TWI622932B - 圖符診斷裝置、圖符診斷方法及程式 - Google Patents

圖符診斷裝置、圖符診斷方法及程式 Download PDF

Info

Publication number
TWI622932B
TWI622932B TW106103612A TW106103612A TWI622932B TW I622932 B TWI622932 B TW I622932B TW 106103612 A TW106103612 A TW 106103612A TW 106103612 A TW106103612 A TW 106103612A TW I622932 B TWI622932 B TW I622932B
Authority
TW
Taiwan
Prior art keywords
icon
file
unit
risk
format
Prior art date
Application number
TW106103612A
Other languages
English (en)
Other versions
TW201734774A (zh
Inventor
內田法道
Original Assignee
Lac股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from JP2016020955A external-priority patent/JP5954915B1/ja
Priority claimed from JP2016116611A external-priority patent/JP6068711B1/ja
Application filed by Lac股份有限公司 filed Critical Lac股份有限公司
Publication of TW201734774A publication Critical patent/TW201734774A/zh
Application granted granted Critical
Publication of TWI622932B publication Critical patent/TWI622932B/zh

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Human Computer Interaction (AREA)
  • User Interface Of Digital Computer (AREA)

Abstract

本發明之圖符診斷裝置包括:圖符提取部,其提取診斷對象之檔案之圖符;檔案格式判定部,其判定上述診斷對象之檔案之格式;及圖符比較部,其將藉由上述圖符提取部提取之上述圖符、和與藉由上述檔案格式判定部判定之格式對應的基準圖符即第1基準圖符進行比較,並且將藉由上述圖符提取部提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較。

Description

圖符診斷裝置、圖符診斷方法及程式
本發明係關於一種圖符診斷裝置、圖符診斷方法及程式。 本申請案係基於2016年2月5日於日本申請之日本專利特願2016-20955號及2016年6月10日於日本申請之日本專利特願2016-116611號而主張優先權,且將其內容引用於此處。
近年來,惡意軟體(malware)係實施有用以使使用者點選之各種各樣之手法。其手法之一有圖符之偽裝。具體而言,為了誘導使用者點選作為執行檔案之惡意軟體之圖符,而進行將該惡意軟體之圖符經偽裝為文件系之圖符或存檔系之圖符。作為文件系之圖符,例如,有Microsoft Office(註冊商標)、或Adobe Acrobat(註冊商標)等,又,作為存檔系之圖符,例如,有zip格式、或lzh格式等。 又,存在如下情形:若藉由使用者而將壓縮檔案解壓縮,則製成圖符經偽裝之檔案,誘導使用者點選該圖符。 作為其他例,存在如下情形:藉由對檔案之名稱輸入大量之空格隱藏擴展名(識別檔案之類別之字串),而誘導使用者點選圖符。作為其他例,存在如下情形:藉由利用如阿拉伯字母般自右向左記述之語言難以判別擴展名,而誘導使用者點選圖符。 再者,即便圖符經偽裝,若看到該圖符之擴展名亦可判別是否為惡意軟體,例如,存在Windows(註冊商標)之預設設定中不顯示擴展名,難以判別之情形。又,存在如下情形:即便為顯示圖符之擴展名之設定,由於圖符較擴展名而言視認性較高,故而僅看到圖符辨識檔案之格式或內容之人較多,難以注意到擴展名。進而,存在藉由於圖符之擴展名之前加入多數個空白字元而誤認該擴展名之情形,或使用被稱為RLO(Right-to-Left Override,右向左覆蓋)之控制字元而偽裝圖符之擴展名之情形,僅藉由利用目視確認擴展名而難以判別惡意軟體之情況較多。 [先前技術文獻] [專利文獻] [專利文獻1]日本專利特開2010-198565號公報
[發明所欲解決之問題] 先前,存在於惡意軟體之圖符經偽裝時,難以診斷惡意軟體之情形。 再者,專利文獻1中所記載之不正當程式偵測方法等中,判定對象之檔案是否為執行檔案,針對判定為執行檔案之檔案,進行診斷是否為具有偽裝之圖符之不正當程式,允許程式清單及圖符黑清單必定需要,期望其他之診斷手法。 本發明之實施形態係鑒於此種情況,提供一種可診斷是否為圖符經偽裝之惡意軟體之圖符診斷裝置、圖符診斷方法及程式。 [解決問題之技術手段] 本發明之實施形態之圖符診斷裝置包括:圖符提取部,其提取診斷對象之檔案之圖符;檔案格式判定部,其判定上述診斷對象之檔案之格式;及圖符比較部,其將藉由上述圖符提取部提取之上述圖符、和與藉由上述檔案格式判定部判定之格式對應的基準圖符即第1基準圖符進行比較,並且將藉由上述圖符提取部提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較。 又,於本發明之一態樣之圖符診斷裝置中,上述圖符比較部將藉由上述圖符提取部提取之上述圖符與上述第1基準圖符進行比較,取得兩者之偏離度。 又,於本發明之一態樣之圖符診斷裝置中,上述圖符比較部將藉由上述圖符提取部提取之上述圖符與上述第2基準圖符進行比較,取得兩者之類似度。 又,於本發明之一態樣之圖符診斷裝置中,具備危險判定部,該危險判定部基於藉由上述圖符比較部進行之比較之結果,進行與危險相關之判定。 又,於本發明之一態樣之圖符診斷裝置中,上述危險判定部進行與危險性之程度相關之判定。 又,於本發明之一態樣之圖符診斷裝置中,上述危險性之程度係有上述危險性、或上述危險性之2個階段以上之程度。 又,於本發明之一態樣之圖符診斷裝置中,上述危險判定部基於與賦予至上述診斷對象之檔案之簽名相關之判定之結果及藉由上述圖符比較部而進行之比較之結果,而進行與危險相關之判定。 本發明之實施形態之圖符診斷方法係由圖符診斷裝置提取診斷對象之檔案之圖符,由上述圖符診斷裝置判定上述診斷對象之檔案之格式,由上述圖符診斷裝置將經提取之述圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較。 本發明之實施形態之程式係一種程式,其係用以使電腦執行如下步驟:提取診斷對象之檔案之圖符;判定上述診斷對象之檔案之格式;及將經提取之上述圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較。 [發明之效果] 根據上述本發明之實施形態之圖符診斷裝置、圖符診斷方法及程式,可診斷是否為圖符經偽裝之惡意軟體。
參照圖式對本發明之實施形態詳細地進行說明。 [圖符處理裝置之說明] 圖1係表示本發明之一實施形態之圖符處理裝置11之概略性構成例之圖。 本實施形態之圖符處理裝置11包括輸入部31、輸出部32、記憶部33、及控制部34。 輸入部31自外部輸入資訊。 輸入部31例如亦可具有輸入自外部之記錄媒體或其他之裝置輸出之資訊之介面。 輸入部31例如亦可具有輸入與藉由使用者而進行之操作對應之資訊之操作部。 輸出部32向外部輸出資訊。 輸出部32例如具有顯示輸出資訊之顯示部71。顯示部71例如為顯示器之畫面。於本實施形態中,表示圖符處理裝置11內置顯示部71之構成例,作為其他構成例,顯示部71亦可與圖符處理裝置11分開設置,與該圖符處理裝置11能夠通訊地連接。 輸出部32例如亦可具有將資訊輸出至外部之記錄媒體或其他裝置之介面。 記憶部33記憶資訊。 記憶部33例如記憶檔案資訊91。檔案資訊91包含1個或複數個檔案之資訊。 記憶部33例如記憶檔案格式清單92。檔案格式清單92包含各種檔案之格式(檔案格式)之資訊。檔案格式清單92例如包含擴展名之資訊、及該檔案內之特徵性之資訊等,且保持此種資訊與檔案格式之對應。再者,檔案格式清單92亦可保持檔案之各種各樣之資訊與檔案格式之對應。檔案格式清單92例如亦可藉由圖符處理裝置11或使用者等而隨時更新。 記憶部33例如記憶基準圖符清單93。基準圖符清單93保持各種各樣之檔案格式與成為基準之圖符(基準圖符)之資訊之對應。基準圖符清單93例如亦可藉由圖符處理裝置11或使用者等而隨時更新。 控制部34對圖符處理裝置11中之各種處理進行控制。 控制部34包括圖符診斷部111及診斷結果輸出部112。 圖符診斷部111包括檔案格式判定部131、圖符提取部132、圖符比較部133、及危險判定部134。 診斷結果輸出部112包括顯示控制部151。 此處,於本實施形態中,為了方便說明,將控制部34所具有之各種功能分為複數個而表示,但該等功能亦可以其他之分法設置。例如,於使用處理器構成控制部34,藉由該處理器執行記憶於記憶部33之控制用之程式而實現各種功能之情形時,各種功能亦可總結為1個程式,或亦可以任意之分法分為2個以上之程式。 [圖符診斷處理之說明] 圖2係表示藉由本發明之一實施形態之圖符處理裝置11而進行之圖符診斷處理之一例的流程圖。 對圖2所示之流程圖之處理進行說明。該處理係判斷(診斷)與圖符經偽裝之檔案相關之危險性之處理。該處理係藉由圖符處理裝置11之控制部34之圖符診斷部111而進行。 (步驟S1) 首先,圖符診斷部111自記憶於記憶部33之檔案資訊91,取得診斷對象之檔案之資訊。此處,圖符診斷部111例如可將由藉由使用者進行之操作而指定之檔案設為診斷對象,抑或亦可按照預先決定之處理之順序將符合特定之條件之檔案設為診斷對象。 檔案格式判定部131參照記憶於記憶部33之檔案格式清單92之內容。而且,檔案格式判定部131基於檔案格式清單92之內容及診斷對象之檔案之資訊,判定該檔案之格式。例如,檔案格式判定部131將保持於檔案格式清單92之對應(檔案之資訊與檔案格式之對應)與診斷對象之檔案之資訊進行比較,特定與該檔案之資訊對應之檔案格式,取得已特定之檔案格式作為判定結果。 (步驟S2) 其次,檔案格式判定部131基於判定出診斷對象之檔案之格式之結果,判定該檔案是否包含圖符之資料。 於該判定之結果判定為該檔案包含圖符之資料之情形時(步驟S2:是),移至步驟S3~步驟S6之處理。另一方面,於該判定之結果判定為該檔案不包含圖符之資料之情形時(步驟S2:否),移至步驟S8之處理。 (步驟S3) 於步驟S2之處理中判定為診斷對象之檔案包含圖符之資料之情形時,圖符提取部132提取該圖符之資料。 (步驟S4) 其次,圖符比較部133參照記憶於記憶部33之基準圖符清單93之內容。而且,圖符比較部133基於基準圖符清單93之內容及藉由檔案格式判定部131而判定之檔案之格式,取得診斷對象之檔案之基準圖符之資料。例如,圖符比較部133將保持於基準圖符清單93之對應(檔案格式與基準圖符之資訊之對應)與診斷對象之檔案之格式進行比較,特定與該檔案之格式對應之基準圖符,取得該基準圖符之資料。 圖符比較部133將藉由圖符提取部132而提取之圖符之資料與經取得之基準圖符之資料進行比較,計算該圖符與該基準圖符之偏離度。 此處,圖符與基準圖符之偏離度例如使用預先決定之數式來計算。作為該偏離度,例如,使用表示該圖符之圖像與該基準圖符之圖像之差異之大小的值。作為該偏離度,例如,亦可使用基於雜湊值、顏色之比例、輪廓之形狀等中之1個以上之值。 作為該偏離度,例如,亦可使用表示差異之程度之0[%]以上且100[%]以下之值。 或者,作為該偏離度,例如,亦可使用表示差異之值與表示無差異之值中之任一者之值。於該情形時,作為該偏離度,例如,亦可為於表示差異之程度之0[%]以上且100[%]以下之值成為特定之臨限值之情形時成為表示差異之值,另一方面,於表示差異之程度之0[%]以上且100[%]以下之值為該特定之臨限值以下之情形時成為表示無差異之值。 (步驟S5) 又,圖符比較部133基於基準圖符清單93之內容及藉由檔案格式判定部131而判定之檔案之格式,取得診斷對象之檔案之基準圖符以外之基準圖符之資料。而且,圖符比較部133將藉由圖符提取部132而提取之圖符之資料與經取得之基準圖符之資料進行比較,計算該圖符與該基準圖符之類似度。此處,圖符比較部133於取得2個以上之基準圖符之情形時,對經取得之各基準圖符計算類似度。 再者,步驟S4之處理與步驟S5之處理亦可為順序相反。 此處,圖符與基準圖符之類似度例如使用預先決定之數式來計算。作為該類似度,例如,使用表示該圖符之圖像與該基準圖符之圖像之類似之大小的值。作為該類似度,例如,亦可使用基於雜湊值、顏色之比例、輪廓之形狀等中之1個以上之值。 作為該類似度,例如,亦可使用表示類似之程度之0[%]以上且100[%]以下之值。 或者,作為該類似度,例如,亦可使用表示類似之值與表示不類似之值中之任一者之值。於該情形時,作為該類似度,例如,亦可為於表示類似之程度之0[%]以上且100[%]以下之值超過特定之臨限值之情形時作為表示類似之值,另一方面,於表示類似之程度之0[%]以上且100[%]以下之值為該特定之臨限值以下之情形時作為表示不類似之值。 於本實施形態中,求出圖符與基準圖符之偏離度之數式、與求出該圖符與該基準圖符之類似度之數式,例如,可使用不同之式,抑或可使用實質上相同之式。此處,所謂實質上相同之式,例如是指圖符與基準圖符之偏離度與類似度成為相加後為固定值(例如,100[%]等)之式,或者存在相乘後為固定值(例如,1等)之關係之式。 (步驟S6) 其次,危險判定部134基於診斷對象之檔案之圖符與基準圖符之偏離度之計算結果及該檔案之圖符與其他基準圖符之類似度之計算結果,計算危險度。而且,危險判定部134判定經計算之危險度是否超過特定之臨限值。該特定之臨限值例如可預先記憶於記憶部33,抑或可由外部之裝置或使用者等以任意之時序指定。 於該判定之結果判定為經計算之危險度超過臨限值之情形時(步驟S6:是),移至步驟S7之處理。另一方面,於該判定之結果判定為經計算之危險度不超過該臨限值之情形時(步驟S6:否),移至步驟S8之處理。 此處,圖符之危險度例如使用預先決定之數式來計算。於本實施形態中,作為圖符之危險度,使用基於該圖符與基準圖符之偏離度及該圖符與其他基準圖符之類似度之值。 於本實施形態中,針對診斷對象之檔案之圖符及與該檔案之格式對應之基準圖符(本來期待之圖符)之偏離度,使用若該偏離度較大則危險度變大,若該偏離度較小則危險度變小之危險度。又,於本實施形態中,針對診斷對象之檔案之圖符及不與該檔案之格式對應之基準圖符(本來不期待之圖符)之類似度,使用若該類似度較大則危險度變大,若該類似度較小則危險度變小之危險度。此時,於其他基準圖符有2個以上之情形時,例如,可使用針對所有其他基準圖符之類似度,抑或可使用針對類似度最大之1個其他基準圖符之類似度。 (步驟S7) 於步驟S6之處理中判定為經計算之危險度超過臨限值之情形時,危險判定部134判定為有危險性。然後,本流程之處理結束。 (步驟S8) 於步驟S6之處理中判定為經計算之危險度不超過臨限值之情形時,危險判定部134判定為無危險性。然後,本流程之處理結束。 又,即便於步驟S2之處理中判定為診斷對象之檔案未包含圖符之資料之情形時,危險判定部134亦判定為無危險性。然後,本流程之處理結束。 此處,於圖2所示之流程圖之例中,危險判定部134係對診斷對象之檔案判定危險性之有無,但作為其他構成例,危險判定部134於診斷對象之檔案有危險性之情形時,亦可判定更詳細之危險性之程度。 <1個檔案中包含複數個圖符之資料之情形時之說明> 於本實施形態中,可為1個檔案中包含僅1個圖符之資料之情形,又,亦可為1個檔案中包含複數個圖符之資料之情形。 於1個檔案包含複數個圖符之資料之情形時,各圖符之資料亦可基於特定之資訊(以下,亦稱為「圖符識別資訊」)予以識別。該特定之資訊例如可為圖符之尺寸(圖像之大小),抑或可為附加於圖符之名稱,抑或可為附加於圖符之編號,又或可為其他資訊。圖符之尺寸例如亦可為資料之量。 於圖2所示之(步驟S2)之處理中,檔案格式判定部131例如於診斷對象之檔案包含1個以上之圖符之資料之情形時,判定為該檔案包含圖符之資料。 於圖2所示之(步驟S3)之處理中,圖符提取部132於診斷對象之檔案包含2個以上之圖符之資料之情形時,提取預先決定之1個以上之圖符之資料。此處,預先決定之1個以上之圖符之資料至少包含用於藉由圖符比較部133而進行之比較之圖符之資料。例如,於圖符比較部133將K(K為1以上之整數)個圖符之資料用於比較之情形時,圖符提取部132提取至少該K個之圖符之資料。 用於藉由圖符比較部133而進行之比較之圖符之資料例如亦可藉由圖符識別資訊而識別。 作為具體例,用於藉由圖符比較部133而進行之比較之圖符之資料亦可為自尺寸較大者算起的K個圖符之資料。於該情形時,圖符提取部132例如自包含K個以上之圖符之資料之診斷對象之檔案中,提取自尺寸較大者算起的K個圖符之資料。又,於該情形時,圖符提取部132例如亦可於診斷對象之檔案包含未達K個圖符之資料時,提取該等未達K個之所有圖符之資料。 此處,表示了圖符提取部132選擇(識別)並提取用於藉由圖符比較部133而進行之比較之圖符之資料之例。作為其他例,圖符提取部132亦可提取診斷對象之檔案中所包含之所有圖符之資料,圖符比較部133自經提取之所有圖符之資料之中,選擇(識別)用於比較之圖符之資料。 又,此處,表示了診斷對象之檔案中所包含之2個以上之圖符之資料中之一部分之圖符之資料藉由圖符比較部133而用於比較之例。作為其他例,亦可為圖符比較部133與診斷對象之檔案中所包含之圖符之資料之數量無關,將診斷對象之檔案中所包含之所有圖符之資料用於比較之構成。於該構成中,圖符提取部132提取診斷對象之檔案中所包含之所有圖符之資料。 於圖2所示之(步驟S4)之處理中,圖符比較部133對預先決定用於比較之1個以上之圖符之資料之各者,將藉由圖符提取部132而提取之圖符之資料與經取得之基準圖符之資料進行比較,計算該圖符與該基準圖符之偏離度。 此處,於圖符比較部133對診斷對象之檔案中所包含之2個以上之圖符之資料進行比較之情形時,作為一例,亦可採用考慮針對該等2個以上之圖符之資料之全部之比較之結果的綜合值作為最終之偏離度。該綜合值例如可為對該等2個以上之圖符之資料之各者計算出之偏離度之平均值或總和值等,抑或可為其他值。 又,於圖符比較部133對診斷對象之檔案中所包含之2個以上之圖符之資料進行比較之情形時,作為其他例,亦可採用對該等2個以上之圖符之資料中之1個圖符之資料計算出的偏離度作為最終之偏離度。該最終之偏離度例如亦可為對該等2個以上之圖符之資料之各者計算出的偏離度之中最大之值之偏離度。 於圖2所示之(步驟S5)之處理中,圖符比較部133對預先決定用於比較之1個以上之圖符之資料之各者,將藉由圖符提取部132而提取之圖符之資料與經取得之基準圖符之資料進行比較,計算該圖符與該基準圖符之類似度。 此處,於圖符比較部133對診斷對象之檔案中所包含之2個以上之圖符之資料進行比較之情形時,作為一例,亦可採用考慮針對該等2個以上之圖符之資料之全部之比較之結果的綜合值作為最終之類似度。該綜合值例如可為對該等2個以上之圖符之資料之各者計算出的類似度之平均值或總和值等,抑或可為其他值。 又,於圖符比較部133對診斷對象之檔案中所包含之2個以上之圖符之資料進行比較之情形時,作為其他例,亦可採用對該等2個以上之圖符之資料中之1個圖符之資料計算出的類似度作為最終之類似度。該最終之類似度例如亦可為對該等2個以上之圖符之資料之各者計算出的類似度之中最大值之類似度。 此處,表示了如下例:於圖符比較部133將對診斷對象之檔案中所包含之2個以上之圖符之資料中、1個圖符(此處,稱為「圖符A1」)之資料計算之偏離度作為最終之偏離度,將對1個圖符(此處,稱為「圖符A2」)之資料計算之類似度作為最終之類似度之情形時,該圖符A1與該圖符A2可不同。 作為其他例,亦可為圖符比較部133對診斷對象之檔案中所包含之2個以上之圖符之資料之各者計算偏離度與類似度之兩者,基於該等兩者之計算結果,決定作為最終之偏離度及最終之類似度而採用之1個圖符之資料。該1個圖符之資料例如亦可為於綜合性地判定經計算之偏離度及經計算之類似度之情形時,判定為危險度最高之圖符之資料。該危險度例如亦可藉由與藉由危險判定部134計算之危險度相同之計算方法而計算。 此處,基準圖符清單93例如針對包含複數個圖符之資料之檔案格式,對該等複數個圖符之各者,保持基準圖符之資訊。與各圖符對應之基準圖符例如亦可使用與識別各圖符之資料之資訊相同之資訊(例如,圖符識別資訊)來識別。 圖符比較部133於診斷對象之檔案包含2個以上之圖符之資料之情形時,例如,將成為比較對象之1個圖符之資料與該圖符之資料所對應之1個基準圖符之資料進行比較,計算偏離度。 又,圖符比較部133於診斷對象之檔案包含2個以上之圖符之資料之情形時,例如,將成為比較對象之1個圖符之資料與該圖符之資料所對應之1個基準圖符以外之基準圖符之資料進行比較,計算類似度。於該情形時,與該圖符之資料對應之1個基準圖符以外之基準圖符之資料例如可包含與該診斷對象之檔案中所包含之其他圖符之資料對應的基準圖符之資料(即,相同之檔案格式中之其他基準圖符之資料),抑或可不包含(即,亦可將相同之檔案格式中之基準圖符之資料除外,包含僅其他檔案格式中之基準圖符之資料)。 根據此種構成,作為一例,圖符比較部133可對藉由圖符提取部132而提取之所有圖符之資料進行比較,利用綜合值判斷偏離度及類似度之一者或兩者。 作為其他例,圖符比較部133可對藉由圖符提取部132而提取之所有圖符之資料進行比較,利用判定為危險度最高之值來判斷偏離度及類似度之一者或兩者。 作為其他例,圖符比較部133亦可自藉由圖符提取部132而提取之所有圖符之資料之中,對尺寸最大之1個圖符之資料進行比較。一般而言,認為尺寸較大之(圖像較大之)圖符相對之精度較高可獲得正確之結果。 [圖符顯示處理之說明] 圖3係表示藉由本發明之一實施形態之圖符處理裝置11而進行之圖符顯示處理之一例的流程圖。 對圖3所示之流程圖之處理進行說明。該處理為顯示與圖符經偽裝之檔案相關之危險性之處理。該處理係藉由圖符處理裝置11之控制部34之診斷結果輸出部112而進行。 於本流程中,表示控制部34之圖符診斷部111之危險判定部134對診斷對象之檔案判定危險性之程度之情形。危險判定部134對診斷對象之檔案判定無危險性、或有低危險性、中等程度之危險性、高程度之危險性中之任一者。危險判定部134例如將危險度與2個以上之不同之臨限值進行比較,判定危險性之程度。 作為具體例,危險判定部134於危險度為第1臨限值以下之情形時判定為無危險性,於危險度超過該第1臨限值且為第2臨限值以下之情形時判定為低程度之危險度,於危險度超過該第2臨限值且為第3臨限值以下之情形時判定為中等程度之危險度,於危險度超過該第3臨限值之情形時判定為高程度之危險度。此處,第1臨限值<第2臨限值<第3臨限值。 再者,於本流程中,於有低程度之危險性之情形時,進行與無危險性之情形時相同之處理。 (步驟S21) 顯示控制部151對顯示對象之檔案,基於與危險性相關之判定結果,判定是否無危險性。此處,顯示控制部151例如可將由藉由使用者進行之操作而指定之檔案設為顯示對象,抑或可將按照預先決定之處理之順序與特定之條件符合之檔案設為顯示對象。 於該判定之結果判定為顯示對象之檔案無危險性之情形時(步驟S21:是),本流程之處理結束。於該情形時,顯示控制部151對顯示對象之檔案,基於記憶於記憶部33之基準圖符清單93之內容及該檔案之格式,顯示該檔案之基準圖符。 另一方面,於該判定之結果判定為顯示對象之檔案並非無危險性(即,有危險性)之情形時(步驟S21:否),移至步驟S22之處理。 再者,於本實施形態中,將與藉由危險判定部134而進行之危險性相關之判定結果之資訊記憶於記憶部33。顯示控制部151參照該資訊。 (步驟S22) 於步驟S21之處理中判定為顯示對象之檔案並非無危險性之情形時,顯示控制部151對顯示對象之檔案,基於與危險性相關之判定結果,判定是否為中等程度之危險性(圖3中之「危險性(中)」)。 於該判定之結果判定為顯示對象之檔案為中等程度之危險性之情形時(步驟S22:是),移至步驟S24之處理。另一方面,於該判定之結果判定為顯示對象之檔案並非中等程度之危險性之情形時(步驟S22:否),移至步驟S23之處理。 (步驟S23) 於步驟S22之處理中判定為顯示對象之檔案並非中等程度之危險性之情形時,顯示控制部151對顯示對象之檔案,基於與危險性相關之判定結果,判定是否為高程度之危險性(圖3中之「危險性(高)」)。 於該判定之結果判定為顯示對象之檔案為高程度之危險性之情形時(步驟S23:是),移至步驟S25之處理。 另一方面,於該判定之結果判定為顯示對象之檔案並非高程度之危險性之情形時(步驟S23:否),本流程之處理結束。於該情形時,顯示控制部151對顯示對象之檔案,基於記憶於記憶部33之基準圖符清單93之內容及該檔案之格式,顯示該檔案之基準圖符。於本實施形態中,於該情形時,例如,包含顯示對象之檔案有低程度之危險性之情形。 (步驟S24) 於步驟S22之處理中判定為顯示對象之檔案為中等程度之危險性之情形時,顯示控制部151對顯示對象之檔案,基於記憶於記憶部33之基準圖符清單93之內容及該檔案之格式,顯示該檔案之基準圖符。進而,顯示控制部151對該基準圖符,顯示表示中等程度之危險性之標記。於本實施形態中,顯示控制部151重疊於該基準圖符之上而顯示該標記。而且,本流程之處理結束。 (步驟S25) 於步驟S23之處理中判定為顯示對象之檔案為高程度之危險性之情形時,顯示控制部151對顯示對象之檔案,基於記憶於記憶部33之基準圖符清單93之內容及該檔案之格式,顯示該檔案之基準圖符。進而,顯示控制部151對該基準圖符,顯示表示高程度之危險性之標記。於本實施形態中,顯示控制部151重疊於該基準圖符之上而顯示該標記。而且,本流程之處理結束。 此處,顯示控制部151例如亦可將檔案與顯示基準圖符及標記之資訊(圖符資訊)之對應記憶於快閃記憶體等記憶體。而且,顯示控制部151亦可基於記憶於該記憶體之該對應,顯示與顯示對象之檔案對應之圖符資訊。再者,作為記憶於該記憶體之圖符資訊,例如,可僅為顯示與危險性相關之標記之圖符資訊,抑或可為所有圖符資訊。 [圖符顯示之說明] 參照圖4~圖8,表示圖符顯示之例。 圖4~圖8分別係表示本發明之一實施形態之圖符顯示之一例的圖。 圖4係表示判定為無危險性之檔案之圖符之資訊(圖符資訊211)之一例的圖。該圖符資訊211與該檔案之基準圖符212之資訊相同。 圖5係表示判定為中等程度之危險性之檔案之圖符之資訊(圖符資訊221)之一例的圖。該圖符資訊221係於該檔案之基準圖符222重疊有表示中等程度之危險性之標記223之資訊。 圖6係表示判定為中等程度之危險性之檔案之圖符之資訊(圖符資訊231)之一例的圖。該圖符資訊231係於該檔案之基準圖符232重疊有表示中等程度之危險性之標記233之資訊。 此處,圖5之例之標記223與圖6之例之標記233為不同之標記。圖6之例之標記233包含對使用者喚起注意之字元資訊(於圖6之例中,「注意不要打開!」)。 圖7係表示判定為高程度之危險性之檔案之圖符之資訊(圖符資訊241)之一例的圖。該圖符資訊241係於該檔案之基準圖符242重疊有表示高程度之危險性之標記243之資訊。 圖8係表示判定為高程度之危險性之檔案之圖符之資訊(圖符資訊251)之一例的圖。該圖符資訊251係於該檔案之基準圖符252重疊有表示高程度之危險性之標記253之資訊。 此處,圖7之例之標記243與圖8之例之標記253為不同之標記。圖8之例之標記253包含對使用者喚起注意之字元資訊(於圖8之例中,「危險不要打開」)。 於本實施形態中,各標記223、233、243、253亦可具有任意之顏色。例如,根據危險性之程度,標記之顏色亦可不同。作為具體例,表示中等程度之危險性之標記223、233亦可大部分地具有黃色,又,表示高程度之危險性之標記243、253亦可大部分地具有紅色。 此處,於本實施形態中,揭示針對低程度之危險性之檔案不顯示表示低程度之危險性之標記的構成,但作為其他構成例,亦可採用如下構成:針對低程度之危險性之檔案,對該檔案之基準圖符,顯示表示低程度之危險性之標記。 又,於圖3~圖8中,顯示判定低、中、高之3個階段之危險性、且根據判定結果進行顯示之構成,但作為其他構成例,亦可採用如下構成:判定是否有危險性(危險之有無)之1個階段之危險性,且根據判定結果進行顯示。作為其他構成例,亦可採用判定2個階段之危險性、且根據判定結果進行顯示之構成。作為其他構成例,亦可使用判定4個以上之階段之危險性,根據判定結果進行顯示之構成。 又,於本實施形態中,揭示顯示控制部151於基準圖符222、232、242、252上重疊顯示標記223、233、243、253之構成,作為對基準圖符顯示標記之配置,亦可使用其他配置。 例如,亦可採用由顯示控制部151於基準圖符之一部分與標記之一部分重疊之位置顯示該標記之構成。該位置亦可為相對於該基準圖符上下左右或傾斜之任一位置。 例如,亦可使用顯示控制部151於與基準圖符相鄰而相接之位置顯示標記之構成。該位置亦可為相對於該基準圖符上下左右或傾斜之任一位置。 例如,亦可使用顯示控制部151於與基準圖符隔開但為特定之附近之位置顯示標記之構成。該位置亦可為相對於該基準圖符上下左右或傾斜之任一位置。 又,作為表示危險性之標記,亦可使用包含各種各樣之圖形或字元等之標記。又,作為表示危險性之標記,亦可使用各種各樣之顏色。 又,於本實施形態中,表示了控制部34之診斷結果輸出部112藉由顯示控制部151而顯示表示危險性之標記之構成。作為其他構成例,亦可使用控制部34之診斷結果輸出部112藉由顯示控制部151而顯示表示與危險性相關之警告或喚起注意等資訊之對話之構成。作為其他構成例,亦可使用控制部34之診斷結果輸出部112輸出表示危險性之聲音(包含聲音)之構成。 [顯示表示危險性之標記之手法之說明] 作為顯示控制部151重疊於基準圖符顯示表示危險性之標記之手法,亦可使用各種各樣之手法。即,例如,只要為於使用者視覺上觀察圖符時,觀察到表示危險性之標記之構成即可。 作為一例,顯示控制部151亦可藉由將顯示對象之檔案中所包含之圖符之資料重寫(或置換),而於基準圖符上重疊顯示表示危險性之標記。 作為其他例,亦可採用如下構成:顯示控制部151不將顯示對象之檔案中所含之圖符之資料重寫(或置換),而於基準圖符上重疊顯示表示危險性之標記。 作為具體例,亦可採用如下構成:代替將檔案本身之圖符之資料重寫(或置換),而利用藉由顯示該圖符之應用程式所進行之控制,於基準圖符上重疊顯示表示危險性之標記。於該情形時,作為一例,亦可由與顯示該圖符之應用程式另行配備之顯示控制部151而控制該應用程式,由藉由該應用程式所進行之控制,將該圖符之資料重寫(或置換)。又,於該情形時,作為其他例,亦可設為於顯示該圖符之應用程式中具備顯示控制部151之功能之構成,利用藉由該應用程式所進行之控制,將該圖符之資料重寫(或置換)。 如此,於本實施形態中,亦可代替將檔案本身之圖符之資料重寫(或置換),而藉由顯示該圖符之應用程式之側之控制,將該圖符之資料重寫(或置換)。再者,顯示圖符之應用程式可為各種應用程式,例如,亦可為Explorer(註冊商標)等。 [與圖符資料相關之判定及提取之說明] 此處,作為藉由檔案格式判定部131而判定檔案是否包含圖符之資料之手法、及藉由圖符提取部132而提取檔案中所含之圖符之資料之手法,無特別限定。 作為一例,於對象之檔案為執行檔案之情形時,可基於執行檔案之構造,藉由檔案格式判定部131而判定該檔案是否包含圖符之資料,又,可基於執行檔案之構造,藉由圖符提取部132而提取該檔案中所包含之圖符之資料。 圖9係表示本發明之一實施形態之執行檔案之構造之一例的圖。圖9之例係一般之執行檔案(EXE檔案)之構造之例。執行檔案例如為二進制之資訊。 於圖9之例中,執行檔案包含叫出用之標頭構造體311及存根程式(stub program)312,又,包含PE標頭313,又,包含區資料。區資料包含區標頭314、文本區315、資料區316、資源區317等。此處,考慮圖符之資料例如包含於資源區317,於該情形時,亦可基於資源區317之內容,進行檔案格式判定部131之處理及圖符提取部132之處理。 再者,於執行檔案之開頭存在有MZ簽名(signature)(稱為「MZ」之字串),亦可根據MZ簽名之有無判定是否為執行檔案。 作為其他例,亦可使用如下構成:於對象之檔案之圖符作為圖像顯示之情形時,基於該圖符之圖像,藉由圖符提取部132而提取該檔案中所包含之該圖符之資料。於該情形時,例如,亦可藉由圖符提取部132,進行圖像辨識之處理,提取與該圖符之圖像對應之資料。 再者,於現狀中,保持圖符之檔案僅為執行檔案格式,其他格式之檔案係將與擴展名連接之圖符顯示有Windows(註冊商標)。然而,將來,存在保持圖符之檔案格式新登場之可能性,此種新的檔案格式亦可應用本發明之實施形態。 [診斷及顯示之時序之說明] 作為藉由圖符診斷部111而進行圖符診斷處理之時序,亦可使用任意之時序。 又,作為藉由診斷結果輸出部112而進行圖符顯示處理之時序,亦可使用任意之時序。 作為一例,圖符診斷處理與圖符顯示處理亦可於分別獨立之時序進行。 作為其他例,亦可於進行圖符診斷處理而結束之時序,進行與其診斷結果喚起之圖符顯示處理。 此處,表示可用作進行圖符診斷處理之時序或進行圖符顯示處理之時序之時序例。 例如,亦可於電腦中,於由藉由使用者而進行之操作將檔案快按兩次(double click)等而打開之時序,進行圖符診斷處理或圖符顯示處理中之一者或兩者。於該情形時,例如,亦可於該檔案打開之前,進行與危險性相關之顯示。 例如,亦可於電腦中,於由藉由使用者而進行之操作將桌面或檔案夾等之對象打開之時序,對存在於該對象之檔案,進行圖符診斷處理或圖符顯示處理中之一者或兩者。 於該情形時,例如,亦可於打開該對象之前,進行與危險性相關之顯示。作為存在於該對象之檔案,例如,亦可使用常駐於該電腦之程式之檔案。 例如,亦可於電腦中,於定期地或適時地執行保存於記憶體之檔案之檢查之情形時,於該執行之時序,對該檔案進行圖符診斷處理或圖符顯示處理中之一者或兩者。 例如,亦可於電腦中,於接收由電子郵件添附之檔案之時序,或於展開由電子郵件添附之檔案之時序,或於由Web瀏覽器顯示檔案之時序,或於由Web瀏覽器下載檔案之時序中之1個以上之時序,對該當檔案進行圖符診斷處理或圖符顯示處理中之一者或兩者。 例如,亦可於電腦中,於自傳送網路之通訊封包之中識別檔案之時序,對經識別之檔案,進行圖符診斷處理或圖符顯示處理中之一者或兩者。於該情形時,控制部34例如亦可對判定為有危險性之檔案或判定為危險性超過特定之臨限值之檔案,阻斷該檔案之傳送。 此處,於本實施形態中,表示了圖符處理裝置11使用電腦之構成之情形。作為該電腦,例如可為個人電腦(PC),抑或可為網路中之路由器或開關等電腦。 [使用簽名之診斷處理之說明] 圖2及圖3所示之流程圖之例中,表示了使用圖符之診斷處理,進而,圖符診斷部111亦可使用進行使用簽名之診斷處理之構成。 例如,圖符診斷部111驗證賦予至診斷對象之檔案之簽名,判定該簽名之證明書是否自正規之機構發行。而且,圖符診斷部111於判定為該證明書自正規之機構發行之情形時,就簽名而判定為該檔案無危險性。另一方面,圖符診斷部111於判定為該證明書並非自正規之機構發行之情形時,就簽名而判定為該檔案有危險性。再者,例如,亦可將識別正規之機構之資訊預先或隨時記憶於記憶部33,圖符診斷部111參照該資訊進行判定。 進而,圖符診斷部111於有診斷對象之檔案之危險性之情形時,亦可判定危險性之程度。例如,圖符診斷部111於判定為不對該檔案賦予證明書之情形時,亦可就簽名而判定為高程度之危險性。又,例如,圖符診斷部111於判定為對該檔案賦予自身證明書之情形時,亦可就簽名而判定為中等程度之危險性。再者,該等之危險性之程度為一例,亦可使用任意之危險性之程度。 於本實施形態中,圖符診斷部111亦可對診斷對象之檔案,與使用圖符之診斷處理一起進行使用簽名之診斷處理,基於各診斷處理之結果,判定綜合性之危險度、或綜合性之危險性之程度。再者,例如,亦可將各診斷處理之結果與綜合性之危險度或綜合性之危險性之程度之對應預先或隨時記憶於記憶部33,圖符診斷部111參照該對應進行判定。 [使用白清單之診斷處理之說明] 圖2及圖3所示之流程圖之例中,表示了使用圖符之診斷處理,進而,圖符診斷部111亦可使用進行使用白清單之診斷處理之構成。 白清單記憶於記憶部33。該白清單包含與設為判定為無危險性之對象之檔案相關之資訊。與該檔案相關之資訊例如亦可包含檔案之名稱、檔案之尺寸、檔案之圖符等中之1個以上之資訊。 圖符診斷部111於對診斷對象之檔案,使用圖符之診斷處理之結果中判定為有危險性之情形時,亦於與該檔案相關之資訊包含於該白清單之情形時,判定為無危險性。 [以上之實施形態之總結] 如以上般,於本實施形態之圖符處理裝置11中,藉由對診斷對象之檔案進行圖符診斷處理,可檢測圖符經偽裝之惡意軟體。藉此,於圖符處理裝置11中,例如,可容易發現使用者一眼難以判別為惡意軟體之惡意軟體。 如此,於本實施形態之圖符處理裝置11中,可精度良好地診斷是否為圖符經偽裝之惡意軟體。 又,於本實施形態之圖符處理裝置11中,藉由對顯示對象之檔案進行使用表示危險性之標記之圖符顯示處理,可於圖符中表示有危險性或更詳細之危險性之程度。藉此,於圖符處理裝置11中,藉由圖符之外觀,使用者一眼即可辨識有危險性。使用者例如即便電腦或惡意軟體之知識較少,亦可掌握顯示圖符之檔案之危險性之有無或更詳細之危險性之程度,能夠進行不打開有危險性之檔案等之措施。 如此,於本實施形態之圖符處理裝置11中,以對使用者而言容易判別之態樣可顯示圖符經偽裝之惡意軟體。 作為一構成例,為圖符診斷裝置(圖1之例中,圖符處理裝置11),其具備:檔案格式判定部(圖1之例中,檔案格式判定部131),其判定診斷對象之檔案之格式;圖符提取部(圖1之例中,圖符提取部132),其提取診斷對象之檔案之圖符;圖符比較部(圖1之例中,圖符比較部133),其將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應之基準圖符進行比較,並且將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應之基準圖符以外的基準圖符進行比較;以及危險判定部(圖1之例中,危險判定部134),其基於由圖符比較部進行之比較之結果,進行與危險相關之判定。 作為一構成例,於圖符診斷裝置中,圖符比較部將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應之基準圖符進行比較,取得兩者之偏離度。 作為一構成例,於圖符診斷裝置中,圖符比較部將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應之基準圖符以外的基準圖符進行比較,取得兩者之類似度。 作為一構成例,於圖符診斷裝置中,危險判定部進行與危險性之程度相關之判定。 作為一構成例,於圖符診斷裝置中,危險性之程度為有危險性或危險性之2個階段以上之程度。 作為一構成例,於圖符診斷裝置中,危險判定部基於與賦予至診斷對象之檔案之簽名相關的判定結果及藉由圖符比較部而進行之比較之結果,進行與危險相關之判定。 作為一構成例,為圖符診斷方法(圖1之例中,藉由圖符處理裝置11而進行之處理之方法),其係由圖符診斷裝置判定診斷對象之檔案之格式,由圖符診斷裝置提取診斷對象之檔案之圖符,由圖符診斷裝置將經提取之圖符與對應於所判定之格式之基準圖符進行比較,並且將經提取之圖符與對應於所判定之格式之基準圖符以外之基準圖符進行比較,且由圖符診斷裝置基於比較之結果,進行與危險相關之判定。 作為一構成例,為程式(圖1之例中,藉由圖符處理裝置11而執行之程式),其係用以使電腦執行如下步驟:判定診斷對象之檔案之格式;提取診斷對象之檔案之圖符;將經提取之圖符與對應於所判定之格式之基準圖符進行比較,並且將經提取之圖符與對應於所判定之格式之基準圖符以外之基準圖符進行比較;基於比較之結果,進行與危險相關之判定。 作為一構成例,為圖符診斷裝置,其具備:圖符提取部,其提取診斷對象之檔案之圖符;及圖符比較部,其將藉由圖符提取部提取之圖符與第1基準圖符進行比較,並且將藉由圖符提取部提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 作為一構成例,於圖符診斷裝置中,具備危險判定部,該危險判定部基於由圖符比較部進行之比較之結果,進行與危險相關之判定。 作為一構成例,於圖符診斷裝置中,具備判定診斷對象之檔案之格式之檔案格式判定部,圖符比較部將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應的基準圖符即第1基準圖符進行比較,並且將藉由圖符提取部提取之圖符與第2基準圖符進行比較。 作為一構成例,為圖符診斷方法:圖符診斷裝置提取診斷對象之檔案之圖符,圖符診斷裝置將經提取之圖符與第1基準圖符進行比較,並且將經提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 作為一構成例,為程式,其係用以使電腦執行如下步驟:提取診斷對象之檔案之圖符;將經提取之圖符與第1基準圖符進行比較,並且將經提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 作為一構成例,為圖符診斷裝置,其具備:圖符提取部,其提取診斷對象之檔案之圖符;檔案格式判定部,其判定診斷對象之檔案之格式;以及圖符比較部,其將藉由圖符提取部提取之圖符、和與藉由檔案格式判定部判定之格式對應的基準圖符即第1基準圖符進行比較,並且將藉由圖符提取部提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 作為一構成例,為圖符診斷方法:圖符診斷裝置提取診斷對象之檔案之圖符,圖符診斷裝置判定診斷對象之檔案之格式,圖符診斷裝置將經提取之圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 作為一構成例,為程式,其係用以使電腦執行如下步驟:提取診斷對象之檔案之圖符;判定診斷對象之檔案之格式;將經提取之圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之圖符與第1基準圖符以外之第2基準圖符進行比較。 如本實施形態般,亦可將用以實現以上所示之實施形態之裝置(例如,圖符處理裝置11)之功能之程式記錄(記憶)於電腦可讀取之記錄媒體(記憶媒體),使電腦系統讀入、執行記錄於該記錄媒體之程式,藉此進行處理。 再者,此處所言之「電腦系統」,亦可為包含操作系統(OS:Operating System)或周邊設備等硬體者。 又,所謂「電腦可讀取之記錄媒體」,係指軟碟、磁光碟、ROM(Read Only Memory,唯讀記憶體)、快閃記憶體等可寫入之非揮發性記憶體、DVD(Digital Versatile Disk,數位多功能光碟)等可攜媒體、內置於電腦系統之硬碟等記憶裝置。 進而,所謂「電腦可讀取之記錄媒體」,亦包含如成為經由網際網路等網路或電話線路等通訊線路而發送程式之情形時之伺服器或用戶端之電腦系統內部之揮發性記憶體(例如DRAM(Dynamic Random Access Memory,動態隨機存取記憶體))保持程式固定時間者。 又,上述程式亦可自將該程式儲存於記憶裝置等之電腦系統經由傳送媒體,或者藉由傳送媒體中之傳送波而傳送至其他電腦系統。此處,傳送程式之「傳送媒體」係指如網際網路等網路(通訊網)或電話線路等通訊線路(通訊線)般具有傳送資訊之功能之媒體。 又,上述程式亦可為用以實現上述功能之一部分者。進而,上述程式亦可為可利用與將上述功能已經記錄於電腦系統之程式之組合來實現者,所謂差分檔案(差分程式)。 再者,使用實施形態對本發明進行了說明,但本發明之技術性服務並不限定於上述實施形態。業者明白不脫離本發明之精神及範圍可進行各種變更或採用代替態樣。
11‧‧‧圖符處理裝置
31‧‧‧輸入部
32‧‧‧輸出部
33‧‧‧記憶部
34‧‧‧控制部
71‧‧‧顯示部
91‧‧‧檔案資訊
92‧‧‧檔案格式清單
93‧‧‧基準圖符清單
111‧‧‧圖符診斷部
112‧‧‧診斷結果輸出部
131‧‧‧檔案格式判定部
132‧‧‧圖符提取部
133‧‧‧圖符比較部
134‧‧‧危險判定部
151‧‧‧顯示控制部
211、221、231、241、251‧‧‧圖符資訊
212、222、232、242、252‧‧‧基準圖符
223、233、243、253‧‧‧標記
311‧‧‧標頭構造體
312‧‧‧存根程式
313‧‧‧PE標頭
314‧‧‧區標頭
315‧‧‧文本區
316‧‧‧資料區
317‧‧‧資源區
圖1係表示本發明之一實施形態之圖符處理裝置之概略性構成例之圖。 圖2係表示藉由本發明之一實施形態之圖符處理裝置而進行之圖符診斷處理之一例的流程圖。 圖3係表示藉由本發明之一實施形態之圖符處理裝置而進行之圖符顯示處理之一例的流程圖。 圖4係表示本發明之一實施形態之圖符顯示之一例的圖。 圖5係表示本發明之一實施形態之圖符顯示之一例的圖。 圖6係表示本發明之一實施形態之圖符顯示之一例的圖。 圖7係表示本發明之一實施形態之圖符顯示之一例的圖。 圖8係表示本發明之一實施形態之圖符顯示之一例的圖。 圖9係表示本發明之一實施形態之執行檔案之構造之一例的圖。

Claims (12)

  1. 一種圖符診斷裝置,其包括:圖符提取部,其提取診斷對象之檔案之圖符;檔案格式判定部,其判定上述診斷對象之檔案之格式;及圖符比較部,其將藉由上述圖符提取部提取之上述圖符、和與藉由上述檔案格式判定部判定之格式對應的基準圖符即第1基準圖符進行比較,並且將藉由上述圖符提取部提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較;且上述第2基準圖符係不與藉由上述檔案格式判定部判定之格式對應。
  2. 如請求項1之圖符診斷裝置,其中上述圖符比較部將藉由上述圖符提取部提取之上述圖符與上述第1基準圖符進行比較,取得兩者之偏離度。
  3. 如請求項1之圖符診斷裝置,其中上述圖符比較部將藉由上述圖符提取部提取之上述圖符與上述第2基準圖符進行比較,取得兩者之類似度。
  4. 如請求項2之圖符診斷裝置,其中上述圖符比較部將藉由上述圖符提取部提取之上述圖符與上述第2基準圖符進行比較,取得兩者之類似度。
  5. 如請求項1至4中任一項之圖符診斷裝置,其具備危險判定部,該危險判定部基於藉由上述圖符比較部進行之比較之結果,進行與危險相關之判定。
  6. 如請求項5之圖符診斷裝置,其中上述危險判定部進行與危險性之程度相關之判定。
  7. 如請求項6之圖符診斷裝置,其中上述危險性之程度係有上述危險性、或上述危險性之2個階段以上之程度。
  8. 如請求項5之圖符診斷裝置,其中上述危險判定部基於與賦予至上述診斷對象之檔案之簽名相關之判定之結果及由上述圖符比較部進行之比較之結果,而進行與危險相關之判定。
  9. 如請求項6之圖符診斷裝置,其中上述危險判定部基於與賦予至上述診斷對象之檔案之簽名相關之判定之結果及由上述圖符比較部進行之比較之結果,而進行與危險相關之判定。
  10. 如請求項7之圖符診斷裝置,其中上述危險判定部基於與賦予至上述診斷對象之檔案之簽名相關之判定之結果及由上述圖符比較部進行之比較之結果,而進行與危險相關之判定。
  11. 一種圖符診斷方法,其係 由圖符診斷裝置提取診斷對象之檔案之圖符;由上述圖符診斷裝置判定上述診斷對象之檔案之格式;由上述圖符診斷裝置將經提取之述圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較;且上述第2基準圖符係不與所判定之上述格式對應。
  12. 一種程式,其用以使電腦執行如下步驟:提取診斷對象之檔案之圖符;判定上述診斷對象之檔案之格式;及將經提取之上述圖符與對應於所判定之格式之基準圖符即第1基準圖符進行比較,並且將經提取之上述圖符與上述第1基準圖符以外之第2基準圖符進行比較;且上述第2基準圖符係不與所判定之上述格式對應。
TW106103612A 2016-02-05 2017-02-03 圖符診斷裝置、圖符診斷方法及程式 TWI622932B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
JP??2016-020955 2016-02-05
JP2016020955A JP5954915B1 (ja) 2016-02-05 2016-02-05 アイコン診断装置、アイコン診断方法およびプログラム
JP2016116611A JP6068711B1 (ja) 2016-06-10 2016-06-10 アイコン診断装置、アイコン診断方法およびプログラム
JP??2016-116611 2016-06-10

Publications (2)

Publication Number Publication Date
TW201734774A TW201734774A (zh) 2017-10-01
TWI622932B true TWI622932B (zh) 2018-05-01

Family

ID=59499640

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106103612A TWI622932B (zh) 2016-02-05 2017-02-03 圖符診斷裝置、圖符診斷方法及程式

Country Status (2)

Country Link
TW (1) TWI622932B (zh)
WO (1) WO2017135249A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102017120209B4 (de) 2017-09-01 2020-02-13 SCi Kontor GmbH Gerät zum Zerkleinern von Lebensmitteln sowie dessen Verwendung

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP2007148805A (ja) * 2005-11-28 2007-06-14 Nomura Research Institute Ltd 情報処理装置、情報処理方法およびプログラム
JP2010198565A (ja) * 2009-02-27 2010-09-09 Hitachi Ltd 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
CN102395128A (zh) * 2011-06-30 2012-03-28 北京邮电大学 一种移动智能终端的恶意信息发送防御方法及其系统
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置
CN103729593A (zh) * 2013-12-31 2014-04-16 安一恒通(北京)科技有限公司 一种文件安全性的识别方法和系统
TW201426381A (zh) * 2012-12-26 2014-07-01 Univ Nat Taiwan Science Tech 惡意程式偵測方法與系統
CN104504335A (zh) * 2014-12-24 2015-04-08 中国科学院深圳先进技术研究院 基于页面特征和url特征的钓鱼app检测方法及系统
CN104685510A (zh) * 2012-09-28 2015-06-03 国际商业机器公司 识别应用程序是否是恶意程序

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8256000B1 (en) * 2009-11-04 2012-08-28 Symantec Corporation Method and system for identifying icons
JP2015191458A (ja) * 2014-03-28 2015-11-02 エヌ・ティ・ティ・ソフトウェア株式会社 ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070056035A1 (en) * 2005-08-16 2007-03-08 Drew Copley Methods and systems for detection of forged computer files
JP2007148805A (ja) * 2005-11-28 2007-06-14 Nomura Research Institute Ltd 情報処理装置、情報処理方法およびプログラム
JP2010198565A (ja) * 2009-02-27 2010-09-09 Hitachi Ltd 不正プログラム検知方法、不正プログラム検知プログラム、および情報処理装置
CN101924762A (zh) * 2010-08-18 2010-12-22 奇智软件(北京)有限公司 一种基于云安全的主动防御方法
CN102395128A (zh) * 2011-06-30 2012-03-28 北京邮电大学 一种移动智能终端的恶意信息发送防御方法及其系统
CN104685510A (zh) * 2012-09-28 2015-06-03 国际商业机器公司 识别应用程序是否是恶意程序
TW201426381A (zh) * 2012-12-26 2014-07-01 Univ Nat Taiwan Science Tech 惡意程式偵測方法與系統
CN103077353A (zh) * 2013-01-24 2013-05-01 北京奇虎科技有限公司 主动防御恶意程序的方法和装置
CN103729593A (zh) * 2013-12-31 2014-04-16 安一恒通(北京)科技有限公司 一种文件安全性的识别方法和系统
CN104504335A (zh) * 2014-12-24 2015-04-08 中国科学院深圳先进技术研究院 基于页面特征和url特征的钓鱼app检测方法及系统

Also Published As

Publication number Publication date
WO2017135249A1 (ja) 2017-08-10
TW201734774A (zh) 2017-10-01

Similar Documents

Publication Publication Date Title
US20160012225A1 (en) System and method for the detection of malware
JP5656136B2 (ja) クラスタリングを使用した行動シグネチャの生成
US9223466B2 (en) Predictive cursor interaction
US20160072833A1 (en) Apparatus and method for searching for similar malicious code based on malicious code feature information
US20140189866A1 (en) Identification of obfuscated computer items using visual algorithms
US20210157909A1 (en) Sample data generation apparatus, sample data generation method, and computer readable medium
US8024791B2 (en) Providing hints while entering protected information
JP2015191458A (ja) ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム
Donahue et al. Visualization techniques for efficient malware detection
TWI622932B (zh) 圖符診斷裝置、圖符診斷方法及程式
TWI620083B (zh) 圖符顯示裝置、圖符顯示方法及程式
JP2008165292A (ja) ウェブページの改竄検知装置、プログラム、および記録媒体
JP2012088803A (ja) 悪性ウェブコード判別システム、悪性ウェブコード判別方法および悪性ウェブコード判別用プログラム
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
Layton et al. Authorship analysis of the Zeus botnet source code
KR101042858B1 (ko) 윈도우즈 커널 변조 탐지방법
WO2020134033A1 (zh) 用于确定应用程序在运行时的安全性的方法及其装置
JP6194180B2 (ja) 文章マスク装置及び文章マスクプログラム
US20190080100A1 (en) Identify and protect sensitive text in graphics data
KR101839747B1 (ko) 악성코드 정보의 시각화 장치 및 그 방법
US20210049274A1 (en) Analysis device, analysis method, and recording medium
JP6068711B1 (ja) アイコン診断装置、アイコン診断方法およびプログラム
US12001551B2 (en) Warning apparatus, control method, and program
JP5954915B1 (ja) アイコン診断装置、アイコン診断方法およびプログラム
JP2008071040A (ja) 企業名抽出方法およびプログラム