序30按照储存的顺序处理在存根文件40上所记录的信息,即安全加载器43、标头42及存根41。
[0035]S20:确认安全装置安装的步骤
[0036]OS (20)或应用程序30的处理过程中确认安全加载器43,且安全加载器43根据设定的内容动作并呼叫安全装置10。
[0037]另一方面,所述执行文件不是根据本发明安全处理的存根文件40,而是普通执行文件时,因相应执行文件不具有安全加载器43,所以在0S(20)或应用程序30的处理中不会呼叫安全装置10,由相应应用程序直接执行所述执行文件的存根41。
[0038]作为参考,在没有设置根据本发明的安全装置10的数据处理系统,执行存根文件40时,由于存根文件40的安全加载器43没有呼叫的对象,所以不能进行后续的过程。结果,在没有设置安全装置10的数据处理系统,监视对象执行文件的执行本身从根本上被拦截,因此具有使安全极大化的效果。
[0039]S30:确认对象文件的步骤
[0040]一种程序例程安全加载器43分别确认用于确认存根文件40位置的第I完整路径(Full Path)信息,和构成存根文件40的安全加载器43、标头42、和存根41的大小。存根文件40是根据用户的用意可以移动到多种位置而执行的独立文件,所以并不限制固定在特定位置。因此,安全加载器43在每当执行存根文件40时确认本身的位置及大小。作为参考,完整路径(Full Path)是在指定文件名称时从硬碟名称开始指定所有的目录名称而输入,是确认文件绝对位置的众所周知、惯用的信息。
[0041]存根41是原始执行文件区间,在转换成存根文件40的处理时,可以对原始执行文件区间加密。结果,将原始执行文件转换成存根文件40时,由于原始执行文件被加密,不仅是在执行时从根本上拦截恶意代码的活动,还具有防止原始执行文件的数据未经许可泄漏的效果。
[0042]S40:储存对象文件信息的步骤
[0043]安全加载器43将存根41的原始执行文件分离储存在临时文件夹F,并确认相应临时文件夹F的位置,即第2完整路径信息,与所述第I完整路径信息一起传送给安全装置10的执行模块12。
[0044]作为参考,存根41的原始执行文件被加密时,安全加载器43可能将加密的原始执行文件解密后储存在临时文件夹F,或是安全加载器43也可能将加密的原始执行文件首先储存在临时文件夹F后在相应原始执行文件的执行之前由执行模块12将其解密。
[0045]S50:执行原始执行文件的步骤
[0046]由安全加载器43呼叫的安全装置10的执行模块12从安全加载器43接收所述第2完整路径信息,且执行模块12处理相当于所述第2完整路径信息的原始执行文件加以执行。
[0047]所述原始执行文件根据执行模块12的控制开始专有的相应执行,且联系的应用程序开始其驱动。
[0048]S60:监视原始执行文件的步骤
[0049]安全装置10的监视模块11将安全加载器43传送的第1、第2完整路径信息作为基础确认临时文件夹F中的所述原始执行文件,在所述原始执行文件被执行时,在数据处理系统的注册表、文件1/0、服务、窗口、内核区驱动器等的区域掌握生成及编辑的所有数据以确认恶意代码的存在或是否发生未经许可的行为等。
[0050]因为监视模块11具有所述原始执行文件动作以后的执行信息,在所述原始执行文件动作以后发生指定的执行信息以外的动作时,监视模块11认为在数据处理系统的相应区域发生恶意代码或未经许可的行为,并进行后续处理。
[0051]S70:监视对象后续处理步骤
[0052]监视模块11确认在数据处理系统的相应区域发生恶意代码或未经许可的行为时,可以停止所述数据处理系统的相应动作,且可以采取输出警告窗口给用户的后续处理。
[0053]监视模块11的后续处理内容列举,确认对OS启动所需区域(MBR等)的试图更改、确认不是以一般用户等级而是以内核等级对注册表值的不必要的试图更改(监视注册表)、对拦截接近或要求部分的记录储存等的数据生成或编辑等。
[0054]如上所述,监视模块11可以采用用于限制恶意代码的驱动或未经许可行为的众所周知、公用的装置。
[0055]另外,存根文件40包含标头42,监视模块11从标头42确认存根文件40的标头信息。所述标头信息包含生成存根文件40的生成者信息及/或生成地信息、文件流入路径(以下称为‘文件流入信息’)等,并以所述标头信息为基准可以采取将存根文件40的执行控制或删除等的安全处理。
[0056]对此进行更具体的说明,监视模块11在监视原始执行文件的步骤S60中,以存根文件40的标头信息作为基础,首先查询相应存根文件40的文件流入路径信息(例如,发送文件的发送人邮件地址、下载文件的URL地址、包含文件的USB装置名称等)。确认查询的文件流入路径信息为现有进行恶意代码驱动或未经许可行为的政策上未经许可的流入路径时,可以进行拦截相应原始执行文件的执行或删除存根文件40的处理,进而可以进行限制具有所述文件流入路径信息的其他存根文件动作的处理,以拦截相应文件流入路径本身的后续处理。
[0057]S80:执行文件结束步骤
[0058]当相应执行文件的执行结束时,执行模块12删除临时储存原始执行文件的临时文件夹F或原始执行文件。
[0059]图3是根据本发明的安全装置的另一结构示意图,图4是通过根据本发明的安全装置转换成存根文件的原始执行文件和图标的状态图,图5是根据本发明的存根文件的图标图像,参照此图进行说明。
[0060]根据本发明的安全装置10’还包含将监视对象原始执行文件处理转换成存根文件40的生成模块13。
[0061]执行文件中有必须保持安全的应用程序的执行文件。因此,相应应用程序动作时必须以安全为前提,为此所述应用程序的执行文件驱动时必须实时监视恶意代码也是否一起活动。因此,根据本发明的安全装置10’包含将指定的原始执行文件处理转换成存根文件40的生成模块13。
[0062]另外,执行文件在执行时额外生成并执行下位执行文件以便执行新程序等。例如,像程序安装文件等的执行文件由用户执行相应执行文件时,额外生成下位执行文件,并且使其自动执行,或由用户选择执行。
[0063]因此,生成模块13在主要执行文件处理转换成存根文件40时,处理在执行相应存根文件40中生成的下位执行文件也自动转换成存根文件。
[0064]如图4(a)所示,生成模块13为了存根文件40转换,生成安全加载器43,在转换对象,即原始执行文件的前段插入安全加载器43,使得所述原始执行文件转换成存根文件
40。结果,生成模块13在相当于原始执行文件的存根41的前段配置安全加载器43转换成存根文件40。
[0065]对在原始执行文件插入安全加载器的技术进行更具体的说明。
[0066]在原始执行文件中插入存根程序安全加载器43,或将安全加载器43和数据组合的工作都是在执行文件附加数据的工作。这样将执行文件和数据组合的方法有多种,在根据本发明的实施例中例示如下。
[0067](I)第I实施例
[0068]将安全加载器43附加在资源上。这个方法是通常在编译时间使用的方法,多半在生成相当于安全加载器43的存根程序的执行模块13中使用。以二进制资源包含原始执行文件本身后,将其加载使用的形态。使用视窗提供的资源API时,可以容易地进行这种工作。由于资源与原始执行文件一起加载到记忆体,附加在资源的安全加载器43大,且不需要一次加载时,可能发生记忆体的浪费。
[0069](2)第2实施例
[0070]将新的区段附加在原始执行文件上,在此附加安全加载器43。附加区段的方式在编译时间和编译之后均可以使用。在编译时间,为了附加区段,使用#pragma data_seg就可以。在完成的存根文件40,为了附加区段,必须制作额外的实用程式。这种方式的最大优势是可以附加可执行的代码。另一方面,因为