TWI461955B

TWI461955B - 惡意程式破壞系統及其破壞方法

Info

Publication number: TWI461955B
Application number: TW101105528A
Authority: TW
Inventors: Jung Shian Li; Ching Huang Lin; I Hsien Liu; Jian Yuan Ma; Po Lin Chen; Jia Ju An
Original assignee: Univ Nat Cheng Kung
Priority date: 2012-02-20
Filing date: 2012-02-20
Publication date: 2014-11-21
Also published as: TW201335785A

Description

惡意程式破壞系統及其破壞方法

本發明係關於一種多媒體的惡意程式破壞系統及其破壞方法。

在現今的網路環境中，檔案的分享在網路上已是不可抑制的一種趨勢，例如透過Youtube或Flickr等網站上傳及分享影片或圖片給其它的網路使用者，同樣地，檔案上傳的攻擊也日漸頻繁。然而，在上傳的檔案中，可能存在有心的攻擊者(或可稱為駭客hacker)將惡意攻擊程式嵌入於上傳的檔案中，利用這些惡意程式碼，攻擊者可以攻擊伺服器內之網站及或感染那些瀏覽或下載具有該惡意程式檔案的使用者，使伺服器，或者不知情使用者在瀏覽網頁、影片或圖片時中毒而受到損害，輕者伺服器或電腦癱瘓、或者資料受損，重者造成個人機密資料外洩而遭受重大的損失。

對於上述透過上傳檔案進行的惡意程式攻擊中，以往可分為兩類：一種是網頁程式檔案攻擊，另一種是多媒體檔案攻擊。對於網頁程式檔案的攻擊，以往研究人員提出了各種方法作為防護的工具。但是，在多媒體檔案攻擊方面，卻少有人提出防護的方法及手段。

因此，如何提供一種惡意程式破壞系統及其破壞方法，可破壞多媒體檔案中惡意程式碼的攻擊，以達到防護多媒體檔案攻擊的目標，已成為重要課題之一。

有鑑於上述課題，本發明之目的為提供一種可破壞多媒體檔案中惡意程式碼的攻擊，以達到防護來自多媒體檔案之攻擊的目標的惡意程式破壞系統及其破壞方法。

為達上述目的，依據本發明之一種惡意程式破壞系統包括一檔案格式偵測模組以及一檔案轉換模組。檔案格式偵測模組係偵測一多媒體之輸入檔案的格式。檔案轉換模組係依據輸入檔案的格式將輸入檔案至少轉換一次，其中，當輸入檔案係為一影像檔案時，檔案轉換模組將輸入檔案轉換成至少一中介檔案，並將中介檔案轉換且輸出與輸入檔案格式相同之一輸出檔案。

在一實施例中，影像檔案的格式包含BMP、GIF、JPEG、PNG、EMF、PCX、或TIFF格式。

在一實施例中，中介檔案的格式包含JPEG、JPEG 2000、或JPC格式。

在一實施例中，檔案轉換模組將輸入檔案解碼成一第一原生資料，並將第一原生資料編碼成中介檔案。

在一實施例中，檔案轉換模組將中介檔案解碼成一第二原生資料，並將第二原生資料編碼成輸出檔案。

在一實施例中，當輸入檔案係為一影音檔案時，檔案轉換模組將輸入檔案至少轉換一次，且輸出與輸入檔案格式相同之另一輸出檔案。

在一實施例中，影音檔案的格式包含AVI、FLV、MP4、RMVB格式。

為達上述目的，依據本發明之一種惡意程式破壞方法，係與一惡意程式破壞系統配合，惡意程式破壞系統包含一檔案格式偵測模組及一檔案轉換模組，惡意程式破壞方法包括藉由檔案格式偵測模組偵測一多媒體之輸入檔案的格式；以及藉由檔案轉換模組依據輸入檔案的格式將輸入檔案至少轉換一次，其中，當輸入檔案係為一影像檔案時，檔案轉換模組將輸入檔案轉換成至少一中介檔案，並將中介檔案轉換且輸出與輸入檔案格式相同之一輸出檔案。

承上所述，因依據本發明惡意程式破壞系統及其破壞方法係藉由檔案格式偵測模組偵測多媒體之輸入檔案的格式，並藉由檔案轉換模組依據輸入檔案的格式將輸入檔案至少轉換一次，其中，當輸入檔案為一影像檔案時，檔案轉換模組將輸入檔案轉換成至少一中介檔案，並將中介檔案轉換且輸出與輸入檔案格式相同之一輸出檔案。藉此，可破壞多媒體檔案中的惡意程式碼的邏輯結構，使惡意程式無法執行，進而可達到防護來自多媒體檔案之攻擊的目標。

以下將參照相關圖式，說明依本發明較佳實施例之一種惡意程式破壞系統及其破壞方法，其中相同的元件將以相同的參照符號加以說明。

請參照圖1所示，其為本發明較佳實施例之一種惡意程式破壞系統1的功能方塊示意圖。先說明的是，本發明之惡意程式破壞系統1係利用檔案格式的轉換而可應用於破壞多媒體檔案中的惡意程式碼的邏輯結構，使惡意程式無法執行，進而可達到防護來自多媒體檔案之攻擊的目標。其中，多媒體檔案係可藉由上傳(upload)至一電腦或一伺服器的網站，而一使用者係可藉由連結或下載該多媒體檔案至自己的電腦。因此，電腦或伺服器的管理人員係可藉由本發明之惡意程式破壞系統及其破壞方法來達到防護來自多媒體檔案之攻擊的目標。

惡意程式破壞系統1係包括一檔案格式偵測模組11以及一檔案轉換模組12。於此，檔案格式偵測模組11及檔案轉換模組12可例如分別藉由軟體、硬體、或韌體等方式來達成其功能，於此並不加以限制。另外，惡意程式破壞系統1係可接收一輸入檔案IF，而輸入檔案IF係為一多媒體檔案，並經轉換後輸出一輸出檔案OF。

檔案格式偵測模組11係可偵測多媒體檔案之輸入檔案IF的格式。於此，檔案格式偵測模組1可透過偵測輸入檔案IF之檔案名稱與簽章來判斷輸入檔案IF的格式。其中，多媒體之輸入檔案IF例如可為一影像(images)檔案或一影音(videos)檔案。影像檔案例如可為一照片、圖片或圖像，而其格式(即副檔名)例如可包含BMP、GIF、JPEG、PNG、EMF、PCX或TIFF等格式，或者為其它影像格式，主要是點陣式圖型檔案格式皆可適用。另外，影音檔案例如可為一影片，而其格式(即副檔名)例如可包含AVI、FLV、MP4或RMVB格式，或其它影音格式。於此，均不加以限制。

檔案轉換模組12係可依據輸入檔案IF的格式將輸入檔案IF至少轉換一次，以將輸入檔案IF轉換成無惡意腳本的輸出檔案OF。於此，「轉換」係包含將某一格式的檔案解碼(decode)成一原生資料(raw data)，並將該原生資料編碼(encode)成某一格式的檔案等。其中，檔案轉換模組12係根據檔案格式偵測模組11偵測之多媒體檔案之格式而進行對應的檔案格式的轉換，藉此破壞多媒體檔案中的惡意程式碼的邏輯結構，使惡意程式無法執行。再說明的是，若惡意程式碼被嵌入多媒體的輸入檔案IF後，經本發明之惡意程式破壞系統1作用時可滿足以下三個原則：第一，惡意程式碼經轉換後對輸出檔案OF已無影響(suppression effectiveness)。換言之，即已破壞惡意程式碼而無法被執行，使其不會造成任何的影響及破壞。第二，輸出檔案OF與原輸入檔案IF的檔案格式需相同，即副檔名相同。第三，連結或下載輸出檔案OF時，使用者可接受轉換損失(conversion loss)。例如使用者不會發現下載的影像有失真的情況。

請參照圖2A所示，當輸入檔案IF為一影像檔案時，檔案轉換模組12可將輸入檔案IF轉換成至少一中介檔案(intermediate file)IM，並將中介檔案IM再次轉換，且輸出與輸入檔案IF格式相同之一輸出檔案OF。換言之，當輸入檔案IF的副檔名為BMP、GIF、JPEG、PNG、EMF、PCX、TIFF的其中之一時，檔案轉換模組12可將輸入檔案IF轉換成至少一個中介檔案IM，進而再轉換成與輸入檔案IF相同檔案格式之輸出檔案OF。中介檔案IM的格式例如可包含JPEG、JPEG 2000(例如IP2)或JPC格式，或者可為其它轉換損失較小的格式皆可。

具體而言，請參照圖2B所示，在本實施例中，當輸入檔案IF為影像檔案時，檔案轉換模組12係可依據該影像檔案的標準檔案格式將輸入之影像檔案解碼成一第一原生資料RD1，再將第一原生資料RD1編碼成一個中介檔案IM的格式。另外，檔案轉換模組12可依據中介檔案IM的標準檔案格式將中介檔案IM解碼成第二原生資料RD2，最後再將第二原生資料RD2以原輸入檔案IF之影像檔案的標準檔案格式編碼成輸出檔案OF，即進行至少二次的轉換作用，以將影像檔案之輸入檔案IF內嵌的惡意程式碼破壞其邏輯結構，當使用者藉由連結或下載此輸出檔案OF至自己的電腦時，惡意程式無法被執行。

舉例而言，例如當輸入檔案IF的副檔名為BMP時，檔案轉換模組12可將副檔名為BMP之影像檔案解碼及編碼成一副檔名例如為JPEG之中介檔案IM，再將此副檔名為JPEG之中介檔案IM解碼及編碼成副檔名為BMP之輸出檔案OF。影像檔案之不同格式間的轉換皆為習知技術，於此，並不加以贅述。特別說明的是，經過實際的實驗證明，影像檔案只要經過二次的檔案格式的轉換(即經過二次的解碼及編碼)後，內嵌於影像檔案之惡意程式碼將破壞而無法被執行。不過，本發明並不限定影像檔案一定只經二次的檔案轉換，在其它的實施例中，也可進行三次、或三次以上的轉換動作。

另外，請參照圖2C所示，當輸入檔案IF為一影音檔案時，檔案轉換模組12係可依據該影音檔案的標準檔案格式將輸入之影音檔案解碼成第三原生資料RD3，並將此第三原生資料RD3依據原輸入檔案IF的標準檔案格式做編碼後，輸出與原輸入檔案IF之影音檔案的標準檔案格式相同之另一輸出檔案OF，換言之，就是只進行至少一次的轉換作用，就可將輸入檔案IF內嵌的惡意程式碼破壞，當使用者藉由連結或下載此輸出檔案OF至自己的電腦時，惡意程式無法被執行。

舉例而言，例如當輸入檔案IF的副檔名為AVI時，檔案轉換模組12可將具副檔名AVI之輸入檔案IF解碼及編碼成副檔名仍為AVI之輸出檔案OF。影音檔案之不同格式間的轉換皆為習知技術，於此，亦不加以贅述。特別說明的是，經過實際的實驗證明，影音檔案只要經過一次的檔案格式的轉換(解碼及編碼)後，內嵌於影音檔案之惡意程式將被破壞而無法執行。不過，本發明並不限定影音檔案一定只經一次的轉換，在其它的實施例中，也可進行二次、或二次以上的轉換動作。

值得一提的是，輸入檔案IF、中介檔案IM或輸出檔案OF是一種影像儲存的方式，其係以某一種格式的編碼方式儲存二進位資料串。然而，上述之影像或圖片的第一原生資料RD1及第二原生資料RD2係指呈現在畫面上的具體描述的資料串，亦即影像、圖片中每一個顯示位置及該位置的色彩資訊的二進位資料，並沒有特定格式的編碼，而影音或影片的第三原生資料RD3則是指每一時間點上，每一個顯示位置及該位置的色彩資訊的二進位資料，也沒有特定格式的編碼。因此，本發明之「原生資料」是指二進位碼的資料串，此與輸入檔案IF、中介檔案IM或輸出檔案OF的資料串是不同的。

請參照圖3所示，其為本發明之惡意程式破壞方法的流程示意圖。

本發明之惡意程式破壞方法係與上述之惡意程式破壞系統1配合。惡意程式破壞方法包括步驟S01以及步驟S02。步驟S01為藉由檔案格式偵測模組11偵測一多媒體之輸入檔案IF的格式。步驟S02為藉由檔案轉換模組12依據輸入檔案IF的格式將輸入檔案IF至少轉換一次，其中，當輸入檔案IF係為一影像檔案時，檔案轉換模組12將輸入檔案IF轉換成至少一中介檔案IM，並將中介檔案IM轉換且輸出與輸入檔案IF格式相同之一輸出檔案OF。

其中，輸入檔案IF係可包含一影像檔案或一影音檔案。影像檔案例如可為一照片、圖片或圖像，而其格式(即副檔名)例如可包含BMP、GIF、JPEG、PNG、EMF、PCX或TIFF等格式，或者為其它影像格式，主要是點陣式圖型檔案格式皆可適用。另外，影音檔案例如可為一影片，而其格式(即副檔名)例如可包含AVI、FLV、MP4或RMVB格式，或其它影音格式。此外，中介檔案IM的格式例如可包含JPEG、JPEG 2000(例如IP2)或JPC格式，或者可為其它轉換損失較小的格式皆可。

檔案轉換模組12可將輸入檔案IF解碼成一第一原生資料RD1，並將第一原生資料RD1編碼成中介檔案IM。再者，檔案轉換模組12可將中介檔案IM解碼成一第二原生資料RD2，並將第二原生資料RD2編碼成輸出檔案OF輸出。另外，當輸入檔案IF係為一影音檔案時，檔案轉換模組12將輸入檔案IF轉換且輸出與輸入檔案IF格式相同之另一輸出檔案OF輸出。

此外，惡意程式破壞方法的其它技術特徵已於上述中詳述，於此不再贅述。

以下，請參照相關的表格以說明本發明實際的實驗結果。

如表一所示，於此，係分別將四種不同的影像檔案格式：BMP、GIF、JPEG、PNG等作為輸入檔案IF的格式，而轉換出的輸出檔案OF的格式與輸入檔案IF相同。另外，本實施例之影像檔案係被檔案轉換模組12轉換二次，而中介檔案IM的數量為一，且其格式係為JPEG。

為了評估嵌入影像檔案之惡意程式是否被破壞，於此定義出二進位差異比率(binary differential rate)，其等於輸出檔案OF與輸入檔案IF的二進位位元數差異除以輸入檔案IF的二進位位元數。一般而言，當二進位差異比率大於一定比例時(例如15%以上)，惡意程式碼的邏輯就可被破壞而使其程式無法被執行。

另外，為了評估轉換損失，於此定義出檔案容量(file size，單位為kbytes)改變比率、人類視覺差異(即視覺可察覺否)及平均解析度(resolution，單位為像素)改變比率。其中，檔案容量改變比率係等於輸出檔案OF與輸入檔案IF的檔案尺寸差異除以輸入檔案IF的檔案尺寸，而平均解析度改變比率等於輸出檔案OF與輸入檔案IF的像素(pixels)數量差異除以輸入檔案IF的像素數量。

由表一中可看出，四種影像檔案經由本發明的惡意程式破壞系統1及其破壞方法的作用後，數十個檔案的平均二進位差異比率均相當高，表示已破壞惡意程式碼及其邏輯結構。另外，人類視覺差異(視覺可察覺否)均為否定(No)，且平均解析度改變比率均為0，表示人類視覺是無法查覺其變化的，使用者也不會發現轉換後的輸出檔案OF有任何失真的現象。

另外，如表二所示，於此，係分別將四種不同的影音檔案格式：AVI、FLV、MP4、RMVB等作為輸入檔案IF格式，而轉換出的輸出檔案OF的格式與輸入檔案IF相同。另外，本實施例之影音檔案係被檔案轉換模組12轉換一次而已。

由表二中可看出，四種影音檔案經由本發明的惡意程式破壞系統1及其破壞方法的作用後，數十個檔案的平均二進位差異比率均相當高，表示已破壞惡意程式碼及其邏輯結構。另外，平均檔案容量改變比率大部分雖增加，但人類視覺差異(視覺可察覺否)均為否定(No)，且平均解析度改變比率均為0，表示人類視覺是無法查覺其變化的，使用者也不會發現轉換後的輸出檔案OF有任何失真的現象。

承上，本發明之惡意程式破壞系統及惡意程式破壞方法主要係根據檔案格式的轉換而破壞惡意程式的邏輯結構，藉由在檔案格式的轉換過程中，可改變輸入之多媒體檔案的原始二進位碼，使惡意程式無法被執行。另外，人類視覺也無法查覺多媒體檔案有何變化，使用者也不會發現轉換後的輸出檔案有任何失真的現象。因此，可達到防護來自多媒體檔案之攻擊的目標。

綜上所述，因依據本發明惡意程式破壞系統及其破壞方法係藉由檔案格式偵測模組偵測多媒體之輸入檔案的格式，並藉由檔案轉換模組依據輸入檔案的格式將輸入檔案至少轉換一次，其中，當輸入檔案為一影像檔案時，檔案轉換模組將輸入檔案轉換成至少一中介檔案，並將中介檔案轉換且輸出與輸入檔案格式相同之一輸出檔案。藉此，可破壞多媒體檔案中的惡意程式碼的邏輯結構，使惡意程式無法執行，進而可達到防護來自多媒體檔案之攻擊的目標。

以上所述僅為舉例性，而非為限制性者。任何未脫離本發明之精神與範疇，而對其進行之等效修改或變更，均應包含於後附之申請專利範圍中。

1．．．惡意程式破壞系統

11．．．檔案格式偵測模組

12．．．檔案轉換模組

IF．．．輸入檔案

IM．．．中介檔案

OF．．．輸出檔案

RD1．．．第一原生資料

RD2．．．第二原生資料

RD3．．．第三原生資料

S01、S02．．．步驟

圖1為本發明較佳實施例之一種惡意程式破壞系統的功能方塊示意圖；

圖2A及圖2B分別為圖1之輸入檔案為影像檔案的轉換示意圖；

圖2C為圖1之輸入檔案為影音檔案的轉換示意圖；以及

圖3為本發明之惡意程式破壞方法的流程示意圖。

1．．．惡意程式破壞系統

11．．．檔案格式偵測模組

12．．．檔案轉換模組

IF．．．輸入檔案

OF．．．輸出檔案

Claims

一種惡意程式破壞系統，包括：一檔案格式偵測模組，係偵測一多媒體之輸入檔案的格式；以及一檔案轉換模組，係依據該輸入檔案的格式將該輸入檔案至少轉換一次，其中，該檔案轉換模組將所有輸入的該輸入檔案進行檔案格式的轉換，以破壞該多媒體檔案中的惡意程式碼的邏輯結構，且當該輸入檔案係為一影像檔案時，該檔案轉換模組將該輸入檔案轉換成至少一中介檔案，並將該中介檔案轉換且輸出與該輸入檔案格式相同之一輸出檔案。
如申請專利範圍第1項所述之惡意程式破壞系統，其中該影像檔案的格式包含BMP、GIF、JPEG、PNG、EMF、PCX、或TIFF格式。
如申請專利範圍第1項所述之惡意程式破壞系統，其中該中介檔案的格式包含JPEG、JPC、或JPEG 2000格式。
如申請專利範圍第1項所述之惡意程式破壞系統，其中該檔案轉換模組將該輸入檔案解碼成一第一原生資料，並將該第一原生資料編碼成該中介檔案。
如申請專利範圍第4項所述之惡意程式破壞系統，其中該檔案轉換模組將該中介檔案解碼成一第二原生資料，並將該第二原生資料編碼成該輸出檔案。
如申請專利範圍第1項所述之惡意程式破壞系統，其中當該輸入檔案係為一影音檔案時，該檔案轉換模組將該輸入檔案至少轉換一次，且輸出與該輸入檔案格式相同之另一輸出檔案。
如申請專利範圍第6項所述之惡意程式破壞系統，其中該影音檔案的格式包含AVI、FLV、MP4或RMVB格式。
一種惡意程式破壞方法，係與一惡意程式破壞系統配合，該惡意程式破壞系統包含一檔案格式偵測模組及一檔案轉換模組，該惡意程式破壞方法包括：藉由該檔案格式偵測模組偵測一多媒體之輸入檔案的格式；以及藉由該檔案轉換模組依據該輸入檔案的格式將該輸入檔案至少轉換一次，其中，該檔案轉換模組將所有輸入的該輸入檔案進行檔案格式的轉換，以破壞該多媒體檔案中的惡意程式碼的邏輯結構，且當該輸入檔案係為一影像檔案時，該檔案轉換模組將該輸入檔案轉換成至少一中介檔案，並將該中介檔案轉換且輸出與該輸入檔案格式相同之一輸出檔案。
如申請專利範圍第8項所述之惡意程式破壞方法，其中該中介檔案的格式包含JPEG、JPC或JPEG 2000格式。
如申請專利範圍第8項所述之惡意程式破壞方法，其中該檔案轉換模組將該輸入檔案解碼成一第一原生資料，並將該第一原生資料編碼成該中介檔案。
如申請專利範圍第10項所述之惡意程式破壞方法，其中該檔案轉換模組將該中介檔案解碼成一第二原生資料，並將該第二原生資料編碼成該輸出檔案。
如申請專利範圍第8項所述之惡意程式破壞方法，其中當該輸入檔案係為一影音檔案時，該檔案轉換模組將該輸入檔案至少轉換一次，且輸出與該輸入檔案格式相同之另一輸出檔案。