[發(fā)明專利]電子裝置及檢測(cè)惡意文件的方法有效

申請(qǐng)?zhí)枺?/td>	201611182164.6	申請(qǐng)日：	2016-12-20
公開（公告）號(hào)：	CN108205624B	公開（公告）日：	2021-09-17
發(fā)明（設(shè)計(jì)）人：	孫明功;黃瓊瑩;蔡?hào)\|霖;賴谷鑫;陳嘉玫;張子敬	申請(qǐng)（專利權(quán)）人：	安碁資訊股份有限公司
主分類號(hào)：	G06F21/56	分類號(hào)：	G06F21/56
代理公司：	北京律誠同業(yè)知識(shí)產(chǎn)權(quán)代理有限公司 11006	代理人：	梁揮;許志影
地址：	中國臺(tái)灣臺(tái)北市10***	國省代碼：	臺(tái)灣;71
權(quán)利要求書：	查看更多	說明書：	查看更多
摘要：
搜索關(guān)鍵詞：	電子裝置檢測(cè) 惡意文件方法
鉆瓜網(wǎng) 技術(shù)展會(huì) 專利詞庫專利權(quán)人專利榜在售專利公布日期熱門專利

【說明書】：

本發(fā)明公開了一種電子裝置及檢測(cè)惡意文件的方法。方法包括下列步驟。搜尋一執(zhí)行文件，并拆解執(zhí)行文件以得到一導(dǎo)入表。導(dǎo)入表至少包括一第一動(dòng)態(tài)連結(jié)函式庫的名稱及一第二動(dòng)態(tài)連結(jié)函式庫的名稱。計(jì)算第一動(dòng)態(tài)連結(jié)函式庫與第二動(dòng)態(tài)連結(jié)函式庫之間的一距離。判斷距離是否超過一門檻值。若距離超過門檻值，則檢查執(zhí)行文件中是否存在與導(dǎo)入表重復(fù)的內(nèi)容。若執(zhí)行文件中存在與導(dǎo)入表重復(fù)的內(nèi)容，則執(zhí)行文件為一惡意文件。

技術(shù)領(lǐng)域

本發(fā)明是有關(guān)于一種電子裝置及檢測(cè)的方法，且特別是有關(guān)于一種電子裝置及檢測(cè)惡意文件的方法。

背景技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的普及，很多資訊必須通過網(wǎng)絡(luò)傳遞。當(dāng)電子裝置連上網(wǎng)絡(luò)，一不小心就會(huì)受到惡意程序的攻擊。現(xiàn)有的防毒技術(shù)是通過已知的惡意程序的特征值去檢測(cè)及掃描文件，以找出惡意程序或惡意文件。舉例來說，一般防毒軟件主要通過已知的惡意程序的特征值去檢測(cè)及掃描惡意文件。然而，此方法無法防止新型態(tài)的先進(jìn)持續(xù)性威脅(AdvancedPersistent Threat,APT)及零時(shí)差(Zero-day)惡意程序的PE Infection攻擊。因?yàn)椋蓝拒浖静o這些新型態(tài)或客制化的惡意程序的特征值，故無法找出電子裝置中的惡意程序或惡意文件。因此，如何有效的檢測(cè)出電子裝置中的惡意程序或惡意文件乃業(yè)界所重視的議題。

發(fā)明內(nèi)容

本發(fā)明是有關(guān)于一種電子裝置及檢測(cè)惡意文件的方法，其利用檢測(cè)惡意文件的方法快速篩選出疑似的惡意文件，再進(jìn)一步準(zhǔn)確確認(rèn)疑似的惡意文件是否為惡意文件。

根據(jù)本發(fā)明的一實(shí)施例，提出一種檢測(cè)惡意文件的方法。方法包括下列步驟。搜尋一執(zhí)行文件，并拆解執(zhí)行文件以得到一導(dǎo)入表(Import table)。導(dǎo)入表至少包括一第一動(dòng)態(tài)連結(jié)函式庫(Dynamic-link library,DLL)的名稱及一第二動(dòng)態(tài)連結(jié)函式庫的名稱。計(jì)算第一動(dòng)態(tài)連結(jié)函式庫與第二動(dòng)態(tài)連結(jié)函式庫之間的一距離。判斷距離是否超過一門檻值。若距離超過門檻值，則檢查執(zhí)行文件中是否存在與導(dǎo)入表重復(fù)的內(nèi)容。若執(zhí)行文件中存在與導(dǎo)入表重復(fù)的內(nèi)容，則判斷執(zhí)行文件為一惡意文件。

根據(jù)本發(fā)明的另一實(shí)施例，提供一種電子裝置。電子裝置包括一處理器及一儲(chǔ)存單元。儲(chǔ)存單元用以儲(chǔ)存一執(zhí)行文件。處理器用以搜尋執(zhí)行文件，并拆解執(zhí)行文件以得到一導(dǎo)入表。導(dǎo)入表至少包括一第一動(dòng)態(tài)連結(jié)函式庫的名稱及一第二動(dòng)態(tài)連結(jié)函式庫的名稱。處理器計(jì)算第一動(dòng)態(tài)連結(jié)函式庫與第二動(dòng)態(tài)連結(jié)函式庫之間的一距離。處理器判斷距離是否超過一門檻值。若距離超過門檻值，則處理器檢查執(zhí)行文件中是否存在與導(dǎo)入表重復(fù)的內(nèi)容。若執(zhí)行文件中存在與導(dǎo)入表重復(fù)的內(nèi)容，則判斷執(zhí)行文件為一惡意文件。

下文是配合所附圖式對(duì)本發(fā)明作詳細(xì)說明如下。

附圖說明

圖1繪示電子裝置的方塊圖。

圖2繪示依照本發(fā)明的實(shí)施例的檢測(cè)惡意文件的方法的流程圖。

圖3繪示導(dǎo)入表的一例的示意圖。

圖4繪示導(dǎo)入表的另一例的示意圖。

圖5繪示導(dǎo)入表的一例的示意圖。

圖6A繪示正常執(zhí)行文件中的導(dǎo)入表及可移植執(zhí)行文件標(biāo)頭的示意圖。

圖6B繪示被黑客新增地址的導(dǎo)入表的示意圖。

其中，附圖標(biāo)記：

100：電子裝置

102：處理器

104：儲(chǔ)存單元

S202、S204、S206、S208、S210、S212、S214：流程步驟

300、400：導(dǎo)入表

400A、400B：區(qū)塊

500：可移植執(zhí)行文件標(biāo)頭

下載完整專利技術(shù)內(nèi)容需要扣除積分，VIP會(huì)員可以免費(fèi)下載。

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

該專利技術(shù)資料僅供研究查看技術(shù)是否侵權(quán)等信息，商用須獲得專利權(quán)人授權(quán)。該專利全部權(quán)利屬于安碁資訊股份有限公司，未經(jīng)安碁資訊股份有限公司許可，擅自商用是侵權(quán)行為。如果您想購買此專利、獲得商業(yè)授權(quán)和技術(shù)合作，請(qǐng)聯(lián)系【客服】

本文鏈接：http://www.szxzyx.cn/pat/books/201611182164.6/2.html，轉(zhuǎn)載請(qǐng)聲明來源鉆瓜專利網(wǎng)。

上一篇：用于共享目錄的方法和裝置
下一篇：信息處理方法及裝置、存儲(chǔ)介質(zhì)、電子設(shè)備

同類專利

專利分類

G 物理

G06 計(jì)算；推算；計(jì)數(shù)
G06F 電數(shù)字?jǐn)?shù)據(jù)處理
G06F21-00 防止未授權(quán)行為的保護(hù)計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)的安全裝置
G06F21-02 .通過保護(hù)計(jì)算機(jī)的特定內(nèi)部部件
G06F21-04 .通過保護(hù)特定的外圍設(shè)備，如鍵盤或顯示器
G06F21-06 .通過感知越權(quán)操作或外圍侵?jǐn)_
G06F21-20 .通過限制訪問計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的節(jié)點(diǎn)
G06F21-22 .通過限制訪問或處理程序或過程

免登錄下載普通用戶下載升級(jí)VIP會(huì)員，免費(fèi)下載

[發(fā)明專利]電子裝置及檢測(cè)惡意文件的方法有效

專利文獻(xiàn)下載