

  1. 201122893 申凊專利範圍: 一種以一 該可移除裝置係無病毒
    該方法包含下列步驟: -種以一可移除裝置檢驗一 方法, (a)使該可移除裝置啟動該計算裝置; 案;⑼使該可移除裝置自該計算裝置操取該第—可執行槽 (c)使該可移除裝置判斷該第一可執行檔案不具有_關於 該第一可執行檔案之一供應商之供應商資訊; 、 ⑷使該可移除|置使用—訊息摘要演算料算該第一可 執行檔案之一訊息摘要; (e) 使該可移除裝置判斷其不具有與該訊息摘要相同之摘 要資訊; (f) 使該可移除裝置偵測該第一可執行檔案與該計算裝置 之一第二可執行檔案具有一觸發關係;以及 (g) 使該可移除裝置根據步驟⑴之偵測結果,決定該第一 可執行檔案為一可疑(suspicious)檔案。 •如請求項1所述之方法,更包含下列步驟於步驟後: (h) 使該可移除裝置關閉該計算裝置; (1)於該計算裝置自我啟動後,使該可移除裝置自該計算 裝置擷取該第一可執行檔案; (j) 使該可移除裝置偵測該第一可執行檔案與該計算裝置 之該第二可執行檔案不具有觸發關係;以及 (k) 使該可移除裝置根據步驟⑴之偵測結果,決定該第一 可執行檔案為一惡意軟體(malware)。 201122893 3·如請求項i所述之方法,其中該觸發關係 檔案會觸發該第一可執行檔案。 〜—可執行 4.如請求項丨所述之方法,其中該觸發_係指該第 檔案會觸發該第二可執行檔案。 仃
    5.如請求項1所述之方法 該觸發關係。 其中該計算裝置之— 作業系統記錄 6. 一種以一可移除裝置檢驗一計算裝置之—可執行檔案 法,該可移除裝置係無病毒,該方法包含下列步驟:田一 (a)使該可移除裝置啟動該計算裝置; 之方 (b) 使該可移除裝置自該計算裝置操取該可執行樘案. (c) 使該可移除裝置判斷該可執行檔案不具有—關於該可 執行檔案之一供應商之供應商資訊; (d) 使該可移除裝置使用一訊息摘要演算法計算該可執行 檔案之一訊息摘要;
    (e)使該可移除裝置判斷其不具有與該訊息摘要相同之摘 要資訊; (0使該可移除裝置判斷該可執行檔案為一自動執行 (auto-run)檔案;以及 (g)使該可移除裝置根據步驟⑴之判斷結果,決定該可執 行檔案為一可疑檔案。 7_如請求項6所述之方法,更包含下列步驟於步驟(g)後: (h) 使該可移除裝置關閉該計算裝置; (i) 於該計算裝置自我啟動後,使該可移除裝置自該計算 裝置擷取該可執行檔案; 31 201122893 ⑴使該可移除裝置判斷該可執行檔案非為一自動執— 案;以及 (k)使該可移除裝置根據步驟⑴之判斷結果,決定該可執 行檔案為一惡意軟體。 8.如請求項6所述之方法,其中步驟⑴係透過分析該計算裝置 之一作業系統註冊資訊,以判斷該可執行檔案為一自動執行
    9. 一種以一可移除裝置檢驗一計算裝置之一可執行檔案之方 法,該可移除裝置係無病毒,該方法包含下列步驟: (a) 使該可移除裝置啟動該計算裝置; (b) 使該可移除裝置自該計算裝置擷取該可執行檔案; (c) 使該可移除裝置判斷該可執行檔案不具有一關於該可 執行槽案之一供應商之供應商資訊; (d)使該可移除裝置使用一 檔案之一訊息摘要; 訊息摘要演算法計算該可執行 0)使θ可移除裝置判斷該訊息摘要與該可移除裝 存之一摘要資訊相同;以及 、 置所儲
    決定該可執 (f)使該可移除裝置根據步驟(e)之判斷結果, 行標案為一可信任檔案。 10. —種以一可移除裝置檢驗一 法,該可移除裝置係無病毒, 計算裝置之-可執行稽案之方 S亥方法包含下列步驟: (a)使該可移除裝置啟動該計算裝置; ⑻使該可移除裝置自料算裝置擷取該可執行標案; ⑷使該可移除裝置騎該可執行㈣包含_供應商資 32 201122893 机,該供應商資訊包含—供應商資訊片段、—指定訊息及一 加密訊息; (d) 使4可移除裝置根據該供應商資訊片段擷取一供應商 △開金鑰,該供應商公開金鑰係儲存於該可移除裝置; (e) 使4可移除裝置以該供應商公開金鎗,將該加密訊息 解密為一解密訊息; (f) 使4可移除裝置判斷該解密訊息與該指定訊息相異; 以及 ~ (g) 使該可移除裝置根據步驟(f)之判斷結果,決定該可執 行檔案為一可疑檔案。 11_如„月求項1〇所述之方法更包含下列步驟於步驟⑻後: (h) 使該可移除裝置關閉該計算裝置; ⑴於該计算裝置自我啟動後’使該可移除裝置自該計算 裝置擷取該可執行檔案; ⑴使Θ可移除裝置判斷該可執行播案不具有_關於該可 執行檔案之一供應商之供應商資訊;以及 (k)使該可移除裝置根據步驟⑴之判斷結果,決定該可執 行標案為一惡意軟體。 如請求項10所述之方法,其中該供應商資訊係與該可執行樓 案之一憑證相關聯。 13.種以可移除裝置檢驗一計算裝置之一可執行標案之方 法’该可移除裝置係無病毒,該方法包含下列步驟: (a) 使该可移除裝置啟動該計算裝置; (b) 使該可移除裝置自該計算裝置掘取該可執行楷案. 33 201122893 (C)使該可移除裝置判斷該可執行檔案包含一供應商資 訊,該供應商資訊包含一供應商資訊片段、一指定訊息及一 加密訊息; (d) 使該可移除裝置根據該供應商資訊片段擷取—供應商 公開金鑰,該供應商公開金鑰係儲存於該可移除裝置; (e) 使該可移除裝置以該供應商公開金鑰,將該加密訊息 解密為一解密訊息; (f)使該可移除裝置判斷該解密訊息與該指定訊息相同
    以及 (g)使該可移除裝置根據步驟⑺之判斷結果,決定該可執 行檔案為一可信任檔案。 14.如請求項13所述之方法,其中該供應商資訊係與該 案之一憑證相關聯。 田 A -種以-可移除裝置檢驗—計算裝置之—可執行檔案之方 法,該可移除裝置係無病毒,該方法包含下列步驟: (a) 使该可移除裝置啟動該計算裝置;
    (b) 使該可移除裝置自該計算裝置掏取該可執行樓案; ⑷使該可移除裝置判斷該可執行㈣不具有於該 執行檔案之一供應商之供應商資訊; Λ (d)使該可移除裝置使用 檔案之一第一訊息摘要; 訊息摘要演算法計算該可執行 (e)使該可移除裝置 要資訊; 判斷其不具有與該訊息摘要相 同之摘 (f)使該可移除裝置關閉該計算裝置; 34 201122893 (g) 於該計算裝置自我啟動後’使該可移除裝置自該計算 裝置擷取該可執行檔案; (h) 使該可移除裝置使用一訊息摘要演算法計算該可執行 檔案之一第二訊息摘要; (i) 使該可移除裝置判斷該第一訊息摘要與該第二訊息摘 要相異;以及 ⑴使該可移除裝置根據步驟⑴之判斷結果,決定該可執 行樓案為一惡意軟體。 16. —種用以檢驗一計算裝置之一第一可執行檔案之可移除裝 置,該可移除裝置係無病毒,該可移除裝置包含: 一初始化模組’用以啟動該計算裝置; —檔案掃描模組,用以自該計算裝置擷取該第一可執行 檔案; •,— Ν Ί田木〆卩j 一關於該第-可執行檔案之—供應商之供應商資訊; • ——摘要檢驗模組,用以使用—訊息摘要演算法計算言 可執仃檔案之-訊息摘要,並判斷該可移除裝置不具^ 該訊息摘要相同之摘要資訊;以及 :連結财_模組,用則貞龍第—可執行槽案婆 測:杲置之:第二可執行檔案具有一觸發關係,並咖 ,決疋5亥弟—可執行檔案為一可疑檔案。 A如請求^16所述之可移除裝置,其中該初始化模組更用二 ==裝置,該檔案掃描模組更用以於該計 動後,自該計算裝置錄該第-可執行财,該連結㈣ 35 201122893 測模組更用以偵測該第一可執行檔案與該計算裝置之該第二 可執行檔案不具有觸發關係,並根據該偵測結果,決定該第 一可執行檔案為一惡意軟體。 18. 19. 20. 21. 如請求項16所述之可移除裝置,其中該觸發關係、係指該第二 可執行檔案會觸發該第一可執行檔案。 如請求項16料之可移除裝置,其中該觸發關係係指該第一 可執行檔案會觸發該第二可執行檔案。 如請求項16所述之可移除裝置,其中該計算裝置之一作業系 統記錄該觸發關係。 一種用以檢驗一計算裝置之一可執行檔案之可移除裝置,該 可移除裝置係無病毒,該可移除裝置包含: —初始化模組,用以啟動該計算裝置; —檔案掃描模組,用以自該計算裝置擷取該可執行檔案; 一供應商檢驗模組’用以判斷該可執行檔案不具有一關 於該可執行檔案之一供應商之供應商資訊; 一摘要檢驗模組,用以使用一訊息摘要演算法計算該可 執行檔案之一訊息摘要,並判斷該可移除裝置不具有與該訊 息摘要相同之摘要資訊;以及 —自動執行判斷模組,用以判斷該可執行檔案為一自動 執行檔案,並根據該判斷結果,決定該可執行檔案為一可疑 之檔案。 如請求項21所述之可移除裝置,其中該初始化模組更用以關 閉該計算裝置,該檔案掃描模組更用以於該計算裝置自我啟 動後,自該計算裝置擷取該可執行檔案,該自動執行判斷模 36 22. 201122893 23. 組更用以騎該可執行擋案非為 判斷結果,決定該可執行檔案為 一自動執行檔案 一惡意軟體。 並根據該 月夂項21所述之可移除裝置,1 诱讲八此―Ί自動執仃判斷模組係 透過刀析该計鼻裝置之—作举李 貝訊’以判斷該可執 仃檔案為一自動執行檔案。 24.:種用以檢驗-計算裝置之一可執行檔案之可移除裝置該 可移除t置係無病毒’該可移除裝置包含:
    初始化模組,用以啟動該計算裝置; —檔案掃描模組,用以自該計算裝置操取該可執行檔案; —供應商檢驗模組,用以判斷該可執行檔案不具有一關 於"亥可執行擋案之一供應商之供應商資訊;以及 一摘要檢驗模組,用以使用一訊息摘要演算法計算該可 執仃檔案之一訊息摘要,用以判斷該訊息摘要與該可移除裝 置所儲存之一摘要資訊相同,以及用以根據該判斷結果,決 定該可執行檔案為一可信任檔案。 25.種用以檢驗一計算裝置之一可執行檔案之可移除裝置,該 可移除裝置係無病毒,該可移除裝置包含: —初始化模組’用以啟動該計算裝置;
    —檑案掃描模組’用以自該計算裝置擷取該可執行構 以及 '供應商檢驗模組,用以判斷該可執行檔案包含一供應 商資訊’該供應商資訊包含一供應商資訊片段、一指定訊息 及—加密訊息’用以根據該供應商資訊片段’自該可移除裝 置掏取一供應商公開金鑰,用以以該供應商公開金鑰,將該 37 201122893 加密λ息解密為_解密訊息,用以判斷該解密訊息與該指定 相/、以及用以根據該判斷結果,決定該可執行樓案為 一可疑檔案。 ’ 東項25所述之可移除裝置,其中該初始化模組更用以關 閉该計算裝置,該檔案掃描模組更用以於該計算裝置自我啟 動後’自該計算裝置操取該可執行檔案,該供應商檢驗模組 更用以判斷4可執行檔案不具有一關於該可執行標案之一供 應商之供應商資訊,並根據該判斷結果,決定該可執行檔案 為一惡意軟體。 青求項25所述之可移除裝置,其中該供應商資訊係與該可 執行檔案之一憑證相關聯。 28·—種用以檢驗一計算裝置之一可執行檔案之可移除裝置,該 可移除裝置係無病毒,該可移除裝置包含: 一初始化模組,用以啟動該計算裝置; 一擋案掃描模組,用以自該計算裝置擷取該可執行檔 案;以及 一供應商檢驗模組,用以判斷該可執行檔案包含一供應 商資訊,該供應商資訊包含一供應商資訊片段、一指定訊息 及一加密訊息,用以根據該供應商資訊片段,自該可移除裝 置擷取一供應商公開金鑰,用以以該供應商公開金鑰,將該 加密訊息解密為一解密訊息,用以判斷該解密訊息與該指定 息相同,以及用以根據該判斷結果,決定該可執行檔案為 —可信任檔案。 29·如請求項28所述之可移除裝置,其中該供應商資訊係與該可 38 201122893 執行檔案之一憑證相關聯。 30_ 種用以檢驗一計算裝置之一可執行檔案之可移除裝置,該 可移除裝置係無病毒,該可移除裝置包含: —初始化模組,用以啟動該計算裝置; —檔案掃描模組,用以自該計算裝置擷取該可執行擋案; —供應商檢驗模組,用以判斷該可執行樓案不具有一關 於該可執行檔案之一供應商之供應商資訊;以及
    —摘要檢驗模組,用以使用一訊息摘要演算法計算該可 執行檔案之-第一訊息摘要’以及用以判斷該可移除裝置不 具有與該訊息摘要相同之摘要資訊; 其中該初始化模組更用以關閉該計算裝置,該播案掃描 模組更用以於該計算裝置自我啟動後,自該計算裝置操取該 可執仃檔案’該摘要檢驗模組更用以使用一訊息摘要演算法 計算該可執行檔案之-第二訊息摘要,判斷該第—訊息摘要 與該第二訊息摘要相異’並根據該判斷結果,決定該可執行 檔案為一惡意軟體。 31. 含: 一種電腦程式產品’内儲複數電腦程式指令,該電腦程式產 品係無病毒’該等電腦程式指令於被執行時以_可移^置 檢驗-計算裝置之-第-可執行檔案,該等電腦程式指令包 一程式指令A, 一程式指令B, 一可執行檔案; 一程式指令 令該可移除裝置啟動該計算裝置; 令该可移除裝置自該計料置擷取該第 令該可移除裝置_„ —可執行檔案 39 201122893 不具有一關於該第一可執行檔案之一供應商之供應商資訊; 程式指令D,令該可移除裝置使用一訊息摘要演算法 計算該第—可執行檔案之-訊息摘要; —裎式指令E,令該可移除裝置判斷其不具有與該訊息 摘要相同之摘要資訊; “ ~程式指令F,令該可移除裝置偵測該第—可執行槽案與 °亥汁算裝置之一第二可執行檔案具有一觸發關係;以及 -程式指令G ’令該可移除裝置根據程式指令f之傾測 結果,決定該第一可執行檔案為一可疑檔案。 32. 33. 34. 35. 如請求項31所述之電腦程式產品,更包含下列程式指令 式指令G後: 程式指令Η,令該可移除裝置關閉該計算裝置; , 程式指令I,令該可移除裝置於該計算裝置自我啟動 後,自該計算裝置擷取該第一可執行檔案; …二程式指令[令該可移除裝置制該第—可執行楷案與 I十算|置之該第二可執行檔案不具有觸發關係;以及 社—程式指令Κ ’令該可移除裝置根據程式指令】之偵測 結果,決定該第一可執行檔案為一惡意軟體。 如請求項31所述之電腦程式產品,其中該觸發關係係指該第 二可執行檔案會觸發該第一可執行檔案。 一:求項31所述之電腦程式產品,其中該觸發關係係指該第 一可執行檔案會觸發該第二可執行檔案。 、、項31所述之電腦程式產品,其中該計算裝置之一作業 系統記錄該觸發關係。 201122893 36. —種電腦扭4- + ^ $產品,内儲複數電腦程式指令,該電腦程式產 系…病,,該等電腦程式指令於被執行時以一可移除裝置 檢驗汁算裝置之一可執行檔案,該等電腦程式指令包含: 轻式指令A,令該可移除裝置啟動該計算裝置; 私式指令B,令該可移除裝置自該計算裝置掏取該可 執行檔案; 程式指令C ’令該可移除裝置判斷該可執行樓案不具 籲 冑關於邊可執行檔案之一供應商之供應商資訊; #-程式指令D,令該可移除裝置使m摘要演算法 計算該可執行檔案之一訊息摘要; 一程式指令E’令該可移除裝置判斷其不具有與該訊息 摘要相同之摘要資訊; -程式指令F,令該可移除裝置判斷該可執行槽案為一自 動執行檔案;以及 一程式指令G’令該可移除裝置根據程式指令f之判斷 • 結果,決定該可執行檔案為一可疑檔案。 37.如請求項36所述之電腦程式產品,更包含下列程式指令於程 式指令G後: 一程式指令Η,令該可移除裝置關閉該計算裝置; ,-程式指令I’令該可移除裝置於該計算裝置自我啟動 後’自該計算裝置擷取該可執行檔案; -程式指令;,令該可移除裝置判斷該可執行檔案非為_ 自動執行播案;以及 -程式指令Κ ’令該可移除裝置根據程式指令)之判斷 201122893 結果,決定該可執行檔案為一惡意軟體。 38·如請求=36所述之電腦程式產品,其中裎式指令F係透過分 析s十鼻褒置之作業系統註冊資訊,以判斷該可執行標案 為一自動執行擋案。 39. -種電腦程式產品’内儲複數電腦程式指令該電腦程式產 品係無病毒,該等電腦程式指令於被執行時以一可移除裝置 私驗„十算裝置之一可執行檔案,該等電腦程式指令包含: 程式指令A,令該可移除裝置啟動該計算裝置; 一程式指令B’令該可移除裝置自該計算裝置擷取該可 執行檔案; 心7 C,令该可移除裝置判斷該可執行檔案不 有一關於射執行«之—供應紅絲商資訊;〃 %式指令D ’令該可移除裝置使用一訊息摘要演算 計算該可執行㈣mu 、‘ 私式指令E,令該可移除裝置判斷該訊息 腦程式,品所儲存之一摘要資訊相同;以及 ' 40.
    ^式指令F ’令該可移除裝置根據程式指令E之判g :果,決定該可執行檔案為-可信任檔案。 種電腦程式產品,内儲複數電職式指令,該電腦程式; 品係無病毒,兮笙 等電服程式指令於被執行時以一可移除, 檢驗一計算^ ' 、罝之一可執行檔案,該等電腦程式指令包含: 耘式礼令A ,令該可移除裝置啟動該計算裝置; 斅式指令B,令該可移除裝置自該計算裝置 執行檔案; 42 201122893 一程式指令c,令該可移除裝置判斷該可執行檔案包含 一供應商資訊,該供應商資訊包含一供應商資訊片段、一指 定訊息及一加密訊息; 一程式指令D,令該可移除裝置根據該供應商資訊片 段,自該電腦程式產品擷取一供應商公開金鑰; 一程式指令E,令該可移除裝置以該供應商公開金鑰, 將該加密訊息解密為一解密訊息; -程式指令F’令該可移除裝置判斷該解密訊息與該指定 訊息相異;以及 一程式指令G’令該可移除裝置根據程式指令F之判斷 結果,決定該可執行槽案為一可疑檔案。 I月求項40所述之電腦程式產品,更包含下列程式指令於程 式指令G後: ' 义 .▼…〜、-,τπ- κ j , —程式指令ί,令該可移除裝置於該計算I置自我啟 後,自該計算裝置掏取該可執行檔案; —程式指令I,令該可移除裝置判斷該可執行槽案不具; —關^⑽行財之—供應商之供應商資訊;以及、 祆式指令Κ’令該可移除裝置根據程式指令J之判_ 42 決定該可執行檔案為-惡意軟體。 所述之電腦程式產品’其中該供應商資訊係與自 執仃杈案之一憑證相關聯。 3品==式内儲複數電腦程式指令’該電腦程式產 母6亥等電腦程式指令於被執行時以—可移除裝置 43 201122893 檢驗一計算裝置之一可執行檔案,該等電腦程式指令包含: 一程式指令A ’令該可移除裝置啟動該計算裝置; 一程式指令B,令該可移除裝置自該計算裝置擷取該可 執行檔案; 一程式指令C,令該可移除裝置判斷該可執行檔案包含 一供應商資訊,該供應商資訊包含一供應商資訊片段、一指 定訊息及一加密訊息; 一程式指令D,令該可移除裝置根據該供應商資訊片 段,自該電腦程式產品擷取一供應商公開金鑰; _ 一程式指令E,令該可移除裝置以該供應商公開金鑰, 將s玄加密訊息解密為一解密訊息; -程式指令F’令該可移除裝置判斷該解密訊息與該指定 訊息相同;以及 -程式指令G ’令該可移除裝置根據程式指令F之判斷 結果’決定該可執行構案為—可信任檔案。 44. 45. 月长項43所述之電腦程式產品,其t該供應商資訊係與該 可執行檔案之一憑證相關聯。 八 · 。種電g式產品,内儲複數電腦程式指令,該電腦程式產 :、‘…病毋4等電腦程式指令於被執行時以一可移除带 檢驗一計算裝置之— 。、 了執饤檔案,該等電腦程式指令包含: -程式指令A,令該可移除裝置啟動該計算袭置; 転iU日令B ’令該可移除裝置自該計算裝置 執行檔案; 一程式指令C,人# 々該可移除裝置判斷該可執行檔案不具 44 201122893 有一關於該可執行檔案之_供應商之供應商資訊; 一程式指令D,令該可移除裝置❹—訊息摘要演算法 計算該可執行檔案之—第—訊息摘要; -程式指令E,令該可移除裝置判斷其不具有與該訊息 摘要相同之摘要資訊; —程式指令F ’令該可移除裝置關該計算裝置; -程式指令G’令該可移除裝置於料算裝置自我啟動 4 ’自料算裝置掏取該可執行播案; —程式指令H’令該可移除裝置使m摘要演算法 计鼻該可執行檔案之—第二訊息摘要; 弋才曰々I ?忒可移除裝置判斷該第一訊息摘要與該 可執行檔案之該第二訊息摘要相異;以及 程式指令J’令該可移除裝置根據程式指令I之判斷結 果,決定該可執行檔案為—惡意軟體。 45
TW099114933A 2009-12-23 2010-05-11 Removable apparatus and method for verifying an executable file in a computing apparatus and comupter-readable medium thereof TW201122893A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/645,745 US20110154496A1 (en) 2009-12-23 2009-12-23 Removable Apparatus and Method for Verifying an Executable File in a Computing Apparatus and Computer-Readable Medium Thereof

Publications (1)

Publication Number Publication Date
TW201122893A true TW201122893A (en) 2011-07-01

Family

ID=44153135

Family Applications (1)

Application Number Title Priority Date Filing Date
TW099114933A TW201122893A (en) 2009-12-23 2010-05-11 Removable apparatus and method for verifying an executable file in a computing apparatus and comupter-readable medium thereof

Country Status (3)

Country Link
US (1) US20110154496A1 (zh)
CN (1) CN102110204A (zh)
TW (1) TW201122893A (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8832835B1 (en) * 2010-10-28 2014-09-09 Symantec Corporation Detecting and remediating malware dropped by files
US8700913B1 (en) * 2011-09-23 2014-04-15 Trend Micro Incorporated Detection of fake antivirus in computers
CN110233825B (zh) * 2019-05-07 2021-10-15 浙江大华技术股份有限公司 设备初始方法、物联网设备、系统、平台设备及智能设备
CN112214415B (zh) * 2020-11-03 2023-04-18 中国航空工业集团公司西安航空计算技术研究所 一种机载嵌入式系统的可执行文件可信管理方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7487365B2 (en) * 2002-04-17 2009-02-03 Microsoft Corporation Saving and retrieving data based on symmetric key encryption
CN1306400C (zh) * 2004-05-20 2007-03-21 北京大学 二进制软件构件的制作方法
US7591018B1 (en) * 2004-09-14 2009-09-15 Trend Micro Incorporated Portable antivirus device with solid state memory
US7239166B2 (en) * 2005-06-15 2007-07-03 Microsoft Corporation Portable multi-purpose toolkit for testing computing device hardware and software
US7926111B2 (en) * 2006-03-17 2011-04-12 Symantec Corporation Determination of related entities
CN101325492B (zh) * 2008-08-01 2011-08-17 清华大学 基于可编程片上系统的通用串行总线密码锁
CN101520832A (zh) * 2008-12-22 2009-09-02 康佳集团股份有限公司 一种文件代码签名验证系统及其方法

Also Published As

Publication number Publication date
CN102110204A (zh) 2011-06-29
US20110154496A1 (en) 2011-06-23

Similar Documents

Publication Publication Date Title
EP3005090B1 (en) Framework for running untrusted code
US7669059B2 (en) Method and apparatus for detection of hostile software
US8695090B2 (en) Data loss protection through application data access classification
TW201020845A (en) Monitor device, monitor method and computer program product thereof for hardware
US20130067576A1 (en) Restoration of file damage caused by malware
US9129114B2 (en) Preboot environment with system security check
EP3225009A1 (en) Systems and methods for malicious code detection
US10142343B2 (en) Unauthorized access detecting system and unauthorized access detecting method
WO2012022211A1 (zh) 一种清除恶意程序的方法和装置
US11675905B2 (en) System and method for validating in-memory integrity of executable files to identify malicious activity
WO2006092931A1 (ja) ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム
CN105760787A (zh) 用于检测随机存取存储器中的恶意代码的系统及方法
TW201122893A (en) Removable apparatus and method for verifying an executable file in a computing apparatus and comupter-readable medium thereof
JP2023534502A (ja) 高度なランサムウェア検出
JP2014110046A (ja) 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体
JP6256781B2 (ja) システムを保護するためのファイルセキュリティ用の管理装置
JP2013164732A (ja) 情報処理装置
WO2017197869A1 (zh) 版本文件校验方法及装置、加密方法及装置和存储介质
CN113946873A (zh) 离盘文件追溯方法、装置、终端及存储介质
Lee et al. Analysis of application installation logs on android systems
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法
JP6787841B2 (ja) アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
JP2000339142A (ja) セキュリティチェック機能付きインストール及びアンインストール制御装置と方法
KR102211846B1 (ko) 랜섬웨어 탐지 시스템 및 그의 동작 방법
CN112825093B (zh) 安全基线检查方法、主机、服务器、电子设备及存储介质