TWI789944B - 基於不同掃描方案之應用程式控管方法 - Google Patents
基於不同掃描方案之應用程式控管方法 Download PDFInfo
- Publication number
- TWI789944B TWI789944B TW110137599A TW110137599A TWI789944B TW I789944 B TWI789944 B TW I789944B TW 110137599 A TW110137599 A TW 110137599A TW 110137599 A TW110137599 A TW 110137599A TW I789944 B TWI789944 B TW I789944B
- Authority
- TW
- Taiwan
- Prior art keywords
- file
- scanning
- files
- programs
- control method
- Prior art date
Links
Images
Landscapes
- Facsimile Image Signal Circuits (AREA)
- Facsimiles In General (AREA)
- Ultra Sonic Daignosis Equipment (AREA)
- Traffic Control Systems (AREA)
Abstract
一種基於不同掃描方案之應用程式控管方法,包含底下步驟:選擇要掃描的延伸檔名;於複數個掃描方案之中選擇其中一個掃描方案;以及,基於該選擇的掃描方案,利用應用程式控管以掃描該些延伸檔名,以取得白名單檔案。
Description
本發明涉及一種應用程式控管之技術領域,特別是一種基於不同掃描方案之應用程式控管方法。
隨著資訊化的發展,出現了大量的應用程式(APP)。同一個廠商可以提供多個應用程式。即使是不同的應用程式,尤其是同一個廠商提供的多個應用程式,可能存在相似的功能。為了適應技術發展或業務需要,常常需要對應用程式進行升級或換代,例如,新版本應用程式的發佈頻率可能大於1次/周。當發佈的新版本應用程式出現了錯誤或者業務出現故障時,需要用戶端的應用程式緊急回到指定版本的應用程式,才能夠滿足用戶的基本使用需求。
現有的應用程式通常會限定可合法使用它的電腦裝置,避免應用程式被複製到其它未經合法授權的電腦裝置上使用。為達到這個目的,目前已有綁定硬體資訊的保護機制。在此機制中,應用程式一旦被啟動就會先讀取並驗證安裝它的電腦裝置中的硬體資訊,例如中央處理器編碼、硬碟序號等等,並只在驗證通過時才允許該電腦裝置正常執行它。這種機制雖可將應用程式與可正常
執行它的合法電腦裝置綁定在一起,但因硬體資訊缺乏動態變化,故容易遭到破解。
此外,在網際網路普及的情形之下,在企業內通常都會建構與網際網路的連接,以取得各式各樣的應用程式。然而,從網際網路擷取的各種資訊或應用程式,可能也會有接收到惡意程式的情形發生。一旦惡意程式進入到資訊處理裝置,將會破壞其中的軟體或者是盜取其中的資訊,對於企業內的資訊安全造成莫大的傷害。
另一方面,對於企業而言,在享受網際網路便利性的同時也應盡可能地將這些可能存在的惡意程式的威脅排除。關連於應用程式所實行的限制,傳統上係使用黑名單的控管方式來實施。因為全球的程式太多,因此以黑名單的控管方式已不符使用。
近來駭客常使用本機上原有的程式,做為攻擊的程式,而不是使用駭客自己寫的程式。這樣會造成一個問題,例如Windows上內建的程式是常會被使用者使用的程式,但也是駭客最愛用的程式;如此,這些內建的程式是否可以設為應用程式控管,也是一大問題所在。
再者,應用程式控管有強大的防護力,但是企業內的使用者常會因為底下三種情況:(1)Windows Update;(2)使用者自己安裝已知且安全的新程式(例如:AutoCAD);(3)每天更新的程式(例如:Teams、Chrome常會背景更新),
而造成無法執行程式的窘境。此不但會影響企業員工的工作效率,也會增加資訊技術(IT:Information Technology)人員的工作量。
針對上述應用程式控管方式,本發明提供一種新穎的應用程式控管方法,以增進應用程式控管的功能。
本發明之目的在於提供一種基於不同掃描方案之應用程式控管方法。
本發明之基於不同掃描方案之應用程式控管方法,包括:於一伺服器或一用戶端選擇要掃描的複數個程式或檔案;於複數個掃描方案之中選擇其中一個掃描方案,其中該複數個掃描方案係設置於該伺服器或用戶端之中;以及,基於該選擇的掃描方案,利用應用程式控管以掃描該些複數個程式或檔案,以取得白名單程式或檔案。
其中第一部份檔案屬性包含檔案版本、檔案名稱、原始檔名、產品版本以及著作權。
其中依延伸檔名以掃描該些複數個程式或檔案。其中該些複數個程式或檔案之延伸檔名之中有憑證者,以完整憑證做為掃描的特徵。
其中於該些複數個程式或檔案之延伸檔名之中無憑證者,以檔案雜湊做為掃描的特徵。
在另一例子之中,其中於該些複數個程式或檔案之延伸檔名之中無憑證者,以檔案屬性做為掃描的特徵。其中於該些複數個程式或檔案之延伸檔名之中也無檔案屬性者,以檔案雜湊做為掃描的特徵。
其中檔案屬性包含原始檔名、產品版本以及著作權。
其中該複數個掃描方案包含底下三個掃描規則:依檔案雜湊做為掃描特徵,依序以憑證、檔案雜湊做為掃描特徵,以及依序以憑證、檔案屬性、檔案雜湊做為掃描特徵。
102:步驟
104:步驟
106:步驟
202:延伸檔名
302:Hash
304:憑證優先_Hash
306:憑證優先_檔案屬性_Hash
〔第一圖〕顯示本發明之基於不同掃描方案之應用程式控管方法之示意圖。
〔第二圖〕顯示本發明之應用程式控管之延伸檔名之示意圖。
〔第三圖〕顯示本發明之應用程式控管之掃描方案之示意圖。
此處本發明將針對發明具體實施例及其觀點加以詳細描述,此類描述為解釋本發明之結構或步驟流程,其係供以說明之用而非用以限制本發明之申請專利範圍。因此,除說明書中之具體實施例與較佳實施例外,本發明亦可廣泛施行於其他不同的實施例中。以下藉由特定的具體實施例說明本發明之實施方式,熟悉此技術之人士可藉由本說明書所揭示之內容輕易地瞭解本發明之功效性與其優點。且本發明亦可藉由其他具體實施例加以運用及實施,本說明書所闡述之各項細節亦可基於不同需求而應用,且在不悖離本發明之精神下進行各種不同的修飾或變更。
本發明提出一種基於不同掃描方案之應用程式控管方法。其中係以白名單做為控管方案,以取代傳統的黑名單控管方式。在實際上的操作上而言,應用程式控管為白名單的機制。舉例而言,用戶端(個人電腦、平板電腦、或各種計算機裝置)或伺服器進行一掃毒的程序,掃毒完成之後,將沒有問題的檔案、程式或軟體紀錄下來,以當作白名單。換言之,經過掃瞄(掃毒)程序之後,沒有問題的所有的檔案或程式均為白名單。其中白名單可以在本機中執行,黑名單則不可以在本機中執行。因此,若不是白名單,就是有問題的,禁止在電腦之中執行。至於如何辨識一個程式是否為白名單,本發明提出基於不同掃描方案之方法,於一伺服器或一用戶端選擇要掃描的受應用程式控管保護的複數個程式或檔案(延伸檔名);而於複數個掃描方案之中選擇其中一個掃描方案;以及,基於該選擇的掃描方案,利用應用程式控管以掃描該些複數個程式或檔案,以取得白名單程式或檔案。
舉例而言,透過一伺服器的一指定單元以指定或定義Word為白名單、Excel為黑名單。而未經由指定單元指定或定義之AutoCAD,因為不是白名單也不是黑名單,自動變成灰名單。另外,舉一實施例而言,在經過伺服器(控制台)掃描之後的檔案,存在於用戶端中的Word均被標示為Word白名單,而Excel則被標示為Excel黑名單。其中Word白名單可以在用戶端本機中執行。Excel黑名單不可以在用戶端本機中執行。另外,AutoCAD灰名單亦不可以在用戶端本機中執行,但可上傳阻擋紀錄至某一資料夾或某一儲存路徑之中。
在一實施例之中,黑名單係由控制台人員所設定,所以一定會被阻擋;反之,白名單大多由掃描而得到,少量的白名單是控制台人員針對全公司所設定。
第一圖描繪了本發明之基於不同掃描方案之應用程式控管方法之示意圖。首先,於步驟102之中,選擇要掃描的延伸檔名。於一伺服器或一用戶端選擇要掃描的複數個程式或檔案。在本步驟102之中,選擇受應用程式控管保護的延伸檔名。也就是,依延伸檔名以掃描受應用程式控管保護的複數個程式或檔案。延伸檔名(Filename Extension),或稱為副檔名、字尾名,係為作業系統(例如VMS/CP/M/DOS等)用來標誌檔案格式的一種機制。以DOS而言,一個副檔名是跟在主檔名後面的,由一個分隔符號分隔。在一個像「example.txt」的檔名中,example是主檔名,txt為副檔名,表示這個檔案是一個純文字檔案,句號「.」就是主檔名與副檔名的分隔符號。副檔名的作用是讓系統決定當使用者
想打開這個檔案的時候用哪種軟體執行,例如Windows系統中exe檔案是可執行檔,doc檔案是預設用Microsoft Word打開的Word檔案。
應用程式控管所管理的延伸檔名包含執行檔、動態連結函式庫(Dynamic-link library:DLL)檔和文件檔..等程式或檔案,這些均為應用程式控管所要管理的標的。執行檔、動態連結函式庫(DLL)檔和文件檔各有其基本特徵,以利於應用程式控管來辨識檔案是否為白名單。所謂動態連結,就是把一些經常會共享的程式碼(靜態連結的OBJ程式庫)製作成DLL檔。當執行檔呼叫到DLL檔內的函式時,Windows作業系統才會把DLL檔載入記憶體內。DLL檔本身的結構就是可執行檔,當程式有需求時函式才進行連結。透過動態連結方式,記憶體浪費的情形將可大幅降低。DLL檔的檔案格式與視窗EXE檔案一樣。作為EXE格式,DLL可以包括原始碼、資料和資源的多種組合。
如第二圖所示,延伸檔名202例如包含:EXE應用程式、COM MS-DOS應用程式、DLL程式庫、MSP Windows Installer修補、MSI Windows Installer封裝、MSC Microsoft Commen Console文件、MDE檔案、MDB檔案、ISP檔案、INS檔案、INF安裝資訊、HTA HTML應用程式、HLP說明檔、CRT安全性憑證、CPL控制台項目、CMD Windows指令檔、CHM HTML說明檔、BAT Windows批次檔、BAS檔案、ADP檔案、AD檔案。
參考第一圖,接下來,於步驟104之中,選擇掃描方案。於複數個掃描方案之中選擇其中一個掃描方案(方法),其中該複數個掃描方案係設置於伺
服器或用戶端之中。其中該複數個掃描方案(方法)包含底下三個掃描規則:依檔案雜湊做為掃描特徵,依序以憑證、檔案雜湊(Hash)做為掃描特徵,以及依序以憑證、檔案屬性、檔案雜湊(Hash)做為掃描特徵,其分別以第三圖所標示之Hash 302、憑證優先_Hash 304、憑證優先_檔案屬性_Hash 306來表示掃描方案。於步驟104之中,選擇其中一個方案進行掃描。以憑證優先_Hash 304為例,原則上,依延伸檔名以掃描本機(個人電腦、平板電腦、各種計算機裝置、或伺服器)中所有的複數個程式或檔案。在本例子之中,依序以憑證、檔案雜湊(Hash)為掃描特徵。由於憑證優先,所以,複數個程式或檔案之依延伸檔名之中有憑證者,以完整憑證做為掃描的特徵;而複數個程式或檔案之依延伸檔名之中無憑證者,再以檔案雜湊做為掃描的特徵。
在另一種掃描方案之中,以憑證優先_檔案屬性_Hash 306為例,原則上,依延伸檔名以掃描本機中所有的複數個程式或檔案。在本例子之中,依序以憑證、檔案屬性、檔案雜湊(Hash)為掃描特徵。由於憑證優先,所以,複數個程式或檔案之依延伸檔名之中有憑證者,以完整憑證做為掃描的特徵;而複數個程式或檔案之依延伸檔名之中無憑證者,再以檔案屬性做為掃描的特徵;若複數個程式或檔案之依延伸檔名之中也無檔案屬性者,最後以檔案雜湊做為掃描的特徵。
參考第一圖,然後,於步驟106之中,觸發應用程式控管掃描。於步驟106之中,於選擇一個掃描方案之後,啟動應用程式控管以進行複數個程式或檔案之掃描。在憑證優先_Hash 304的例子中,掃描的次序為有憑證的程式或
檔案者優先掃描,若掃描到符合憑證特徵者為白名單;之後,無憑證的程式或檔案者後掃描,若掃描到符合檔案雜湊特徵者為白名單;另外,掃描結果不符合憑證特徵、檔案雜湊特徵者為黑名單。
另外,在憑證優先_檔案屬性_Hash 306的例子中,掃描的次序為有憑證的程式或檔案者優先掃描,若掃描到符合憑證特徵者為白名單;之後,無憑證的程式或檔案者後掃描,若掃描到符合檔案屬性特徵者為白名單;最後,無憑證、無檔案屬性的程式或檔案者最後掃描,若掃描到符合檔案雜湊特徵者為白名單;另外,掃描結果不符合憑證特徵、檔案屬性特徵、檔案雜湊特徵者為黑名單。
此外,觸發應用程式控管掃描的時機包含:一、伺服器端(控制台)啟動掃描;二、伺服器端允許的前提之下,使用端的員工可以啟動掃描;三、權限套入應用程式控管掃描,但並非每次都掃描,僅在之前都未曾掃描過時才會進行一次性掃描。
應用程式控管的掃描特徵包含完整憑證、雜湊(Hash)和檔案屬性。應用程式控管係經過伺服器(控制台)進行延伸檔名的完整憑證、雜湊(Hash)和檔案屬性特徵之掃描。若掃描結果符合白名單的特徵,則為白名單;反之,則為黑名單。舉一實施例而言,白名單的完整憑證特徵包含一數位簽章。而數位簽章例如包含一簽章拇指紋,為拇指紋的紀錄。因此,若完整憑證的掃描結果符合簽章拇指紋的紀錄,則檔案為白名單。
透過檔案屬性的特徵掃描,若掃描結果符合白名單的檔案屬性特徵,則結果為白名單。檔案屬性特徵為程式本身的特徵。舉一實施例而言,檔案屬性格式為“原始檔名(產品版本)著作權”;亦即,部份檔案屬性特徵包含三個部份,原始檔名、產品版本以及著作權。舉例而言,部份檔案屬性特徵為“EXPLORER.EXE(10.0.19041.844)©Microsoft Corporation.All rights reserved.”,其中原始檔名的特徵為EXPLORER.EXE,產品版本的特徵為(10.0.19041.844),著作權的特徵為©Microsoft Corporation.All rights reserved.,檔案版本的特徵為10.0.19041.844,而檔案名稱的特徵為Microsoft®Windows®Operating System。因此,若掃描(比對)結果符合上述部份檔案屬性特徵的設定者,則檔案為白名單。通常版本較新的才是白名單,因此可以區隔舊的版本。
應用程式控管之白名單的掃描流程之後,使用者發現程式被阻擋的,基本上就是黑名單。
相較於習知的黑名單控管方式,本發明提出基於不同掃描方案之應用程式控管方法。本發明之應用程式控管特徵掃描方案包含底下特點:(1)經查,目前許多Windows內建程式並無憑證,因此只能使用Hash或路徑+檔名,而無法取得較佳或較合理的應用程式控管特徵;(2)本發明利用程式所具有的檔案屬性,而使用憑證、檔案屬性做為應用程式控管的特徵,以兼顧合理、安全、便利等使用上的目的;
(3)應用程式控管掃描(Hash):掃描條件最嚴格,但較常因為程式更新之後,導致無法執行(例如:Chrome會每天背景更新,測試應用程式控管時,較常會下一秒即無法執行Chrome,導致使用者的困擾);(4)應用程式控管掃描(憑證優先_Hash):掃描條件較為寬鬆,若有更新的程式,其憑證未變,則仍是應用程式控管;(5)應用程式控管掃描(憑證優先_檔案屬性_Hash):由於許多Windows中的執行檔沒有憑證,而大多數的檔案都有檔案屬性,而若無檔案屬性,則使用Hash,得以解決更新程式的問題。
在不脫離本文範疇之情況下,可對上述基於不同掃描方案之應用程式控管方法做出改變。因此,應當注意,包含在以上描述中並且在附圖中示出之內容應當被解釋為說明性的而非限制性之意義。以下申請專利範圍旨在涵蓋本文中所描述之所有一般特徵及特定特徵,以及本發明基於不同掃描方案之應用程式控管方法之範疇的所有陳述,其在語言上可被說成落在其間。
102:步驟
104:步驟
106:步驟
Claims (10)
- 一種基於不同掃描方案之應用程式控管方法,包括:藉由一伺服器或一用戶端裝置選擇要掃描的複數個程式或檔案;藉由設置於該伺服器或該用戶端裝置之中的複數個掃描方案之中選擇其中一個掃描方案,而該些複數個程式或檔案之延伸檔名之中有憑證者,以完整憑證做為掃描的特徵;以及基於該選擇的掃描方案,藉由設置於該伺服器或該用戶端裝置之中的應用程式控管依該延伸檔名以掃描該些複數個程式或檔案,以取得符合該完整憑證特徵之白名單程式或檔案。
- 如請求項1所述的基於不同掃描方案之應用程式控管方法,其中該延伸檔名包含執行檔、動態連結函式庫檔和文件檔。
- 如請求項2所述的基於不同掃描方案之應用程式控管方法,其中該延伸檔名包含底下至少一個:EXE應用程式、COM MS-DOS應用程式、DLL程式庫、MSP Windows Installer修補、MSI Windows Installer封裝、MSC Microsoft Commen Console文件、MDE檔案、MDB檔案、ISP檔案、INS檔案、INF安裝資訊、HTA HTML應用程式、HLP說明檔、CRT安全性憑證、CPL控制台項目、CMD Windows指令檔、CHM HTML說明檔、BAT Windows批次檔、BAS檔案、ADP檔案、AD檔案。
- 如請求項1所述的基於不同掃描方案之應用程式控管方法,其 中於該些複數個程式或檔案之該延伸檔名之中無憑證者,以檔案雜湊做為掃描的特徵。
- 如請求項1所述的基於不同掃描方案之應用程式控管方法,其中於該些複數個程式或檔案之該延伸檔名之中無憑證者,以檔案屬性做為掃描的特徵。
- 如請求項5所述的基於不同掃描方案之應用程式控管方法,其中於該些複數個程式或檔案之該延伸檔名之中也無檔案屬性者,以檔案雜湊做為掃描的特徵。
- 如請求項5所述的基於不同掃描方案之應用程式控管方法,其中該檔案屬性包含檔案版本、檔案名稱、原始檔名、產品版本以及著作權。
- 如請求項1所述的基於不同掃描方案之應用程式控管方法,其中該複數個掃描方案包含底下三個掃描規則:依檔案雜湊做為掃描特徵,依序以憑證、檔案雜湊做為掃描特徵,以及依序以憑證、檔案屬性、檔案雜湊做為掃描特徵。
- 如請求項8所述的基於不同掃描方案之應用程式控管方法,其中該延伸檔名包含執行檔、動態連結函式庫檔和文件檔。
- 如請求項8所述的基於不同掃描方案之應用程式控管方法,其中該檔案屬性包含原始檔名、產品版本以及著作權。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110137599A TWI789944B (zh) | 2021-10-08 | 2021-10-08 | 基於不同掃描方案之應用程式控管方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110137599A TWI789944B (zh) | 2021-10-08 | 2021-10-08 | 基於不同掃描方案之應用程式控管方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI789944B true TWI789944B (zh) | 2023-01-11 |
TW202316287A TW202316287A (zh) | 2023-04-16 |
Family
ID=86670154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110137599A TWI789944B (zh) | 2021-10-08 | 2021-10-08 | 基於不同掃描方案之應用程式控管方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI789944B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201719485A (zh) * | 2015-08-13 | 2017-06-01 | 葛雷斯渥(Ip)有限公司 | 利用多層策略管理風險之方法及系統 |
TWI601027B (zh) * | 2015-03-20 | 2017-10-01 | Seiko Epson Corp | Electronic parts conveying apparatus and electronic parts inspection apparatus |
TWI641260B (zh) * | 2017-02-20 | 2018-11-11 | 中華電信股份有限公司 | White list management system for gateway encrypted transmission and method thereof |
TW201945969A (zh) * | 2018-04-28 | 2019-12-01 | 香港商阿里巴巴集團服務有限公司 | 檔案處理方法和系統、資料處理方法 |
TW202022643A (zh) * | 2018-12-14 | 2020-06-16 | 香港商阿里巴巴集團服務有限公司 | 內容推送方法及裝置、電子設備 |
-
2021
- 2021-10-08 TW TW110137599A patent/TWI789944B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI601027B (zh) * | 2015-03-20 | 2017-10-01 | Seiko Epson Corp | Electronic parts conveying apparatus and electronic parts inspection apparatus |
TW201719485A (zh) * | 2015-08-13 | 2017-06-01 | 葛雷斯渥(Ip)有限公司 | 利用多層策略管理風險之方法及系統 |
TWI641260B (zh) * | 2017-02-20 | 2018-11-11 | 中華電信股份有限公司 | White list management system for gateway encrypted transmission and method thereof |
TW201945969A (zh) * | 2018-04-28 | 2019-12-01 | 香港商阿里巴巴集團服務有限公司 | 檔案處理方法和系統、資料處理方法 |
TW202022643A (zh) * | 2018-12-14 | 2020-06-16 | 香港商阿里巴巴集團服務有限公司 | 內容推送方法及裝置、電子設備 |
Also Published As
Publication number | Publication date |
---|---|
TW202316287A (zh) | 2023-04-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6482489B2 (ja) | 脆弱なアプリケーションによるファイルのオープンを制御するシステム及び方法。 | |
US10528735B2 (en) | Malicious code protection for computer systems based on process modification | |
JP5327757B2 (ja) | マルウェア検出のための信頼できる動作環境 | |
JP4750188B2 (ja) | インターネットに接続したコンピュータ上への悪質ソフトウェアのインストールを防止する方法 | |
US7657941B1 (en) | Hardware-based anti-virus system | |
US8046831B2 (en) | Automating software security restrictions on system resources | |
JP2005129066A (ja) | オペレーティングシステムリソース保護 | |
US7870613B2 (en) | Automating software security restrictions on applications | |
US20100175104A1 (en) | Safe and secure program execution framework with guest application space | |
US8646044B2 (en) | Mandatory integrity control | |
US9183386B2 (en) | Windows registry modification verification | |
JP2007534039A (ja) | パーソナルコンピュータインターネットセキュリティシステム | |
JP2010527075A (ja) | マルウェア検出のための信頼できる動作環境 | |
US9396329B2 (en) | Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage | |
EP1966736A2 (en) | Real time lockdown | |
CN101414329B (zh) | 删除正在运行中的病毒的方法 | |
RU101233U1 (ru) | Система ограничения прав доступа к ресурсам на основе расчета рейтинга опасности | |
KR100704721B1 (ko) | 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라 보호되는 컴퓨터 보호 시스템과 실행가능한 파일이 보호되는 시스템 | |
TWI789944B (zh) | 基於不同掃描方案之應用程式控管方法 | |
TWI765690B (zh) | 基於觀察模式之應用程式控管方法 | |
TWI802040B (zh) | 基於檔案屬性特徵之應用程式控管方法 | |
CN115964698A (zh) | 基于不同扫描方案的应用程序控管方法 | |
TWI796683B (zh) | 於用戶端執行之應用程式控管方法 | |
TWI801856B (zh) | 依於子程式執行之應用程式控管方法 | |
CN115952474A (zh) | 基于文件属性特征的应用程序控管方法 |