TW201224836A - Malware detection apparatus, malware detection method and computer program product thereof - Google Patents

Description

201224836 六、發明說明： 【發明所屬之技術領域】 本發明係關於一種惡意程式偵測裝置、惡意程式偵測方法及其 電腦程式產品。更詳細地說，本發明係關於一種用以偵測一程式 之惡意程式彳貞測裝置、惡意程式偵測方法及其電腦程式產品。 【先前技術】 隨著數位資訊的應用層面日益廣泛，資訊安全防護的意識逐漸 受到重視，帶動資訊安全防護技術的發展，目前資訊安全防護之 方式中，普遍利用防毒軟體針對病毒程式進行偵測。詳細來說， 為了避免資料遭到竊取或破壞，一般電腦中通常搭載具有病毒資 料庫之防毒軟體。其中，病毒資料庫係用以記錄目前已知之病毒 程式特徵碼（signature )。如此一來，防毒軟體將可利用特徵碼比 對之方式，——針對電腦内之檔案進行偵測。若比對結果發現有 與特徵碼相同之檔案，則可確認其為病毒程式。 然而，隨著病毒程式之迅速發展，以及各種加殼變種病毒程式 的衍生，防毒軟體之病毒資料庫更新病毒程式特徵碼之速度將不 足以應付惡意程式之成長速度。具體而言，習知的防毒軟體係利 用特徵碼比對技術進行病毒程式的偵測比對，惟特徵碼比對技術 會受限於病毒資料庫的完整性，若病毒資料庫未更新一加殼變種 之病毒程式之特徵碼，則防毒軟體即無法偵測出該加殼變種之病 毒程式，此外，防毒軟體使用特徵碼比對技術進行病毒程式的偵 測亦需要花費較長的時間。如此一來，將會降低病毒程式之偵測 率，造成資訊安全防護的漏洞，而為了不斷更新病毒資料庫，亦 201224836 必須負擔南昂的成本 综上所述’如何加速惡意行為之比對效率以及提高病毒程式之 债測率’實為該領域之技術者亟需解決之課題。 【發明内容】 本發明之-目的在於提供—種惡意程式偵測裝置。該惡意程式 偵測裝置用以僧測一程式’該程式執行一第一處理程序，該惡意 程式偵測裝置包含一儲在置； 計^ 财子早70以及-處理單元。該儲存單元用以 儲存一惡思行為資料座，兮亞立—、 ㈣m、订為貢料庫記錄—惡意程式之- 心、思仃為規範。該處理單元與 據該第-處理程序建立—第二關雜連接，並用以根 节亞立—Α 丁”、、見範，比對該第—行為規範與 。哀心思灯為規範，並產生一比斟 比對結果，根據該比對結果更新-行 為轉表，以及根據該行為記錄表判斷該程式為該惡意程式。 亞方目的在於提供’於前述惡意程式偵測裝置之 一 ' 一4式偵測裝置用以偵測一程式，且包 資料廑早额存皁凡用以儲存-惡意行為 4仃為資料庫記錄—惡意程式之-惡音行 ，理單元與該儲存單元關聯性連接，該程式執行二=二

;了意程式她法包含下列步驟:⑷令該處理單元根二 弟一處理程序建立-第-行為規範；（b)令該處 I 行為規範與該惡意行為規範，並產生-比對結果 元根據該㈣絲更新—行為_表；以 ()^處理早 該行為記錄表判斷該程式為該惡意程式。（K4處理單元根據 本發明之又一目的在於提供一 種電腦程式產品，内儲一 種用於 201224836 —惡意m龍置之惡意程式_方 式_装置用以偵測_程式，且包含="，該惡意程 几，該儲存單元心儲存—惡意行 處理早 記錄一 貝料’ 4惡意行為資料庫 聯二:;ί:Γ意行為規範，該處理單元與該儲存單元關 =Α Λ執行一第一處理程序，該程式指令包含:-程 式^ 該處理單元根據該第—處理程序建立—第—行為規 =311:钱&翠元比對該第―行為規範與該惡意 仃為規範，並產生一比對妹果.一 、° ，程式私々C，令該處理單元根 _ =結果更新-行為_ ;以及__令d，令該處理 早7L根據該行為記錄表判斷該程式為該惡意程式。 本發明之惡意程式偵測裝置儲存一惡意行為資料庫該惡意行 為貧料庫記錄-惡意程式之—惡意行為規範。t—程式於本發明 之惡意程式偵職置執行-第—處理程料，惡意程式偵測裝置 係:根據該第-處理程序建立—第—行為規範，比對該第一行為 規犯與該惡意行為規範，並產生—比對結果；接著，根據該比對 ^果更新-行為記錄表’並根據該行為記錄表麟該程式為該惡 意程式。藉此，本發明射歧習知防毒軟體之更新速度無法跟 上加殼變種惡意程式之增加速度的缺點，同時具有加速惡意行為 之比對效率以及提高病毒程式之偵測率之優點。 在參閱圖式及隨後描述之實施方式後，該技術領域具有通常知 識者便可瞭解本發明之其他目的，以及本發明之技術手段及實施 態樣。 【實施方式】 201224836 以下將透過實施例來解釋本發明之内容’本發明的實施例並非 用以限制本發縣在如實施觸述之任何特定的環境、應用或特 殊方式方能實施。因此，關於實施例之說明僅為闡釋本發明之目 的’而非用以限制本發明。須說明者，以τ實施例及圖式卜盘 本發明非直接相關之元件已省略而切示，且圖式#各元件間之 尺寸關係僅為求容㈣解，非用以限制實際比例。

本發明之第-實施例為—惡意程式彳貞縣置1，其示意圖描繪於 第1.圖。惡意程式谓測裝置i包含一儲存單元u、一處理單元⑴ 以二:輸出單元15，其中儲存單元u以及輸出單元15分別與處 理早7L 13電性連接。錯存單元u可為記憶體、軟碟、硬碟、光 碟 '隨㈣、磁帶、可由網路存取之資料庫或所屬技術領域中且 有通常知識者可輕易思及具有相同功能之儲存媒體·處理單元^ 可為目前或未來的各種處理器、中央處理器、微處理器、計算哭 或所屬技㈣域巾具有通常知識麵_易思及具有計算： 裝置。 於本實施例中，惡意程式偵測裝置1係為一電腦。於其它實施 例中’惡意程式偵測裝置丨亦可為飼㈣、筆記型電腦、個人數 (Personal Digital Assistant, PDA) , . ^ 體播放機或其它可用以偵測惡意程式之惡意程式偵測裝置。惡意 程式偵測裝置1之實施態樣並不用以限制本發明之範圍。 -般而言’一惡意程式通常包含_個或複數個惡意行為，各個 惡意行為更包含-個或複數個處理程序（pr_ss)。而為了有效偵 測惡意程式’必顯㈣㈣規職描述惡意程紅各個處理程 201224836 序，因此，本發明定義了一 (behavior profiJe)o ^边-處理程序之行為規範 請參閱第2圖，其係描綠本發明之行 針對一處理程序所定義之行為規範2包含&^、圖。本發明 標的、執行動作以及鏈結資訊，其中執行動―::二::為執行 進行的-動作，執行標的處理f序所 鏈結資訊係指該處理程序對該 &軚的’ 訊。舉例而+，卜“ 選仃销作所涉及的執行資 意指該處心創造—個隨機名稱_」， ==檔案’因此，此處理程序的執行標的為「」： 播的路徑「aD0CUME，舰二::τ為創造該隨機名稱恤 U\L0CALS 〜l\Temp\XXXhtm」。 式^:來說，處理程序通常會透過系統呼叫（systemcaii)的方 必要:4要^的操作，而系統呼叫則帶有進行處理程序相關 自=，行為規範2中的執行標的以及執行動作便可 财攄Γ所進行的系統呼叫中擷取。行為規範2中的鍵結資訊 h Γ 里程序而有所不同，不同的處理程序因涉及不同的執行 _結資訊可以是任何相關的執行資訊，端視實際應用情 /疋’鍵結資訊的形式及内容並不用以限制本發明之範圍。 之惡意程5^貞測裝置1之儲存單元u中储存—惡意行為 2、’該惡意行為資料庫記錄了各種惡意程式之各種惡意行為 …巳:Μ下將詳述本發明之惡意程式偵測褒置】如何建立該惡意 貝料庫。S ―惡意程式於'惡意程式谓測裝置1上執行時，該 201224836 惡意程式會進行一個或複數個惡意行為，各個惡音行 行-個或複數個處理程序 。讀由執 式谓測裝置^上執行$ P惡意程式於惡意程 上執仃一處理程序時，處理單元u便依 擷取該處理程序之執 虞則述方式 理程序之彳^的、執㈣作収縣資如建立該處 同時，處理單元13 亞立一思行為規範相對應之一編碼，該編碼用以表干卞 4灯為規範’以便後續處理單元13可根據 : 否為-惡意程式。 …j #王式疋 以:=說明惡意行為資料庫之内容，以及行為規範的編碼方 1 —程式八具有—惡意行為A]以及-惡意行為A_2，亞 二^「為「修改Inte⑽E咖打_」，且更執行—處： •1打開1nternet ExPlorer中的KEY」，以及—處理鞋底 Α-1：2Γ ^ j； , t ^ Α_2 imernet Εχρΐ〇^ 並嘗试連線」’且更執行—處理程序A·〗]「創造一個隨機名稱的 加槽」’以及-處理程序Α_2:2「寫入隨機名稱的_播」 理單元13分職取處理程序从卜處理程序A_1:2、處理程序 ^以及處理程序A_2:2十的執行標的、執行動作以及鍵結資 。孔並分別建立其惡意行為規範；接著處理單元Η產生一編碼 A]:l代表處理程序A_1:1之惡意行為規範，產生一編碼A_1:2代 處里私序Α_1·2之惡意彳了為規範，產生—編碼Α_2:ι代表處理程 序A-2:1之惡意行為規範，產生—編碼a_2:2代表處理程序Μ··〕 之惡意行為規範。 根據上述方式所建立之惡意行為資料庫如第3圖所示，其係描 201224836 繪惡意行為資料庫之*㈣。惡意行為資 中各處理程序之惡意行為規範，即各處理程序之惡意程式A 行動作、鏈結資訊，以及與各處理程序相對應之編竭執行標的、執 如則所述，一惡意程式包含一個或複數個惡意行 行為更包含一個或複數個處理程序，因此^固惡意 為該惡意料時，則需判斷該程式是否 是否 程序，接著判斷該程式所執行的處理程序= 复數個處理 複數個惡意行為，進而判斷該程式所進行該-個或 成該惡意程式。據此，本發明之惡意程式_裝Γ !疋否累^構 11中更儲存-H檀資料庫，該門檀資、I之儲存早凡 所雲i 〜B 。己錄了構成一惡意程式 的仃為數Η檻值、行為城射〗檻“及行為規範種類。 4體4圖’其係描纷本發明之_料庫之* 二「惡意行為編碼」攔位係記錄各種惡意行 挪位方行為規範編碼」 所雲心亞* 插值」攔位係記錄構成一惡意行為 亞!二的惡請為規範數’·「行為數嶋」攔位係記錄構成一 惡思程式所需要的惡意行為數。 牛例來說’一惡意程式A具有—惡意行為&卜因此「惡意行 马編碼」攔位記錄Α_ι，亞咅耔盔 「 ，…仃為A-1會執行五個處理程序，因 意行為規範編碼」攔位記錄i、2、3、4及5，分別為與該 ^程相對應之五個惡意行為規範之編碼，即I代表惡意 仃為“之第-惡意行為規範，2代表惡意行為^之第二惡意 201224836 打為規，以此類推。由於惡意行為Α-ι包含五個惡意行為規範， 因此惡意行為A-!之「行為規範數門播值」搁位為$，代表若執行 了與該五個惡意行為賊相龍之五個處理料即構成惡意行為 W，由於，惡意程式八包含惡意行為^與惡意行為A因此「行 為數門檻值」攔位為2，代表若谁广 進仃了心思行為Α-1與惡意行為 Α-2二個惡意行為即構成惡意程式a。 更進步地，-惡意行為所包含之惡意行為規範可區分為基本 惡意行為規範與選擇性,惡意行為規範。具體來說，基本惡意行為 規範係指構成—惡意行為所柯或缺的惡意行為規範，而選擇性 惡祕錢_並非為構成—惡意行為所必要的惡意行為規範。 舉例而δ ’請參閱第4圖中的亞會并或 〜、意仃為c_4，其「惡意行為編碼 ^ 及7其中卜^^及以於基本 心思行為規範，亦即欲構成惡意行為c_4必須包含卜2、3、*及 5此五個惡思行為規範，缺一不可.而 *… *τ ’而6及7則屬於選擇性惡意行 為規範，欲構成惡意行為C_4只需句八Λ s g 而匕36及7此二個惡意行為規 之—即可。據此，惡意行為C·4之行為規範數門檻值為6， ，由五個縣惡意行為規範加上—個選擇性惡意行為規範計算 付。基本惡忍行為規範及選擇 伴丨心、思仃為規乾之種類與個數端 視貫際應用時各個惡意裎式特 ^ 伙 寺生而疋，並不用以限制本發明之 犯圍。 須特別說明者，前述儲存單元 子早兀11中所儲存之惡意行為資料庫3 以及門檻資料庫4除了可由本發 紗六入^ 知月之心思私式偵測裝置1建立並 儲存於儲存單元11中外，亦可 ，、匕凌置（如電腦、伺服器、運 201224836 算裝置等）事先建立後再傳送至惡意程式偵測裝置1，並儲存於儲 存單元11 ;或者可由其它裝置建立後儲存於一儲存裝置，惡意程 式偵測裝置1便透過與該儲存裝置連線以存取儲存於該儲存裝置 之惡意行為資料庫3以及門檻資料庫4。因此，建立與儲存惡意行 為資料庫3以及門檻資料庫4之裝置並不用以限制本發明之範圍。 接著，以下將詳述本發明之惡意程式偵測裝置1如何偵測惡意 程式，為便於理解，以下將偵測惡意程式之流程搭配實例作說明。 首先，當一程式於惡意程式偵測裝置1上執行時，該程式執行一 第一處理程序，此時，處理單元13便自該第一處理程序擷取該第 一處理程序之一第一執行標的、一第一執行動作以及一第一鍵結 資訊，其分別為「Reg」、「Openkey」以及「Software\Microsoft\Internet Explorer\Main」 ，並建立一第一行為規範 「Reg|Openkey|Software\Microsoft\Internet Explorer\Main」。接 著，處理單元13便自惡意行為資料庫3中搜尋是否有與該第一行 為規範相同之惡意行為規範，由第3圖之惡意行為資料庫3可知， 該第一行為規範與編碼為A-l:l之惡意行為規範相同，於是處理 單元13便自惡意行為資料庫3擷取出編碼A-l:l，並將編碼A-l:l 暫存於一串列表中。 另一方面，惡意程式偵測裝置1亦可能於一時間週期内同時執 行複數個程式，各程式更包含複數個處理程序，而惡意程式之偵 測係針對單一個程式作比對，以偵測各個程式是否為惡意程式； 因此，惡意程式偵測裝置1必須辨識一處理程序係由哪一個程式 所執行。據此，處理單元13更用以將與該程式相對應之一程式辨 12 201224836 識=(Ρ—)附加於該第-行為規範。舉例而言，處理單 =式_⑽式與附加_視;=::執 並不用以限制本發明之範圍。 處理單元η接著根據前述之比對結果建立並更新—行為

==雜凑列表一le)’請參閱第5圖，其係描繪: 發月之仃為記錄表之示意圖。雜凑列表5係用以統計經處理軍元 13比對過後之惡意行為規餘是否累_成_惡意㈣， 計惡意行為之數目是否累積構成—惡意程式。如第5圖所示，二 凑歹J表5之惡意程式/惡意行為」棚位用以記錄處理單元η已比 ㈣的惡意程式編碼或惡意行為編碼，「程式辨識資訊」搁位用 ' ’彔比對到的惡思私式或惡意行為係由哪一程式所執行，「累 積數」欄位則記錄已比對到的惡意行為規範累積數目或已比對到 的惡意行為累積數目。 舉例來說，處理單元13於比對該第一處理程序符合編碼 A-1.1，7G之惡意行為規範後，便於雜湊列表5的「惡意程式/惡意 ，為」攔位記錄Α·卜於「程式辨識資訊」搁位記錄7〇，以= :累積數」襴位之數目增加i嗜此實施例中，A1之累積數由* ^加至5’代表處理單元13已比對到五個屬於惡意行為A】的惡 思订為規视。接著，處理單元13根據門檻資料庫4中惡意行為 A 1的行為規範數門檻值為5判斷此五個比制的惡意行為規範 已構成惡意行為A_卜因此，處理單元13更進—步將雜凑列表5 13 201224836 中惡f呈式A的累積數增加卜代表處理單元u目前已比對到屬 於惡思程式A的一個惡意行為。 亡同。理’當該程式執行—第二執行程序，處理單元Η更根據上述 :私比對4第—執行程序是否符合_惡意行為規範，並根據比對 =更新雜凑列表5 ;最後，處理單W3更可根據門檻資料庫4 :為數門檻值」欄位中的數值判斷已比對到的惡意行為數目 成，以式矛王式。藉由上述方式，本發明之惡意程式偵測裝 ί立。可逐—比對—程式中的各處理程序，並判斷該程式是否為- 心思秦ε式。 ^外二由第4圖之門檻資料庫4可得知，惡意行為Μ所包含 音心、意订為規範為卜2、3、4及5，處理單元13比對到此五種亞 打，中之一便會更新雜凑列表5中惡意行為 二 :，然而—程式亦可能重複執行了相同的處理程序兩次，舉例來 :一程式執行了兩次惡意行為A]所包含的惡意行為規範！，但 月况下惡意仃為“的累積數只能增幻，㈣將造成比對上的 ==為了避免這樣的情況，處理單元13必須進-步確認 疋否重複比對。 如前戶《，處理單元】3於自惡意行為資料庫㈣取出一第—編 將3亥第—編碼暫存於—串列表中，該串列表即可用以核 二Γ是否重複出現’當處理單元"自惡意行為資料庫3 帛-編碼後，處理單元13首先比對該第二編碼是 ^見於該串财t;若是，代纽朗_㈣意行為規範 處理軍元13即不更新雜凑列表若否，代表比對到不同的惡意 201224836 行為規範，此時處理單开^ q β Λ ,-Qa δ ^ 13 θ更新雜湊列表5。藉由此方式， 本發=惡讀式偵測裝置1可料因重複比對所造成的誤判。 \ : 1方式中’處理單元13係根據-程式之-處理程序建 Γ ’並比對該行為規範㈣合-惡意行為規範，立 =匕_方式為比對該行為規範之執行標的、執行動作以及鍵 4 ^料合惡意行騎料庫3巾所賴之惡意料規範。惟 部分加”㈣意程式之處理料巾⑽結資㈣可能是隨機變 '。之$建立出來的行錢範可能無法於惡意行為資料 庫3比對到完全符合的惡意行為賊，造纽對上的漏洞。 據此，為了克服此-缺點，本發明之惡意程式制裝置！更將 惡意程式之處理程序中的鏈結資訊分為三類，其分別為固定式鏈 結資訊、隨機式鏈結資訊以及隨機錢續式鏈結資訊，以下將分 別詳述針對此三_料訊的比對料。料，#—處理程序被 歸類為固^式鏈結資訊時，代表該處理程序的鏈結資訊是固定不 變的’亦即該處理程序每次執行時皆會產生相同的鏈結資訊處 理單元13根據該處理程序所產生的行為規範每次皆相同，因此處 理單元13可直接將該處理程序之執行標的執行動作以及鍵結資 訊與惡意行為㈣庫3作比對，亦即屬於"式鏈結資訊之行為 規範的比對係同時比對執行標的、執行動作以及鏈結資訊。” 其次，當一處理程序被歸類為隨機式鏈結資訊時，代表該處理 私序的鏈結資訊是隨機變動的，即鏈結資訊内容中的文字是隨機 產生的，並且只會出現一次而不會重複使用。舉例來說鏈結資 訊内容中包含一擋案名稱為隨機命名的exe檔，該.exe檔的檔案 15 201224836 名稱為隨機產生，因此該播案名稱每次皆不同。簡言之，該處理 知序母次執行時分會產生不同的鏈結資訊，處理單幻 理程序所產生的行為職每次皆不相同，因此處理單幻3於虞= 處縣料，只料理財之執行標㈣及執行動作與惡 二為㈣庫3作比對’亦即屬於隨機式鏈結資訊之行為規範的 比對只比對執行標的以及執行動作。 最後’當-處理程序被歸類為隨機且連續式鍵結資訊時，代表 «理程序的鏈結資訊是隨機變動且會連續出_，即鏈結資訊 内谷中的文字是隨機產生的，但會重複使用。舉例來說一惡帝 程式的—第—處理程序為「創造隨機名稱的htm槽」，其鏈^ ^中即包含—職名稱為隨機命名的偏檔，假設為abe.htm，而 該惡f程式的—第二處理程序為「寫人隨機名稱的htm檔」，其 鏈二貝π亦會包含abchtm，因此abchtm雖然為隨機命名但會 ^複出現於縣意程式之不同的處理程序中。據此，當—程式的 一第一處理程序被歸類為隨機且連續式鏈結資訊時，處理單元13 :將亥第4理程序的鏈結資訊暫存於—暫存雜凑列表中，當比 _程式的—第二處理程序時’處理單元13會比對該第二處:程 序疋否具有與暫存雜凑列表巾相同的鏈結資訊，若有，即代表該 ★地李主序符合—惡意行為規範。據此’藉由上述的比對方式， 4 ^轾式偵測裝置1將可有效地偵測各種加殼變種的a 意程式。 … 田耘式被比對為符合一惡意程式時，處理單元13更用以傳送 貞丨、°果至輸出單元15，輸出單元15更用以產生一影像或一音 16 201224836 =通知-使用者偵測到一惡意程式，輸出單元15可為顯示器、 揚聲器或其它可以用以呈㈣測結果之裝置，並不以此為限。 本發明之第二實施例如第6圖所示，其係為一種用於如第-實 施例所述之惡意程式_裝置之惡意程式偵測方法。該惡意程式 偵測裝置用以制—程式，且包含—儲存單元以及—處理單元， 以儲存—惡意行為資料庫，該惡意行為資料庫記錄 惡思程式之-惡意行為規範，該處理單元與該儲存單元電性連 接，该程式執行一第一處理程序。 卜第—實施朗描述之惡意程式侧方法可由—電腦程式 產品執行，當惡意程式偵測褒置經由一電腦載入該電腦程式產品 並執行該電腦程式產品所包含之複數個程式指令後，即可完成第 -貫施例所述之惡意程式偵測方法。前述之電腦程式產品可儲存 於電腦可讀取記錄媒射，例如唯讀記憶體（_nlymemory; 臟）、快閃記憶體、軟碟、硬碟、光碟、隨身碟、磁帶、可由 網路存取之資料庫或熟習此項技藝者所習知且具有相同功能之任 何其它儲存媒體中。 第6圖係描繪第二實施例之惡意程式仙方法之流程圖。首先， 此^意程式谓測方法執行步驟6〇1，令該處理單元根據該第一處理 私序建立-第一行為規範。接著，執行步驟6〇2，令該處理單元比 對5亥弟一行為規範與該惡意行為規範，並產生-比對結果。 縣意料偵測裝置之該儲存單元更儲存-門«料庫，該門 捏貝枓庫記錄該惡意程式之—行為城數門檻值以及 根值，該行為記錄表記錄-行為規範數以及一行為數，該惡意j 17 201224836 .、 ^測料接著執行步驟6G3,令簡理單元根據該比對結果更新 ^規乾數。以及’執行步驟綱，當該行為規範數達到該行為 6規值時’令該處理單元更新該行為數。最後，執行步驟 + A W仃為㈣_行為數⑽料，令域理單元判斷該程 式為該惡意程式。 此外’前述之該惡意程式# H 飞係包3一惡意行為，該惡意行為執行 &縣序’此惡意程式偵測方法於步驟_前更 步驟606(第6圖中未繪示）， 丁 建立該惡意行為規範。”«科讀_第三處理程序 於步驟602中，係今兮彦w Dn 一 行為規範，並產生」比料果；7^對該+第一行為規範與該惡意 含該第-處理程序之一第一執=、，田而。’ e玄第1為規範包 執糕的、一第-執行動作以及-第 標的、二第=惡=為規範包含該第二處理程序之-第二執行 法於步驟_係: 第二鍵結資訊，此惡意程式偵測方 該第二執財的、订’處理單城過比對該第—執行標的與 比對令第:對該第—執行動作與該第二執行動作，以及 制第與該第二騎f㈣赵航對結果。 6圖中了 步驟外，此惡意程式偵測方法更可執行—步驟607 (第 簡加於該第—行為規範 矛王式辨識資 判斷該第-行為規範對:：Γ 式辨識資訊 繪示），見範對應至5亥程式’以及一步驟_(第6圖中未 7 Μ理早疋產生與該惡意行 並以該編碼表示該惡意行為規範。 應為碼 201224836 除了上述步驟，第二實施例亦能執行第-實施例所描述之操作 及功能，所屬技術領域具有通f知識者可直接瞭解第二實施例如 何基於上述第-實施例以執行此等操作及功能，故不資述。 /上所述，本發明係為事先建立—惡意行為資料相及一門權 資料庫，該惡意行為資料庫記錄—惡意程式之—惡意行為規範， »亥門檻資料庫錄該惡意程式之—行為規範數門檻值以及一行為 數=檻值。當—程式於本發明之惡意程式偵測裝置執行—處理程 序時’惡意程式_裝置根據該處理程序建立—行為規範，比對 該行為規範與該惡意行聽範，並赵—比對結果；接著，根據 該比對結果更新—㈣職數，當該料規紐達_行為規範 數門根值時’更新—行為數，當該行為數達職行為數Η檻值時， 判斷該程式為該惡意程式。藉此，本發明係可克㈣知防毒軟體 之更新速度無法跟上加殼變種惡意程式之增加速度的缺點，同時 具有加速惡意行為之比對效率以及提高病毒程式之偵測率之優 上述之實施例僅用來例舉本發明之會 $月之貫施怨樣，以及闡釋本發明 之技術特徵，並非用來限制本發明 “疇。任何熟悉此技術 者可輕易元成之改變或均等性之安排 女排均屬於本發明所主張之範 圍’本么明之榷利保護範圍應以中請專利範圍為準。 【圖式簡單說明】 第1圖係為本發明第一實施例之示意圖； 弟2圖係為本發明行為規範之示意圖； 19 201224836 第3圖係為本發明惡意行為資料庫之示意圖； 第4圖係為本發明門檻資料庫之示意圖； 第5圖係為本發明行為記錄表之示意圖；以及 第6圖係為本發明第二實施例之流程圖。 【主要元件符號說明】 1 :惡意程式偵測裝置 11 :儲存單元 13 :處理單元 15 :輸出單元

2 :行為規範 3 :惡意行為資料庫 4 :門檻資料庫 5 :雜湊列表

20

Claims (1)

1. 201224836 七、申請專利範圍： ι_ 一種用以偵m之惡意程式（mai肅e)似以置，該裡 式執行一第一處理程序，該惡意程式偵測裝置包含：" 一儲存單7L，用以儲存一惡意行為資料庫，該惡意行為 貢料庫記錄-惡意程式之一惡意行為規範；以及 -處理單^ ’與該儲存單元電性連接並用以： 根據該第-處理程序建立一第一行為規範；

   比對該第-行為規範與該惡意行為規範，並產生— 比對結果； 比對結果更新一行為記錄表；以及 2. …㈣該行為記錄表判斷該程式為該惡意程式。 =j項1所述之惡意程式制褒置，其十該惡意程式包含 3. ΤΑ ’ 4惡意行為執行—第二處理程序，該處理單元 係根據該第二處理程序建立該惡意行為規範。 =2:述之惡意程式偵測裝置，其中該第一行為規範 广處理程序之-第-執行標的以及-第-執行動 意行為規範包含該第二處理程序之—第二執行標的 行動作’該處理單7^用以透過比賴第一執 仃私的與该第二執行標的，以 二執行動作以產生該比對結果。丨執行動作與該第 述之惡意程式偵測裝置’財該第-行為規範 處理料之—第—鏈結 含該第二處理程序之-第™，該處二:= 過比對該第-鏈結資訊與該第二鍵n I兀更用以透 —鏈、貝讯以產生該比對結 21 4. 201224836 果。 5.如請求項i所述之惡意程式_裝置，其中該儲存單元更用 以儲存-H檻資料庫’該門檀f料庫記錄該惡意程式之一行 為規範數門檻值以及-行為數⑽值，該行為記錄表記錄一 行為規範數以及一行為數，該處理單元更用以： 根據該比對結果更新該行為規範數； 當該行為規範數達_行為規範數門插值時更新該行 為數；以及 當該行為數達到該行為數 意程式。 門檻值時，判斷該程式為該惡

   6. 如請求項1所述之惡意程式偵測裝 以將與該程式相對應之一程式辨識 範，俾該處理單元可根據該程式辨 範對應至該程式。 置’其中該處理單元更用 資訊附加於該第一行為規 識資訊判斷該第一行為規 8. 如請求項！所述之惡意程式_裝置，其中該處理單元更 與《、意行為規範相對應之_編碼，細該編碼表 5亥惡意行為規範。 -種用於_,惡意程式制裝置之惡意程式偵測方法，該亞 程：偵測裝置用以债測一程式，且包含—儲存單元以：:早凡用以儲存—惡意行為f料庫，該惡意;程式之—惡意行為規範，該處理單元』 :儲存I元電性連接，雜式執行—第_處理料，該以 程式偵測方法包含下列步驟·_ / “ Λ

   (a)令該處理單元根據該第一處理程序建立一 第一行為規 22 201224836 201224836 该處理單元比對該第_ — 範，並產生一比對結果； 規範與該惡意行為規 -^4 、·、口 ， 及 程式 ⑷令該處理單元根據該比對結果^行為_; ⑷令該處理單元根據該行為記錄表判斷該程式為該惡意 • 9. 所述之惡意程式_方法，該惡意程式包含 〜仃為’該惡意行為執行—第二處匕3 偵測方法更包含下: —思程式 範。⑷令該處理單元根據該第二處理程序建立該惡意行為規 1〇.=2=述之惡意程式伯測方法，其中該第一行為規範 " 处理耘序之一第一執行標的以及一第一執行動 惡意行為規範包含該第二處理程序之—第二執行標的 執行動作，δ玄惡意程式彳貞測方法更包含下列步驟： 西（〇7 4處理單元透過比對該第—執行標的與該第二執行 ^的卩及比對該第一執行動作與該第二執行動作以產生該 比對結果。 月长項9所述之惡意程式偵測方法其中該第一行為規範 3 X第處理程序之一第一鏈結資訊，該惡意行為規範包 3 -亥第一處理程序之一第二鏈結資訊，該惡意程式偵測方法 更包含下列步驟： (g)令該處理單元透過比對該第一鏈結資訊與該第二鏈結 23 201224836 資訊以產生該比對結果。 12.如請求項8所述之惡意程式偵測方法，其中該儲存單元更儲 存—門檻資料庫’該門檻資料庫記錄該惡意程式之-行為規 範數門檻值以及-行為數門檻值，該行為記錄表記錄—行為 規範數以及-行為數，該惡意程式偵測方法更包含下列步驟： (h)令該處理單元根據該比對結果更新該行為規範數； ⑴當該行為規範數達龍行為規範數門檻值時，令該處 理單元更新該行為數；以及 ⑴备该行為數達到該行為數門檻值時 斷該程式為該惡意程式。 13.如請求項8所述之惡意程式偵測方法，更包含下列步驟： 14. 述之惡意程式债測方法更包含下列步驟： 媽，=編處理單元產生與該惡意行為規範相對應之 15.

   该編碼表示該惡意行為規範。 —種電腦程式產品， 意程式谓測方法之入 惡意程式侦剩裝置以 -程式，且包含：：，該惡意程式偵測裝置用， 以儲存-惡音行二tr以及一處理單元’該儲存單元用 式之-料庫’該惡意行為資料庫記錄—惡意程 該程式處理單元㈣财單^性連接， 二執仃-第—處理程序，該程式指令包含. -程式指令a，令該處料元根據該第程序建立 24 201224836 一第—行為規範； —程式指令B，令哕 _ 亞 處理早讀對_—行核範與該 4仃為規範，並產生—比對結果； ^日'7 C’令該處理單元根據該比對結果更新—行 為s己錄表；以及 心令D’令該處理單元根_行為記錄表判斷 私式為該惡意程式。 16.如請求項15所述之 九, 式產口口 ’其中該惡意程式包含一亞 思仃為，該惡意行為勃— 〜 含： 第—處理程序，該程式指令更包 立/式彳日7 E 7 4處理單元根據該第二處理程序建立 4心思、行為規範。 17.如明求項16戶斤述之雷腦 H 备 ，、，吻不 1丁钧規範 邊弟一處理程序之—第—舶 每产… ^ 弟執仃軚的以及一第一執行動作 以產品，其中該第—行為規範包含 '^ · V 丨7P、J 惡意行為規範包含該第二處理程序之 • 第二執行動作，該程式指令更包含： 2 =令F，令喊理單元透過比對該第_執行 =::r精、作與該— 18.如請求们6所述之電腦程式 該第—處理程序之-第_鏈6^亥第订為規範包含 第-产· ’H㈣、意行為規範包含該 處理Μ之—第二鏈結資訊，該程式齡更包含： -程式指令G，令該處理單元透過比對該第—鏈结資訊 ，、δ亥第二鏈結資訊以產生該比對結果。 、 該 第二執行標的以及 25 201224836 A ^ = 所述之電腦程式產品，其中該儲存單元更儲存— =，該門檻^庫記錄該惡意程式之-行為規範數 門檻值以及一行為數門檀值 數以及—行為數，該程式指令更表記錄—行為規範 為規範^式指令H，令該處理單元根據該比對結果更新該行 時L程式指令該行為規範數達到該行為規範數門檻值 夺”亥處理單元更新該行為數；以及 20. :程式指令j，當該行為數達到該行為數門插值時，令該 心早①判斷該程式為該惡意程式。 长員15所述之電腦程式產品，該程式指令更包含： 21. 式辨識Ϊ心^ K’令該處理單元將與該程式相對應之一程 程切貝^加於邊第—行為規範，俾該處理單元可根據該 2辨識資訊判斷該第—行為規範對應至該程式。 、、項15所述之電腦程式產品，該程式指令更包含： L ’令4處理單元產生與縣意行為規範相 "、扁碼，並以该編碼表示該惡意行為規範。 26