TWI730415B - 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 - Google Patents

偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 Download PDF

Info

Publication number
TWI730415B
TWI730415B TW108133679A TW108133679A TWI730415B TW I730415 B TWI730415 B TW I730415B TW 108133679 A TW108133679 A TW 108133679A TW 108133679 A TW108133679 A TW 108133679A TW I730415 B TWI730415 B TW I730415B
Authority
TW
Taiwan
Prior art keywords
update
application
detection
host
program
Prior art date
Application number
TW108133679A
Other languages
English (en)
Other versions
TW202113644A (zh
Inventor
闕志克
立志 林
黃莉婷
莊般若
Original Assignee
財團法人工業技術研究院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人工業技術研究院 filed Critical 財團法人工業技術研究院
Priority to TW108133679A priority Critical patent/TWI730415B/zh
Priority to CN201910954453.0A priority patent/CN112527624A/zh
Priority to US16/777,056 priority patent/US20210081533A1/en
Publication of TW202113644A publication Critical patent/TW202113644A/zh
Application granted granted Critical
Publication of TWI730415B publication Critical patent/TWI730415B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3688Test management for test execution, e.g. scheduling of test suites
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Abstract

一種偵測系統,用以判斷安裝於至少一白名單主機上之至少一應用程式之更新是否合法。此系統包括更新管理伺服器以及多個更新偵測機。各更新偵測機係安裝有此至少一應用程式。於各更新偵測機發生軟體自動更新並執行更新安裝包以進行至少一應用程式之更新動作的過程中,更新安裝包被執行後對應各應用程式產生至少一更新程式。各更新偵測機檢驗下載來源並傳送回報資訊至更新管理伺服器。此回報資訊包括至少一更新程式之資訊與所取樣的執行檔資訊。更新管理伺服器根據各更新偵測機之回報資訊,得到藉由更新安裝包執行各應用程式之更新動作的已更新之偵測機個數。當此個數大於等於臨界值時,判斷此一更新為合法。

Description

偵測系統、偵測方法、及藉由使用偵測方法所執 行的更新驗證方法
本發明是有關於一種偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法。
隨著駭客攻擊手法升級,惡意軟體也快速增加。現行的防護觀念提出以應用程式白名單(Application Whitelisting)做控管,確保只有正面表列於應用程式白名單中的軟體才可以執行,其他未知的程式則被擋下而無法執行。白名單是預設拒絕(Default Deny)機制,必要的執行檔須在清單裡。應用程式白名單雖然立意良善,但在發生自動更新(Automatic Update)時將可能產生問題。由於新的可執行檔(Executable)不在應用程式白名單中,這將使得更新後的應用程式反而被擋下而無法執行。
例如,應用程式由第二版升級到第三版,應用程式白名單中不存在有第三版之應用程式的可執行檔,使得原本可 運作的應用程式變成無法運作。此時需要藉由適當方法將新的第三版之應用程式的可執行檔加入應用程式白名單,方可使升級後的應用程式可被執行。然而,無條件接受新的可執行檔是非常危險的,因為新的可執行檔有可能是惡意軟體。如何解決上述應用程式白名單於應用程式升級時,所導致之應用程式無法更新及無法運作的問題,乃業界所致力的方向之一。
根據本發明實施例,提出一種偵測系統,用以判斷安裝於至少一白名單主機(Whitelisted Host)上之至少一應用程式之一更新(Update)否合法。此系統包括一更新管理伺服器(Update Management Server)以及多個更新偵測機(Update Detector)。各更新偵測機係安裝有至少一應用程式。於各更新偵測機發生軟體自動更新並執行更新安裝包以進行至少一應用程式之一更新動作的過程中,更新安裝包被執行後對應地產生至少一更新程式。各更新偵測機檢驗下載來源後並用以傳送一回報資訊至更新管理伺服器,回報資訊包括至少一更新程式之資訊與所取樣的執行檔資訊。其中,更新管理伺服器根據各更新偵測機之回報資訊,得到發生應用程式自動更新且執行更新安裝包之偵測機個數,當已更新之偵測機個數大於等於一臨界值時,更新管理伺服器判斷更新係為合法。
根據本發明實施例,提出一種偵測方法,用以判斷安裝於至少一白名單主機上之至少一應用程式之一更新是否合 法。此方法包括下列步驟。首先,提供一更新管理伺服器及多個更新偵測機,各更新偵測機係安裝有至少一應用程式。於各更新偵測機發生軟體自動更新並執行更新安裝包以進行至少一應用程式之一更新動作之過程中,更新安裝包被執行後對應地產生至少一更新程式。各更新偵測機檢驗下載來源並用以傳送一回報資訊至更新管理伺服器,回報資訊包括至少一更新程式之資訊與所取樣的執行檔資訊。之後,更新管理伺服器根據各更新偵測機之回報資訊,得到藉由更新安裝包執行至少一應用程式之更新動作之偵測機個數。當已更新之偵測機個數大於等於一臨界值時,更新管理伺服器判斷此次更新係為合法。
根據本發明實施例,提出一種藉由使用偵測方法所執行的更新驗證方法。更新驗證方法係由至少一白名單主機中之一預設定白名單主機所執行。更新驗證方法包括下列步驟。首先,預設定白名單主機接收更新程式列表,並於經過一段時間待檔案活動靜止之後,進入一驗證流程。於驗證流程中,預設定白名單主機查看一執行日誌,比對更新程式列表中之至少一候選更新程式是否皆已追蹤過,若否,則判斷為不完整之更新(Incomplete Update)。於驗證流程中,預設定白名單主機查看預設定白名單主機之一應用程式白名單,比對是否所有之至少一樣本執行檔都已在預設定白名單主機之應用程式白名單中,若否,則判斷為不完整之更新。之後,當預設定白名單主機判定出不完 整之更新時,預設定白名單主機從更新管理伺服器主動下載更新安裝包並執行之,以重啟更新流程,重新收集新的可執行檔。
為了對本發明之上述及其他方面有更佳的瞭解,下文特舉實施例,並配合所附圖式詳細說明如下:
100:偵測系統
102(1)~102(3):白名單主機
104:更新管理伺服器
106(1)~106(5):更新偵測機
202:更新安裝包
402:過濾器
404:辨識器
406:詢問服務單元
408:資料庫
410:自動觸發模組
412:安全檢查模組
414:更新收集模組
416:更新執行器
418:更新驗證器
420:程序處理器
422:修復引擎
424:資料庫
第1圖繪示依照本發明之實施例的偵測系統的示意圖。
第2圖繪示執行更新安裝包後所產生之更新程式之一例。
第3圖繪示更新管理伺服器產生之更新程式列表之一例。
第4圖繪示更新管理伺服器、更新偵測機、及白名單主機之細部構造之一例。
第5圖繪示更新管理伺服器識別合法更新之序列圖之一例。
第6圖繪示乃白名單主機執行更新程序的序列圖之一例。
第7圖繪示乃白名單主機檢驗更新的序列圖之一例。
第8圖繪示白名單主機修復更新的序列圖之一例。
請參照第1圖,其繪示乃依照本發明之實施例的偵測系統100的示意圖。偵測系統100用以判斷安裝於至少一白名單主機(Whitelisted Host)102上之至少一應用程式之一更新(Update)是否合法。偵測系統100包括一更新管理伺服器(Update Management Server)104以及多個更新偵測機(Update Detector)106。各更新偵測機106係安裝有此至少一應用程式。於各更新偵測機106發生自動更新並執行更新安裝包以進行至少一應用程式之一更新動作之過程中,更新安裝包被執行後對應地產生至少一更新程式。各更新偵測機106檢驗下載來源並用以傳送一回報資訊至更新管理伺服器104。此回報資訊包括此至少一更新程式之資訊與所取樣的可執行檔資訊。
其中,更新管理伺服器104根據各更新偵測機106之回報資訊,得到發生更新且藉由更新安裝包執行至少一應用程式之更新動作之已更新之偵測機個數,譬如於一實施例中係對應目前時間點同時間或對應於同一時間區段已更新之偵測機個數。當已更新之偵測機個數大於等於一臨界值時,更新管理伺服器104判斷此一更新係為合法。
當至少一白名單主機102欲對至少一應用程式進行更新動作時,更新管理伺服器104更用以接收此至少一白名單主機102之一詢問,更新管理伺服器104係根據所收集的合法的更新程式列表,回覆此至少一白名單主機合法的更新程式列表。
如此,藉由上述方式使更新管理伺服器104判斷合法的更新程式列表之後,若至少一白名單主機102的至少一應用程式發生自動更新且下載更新安裝包以進行至少一應用程式之更新動作時,針對每一個新建立的程序(Process),比對是否為合法的更新程式。得知為合法後,對它進行追蹤(Trace),執行後產生新的執行檔。將這些新的執行檔寫入白名單。如此,可避免至 少一白名單主機102執行了不合法的更新安裝包來進行至少一應用程式之更新動作。
於第1圖中,係以至少一白名單主機102包括白名單主機102(1)~102(3),多個更新偵測機106包括更新偵測機106(1)~106(5)為例做說明。然本實施例並不限於此。至少一白名單主機102亦可包括其他個數之白名單主機,多個更新偵測機106亦包括其他個數之更新偵測機。白名單主機102係用以作為白名單主機102(1)~102(3)之概括名稱,用以指白名單主機102(1)~102(3)中之任一者。更新偵測機106係用以作為更新偵測機106(1)~106(5)之概括名稱,用以指更新偵測機106(1)~106(5)中之任一者。
更進一步來說,更新管理伺服器104可根據各更新偵測機106所傳送之各回報資訊,產生一更新程式列表(Updater List)。更新程式列表包含至少一候選更新程式與所取樣的可執行檔資訊。至少一候選更新程式係為均出現於有傳送回報資訊給更新管理伺服器104之此些更新偵測機106之此些回報資訊中的至少一更新程式。
而當至少一白名單主機102至少一應用程式進行更新動作時,更新管理伺服器104更用以接收至少一白名單主機102之詢問,更新管理伺服器104係提供更新程式列表給至少一白名單主機102。至少一白名單主機102係根據更新程式列表更新至少一白名單主機102之一應用程式白名單。
其中,各更新偵測機106所安裝之至少一應用程式與至少一白名單主機102所安裝之至少一應用程式係為相同應用程式版本,各更新偵測機106所安裝之作業系統與至少一白名單主機102所安裝之作業系統亦為相同之作業系統版本。更新安裝包被執行後係被解壓縮或解軟體包(Unzip or Unpack),過程中衍生以產生此至少一更新程式。此至少一更新程式產生新的可執行檔(Executable File)。藉由於多個更新偵測機106預先建立與白名單主機102相同的軟體環境(同一個作業系統版本、同樣的應用程式版本,執行同樣程式),來觀察多個更新偵測機106是否執行此更新安裝包的狀態,並在交付資訊前檢查更新安裝包下載來源是否安全,以讓更新管理伺服器104根據更新偵測機106執行此更新安裝包的時間狀態來判斷更新是否為合法。
舉例來說,請參考第2圖,其繪示執行更新安裝包後所產生之更新程式之一例。當更新偵測機106安裝至少一應用程式,且得知有至少一應用程式之更新版本被發佈之後,更新偵測機106(1)~106(5)自動從網路上下載更新安裝包202,各更新偵測機106執行更新安裝包以進行至少一應用程式之更新動作。被執行後之更新安裝包係對應地產生至少一更新程式。詳而言之,於更新偵測機106(1)~106(5)執行更新安裝包202之後,更新安裝包202會被解壓縮或是解軟體包(Unzip or Unpack),而產生檔案Upd1。更新安裝包202被解壓縮或解軟體包後,也可同時產生更新包(Update Package)Upck1。或者更新包Upck1也可以是更新 偵測機106從網路上下載而得。於檔案Upd1搭配更新包Upck1被執行後,係產生檔案Upd2與檔案Upd3。其中,檔案Upd2與檔案Upd3例如是檔案Upd1搭配更新包Upck1後被解壓縮或是解軟體包而得。檔案Upck1被執行後,也可同時產生更新包Upck3。或者更新包Upck3也可以是更新偵測機106從網路上下載而得。於檔案Upd2被執行後,係產生檔案Upd4與檔案Upd5。於檔案Upd3搭配更新包Upck3被執行後,係產生檔案Upd6。於檔案Upd4被執行後,係產生檔案Upd7。於檔案Upd7被執行後,則產生多個可執行檔Exc1。於檔案Upd5被執行後,則產生多個可執行檔Exc2。於檔案Upd6被執行後,則產生多個可執行檔Exc3。其中,多個可執行檔Exc1、Exc2、Exc3分別可包括附檔名為「exe」、「dll」、「sys」之多個可執行檔。以上檔案Upd1~Upd7被執行或搭配更新包被執行的方式例如是被解壓縮或是解軟體包。
當更新安裝包202為可執行檔(例如附檔名為「exe」),且更新安裝包202被執行後所對應產生之檔案Upd1~Upd7亦為可執行檔(例如附檔名為「exe」)的話,則檔案Upd1~Upd7可視為更新程式(Updater)。以下將以檔案Upd1~Upd7為更新程式Upd1~Upd7為例做說明。
請參考第3圖,其繪示更新管理伺服器產生之更新程式列表之一例。於各更新偵測機106執行更新安裝包以進行至少一應用程式之更新動作後,各更新偵測機106並傳送包括至少一更新程式之資訊之回報資訊至更新管理伺服器104。例如,更新偵 測機106(1)傳送回報資訊RP1至更新管理伺服器104,而更新偵測機106(2)~106(4)則分別傳送回報資訊RP2~RP4至更新管理伺服器104。回報資訊RP1中例如記載了更新偵測機106(1)執行更新安裝包之後所產生之更新程式Upd1~Upd7,並且記載了檔案Upd1所搭配之更新包Upck1和檔案Upd3所搭配之更新包Upck3。同樣地,回報資訊RP2~RP4中也記載了更新偵測機106(2)~106(4)執行更新安裝包之後所產生之更新程式Upd1~Upd7,並且記載了檔案Upd1所搭配之更新包Upck1和檔案Upd3所搭配之更新包Upck3。然而,回報資訊RP2中更包含了程式MLW。
更新管理伺服器104收到更新偵測機106(1)~106(4)之回報資訊RP1~RP4之後,可得到藉由更新安裝包執行至少一應用程式之更新動作之更新偵測機106的一已更新之偵測機個數,例如是4個。假設上述之臨界值為4,則由於已更新之偵測機個數4大於等於臨界值4時,此時更新管理伺服器104係判斷更新安裝包202係為合法。
其中於一實施例中,此已更新之偵測機個數係對應至與一目前時間點相關之一時間區段內之已經藉由此更新安裝包執行此至少一應用程式之此更新動作之此些更新偵測機的個數。例如是與目前時間點相差一週或一個月之時間區段。亦即,已更新之偵測機個數係對應至最近一週內或一個月內之已經藉由更新安裝包執行至少一應用程式之此新動作之更新偵測機的個 數。而於另一實施例中,此已更新之偵測機個數係對應至與一目前時間點之同時間。
判斷為合法的理由是,若更新安裝包確實為軟體發佈者所正式發佈之用以更新至少一應用程式的程式,則在近期的一段時間內應該有很多主機或電腦下載此更新安裝包來進行特定應用軟體的升級或更新。藉由使用多個乾淨的更新偵測器來模擬主機或電腦的運作,若有一定數量以上的更新偵測器都有下載更新安裝包的動作的話,則代表更新安裝包確實很可能為正式的特定應用軟體為了升級或更新所發佈的合法程式。藉由更新管理伺服器104觀察到大於等於臨界值以上之數量的多個更新偵測機106(更新管理伺服器104已具有與白名單主機102相同的軟體環境),更新管理伺服器104即可判斷出更新是否為合法。此為藉由「多數決」(亦即執行更新安裝包的更新偵測機106的數量大於等於臨界值)的方式來進行更新是否為合法之判斷。
更新管理伺服器104更可根據各更新偵測機106(1)~106(4)所傳送之回報資訊RP1~RP4,產生更新程式列表ULst。更新程式列表ULst包含至少一候選更新程式,至少一候選更新程式係包括了均出現於回報資訊RP1~RP4中的更新程式Upd1~Upd4以及所搭配的更新包Upck1與更新包Upck3。其中,回報資訊RP2中之程式MLW,由於僅出現於回報資訊RP2,而並未出現於其他的回報資訊RP1、RP3與RP4中,更新管理伺服器104則將程式MLW判斷為可疑的惡意軟體,而不列入更新程式列 表ULst。可將程式MLW判斷為可疑的惡意軟體而不列入更新程式列表ULst的原因如下。由於同一個更新安裝包202於執行後,應該產生相同的更新程式。因此,回報資訊RP1~RP4所列的更新程式應該相同。故更新管理伺服器104僅將均出現於回報資訊RP1~RP4的更新程式Upd1~Upd7與更新包Upck1及Upck3列於更新程式列表ULst中,而不將可疑的程式MLW列於更新程式列表ULst中,使更新程式列表ULst僅包含可信任而可列入至少一白名單主機102之應用程式白名單中的更新程式。此為採用「取交集」(僅將均出現於回報資訊RP1~RP4的更新程式Upd1~Upd7與更新包Upck1及Upck3列於更新程式列表ULst)的方式,來過濾掉可疑程式或惡意軟體,以得到安全、可信任之更新程式的作法。
請參考第4圖,其繪示乃更新管理伺服器、更新偵測機、及白名單主機之細部構造之一例。更新管理伺服器104包括一過濾器(Filter)402、一辨識器(Recognizer)404、一詢問服務單元(Query Service Unit)406及一資料庫408。過濾器402用以過濾回報資訊RP1~RP4中不合法的程式,以產生更新程式列表。辨識器404根據近期已更新之偵測機個數,判斷更新安裝包202是否為合法。詢問服務單元406用以接收至少一白名單主機102之詢問,以回覆至少一白名單主機此更新安裝包202是否為合法。而資料庫408則是用以儲存更新程式列表UPst。
各更新偵測機106則包括一自動觸發模組(Auto Triggering Module)410、一安全檢查模組(Safety Checking Module)412、及一更新收集模組(Update Collection Module)414。自動觸發模組410用以自動啟動至少一應用程式之更新動作。安全檢查模組412用以確保更新安裝包202之來源係為可靠的安裝來源。更新收集模組414用以收集至少一更新程式之資訊,以作為回報資訊。第4圖係以多個更新偵測機106包括更新偵測機106(1)~106(I)為例做說明,I為正整數。
而白名單主機102則包括一更新執行器416、一更新驗證器418、程序處理器420、修復引擎422及一資料庫424。更新執行器416係用以藉由更新安裝包執行之至少一應用程式之更新動作。更新驗證器418用以驗證至少一應用程式之更新動作是否完整地執行。程序處理器420執行更新程式並產生對應之程序。若至少一應用程式之更新動作沒有完整地執行時,修復引擎422對此更新動作進行修復。資料庫424則儲存了上述之更新白名單主機102之應用程式白名單。第4圖係以多個白名單主機102包括白名單主機102(1)~102(J)為例做說明,J為正整數。
茲更一步將更新管理伺服器104、更新偵測機106、及白名單主機102之所執行之動作說明如下。收集更新程式步驟。於此步驟中,自動觸發模組410係藉由一腳本程式(Script),讓對應之更新偵測機106不斷地重新開機或重新啟動此至少一應用程式,以檢查更新安裝包202是否已經被發佈,而需對此至少一應用程式進行更新動作。或者自動觸發模組410係用以利用一工具(例如是軟體工具)模擬使用者之操作(模擬使用者操作 滑鼠或鍵盤以點擊螢幕之使用者介面之操作),以啟動一更新介面,來對此至少一應用程式進行更新動作。
安全性確認步驟。於從網路上下載更新安裝包202的過程中,安全檢查模組412係藉由封鎖外部網路之主動連線(例如不允許外部主機主動連線至更新偵測機106,以將不明程式植入更新偵測機106中)與檢查更新安裝包202之一下載點之網址(亦即網路上可供下載更新安裝包之伺服器的網址)的方式,來確保更新安裝包202之來源係為可靠的安裝來源,以避免不明程式或惡意程式載入更新偵測器106中。安全檢查模組412也會避免不明資料之存放。並且,更新偵測機106亦具有本身之白名單,可以攔檢不明的程式,以確保安裝至更新偵測器106係為可靠之程式與軟體。
提交更新資訊步驟。亦即是更新偵測機106之更新收集模組414於更新安裝包202執行之後,更新收集模組414將所產生之更新程式進行收集,並將記載了更新偵測機106(1)執行更新安裝包之後所產生之更新程式之回報資訊與所取樣的可執行檔資訊傳送給更新管理伺服器104。
進行濾波處理步驟。更新管理伺服器104之過濾器402針對所收集到的多個回報資訊,尋找更新資料之交集,以過濾掉不在交集內的不明程式或惡意程式,以得到更新程式列表。為了確保偵測而得的資料合法可信,本實施例嚴格守護更新偵測 機106,藉由安全性確認步驟至進行濾波處理步驟之多重檢查之設計,可以防禦不安全軟體,以產生可靠的更新資訊。
確認合法性步驟。辨識器404依照上述方式,依照有傳送回報資訊的更新偵測機106的個數,判斷更新安裝包是否為合法。
儲存更新資訊步驟。資料庫408係將上述之更新程式列表進行儲存。
取得更新資訊步驟。白名單主機102之程序處理器420詢問更新管理伺服器104之詢問服務單元406查詢更新程式列表與所取樣的可執行檔資訊。
追蹤更新程式步驟。白名單主機102啟動更新後,程序處理器420會執行更新安裝包,執行過程會產生必要的更新程式,藉由追蹤(Trace)更新程式,並找到新的可執行檔。因此持續監看系統將要運行的每一個程序,判斷當前所執行的程序,是否表列於從更新管理伺服器104取得之更新程式列表中。若是,則可視為是安全程式,而追蹤它的檔案存取操作。
收集新的可執行檔步驟。於確認目前所執行的程序係為表列於從更新管理伺服器104取得之更新程式列表中的更新程式後,更新執行器416將針對多個更新程式執行後所產生的多個可執行檔進行收集,並將這些可執行檔寫入白名單主機102之應用程式白名單資料庫424中,讓這些可執行檔可以由白名單主機102來執行。
請參照第5圖,其繪示乃更新管理伺服器識別合法更新之序列圖(Sequence Diagram)之一例。於網路上之軟體發佈者(Software Publisher)發佈更新之後,多個更新偵測機106係分別從網路上下載更新包。於多個更新偵測機106收集更新程式並進行安全性檢查之後,多個更新偵測機106係將回報資訊傳送給更新管理伺服器104。更新管理伺服器104之辨識器404計數傳送回報資訊給更新管理伺服器104之更新偵測機106的個數,若大於等於臨界值N(N為正整數),則將更新程式列表儲存於資料庫408中。
請參照第6圖,其繪示乃白名單主機執行更新程序的序列圖之一例。於網路上之軟體發佈者發佈更新之後,多個白名單主機102之任一者係從網路上下載更新包。白名單主機102之程序處理器420向更新管理伺服器104查詢目前執行的程序是否與更新管理伺服器104所記錄之更新程式列表相符。當一個或多個程序係與更新程式列表相符時,更新執行器416開始追蹤這些新程序。若從這些程序中找到可執行檔案的話,則將此可執行檔案加入白名單主機102之應用程式白名單中,並儲存於資料庫424中。
前述之更新程式列表揭示完整的更新過程,當要確認白名單主機是否按照更新程式進行更新,則啟動更新驗證。藉由上述之偵測方法,本實施例更提出一種更新驗證方法,此更新驗證方法係由至少一白名單主機102中之一預設定白名單主機所執行。此更新驗證方法包括下列步驟。首先,預設定 (preconfigured)白名單主機接收更新程式列表,並於經過一段時間待檔案活動靜止之後,進入一驗證流程。於此驗證流程中,預設定白名單主機查看一執行日誌,比對更新程式列表中之至少一候選更新程式是否皆已追蹤過,若否,則判斷為不完整之更新(Incomplete Update)。於此驗證流程中,預設定白名單主機查看預設定白名單主機之一應用程式白名單,比對是否所有之至少一樣本執行檔都已在預設定白名單主機之應用程式白名單中。若否,則判斷為不完整之更新。
之後,當預設定白名單主機判定出不完整之更新時,預設定白名單主機主動從更新管理伺服器下載更新安裝包並執行之,以重啟更新流程,並重新收集新的可執行檔。
茲以第7圖及第8圖之序列圖將上述之更新驗證方法進一步說明之。請參照第7圖,其繪示乃白名單主機檢驗更新的序列圖之一例。於網路上之軟體發佈者發佈更新之後,多個白名單主機102之任一者係從網路上下載更新包。白名單主機102之程序處理器420向更新管理伺服器104詢問更新程式列表時,並未從更新管理伺服器104找到此更新程式列表。此時白名單主機102之程序處理器420先執行更新包並產生新程序。當更新管理伺服器104之更新程式列表備妥之後,若閒置時間逾期,則更新驗證器418則開始進行驗證。更新驗證器418詢問更新管理伺服器104,要求更新管理伺服器104提供更新程式列表與樣本可執行檔。更新管理伺服器104回覆並提供更新程式列表與樣本可執行檔。更新驗 證器418並搜尋程序處理器420日誌中更新程式列表中之更新程式是否皆已追蹤。若判斷為不完整之更新,則更新驗證器418觸發修復程序。更新驗證器418查詢資料庫424中樣本可執行檔是否皆已存在,若為不完整之更新,則更新驗證器418亦觸發修復程序。
請參照第8圖,其繪示乃白名單主機修復更新的序列圖之一例。於網路上之軟體發佈者發佈更新之後,更新管理伺服器備份更新安裝包。白名單主機102之程序處理器420向更新管理伺服器104詢問更新程式,但未找到。此時白名單主機102之程序處理器420先執行更新包並產生新程序,預期中此時無法正確更新。若驗證失敗,則修復引擎422開始執行修復動作。修復引擎422向更新管理伺服器104提出請求,並自更新管理伺服器104下載更新安裝包。程序處理器420執行更新安裝包,預期中會重新進入正常追蹤流程。程序處理器420向更新管理伺服器104詢問更新程式,若符合,則更新執行器416開始追蹤這些更新程式。如果找到可執行檔,則更新執行器416將這些可執行檔加入應用程式白名單中,並儲存於資料庫424中。
依照本發明之實施例,更提出一種偵測方法,用以判斷安裝於至少一白名單主機上之至少一應用程式之一更新是否合法。此方法包括下列步驟。首先,提供一更新管理伺服器及多個更新偵測機,各更新偵測機係安裝有此至少一應用程式。於各更新偵測機等待自動更新並執行一更新安裝包以進行此至少一應用程式之一更新動作之過程中,被執行後之此更新安裝包係對 應地產生至少一更新程式。各更新偵測機檢驗下載來源後並用以傳送一回報資訊至此更新管理伺服器,此回報資訊包括此至少一更新程式之資訊與所取樣得可執行檔資訊。更新管理伺服器根據各更新偵測機之回報資訊,得到藉由此更新安裝包執行此至少一應用程式之此更新動作之已更新之偵測機個數。當此已更新之偵測機個數大於等於一臨界值時,此更新管理伺服器判斷此更新係為合法。
本發明上述之偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法,藉由識別合法的應用程式更新(合法的更新安裝包),並排除不當的程式(不明程式或惡意程式),即時發現更新包且即時追蹤對應的更新程式,並將產生之新可執行檔於應用程式白名單中。本發明之系統與方法特別適用於具有大量白名單主機之情況下,例如是大型工廠或生產線機台等。可自動應變軟體更新,以具有更新偵測機之偵測系統代替人工來設定白名單主機的應用程式白名單,減少手動,可大量降低作業時間,降低人員負擔,並避免人員失誤。由於不需依賴人工判斷也不需依賴外部之白名單認證單位,即可產出安全可信的更新程式列表,容易擴充支援新的應用程式,相當便利而且節省人力。藉由將這些更新程式與更新程式所產生之可執行檔加入到應用程式白名單中,以便應用程式後續之執行。如此,可以讓白名單主機得到良好的資安保護,又同時滿足應用軟體之軟體升級的需求。
綜上所述,雖然本發明已以實施例揭露如上,然其 並非用以限定本發明。本發明所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作各種之更動與潤飾。因此,本發明之保護範圍當視後附之申請專利範圍所界定者為準。
100:偵測系統
102(1)~102(3):白名單主機
104:更新管理伺服器
106(1)~106(5):更新偵測機

Claims (25)

  1. 一種偵測系統,用以判斷安裝於至少一白名單主機上之至少一應用程式之一更新是否合法,該系統包括:一更新管理伺服器;以及多個更新偵測機,各更新偵測機係安裝有該至少一應用程式,於各更新偵測機發生軟體自動更新並執行一更新安裝包以進行該至少一應用程式之一更新動作的過程中,之該更新安裝包被執行後係對應地產生至少一更新程式,各更新偵測機檢驗下載來源並用以傳送一回報資訊至該更新管理伺服器,該回報資訊包括該至少一更新程式之資訊與所取樣的可執行檔資訊;其中,該更新管理伺服器根據各更新偵測機之該回報資訊,得到藉由該更新安裝包執行該至少一應用程式之該更新動作之已更新之偵測機個數,當該已更新之偵測機個數大於等於一臨界值時,該更新管理伺服器判斷該更新係為合法。
  2. 如申請專利範圍第1項所述之偵測系統,其中,當該至少一白名單主機欲對該至少一應用程式進行該更新動作時,該更新管理伺服器更用以接收該至少一白名單主機之一詢問,該更新管理伺服器係根據所收集的一更新程式列表是否為合法之判斷,回覆該至少一白名單主機合法的該更新程式列表。
  3. 如申請專利範圍第1項所述之偵測系統,其中,該更新管理伺服器根據各更新偵測機所傳送之各回報資訊,產生一更新程式列表,該更新程式列表包含至少一候選更新程式,該至 少一候選更新程式包括均出現於有傳送該回報資訊給該更新管理伺服器之該些更新偵測機之該些回報資訊中的該至少一更新程式。
  4. 如申請專利範圍第3項所述之偵測系統,其中,當該至少一白名單主機欲對該至少一應用程式進行該更新動作時,該更新管理伺服器更用以接收該至少一白名單主機之一詢問,該更新管理伺服器係提供該更新程式列表至該至少一白名單主機,該至少一白名單主機係根據該更新程式列表更新該至少一白名單主機之一應用程式白名單。
  5. 如申請專利範圍第4項所述之偵測系統,其中,該更新管理伺服器包括:一過濾器,用以過濾該回報資訊中不合法的程式,以產生該更新程式列表;一辨識器,用以根據該已更新之偵測機個數,判斷該更新安裝包是否為合法;一詢問服務單元,用以接收該至少一白名單主機之該詢問,以回覆該至少一白名單主機合法的該更新程式列表;以及一資料庫,用以儲存該更新程式列表。
  6. 如申請專利範圍第1項所述之偵測系統,其中,該些更新偵測機之各者包括:一安全檢查模組,用以確保該更新安裝包之來源係為可靠的安裝來源;以及 一更新收集模組,用以收集該至少一更新程式之資訊,以作為該回報資訊。
  7. 如申請專利範圍第6項所述之偵測系統,其中該些更新偵測機之各者包括一自動觸發模組,用以自動啟動該至少一應用程式之該更新動作。
  8. 如申請專利範圍第7項所述之偵測系統,其中,該自動觸發模組係用以藉由一腳本程式,讓對應之該更新偵測機不斷地重新開機或重新啟動該至少一應用程式,以檢查該更新安裝包是否已經被發佈,而觸發該至少一應用程式進行該更新動作,或者該自動觸發模組係用以利用一工具模擬使用者之操作,以啟動一更新介面,來對該至少一應用程式進行該更新動作。
  9. 如申請專利範圍第6項所述之偵測系統,其中,該安全檢查模組係用以藉由封鎖外部網路之主動連線與檢查該更新安裝包之一下載點之網址的方式,來確保該更新安裝包之來源係為可靠的安裝來源。
  10. 如申請專利範圍第1項所述之偵測系統,其中,該已更新之偵測機個數係對應至與一目前時間點相關之一時間區段內之已經藉由該更新安裝包執行該至少一應用程式之該更新動作之該些更新偵測機的個數。
  11. 如申請專利範圍第1項所述之偵測系統,其中,該已更新之偵測機個數係對應至與一目前時間點相關之一同時間內 之已經藉由該更新安裝包執行該至少一應用程式之該更新動作之該些更新偵測機的個數。
  12. 如申請專利範圍第1項所述之偵測系統,其中,各更新偵測機所安裝之該至少一應用程式與該至少一白名單主機所安裝之該至少一應用程式係為相同應用程式版本,各更新偵測機所安裝之作業系統與該至少一白名單主機所安裝之作業系統亦為相同之作業系統版本,該更新安裝包被執行後係被解壓縮或解軟體包,以產生該至少一更新程式,該至少一更新程式產生新的至少一可執行檔。
  13. 一種偵測方法,用以判斷安裝於至少一白名單主機上之至少一應用程式之一更新是否合法,該方法包括:提供一更新管理伺服器及多個更新偵測機,各更新偵測機係安裝有該至少一應用程式;於各更新偵測機發生軟體自動更新並執行一更新安裝包以進行該至少一應用程式之一更新動作之過程中,該更新安裝包被執行後對應地產生至少一更新程式,各更新偵測機檢驗下載來源並用以傳送一回報資訊至該更新管理伺服器,該回報資訊包括該至少一更新程式之資訊與所取樣的可執行檔資訊;以及該更新管理伺服器根據各更新偵測機之該回報資訊,得到藉由該更新安裝包執行該至少一應用程式之該更新動作之已更新之偵測機個數,當該已更新之偵測機個數大於等於一臨界值時,該更新管理伺服器判斷該更新係為合法。
  14. 如申請專利範圍第13項所述之偵測方法,更包括:當該至少一白名單主機欲對該至少一應用程式進行該更新動作時,該更新管理伺服器接收該至少一白名單主機之一詢問,該更新管理伺服器係根據所收集的一更新程式列表,回覆該至少一白名單主機合法的該更新程式列表。
  15. 如申請專利範圍第13項所述之偵測方法,更包括:該更新管理伺服器根據各更新偵測機所傳送之各回報資訊,產生一更新程式列表,該更新程式列表包含至少一候選更新程式,該至少一候選更新程式係為均出現於有傳送該回報資訊給該更新管理伺服器之該些更新偵測機之該些回報資訊中的該至少一更新程式。
  16. 如申請專利範圍第15項所述之偵測方法,更包括:當該至少一白名單主機欲對該至少一應用程式進行該更新動作時,該更新管理伺服器接收該至少一白名單主機之一詢問,該更新管理伺服器根據該更新程式列表,回覆該至少一白名單主機該更新程式列表,並提供該更新程式列表至該至少一白名單主機,該至少一白名單主機係根據該更新程式列表所產生的至少一新檔案更新該至少一白名單主機之一應用程式白名單。
  17. 如申請專利範圍第16項所述之偵測方法,其中,該更新管理伺服器包括:一過濾器,用以過濾該回報資訊中不合法的程式,以產生該更新程式列表; 一辨識器,用以根據該已更新之偵測機個數,判斷該更新安裝包是否為合法;一詢問服務單元,用以接收該至少一白名單主機之該詢問,以回覆該至少一白名單主機合法的該更新程式列表;以及一資料庫,用以儲存該更新程式列表。
  18. 如申請專利範圍第13項所述之偵測方法,其中,該些更新偵測機之各者包括:一安全檢查模組,用以確保該更新安裝包之來源係為可靠的安裝來源;以及一更新收集模組,用以收集該至少一更新程式之資訊,以作為該回報資訊。
  19. 如申請專利範圍第18項所述之偵測方法,其中,該些更新偵測機之各者包括一自動觸發模組,用以自動啟動該至少一應用程式之該更新動作。
  20. 如申請專利範圍第19項所述之偵測方法,其中,該自動觸發模組係藉由一腳本程式,讓對應之該更新偵測機不斷地重新開機或重新啟動該至少一應用程式,以檢查該更新安裝包是否已經被發佈,而觸發該至少一應用程式進行該更新動作,或者該自動觸發模組係利用一工具模擬使用者之操作,以啟動一更新介面,來對該至少一應用程式進行該更新動作。
  21. 如申請專利範圍第18項所述之偵測方法,其中,該安全檢查模組係藉由封鎖外部網路之主動連線與檢查該更新安 裝包之一下載點之網址的方式,來確保該更新安裝包之來源係為可靠的安裝來源。
  22. 如申請專利範圍第13項所述之偵測方法,其中,該已更新之偵測機個數係對應至與一目前時間點相關之一時間區段內之已經藉由該更新安裝包執行該至少一應用程式之該更新動作之該些更新偵測機的個數。
  23. 如申請專利範圍第13項所述之偵測方法,其中,該已更新之偵測機個數係對應至與一目前時間點相關之一時間區段內之已經藉由該更新安裝包執行該至少一應用程式之該更新動作之該些更新偵測機的個數。
  24. 如申請專利範圍第13項所述之偵測方法,其中,各更新偵測機所安裝之該至少一應用程式與該至少一白名單主機所安裝之該至少一應用程式係為相同應用程式版本,各更新偵測機所安裝之作業系統與該至少一白名單主機所安裝之作業系統亦為相同之作業系統版本,該更新安裝包被執行後係被解壓縮或解軟體包,以產生該至少一更新程式,該至少一更新程式產生新的至少一可執行檔。
  25. 一種藉由使用申請專利範圍第15項所述之偵測方法所執行的更新驗證方法,該更新驗證方法係由該至少一白名單主機中之一預設定白名單主機所執行,該更新驗證方法包括:該預設定白名單主機接收該更新程式列表,並於經過一段時間待檔案活動靜止之後,進入一驗證流程; 於該驗證流程中,該預設定白名單主機查看一執行日誌,比對該更新程式列表中之該至少一候選更新程式是否皆已追蹤過,若否,則判斷為不完整之更新;於該驗證流程中,該預設定白名單主機查看該預設定白名單主機之一應用程式白名單,比對是否所有之至少一樣本執行檔都已在該預設定白名單主機之該應用程式白名單中,若否,則判斷為不完整之更新;當該預設定白名單主機判定出不完整之更新時,該預設定白名單主機主動從該更新管理伺服器下載該更新安裝包並執行之,以重啟更新流程,並重新收集新的可執行檔。
TW108133679A 2019-09-18 2019-09-18 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法 TWI730415B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW108133679A TWI730415B (zh) 2019-09-18 2019-09-18 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法
CN201910954453.0A CN112527624A (zh) 2019-09-18 2019-10-09 检测系统、检测方法及使用检测方法执行的更新验证方法
US16/777,056 US20210081533A1 (en) 2019-09-18 2020-01-30 Detection system, detection method, and an update verification method performed by using the detection method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108133679A TWI730415B (zh) 2019-09-18 2019-09-18 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法

Publications (2)

Publication Number Publication Date
TW202113644A TW202113644A (zh) 2021-04-01
TWI730415B true TWI730415B (zh) 2021-06-11

Family

ID=74869573

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108133679A TWI730415B (zh) 2019-09-18 2019-09-18 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法

Country Status (3)

Country Link
US (1) US20210081533A1 (zh)
CN (1) CN112527624A (zh)
TW (1) TWI730415B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113760774B (zh) * 2021-09-28 2023-10-27 中汽创智科技有限公司 一种ota仿真测试方法、平台及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103365770A (zh) * 2012-04-09 2013-10-23 陆兵 移动终端软件测试系统及软件测试方法
CN105183504A (zh) * 2015-08-12 2015-12-23 北京威努特技术有限公司 基于软件服务器的进程白名单更新方法
TW201830282A (zh) * 2017-02-03 2018-08-16 日商日立解決方案股份有限公司 計算機系統及檔案存取控制方法
US20190205530A1 (en) * 2017-12-29 2019-07-04 Crowdstrike, Inc. Malware detection in event loops

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006101549A2 (en) * 2004-12-03 2006-09-28 Whitecell Software, Inc. Secure system for allowing the execution of authorized computer program code
US8484752B2 (en) * 2007-11-14 2013-07-09 Caterpillar Inc. Verifying authenticity of electronic control unit code
US8533844B2 (en) * 2008-10-21 2013-09-10 Lookout, Inc. System and method for security data collection and analysis
US8332946B1 (en) * 2009-09-15 2012-12-11 AVG Netherlands B.V. Method and system for protecting endpoints
US9594886B2 (en) * 2010-06-02 2017-03-14 Avaya Inc. Application and open source information technology policy filter
US8863232B1 (en) * 2011-02-04 2014-10-14 hopTo Inc. System for and methods of controlling user access to applications and/or programs of a computer
US8959362B2 (en) * 2012-04-30 2015-02-17 General Electric Company Systems and methods for controlling file execution for industrial control systems
US20130333039A1 (en) * 2012-06-07 2013-12-12 Mcafee, Inc. Evaluating Whether to Block or Allow Installation of a Software Application
CN102736978B (zh) * 2012-06-26 2015-09-30 北京奇虎科技有限公司 一种检测应用程序的安装状态的方法及装置
JP5222427B1 (ja) * 2012-09-28 2013-06-26 株式会社 ディー・エヌ・エー ネットワークシステム、及び、プログラム
US9305162B2 (en) * 2013-07-31 2016-04-05 Good Technology Corporation Centralized selective application approval for mobile devices
US9417866B2 (en) * 2014-12-03 2016-08-16 Verizon Patent And Licensing Inc. Identification and isolation of incompatible applications during a platform update
WO2016105969A1 (en) * 2014-12-26 2016-06-30 Mcafee, Inc. Trusted updates
US10153904B2 (en) * 2015-04-29 2018-12-11 Ncr Corporation Validating resources execution
WO2016178816A1 (en) * 2015-05-01 2016-11-10 Lookout, Inc. Determining source of side-loaded software
US10089469B1 (en) * 2015-06-12 2018-10-02 Symantec Corporation Systems and methods for whitelisting file clusters in connection with trusted software packages
EP3440821B1 (en) * 2016-04-06 2022-08-24 Karamba Security Secure controller operation and malware prevention
CN106055602A (zh) * 2016-05-24 2016-10-26 腾讯科技(深圳)有限公司 文件验证方法及装置
GB2554390B (en) * 2016-09-23 2018-10-31 1E Ltd Computer security profiling
US10218697B2 (en) * 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US10873588B2 (en) * 2017-08-01 2020-12-22 Pc Matic, Inc. System, method, and apparatus for computer security
JP6759169B2 (ja) * 2017-09-11 2020-09-23 株式会社東芝 情報処理装置、情報処理方法、および情報処理プログラム
CN107908953A (zh) * 2017-11-21 2018-04-13 广东欧珀移动通信有限公司 系统通知服务控制方法、装置、终端设备及存储介质
US20190303579A1 (en) * 2018-04-02 2019-10-03 Ca, Inc. Decentralized, immutable, tamper-evident, directed acyclic graphs documenting software supply-chains with cryptographically signed records of software-development life cycle state and cryptographic digests of executable code
KR101965213B1 (ko) * 2018-07-31 2019-04-03 주식회사 업루트 화이트리스트 전사 관리를 통한 프로그램 실행 제어 시스템 및 방법
US11036862B2 (en) * 2018-11-26 2021-06-15 Vmware, Inc. Dynamic application deployment in trusted code environments
US20200177444A1 (en) * 2018-12-04 2020-06-04 Viakoo, Inc. Systems and Methods of Remotely Updating a Multitude of IP Connected Devices
AU2019436002A1 (en) * 2019-03-21 2021-10-21 Citrix Systems, Inc. Multi-device workspace notifications
US11609992B2 (en) * 2019-03-29 2023-03-21 Acronis International Gmbh Systems and methods for anti-malware scanning using automatically-created white lists

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103365770A (zh) * 2012-04-09 2013-10-23 陆兵 移动终端软件测试系统及软件测试方法
CN105183504A (zh) * 2015-08-12 2015-12-23 北京威努特技术有限公司 基于软件服务器的进程白名单更新方法
TW201830282A (zh) * 2017-02-03 2018-08-16 日商日立解決方案股份有限公司 計算機系統及檔案存取控制方法
US20190205530A1 (en) * 2017-12-29 2019-07-04 Crowdstrike, Inc. Malware detection in event loops

Also Published As

Publication number Publication date
TW202113644A (zh) 2021-04-01
US20210081533A1 (en) 2021-03-18
CN112527624A (zh) 2021-03-19

Similar Documents

Publication Publication Date Title
US11354414B2 (en) Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point
US20220284094A1 (en) Methods and apparatus for malware threat research
KR102419574B1 (ko) 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법
US8612398B2 (en) Clean store for operating system and software recovery
EP3036623B1 (en) Method and apparatus for modifying a computer program in a trusted manner
US7243348B2 (en) Computing apparatus with automatic integrity reference generation and maintenance
US8984331B2 (en) Systems and methods for automated memory and thread execution anomaly detection in a computer network
US9081967B2 (en) System and method for protecting computers from software vulnerabilities
JP4903879B2 (ja) システム解析および管理
RU2514140C1 (ru) Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов
RU2487405C1 (ru) Система и способ для исправления антивирусных записей
KR20130122747A (ko) 손상된 소프트웨어의 치료
KR101649909B1 (ko) 가상 머신 취약점 점검과 복구 방법 및 장치
EP2754079B1 (en) Malware risk scanner
TWI730415B (zh) 偵測系統、偵測方法、及藉由使用偵測方法所執行的更新驗證方法
CN103020415A (zh) 游戏外挂防护方法、装置与系统
US11188644B2 (en) Application behaviour control
EP2835757B1 (en) System and method protecting computers from software vulnerabilities
Ruan et al. KernJC: Automated Vulnerable Environment Generation for Linux Kernel Vulnerabilities
CN111859405A (zh) 一种威胁免疫框架、方法、设备及可读存储介质