TW201423470A - 安全防護方法及安全防護裝置 - Google Patents

安全防護方法及安全防護裝置 Download PDF

Info

Publication number
TW201423470A
TW201423470A TW101145322A TW101145322A TW201423470A TW 201423470 A TW201423470 A TW 201423470A TW 101145322 A TW101145322 A TW 101145322A TW 101145322 A TW101145322 A TW 101145322A TW 201423470 A TW201423470 A TW 201423470A
Authority
TW
Taiwan
Prior art keywords
preset condition
application
interfaces
application interfaces
protected
Prior art date
Application number
TW101145322A
Other languages
English (en)
Inventor
Wei-Chao Hsu
Fu-Hau Hsu
Chieh-Wen Chen
Ju-Hsuan He
Original Assignee
Inst Information Industry
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inst Information Industry filed Critical Inst Information Industry
Priority to TW101145322A priority Critical patent/TW201423470A/zh
Priority to CN201210538897.4A priority patent/CN103853978A/zh
Priority to US13/716,217 priority patent/US20140157411A1/en
Priority to GB1222714.6A priority patent/GB2508441A/en
Priority to GBGB1403935.8A priority patent/GB201403935D0/en
Publication of TW201423470A publication Critical patent/TW201423470A/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Stored Programmes (AREA)

Abstract

一種安全防護方法,其係藉由控制器來執行,並包含以下步驟:提供索引表;呼叫複數個應用程序接口中的一者;根據預設條件以對該些應用程序接口中的該者進行過濾;對符合預設條件之該些應用程序接口中的該者進行阻擋。再者,一種安全防護裝置亦在此揭露。

Description

安全防護方法及安全防護裝置
本發明係有關於一種防護裝置及防護方法,且特別是有關於一種安全防護裝置及安全防護方法。
隨著科技的進展,惡意軟體日益盛行,偵測惡意軟體的安全防護軟體成為重要的資安技術,此偵測技術亦逐漸發展為防毒軟體的必備功能之一。
一般偵測惡意軟體的機制有兩種,其一是用以偵測設定檔(Registry)是否被修改,然而此種方法並無法針對採用修改設定檔以外之機制的惡意軟體進行防護。另一是用以偵測程序是否被修改或中止,然而此種方法會影響系統上其餘程序的運作。
由此可見,上述現有的方式,顯然仍存在不便與缺陷,而有待改進。為了解決上述問題,相關領域莫不費盡心思來謀求解決之道,但長久以來仍未發展出適當的解決方案。
本發明內容之一目的是在提供一種安全防護裝置及安全防護方法,藉以改善習知用以防護惡意軟體之機制所存在的問題。
為達上述目的,本發明內容之一技術態樣係關於一種安全防護方法。前述安全防護方法係藉由控制器來執行, 其包含以下步驟:提供索引表,其中索引表紀錄複數個應用程序接口(Application Programming Interface,API)於儲存裝置中所對應的位置;呼叫該些應用程序接口中的一者;根據預設條件以對該些應用程序接口中的該者進行過濾;以及對符合預設條件之該些應用程序接口中的該者進行阻擋。
根據本發明一實施例,前述預設條件包含該些應用程序接口中的該者為對應於受保護的程序。
根據本發明另一實施例,前述預設條件包含該些應用程序接口中的該者為用以對受保護的程序進行修改或中止。
根據本發明再一實施例,前述預設條件包含該些應用程序接口中的該者為對應於受保護的動態連結媒體櫃(Dynamic Link Library,DLL)。
根據本發明另一實施例,前述預設條件包含該些應用程序接口中的該者為用以對受保護的動態連結媒體櫃進行卸載。
根據本發明又一實施例,前述預設條件包含該些應用程序接口中的該者為用以修改設定檔(Registry)的應用程序接口。
為達上述目的,本發明內容之另一技術態樣係關於一 種安全防護裝置。前述安全防護裝置存有索引表,此索引表紀錄複數個應用程序接口所對應的位置,安全防護裝置包含攔截器、過濾器以及阻擋器。於操作上,當呼叫該些應用程序接口中的一者時,勾選(Hook)該些應用程序接口中的該者,過濾器根據預設條件以對該些應用程序接口中的該者進行過濾,而阻擋器用以對符合預設條件之該些應用程序接口中的該者進行阻擋。
根據本發明一實施例,前述預設條件包含該些應用程序接口中的該者為對應於受保護的程序。
根據本發明另一實施例,前述預設條件包含該些應用程序接口中的該者為用以對受保護的程序進行修改或中止。
根據本發明再一實施例,前述預設條件包含該些應用程序接口中的該者為對應於受保護的動態連結媒體櫃。
根據本發明再一實施例,前述預設條件包含該些應用程序接口中的該者為用以對受保護的動態連結媒體櫃進行卸載。
根據本發明又一實施例,前述預設條件包含該些應用程序接口中的該者為用以修改設定檔的應用程序接口。
因此,根據本發明之技術內容,本發明是藉由提供一種安全防護裝置及安全防護方法,藉以改善採用偵測設定檔(Registry)是否被修改的方式,並無法針對修改設定檔以外的惡意軟體進行防護的問題,以及改善採用偵測程序是否被修改或中止的方式,會影響系統上其餘程序的運作的 問題。
為了使本揭示內容之敘述更加詳盡與完備,可參照所附之圖式及以下所述各種實施例,圖式中相同之號碼代表相同或相似之元件。但所提供之實施例並非用以限制本發明所涵蓋的範圍,而結構運作之描述非用以限制其執行之順序,任何由元件重新組合之結構,所產生具有均等功效的裝置,皆為本發明所涵蓋的範圍。
其中圖式僅以說明為目的,並未依照原尺寸作圖。另一方面,眾所週知的元件與步驟並未描述於實施例中,以避免對本發明造成不必要的限制。
第1圖係依照本發明一實施例繪示一種安全防護裝置的示意圖。前述安全防護裝置100存有索引表,此索引表紀錄複數個應用程序接口(Application Programming Interface,API)所對應的位置。安全防護裝置100包含攔截器110、過濾器120以及阻擋器130。於實作上,前述攔截器110、過濾器120以及阻擋器130可為實體元件或者是由軟體模擬的虛擬機器(Virtual Machine),端視使用者的需求而定。此外,前述索引表可為IAT或者KiServiceTable,然其並非用以限定本發明,僅用以例示性地闡釋本發明之一實現方式。
於操作上,當應用程序接口中的其中之一被呼叫時,攔截器110勾選(Hook)被呼叫者,過濾器120根據預設條 件以對被呼叫者進行過濾,而阻擋器130用以對符合預設條件之被呼叫者進行阻擋。
在此需說明的是,上述勾選應用程序接口中的其中之一的步驟,亦可被惡意軟體所採用,進而對本發明實施例之安全防護裝置100進行反制,因此,本發明實施例之安全防護裝置100於系統環境乾淨(例如新買一台電子裝置或者電子裝置剛進行重灌後)時,先行利用安全防護裝置100對其進行掃瞄,如此一來,可以確保安全防護裝置100所保護的電子裝置安全無虞。
在一實施例中,前述預設條件係被呼叫者對應於受保護的程序,亦可理解為被呼叫者是否為受保護的程序。當被呼叫者的確對應於受保護的程序時,代表有惡意軟體欲對受保護的程序進行控制,例如惡意軟體欲修改或中止受保護的程序,前述中止包含QUIT與CLOSE……等操作。此時,預設條件成立,阻擋器130對符合預設條件之被呼叫者進行阻擋。
在另一實施例中,前述預設條件係被呼叫者對應於一受保護的動態連結媒體櫃(Dynamic Link Library,DLL),亦可理解為被呼叫者是否為受保護的動態連結媒體櫃。當被呼叫者的確對應於受保護的動態連結媒體櫃時,代表有惡意軟體欲對受保護的動態連結媒體櫃進行控制,例如惡意軟體欲卸載受保護的動態連結媒體櫃,此時,預設條件成立,阻擋器130對符合預設條件之被呼叫者進行阻擋。
在又一實施例中,前述預設條件係被呼叫者為用以修 改設定檔(Registry)的應用程序接口,亦可理解為被呼叫者是否為用以修改設定檔的應用程序接口。當被呼叫者的確為用以修改設定檔的應用程序接口時,代表有惡意軟體欲對設定檔進行修改,此時,預設條件成立,阻擋器130對符合預設條件之被呼叫者進行阻擋。
因此,應用本發明實施例之安全防護裝置100,可改善採用偵測設定檔(Registry)是否被修改的方式,並無法針對修改設定檔以外的惡意軟體進行防護的問題,以及改善採用偵測程序是否被修改或中止的方式,會影響系統上其餘程序之運作的問題。
第2圖係依照本發明另一實施例繪示一種安全防護方法的示意圖。如圖所示,此安全防護方法200可藉由控制器來執行,其包含以下步驟:步驟210:提供索引表,其中索引表紀錄複數個應用程序接口於儲存裝置中所對應的位置;步驟220:呼叫該些應用程序接口中的一者;步驟230:根據預設條件以對該些應用程序接口中的該者進行過濾;以及步驟240:對符合預設條件之該些應用程序接口中的該者進行阻擋。
為使第2圖所示之安全防護方法200更易於理解,在此將配合第1圖,以一併例示性地說明上述步驟。於步驟210,可藉由安全防護裝置100提供索引表。接著,步驟220所述之呼叫該些應用程序接口中的一者的步驟,可藉 由安全防護裝置100來實現。
其次,在步驟230中,可藉由過濾器120根據預設條件以對該些應用程序接口中的該者進行過濾。步驟240所示對符合預設條件之該些應用程序接口中的該者進行阻擋的步驟,可藉由阻擋器130來實現。
在一實施例中,請一併參照步驟230及步驟240,前述預設條件係被呼叫的應用程序接口為對應於受保護的程序,亦可理解為被呼叫的應用程序接口是否為受保護的程序。當被呼叫者的確對應於受保護的程序時,代表有惡意軟體欲對受保護的程序進行控制,例如惡意軟體欲修改或中止受保護的程序,前述中止包含QUIT與CLOSE……等操作。此時,預設條件成立,執行步驟240以對符合預設條件之被呼叫者進行阻擋。
在另一實施例中,請一併參照步驟230及步驟240,前述預設條件係被呼叫者對應於一受保護的動態連結媒體櫃(Dynamic Link Library,DLL),亦可理解為被呼叫的應用程序接口是否為受保護的動態連結媒體櫃。當被呼叫者的確對應於受保護的動態連結媒體櫃時,代表有惡意軟體欲對受保護的動態連結媒體櫃進行控制,例如惡意軟體欲卸載受保護的動態連結媒體櫃。此時,預設條件成立,執行步驟240以對符合預設條件之被呼叫者進行阻擋。
在又一實施例中,前述預設條件係被呼叫者為用以修改設定檔(Registry)的應用程序接口,當被呼叫者的確為用以修改設定檔的應用程序接口時,代表有惡意軟體欲對設 定檔進行修改,此時,預設條件成立,執行步驟240以對符合預設條件之被呼叫者進行阻擋。
如上所述之安全防護方法皆可由軟體、硬體與/或軔體來執行。舉例來說,若以執行速度及精確性為首要考量,則基本上可選用硬體與/或軔體為主;若以設計彈性為首要考量,則基本上可選用軟體為主;或者,可同時採用軟體、硬體及軔體協同作業。應瞭解到,以上所舉的這些例子並沒有所謂孰優孰劣之分,亦並非用以限制本發明,熟習此項技藝者當視當時需要彈性設計之。
再者,所屬技術領域中具有通常知識者當可明白,安全防護方法中之各步驟依其執行之功能予以命名,僅係為了讓本案之技術更加明顯易懂,並非用以限定該等步驟。將各步驟予以整合成同一步驟或分拆成多個步驟,或者將任一步驟更換到另一步驟中執行,皆仍屬於本揭示內容之實施方式。
由上述本發明實施方式可知,應用本發明具有下列優點。本發明是藉由提供一種安全防護裝置及安全防護方法,藉以改善採用偵測設定檔(Registry)是否被修改的方式,並無法針對修改設定檔以外的惡意軟體進行防護的問題,以及改善採用偵測程序是否被修改或中止的方式,會影響系統上其餘程序之運作的問題。
雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何熟習此技藝者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾,因此本發明之保護範 圍當視後附之申請專利範圍所界定者為準。
100‧‧‧安全防護裝置
110‧‧‧攔截器
120‧‧‧過濾器
130‧‧‧阻擋器
200‧‧‧安全防護方法
210~240‧‧‧步驟
為讓本發明之上述和其他目的、特徵、優點與實施例能更明顯易懂,所附圖式之說明如下:第1圖係依照本發明一實施例繪示一種安全防護裝置的示意圖。
第2圖係依照本發明另一實施例繪示一種安全防護方法的示意圖。
200‧‧‧安全防護方法
210~240‧‧‧步驟

Claims (12)

  1. 一種安全防護方法,係藉由一控制器來執行,包含:提供一索引表,其中該索引表紀錄複數個應用程序接口(Application Programming Interface,API)於一儲存裝置中所對應的位置;呼叫該些應用程序接口中的一者;根據一預設條件以對該些應用程序接口中的該者進行過濾;以及對符合該預設條件之該些應用程序接口中的該者進行阻擋。
  2. 如請求項1所述之安全防護方法,其中該預設條件包含該些應用程序接口中的該者為對應於一受保護的程序。
  3. 如請求項1所述之安全防護方法,其中該預設條件包含該些應用程序接口中的該者為用以對一受保護的程序進行修改或中止。
  4. 如請求項1所述之安全防護方法,其中該預設條件包含該些應用程序接口中的該者為對應於一受保護的動態連結媒體櫃(Dynamic Link Library,DLL)。
  5. 如請求項1所述之安全防護方法,其中該預設條件包含該些應用程序接口中的該者為用以對一受保護的動態連結媒體櫃進行卸載。
  6. 如請求項1所述之安全防護方法,其中該預設條件包含該些應用程序接口中的該者為用以修改一設定檔(Registry)的應用程序接口。
  7. 一種安全防護裝置,存有一索引表,其中該索引表紀錄複數個應用程序接口所對應的位置,包含:一攔截器,當呼叫該些應用程序接口中的一者時,用以勾選(Hook)該些應用程序接口中的該者;一過濾器,根據一預設條件以對該些應用程序接口中的該者進行過濾;以及一阻擋器,用以對符合該預設條件之該些應用程序接口中的該者進行阻擋。
  8. 如請求項7所述之安全防護裝置,其中該預設條件包含該些應用程序接口中的該者為對應於一受保護的程序。
  9. 如請求項7所述之安全防護裝置,其中該預設條件包含該些應用程序接口中的該者為用以對一受保護的程序進行修改或中止。
  10. 如請求項7所述之安全防護裝置,其中該預設條件包含該些應用程序接口中的該者為對應於一受保護的動態連結媒體櫃。
  11. 如請求項7所述之安全防護裝置,其中該預設條件包含該些應用程序接口中的該者為用以對一受保護的動態連結媒體櫃進行卸載。
  12. 如請求項7所述之安全防護裝置,其中該預設條件包含該些應用程序接口中的該者為用以修改一設定檔的應用程序接口。
TW101145322A 2012-12-03 2012-12-03 安全防護方法及安全防護裝置 TW201423470A (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
TW101145322A TW201423470A (zh) 2012-12-03 2012-12-03 安全防護方法及安全防護裝置
CN201210538897.4A CN103853978A (zh) 2012-12-03 2012-12-13 安全防护方法及安全防护装置
US13/716,217 US20140157411A1 (en) 2012-12-03 2012-12-17 Safety protection method and safety protection device
GB1222714.6A GB2508441A (en) 2012-12-03 2012-12-17 Protecting a computer system from malicious program code
GBGB1403935.8A GB201403935D0 (en) 2012-12-03 2014-03-06 Safety protection method and safety protection device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW101145322A TW201423470A (zh) 2012-12-03 2012-12-03 安全防護方法及安全防護裝置

Publications (1)

Publication Number Publication Date
TW201423470A true TW201423470A (zh) 2014-06-16

Family

ID=47630855

Family Applications (1)

Application Number Title Priority Date Filing Date
TW101145322A TW201423470A (zh) 2012-12-03 2012-12-03 安全防護方法及安全防護裝置

Country Status (4)

Country Link
US (1) US20140157411A1 (zh)
CN (1) CN103853978A (zh)
GB (2) GB2508441A (zh)
TW (1) TW201423470A (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI575401B (zh) * 2015-11-12 2017-03-21 財團法人資訊工業策進會 行動裝置及一種適用於行動裝置的監控方法
CN105975859B (zh) * 2015-12-29 2019-04-16 武汉安天信息技术有限责任公司 一种辅助分析恶意代码的方法及系统
CN109063481B (zh) * 2018-07-27 2023-04-07 平安科技(深圳)有限公司 一种风险检测方法和装置
GB2579070B (en) * 2018-11-19 2023-04-05 Secure Micro Ltd Computer implemented method
WO2020104772A1 (en) 2018-11-19 2020-05-28 Secure Micro Ltd Computer implemented method

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7931533B2 (en) * 2001-09-28 2011-04-26 Igt Game development architecture that decouples the game logic from the graphics logics
US7472288B1 (en) * 2004-05-14 2008-12-30 Trend Micro Incorporated Protection of processes running in a computer system
WO2006110729A2 (en) * 2005-04-12 2006-10-19 Webroot Software, Inc. System and method for accessing data from a data storage medium
GB2432687B (en) * 2005-11-25 2011-06-01 Mcafee Inc Product for preventing spyware/malware from installing in a registry
US20070240212A1 (en) * 2006-03-30 2007-10-11 Check Point Software Technologies, Inc. System and Methodology Protecting Against Key Logger Spyware
US20070250927A1 (en) * 2006-04-21 2007-10-25 Wintutis, Inc. Application protection
US8528087B2 (en) * 2006-04-27 2013-09-03 Robot Genius, Inc. Methods for combating malicious software
CN101257678A (zh) * 2008-03-21 2008-09-03 宇龙计算机通信科技(深圳)有限公司 一种实现移动终端软件安全检测的方法、终端及系统
US8935789B2 (en) * 2008-07-21 2015-01-13 Jayant Shukla Fixing computer files infected by virus and other malware

Also Published As

Publication number Publication date
GB2508441A (en) 2014-06-04
GB201403935D0 (en) 2014-04-23
CN103853978A (zh) 2014-06-11
US20140157411A1 (en) 2014-06-05
GB201222714D0 (en) 2013-01-30

Similar Documents

Publication Publication Date Title
US20230281311A1 (en) Method of malware detection and system thereof
KR102307534B1 (ko) 다수 소프트웨어 개체들에 걸쳐서 악성 행동을 트래킹하기 위한 시스템들 및 방법들
KR101445634B1 (ko) 프로그램의 취약점을 이용한 공격의 탐지 장치 및 방법
JP6388485B2 (ja) マルウェア発見方法及びシステム
US8099596B1 (en) System and method for malware protection using virtualization
TW201423470A (zh) 安全防護方法及安全防護裝置
EP3039608B1 (en) Hardware and software execution profiling
CN101414997B (zh) 阻止恶意程序访问网络的方法和装置
KR101671795B1 (ko) 동적 링크 라이브러리 삽입 공격을 방지하는 컴퓨터 시스템 및 방법
KR101710928B1 (ko) 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
US20130275945A1 (en) System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing
US10489593B2 (en) Mitigation of malicious actions associated with graphical user interface elements
CN103353930A (zh) 一种防范感染式病毒感染的方法和装置
KR20110057297A (ko) 악성 봇 동적 분석 시스템 및 방법
US8601584B1 (en) Protection of computers against argument switch attacks
CN103034806B (zh) 处理操作的方法和终端
KR101585968B1 (ko) 웹 쉘 탐지 장치와 이를 이용한 함수 실행 제어 방법
Yamauchi et al. Kernel rootkits detection method by monitoring branches using hardware features
KR20140024664A (ko) 프로그램 정보변경 보호장치 및 프로그램 정보변경 보호방법
WO2014116025A1 (ko) 행위 기반 프로세스 검사 시스템 및 방법
KR20110032449A (ko) 행위기반 탐지 장치 및 방법
CN105631329B (zh) Virut感染型病毒免疫方法及其装置
CN115510434A (zh) 一种反向对抗程序作弊的方法、装置、存储介质及设备
KR20130078960A (ko) 오피스 프로그램의 취약점을 이용한 악성코드의 행위기반 진단 및 차단방법
KR20120126665A (ko) 악성 프로그램 방어 장치 및 방법