技術領域

本發明是關于一種用于一硬件的監控裝置及監控方法；特別是一種能避免硬件 被一惡意進程(malicious?process)攻擊的監控裝置及監控方法。

背景技術

隨著信息工業的發展，計算機與網絡已在日常生活中占有不可或缺的地位。舉 例而言，以計算機處理各種數據或是以網絡搜尋各種信息、購物以及數據交換等等， 皆是人類已習以為常的生活方式。更進一步地說，網絡信用卡結帳、網絡購物下單 以及網絡提款機(web?ATM)等，更是許多人經常使用的網絡服務。

然而，在計算機與網絡受到使用者如此倚重的前提之下，一些惡意軟件 (malware)便有機會侵害使用者的計算機。舉例而言，某些惡意軟件將會通過網 絡、USB閃存、紅外線或是藍芽來竊取使用者存放于計算機中的重要數據、破壞 計算機內部信息、甚至于控制使用者的計算機系統以限制使用者的使用權限。另外， 有些惡意軟件更會在使用者的計算機上安裝廣告軟件或是垃圾軟件，進而造成使用 者的困擾，同時浪費網絡寶貴的資源。據此，計算機與網絡的安全性即為相當重要 的課題。

為了防止惡意軟件通過前段所述的各種方式破壞使用者的計算機，以往通常是 以防毒程序來阻止惡意軟件對使用者的計算機進行存取或破壞。防毒程序則是根據 惡意軟件分析工具所建立的惡意軟件特征來檢測并阻止惡意軟件的破壞。更詳細地 說，CWSandbox(惡意軟件分析工具)通過分析不同惡意軟件將建立不同種類的 惡意軟件特征，而Kaspersky(防毒程序)即可通過這些惡意軟件特征檢測并阻止 惡意軟件的破壞。

然而，不論是何種防毒程序或惡意軟件分析工具，皆是安裝于計算機的操作系 統中，其運作亦與惡意軟件相同，皆是通過操作系統來進行操作的。詳細地說，防 毒程序或惡意軟件分析工具，是與惡意軟件于同一個環境(即同一操作系統)之下 執行的。換言之，當某些惡意軟件檢測到其本身是處于一個防毒程序或惡意軟件分 析工具正在執行的環境之下時，惡意軟件將可以進一步破壞防毒程序或惡意軟件分 析工具的正常運作。或者，惡意軟件可以執行一些其它種類的正常程序的各種指令， 導致掃毒程序或惡意軟件分析工具搜集到錯誤的數據。由此可知，若要通過存在于 操作系統中的防毒程序來檢測同樣存在于操作系統中的惡意軟件的執行時，防毒程 序的檢測能力是受到相當的限制。

據此，在惡意軟件日益泛濫的情況之下，要如何設計一種并非于操作系統中執 行且無法被惡意軟件反向檢測到的監控方法，是業界亟需解決的問題。

發明內容

本發明的一目的在于提供一種用于一硬件的監控裝置。該硬件包含一中央處理 器以及一存儲模塊。該監控裝置包含一擷取模塊以及一分析模塊。該擷取模塊于一 進程(process)執行前，自該存儲模塊擷取該進程的一進入點(entry?point)信息， 該進程則包含至少一指令(instruction)。該分析模塊則根據該進入點信息，自該 中央處理器取得與該進程相應的一地址值，其中該地址值對應至一儲存該至少一指 令的存儲器區塊。當該中央處理器執行該進程的至少一指令時，該硬件的存儲模塊 根據該地址值記錄該進程的至少一指令。

本發明的又一目的在于提供一種監控方法。該監控方法包含以下步驟：于一進 程執行前，擷取該進程的一進入點信息，其中該進程包含至少一指令；根據該進入 點信息，取得與該進程相應的一地址值，其中該地址值對應至一儲存該至少一指令 的存儲器區塊；執行該進程的至少一指令；以及根據該地址值記錄該進程的至少一 指令。其中，一硬件擷取該進入點信息并根據該地址值記錄該進程的至少一指令。

本發明的再一目的在于提供一種計算機程序產品，內儲一種監控方法的程序， 該程序被加載一微處理器后可執行并完成前段所述的監控方法。

綜上所述，本發明所揭露的用于一硬件的監控裝置及監控方法可以監控該硬件 中所有被執行的進程。對于該硬件來說，計算機在執行這些進程所包含的指令時， 這些指令將根據其所對應的地址值被記錄并分析。據此，本發明不需操作系統支持 即能直接根據進程的指令所對應的地址值來檢測惡意軟件，進而改進現有技術的缺 點。同時，通過前述的方式檢測惡意軟件，本發明亦可保護計算機的各種重要區段 (critical?section)，例如存儲器等重要區段，以避免惡意軟件的破壞導致重要區段 中執行的進程產生無法預期的結果(如跳過驗證進程、Control?hijacking等...)。

附圖說明