数据处理系统的安全装置和安全方法

数据处理系统的安全装置和安全方法【
技术领域：
】[0001]本发明涉及从各种恶意代码保护数据处理系统，并防止数据泄漏及故障等的安全装置和安全方法。【
背景技术：
】[0002]随着运行管理各种数据的电脑或移动终端等的数据处理系统，和传播这些相互通讯的如互联网等网路的发展，无数的数据通过数据处理系统进行处理。[0003]这些数据不仅包含对用户有益的信息，还包含损坏性的信息，这种信息可以列举病毒(virus)、间谋软件(spyware)、恶意广告软件(adware)等的恶意代码。所述恶意代码对特定或不特定多数用户所使用的数据处理系统造成严重的损伤，或执行用户不需要的动作，甚至泄漏用户的个人信息对用户造成经济上的损失。因此，必须持续地执行监视并拦截恶意代码的努力。[0004]以往，通常为了检索恶意代码，将恶意代码的模式储存在DB，并监视相应模式的文件是否在指定的数据处理系统或网路的特定位置上存在。[0005]然而，现有的方式是将储存的文件与储存在所述DB的模式随机比较确认的方式，因此相对于投资时间及投资资源具有安全度不高的问题。而且，现有的方式与文件的执行无关，只在现有的安全装置的驱动时刻对相应文件随机监视安全性，因此在特定时刻，对没有激活的恶意代码，或者不是恶意代码本身，而是在执行特定处理或在特定时刻开始进行恶意性功能的恶意代码，现有的安全装置具有无法监视的缺陷。[0006]为了解决这种问题，曾有提出现有的安全装置对数据处理系统或在特定位置存在的所有文件以一定周期一一确认的方法。然而，现有的安全装置需要监视的安全对象文件的个数，随着数据处理系统或特定位置的规模其数不少，而且周期越短监视次数也越增加，因此为了精密的文件监视，现有的安全装置具有需要不少规格的问题。【
发明内容】[0007]对此，本发明是为了解决如上所述的问题而发明的，其课题是提供，对诱导恶意代码动作的执行文件有效地执行监视的数据处理系统的安全装置和安全方法。[0008]用于完成所述技术性课题的本发明数据处理系统的安全装置，包含:[0009]执行模块，在执行含有由例程类型的安全加载器和原始执行文件所构成的存根(stub)的存根文件时，处理由所述安全加载器呼叫并通过所述安全加载器从所述存根复原的所述原始执行文件加以执行；以及[0010]监视模块，监视根据复原的所述原始执行文件执行的数据处理系统的动作。[0011]为了完成另一所述技术性课题的本发明数据处理系统的安全方法，包含:[0012]确认安全装置安装的步骤，在数据处理系统中执行存根文件时，所述存根文件的安全加载器呼叫所述数据处理系统的安全装置；[0013]储存对象文件信息的步骤，储存从所述存根文件的存根复原的原始执行文件；以及[0014]监视原始执行文件的步骤，监视根据复原的所述原始执行文件执行的数据处理系统的动作。[0015]如上所述的本发明是，监视包含在执行文件的恶意代码动作的安全装置，在执行所述执行文件时以被动驱动来动作，由此提高对恶意代码的监视效率和动作效率，同时具有在监视动作中可使系统负荷最小化的效果。【附图说明】[0016]图1是根据本发明的安全装置的结构示意图。[0017]图2是将根据本发明的安全装置作为基础形成的安全方法的流程图。[0018]图3是根据本发明的安全装置的另一结构示意图。[0019]图4是通过根据本发明的安全装置转换成存根文件的原始执行文件和图标的状态图。[0020]图5是根据本发明的存根文件的图标图像。[0021]图6是将根据本发明的安全装置作为基础形成的安全方法的另一实施例的流程图。【具体实施方式】[0022]如上所述的本发明的特征及效果通过附图和以下的相关详细说明将会变得很明确，由此本发明的
技术领域：
中具有通常知识的技术人员可以容易实施本发明的技术思想。本发明可以实施多种变更，亦可以采取多种形态，所以在图面例示特定实施例，将对本发明进行详细的说明。但这不表示本发明限定在特定的揭示形态，而是应该理解成包含本发明的思想及技术范围所含的所有变更、均等物或替代物。在本说明书中使用的术语只是用于说明特定实施例而使用的，并不是意图限制本发明。[0023]以下，结合附图对实施本发明的具体内容进行详细的说明。[0024]图1是根据本发明的安全装置的结构示意图，参照此图进行说明。[0025]根据本发明的安全装置10是由执行存根文件40时确认在特定区域发生的活动，且该活动脱离指定的活动时对此进行拦截及/或警告的监视模块11，和处理经安全处理的存根文件40复原成原始执行文件加以执行的执行模块12所构成。[0026]监视模块11在存根文件40执行时，更具体的，在构成存根文件40的原始执行文件执行时，确认在数据处理系统的注册表、文件1/0、服务、窗口、内核区驱动器等的区域发生的数据生成及编辑等的活动，检测到与构成存根文件40的该原始执行文件无关或相关应用程序的接近或动作是不允许的执行时，对此进行强制停止或输出警告窗口通知给用户。与该原始执行文件无关或相关应用程序的接近或动作是不允许的执行是指，在原始执行文件或存根文件40等未经允许记录的恶意代码在任意区域执行与该原始执行文件或存根文件40无关的动作，或对系统运行可能造成影响区域(注册表、文件1/0、服务等)的变更(生成、修正及删除等)。作为参考，监视恶意代码活动的监视模块11采用公知、公用的杀毒软件技术，该技术包含检测到不允许的执行时对此进行强制停止或输出警告窗口等的技术。[0027]执行模块12是随着存根文件40的执行以被动呼叫来执行，并处理使得构成存根文件40的安全加载器43根据程序动作，使存根文件40的存根41复原成原始执行文件。即，执行模块12的处理是使安全加载器43根据已设定的程序例程执行的构成。[0028]存根文件40是由以原始执行文件构成的存根41、具有生成存根文件40的生成者信息及/或生成系统信息等的标头42(header)、和控制用于执行原始执行文件的处理并呼叫安全装置10的安全加载器43所构成，且为了以流方式处理构成数据，依序排列安全加载器43、标头42及存根41以便在相应OS及应用程序30中被依序处理。结果，安全加载器43是将存根文件40的执行主动通知给安全装置10，且与构成安全装置10的执行模块12联系，进行相应原始数据，即存根41的复原工作的一种设计的例程。作为参考，安全装置10的一构成执行模块12是从安全加载器43接收复原的原始执行文件的位置并且使所述原始执行文件执行的控制装置。[0029]关于根据本发明的安全装置10的更具体的技术说明，说明安全方法时进行详细的说明。[0030]图2是将根据本发明的安全装置作为基础形成的安全方法的流程图，参照此图进行说明。[0031]SlO:执行文件的执行步骤[0032]在数据处理系统中，用于驱动相应系统或应用程序30的执行文件根据用户的选择或已设定的流程执行。在此，执行文件是具有*.exe，*.dll等PE(PortableExecutable)结构的文件，除此之外，亦可以采用多种扩展名的执行文件。[0033]作为参考，作为本发明对象的存根文件40是以与原始执行文件相同的名称储存，所以执行所述原始执行文件的OS(OperatingSystem；20)或应用程序30将认为执行文件的存根文件40确认为相应原始执行文件并进行该执行。因此，原始执行文件为"a.exe"时，存根文件40也转换成"a.exe"而储存，所以OS(20)或相应应用程序30在处理相应执行文件的时刻，处理转换成存根文件40储存的"a.exe"的执行。[0034]接着，在执行文件上记录的信息由OS(20)或应用程序30以流方式依序处理。因此，执行文件为存根文件40时，OS(20)或应用程当前第1页1 2 3