用以检验一计算装置的一可执行文件的可移除装置及方法

文档序号:6603050阅读:79来源:国知局
导航: X技术> 最新专利>计算;推算;计数设备的制造及其应用技术
专利名称:用以检验一计算装置的一可执行文件的可移除装置及方法
技术领域
本发明是关于一种用以检验一计算装置的一可执行文件的可移除装置及方法。更 具体而言,本发明是以一可信装置(trusted apparatus)检验一计算装置的一可执行文件 是否为一恶意文件。
背景技术
通过计算机辅助作业,使用者能够更有效率地工作。因此,计算机对于现今人们的 日常生活已变得不可或缺。也正因为如此,计算机安全问题愈来愈受到人们的重视。其中 最严重的计算机安全问题之一即为无所不在的恶意软件(简称为malware),例如计算机病 毒(computer virus)。由于计算机病毒会造成巨大损失,人们已开发出诸多用以检测及防止计算机病毒 的技术。举例而言,通常在计算机中安装防毒软件(anti-virus software),以用于检测计 算机病毒。然而,由于防毒软件是通过各种病毒独有的“病毒码(signature”来识别病毒, 因此,防毒软件检测病毒的能力便受限于病毒数据库(virus database)。换言之,大多数防 毒软件是利用一“黑名单(black list)”方法捕捉病毒。因此,若出现新病毒,防毒软件在 不更新病毒数据库的情况下,将无法保护计算机。此外,计算机病毒可能在防毒软件生效之 前,即已存在于计算机中。因此,计算机病毒可在防毒软件或任何其它安全机制生效之前控 制计算机。综上所述,如何提供一种用以防止计算机受到恶意软件攻击的可靠方法,实为该 领域的技术者亟需解决的课题。

发明内容
本发明的目的在于提供一种用以检验一计算装置的一可执行文件的可移除装置 及方法,用以可靠防止计算机受到恶意软件的攻击。根据本发明一方面提供一种以一可移除装置检验一计算装置的一第一可执行文 件的方法。该可移除装置无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算 装置;(b)使该可移除装置自该计算装置撷取该第一可执行文件;(c)使该可移除装置判 断该第一可执行文件不具有一关于该第一可执行文件的一供货商的供货商信息(vendor information) ; (d)使该可移除装置使用一讯息摘要算法(messagedigest algorithm)计 算该第一可执行文件的一讯息摘要;(e)使该可移除装置判断其不具有与该讯息摘要相同 的摘要信息;(f)使该可移除装置检测该第一可执行文件与该计算装置的一第二可执行文 件具有一触发关系;以及(g)使该可移除装置根据步骤(f)的检测结果,决定该第一可执行 文件为一可疑文件。根据本发明另一方面提供一种以一可移除装置检验一计算装置的一可执行文件 的方法。该可移除装置无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算装 置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件不具有一关于该可执行文件的一供货商的供货商信息;(d)使该可移除装置使用一 讯息摘要算法计算该可执行文件的一讯息摘要;(e)使该可移除装置判断其不具有与该讯 息摘要相同的摘要信息;(f)使该可移除装置判断该可执行文件为一自动执行(auto-rim) 文件;以及(g)使该可移除装置根据步骤(f)的判断结果,决定该可执行文件为一可疑文 件。根据本发明再一方面提供一种以一可移除装置检验一计算装置的一可执行文件 的方法。该可移除装置无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算装 置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执 行文件不具有一关于该可执行文件的一供货商的供货商信息;(d)使该可移除装置使用一 讯息摘要算法计算该可执行文件的一讯息摘要;(e)使该可移除装置判断该讯息摘要与该 可移除装置所储存的一摘要信息相同;以及(f)根据步骤(e)的判断结果,决定该可执行文 件为一可信任文件。根据本发明又一方面提供一种以一可移除装置检验一计算装置的一可执行文件 的方法。该可移除装置是无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算 装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可 执行文件包含一供货商信息,该供货商信息包含一供货商信息片段、一指定讯息及一加密 讯息;(d)使该可移除装置根据该供货商信息片段撷取一供货商公开金钥(vendor public key),该供货商公开金钥储存于该可移除装置;(e)使该可移除装置以该供货商公开金钥, 将该加密讯息解密为一解密讯息;(f)使该可移除装置判断该解密讯息与该指定讯息相 异;以及(g)使该可移除装置根据步骤(f)的判断结果,决定该可执行文件为一可疑文件。本发明另一方面提供一种以一可移除装置检验一计算装置的一可执行文件的方 法。该可移除装置无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b) 使该可移除装置自该计算装置撷取该可执行文件;(C)使该可移除装置判断该可执行文件 包含一供货商信息,该供货商信息包含一供货商信息片段、一指定讯息及一加密讯息;(d) 使该可移除装置根据该供货商信息片段撷取一供货商公开金钥,该供货商公开金钥储存于 该可移除装置;(e)使该可移除装置以该供货商公开金钥,将该加密讯息解密为一解密讯 息;(f)使该可移除装置判断该解密讯息与该指定讯息相同;以及(g)使该可移除装置根据 步骤(f)的判断结果,决定该可执行文件为一可信任文件。根据本发明又一方面提供一种以一可移除装置检验一计算装置的一可执行文件 的方法。该可移除装置无病毒。该方法包含下列步骤(a)使该可移除装置启动该计算装 置;(b)使该可移除装置自该计算装置撷取该可执行文件;(C)使该可移除装置判断该可执 行文件不具有一关于该可执行文件的一供货商的供货商信息;(d)使该可移除装置使用一 讯息摘要算法计算该可执行文件的一第一讯息摘要;(e)使该可移除装置判断其不具有与 该讯息摘要相同的摘要信息;(f)使该可移除装置关闭该计算装置;(g)于该计算装置自我 启动后,使该可移除装置自该计算装置撷取该可执行文件;(h)使该可移除装置使用一讯 息摘要算法计算该可执行文件的一第二讯息摘要;(i)使该可移除装置判断该第一讯息摘 要与该第二讯息摘要相异;以及(j)使该可移除装置根据步骤(i)的判断结果,决定该可执 行文件为一恶意软件。根据本发明再一方面提供一种用以检验一计算装置的一第一可执行文件的可移除装置。该可移除装置是无病毒。该可移除装置包含一初始化模块、一文件扫描模块、一供 货商检验模块、一摘要检验模块以及一连结文件检测模块。该初始化模块用以启动该计算 装置。该文件扫描模块用以自该计算装置撷取该第一可执行文件。该供货商检验模块用以 判断该第一可执行文件不具有一关于该第一可执行文件的一供货商的供货商信息。该摘要 检验模块用以使用一讯息摘要算法计算该第一可执行文件的一讯息摘要,并判断该可移除 装置不具有与该讯息摘要相同的摘要信息。该连结文件检测模块用以检测该第一可执行文 件与该计算装置的一第二可执行文件具有一触发关系,并根据该检测结果,决定该第一可 执行文件为一可疑文件。根据本发明另一方面提供一种用以检验一计算装置的一可执行文件的可移除装 置。该可移除装置是无病毒。该可移除装置包含一初始化模块、一文件扫描模块、一供货商 检验模块、一摘要检验模块以及一自动执行判断模块。该初始化模块用以启动该计算装置。 该文件扫描模块用以自该计算装置撷取该可执行文件。该供货商检验模块用以判断该可执 行文件不具有一关于该可执行文件的一供货商的供货商信息。该摘要检验模块用以使用一 讯息摘要算法计算该可执行文件的一讯息摘要,并判断该可移除装置不具有与该讯息摘要 相同的摘要信息。该自动执行判断模块用以判断该可执行文件为一自动执行文件,并根据 该判断结果,决定该可执行文件为一可疑的文件。根据本发明又一方面提供一种用以检验一计算装置的一可执行文件的可移除装 置。该可移除装置无病毒。该可移除装置包含一初始化模块、一文件扫描模块、一供货商检 验模块以及一摘要检验模块。该初始化模块用以启动该计算装置。该文件扫描模块用以自 该计算装置撷取该可执行文件。该供货商检验模块用以判断该可执行文件不具有一关于该 可执行文件的一供货商的供货商信息。该摘要检验模块用以使用一讯息摘要算法计算该可 执行文件的一讯息摘要,用以判断该讯息摘要与该可移除装置所储存的一摘要信息相同, 以及用以根据该判断结果,决定该可执行文件为一可信任文件。根据本发明再一方面提供一种用以检验一计算装置的一可执行文件的可移除装 置。该可移除装置无病毒。该可移除装置包含一初始化模块、一文件扫描模块以及一供货 商检验模块。该初始化模块用以启动该计算装置。该文件扫描模块用以自该计算装置撷取 该可执行文件。该供货商检验模块用以判断该可执行文件包含一供货商信息,该供货商信 息包含一供货商信息片段、一指定讯息及一加密讯息,用以根据该供货商信息片段,自该可 移除装置撷取一供货商公开金钥,用以以该供货商公开金钥,将该加密讯息解密为一解密 讯息,用以判断该解密讯息与该指定讯息相异,以及用以根据该判断结果,决定该可执行文 件为一可疑文件。根据本发明另一方面提供一种用以检验一计算装置的一可执行文件的可移除装 置。该可移除装置是无病毒。该可移除装置包含一初始化模块、一文件扫描模块以及一供 货商检验模块。该初始化模块用以启动该计算装置。该文件扫描模块用以自该计算装置撷 取该可执行文件。该供货商检验模块用以判断该可执行文件包含一供货商信息,该供货商 信息包含一供货商信息片段、一指定讯息及一加密讯息,用以根据该供货商信息片段,自该 可移除装置撷取一供货商公开金钥,用以以该供货商公开金钥,将该加密讯息解密为一解 密讯息,用以判断该解密讯息与该指定讯息相同,以及用以根据该判断结果,决定该可执行 文件为一可信任文件。
根据本发明又一方面提供一种用以检验一计算装置的一可执行文件的可移除装 置。该可移除装置无病毒。该可移除装置包含一初始化模块、一文件扫描模块、一供货商检 验模块以及一摘要检验模块。该初始化模块用以启动该计算装置。该文件扫描模块用以自 该计算装置撷取该可执行文件。该供货商检验模块用以判断该可执行文件不具有一关于该 可执行文件的一供货商的供货商信息。该摘要检验模块用以使用一讯息摘要算法计算该可 执行文件的一第一讯息摘要,以及用以判断该可移除装置不具有与该讯息摘要相同的摘要 信息。该初始化模块还用以关闭该计算装置。该文件扫描模块还用以于该计算装置自我启 动后,自该计算装置撷取该可执行文件。该摘要检验模块还用以使用该讯息摘要算法计算 该可执行文件的一第二讯息摘要,然后根据该可执行文件的该第一讯息摘要与该第二讯息 摘要相异的该判断结果决定该第一可执行文件为一恶意软件。综上所述,本发明提供多种用以从各种角度检验一计算装置的一可执行文件的方 法及可移除装置。本发明利用一可信的可移除装置(无病毒的可移除装置)启动一计算装 置并检验储存于该计算装置中的一可执行文件。此外,通过检验该计算装置中所包含的所有可执行文件,本发明可检验该计算装 置是否已感染病毒。若判断出该计算装置中的一可执行文件为一可疑文件,则将其移至该 计算装置的一指定区域。在本发明检验完该计算装置的所有可执行文件后,即可确定该计 算装置无病毒(可信任)。因此,即使一计算装置已被计算机病毒感染,亦可利用本发明将 该计算装置作为一无病毒装置进行开启。因被移至指定区域的可执行文件是被确定为可疑文件而非恶意文件,本发明提供 了用于进一步检验此等可疑的可执行文件的方法。具体而言,使该计算装置自我启动。接 着,本发明可根据以下四个层面至少其中的一,检验此等可疑的可执行文件。对于任一可疑 的可执行文件,若检验结果不同于上次的检验结果,本发明即可决定此可疑的可执行文件 为恶意文件。


在参阅附图及随后描述的实施方式后,该技术领域具有通常知识者便可了解本发 明的其它目的,以及本发明的技术手段及实施态样,其中图IA为本发明的--第一实施例的示意IB为本发明的--第二实施例的示意IC为本发明的--第三实施例的示意ID为本发明的--第四实施例的示意IE为本发明的--第五实施例的示意2A为本发明的--第六实施例的流程2B为第六实施例的部分流程图;图2C为第六实施例的部分流程图;图2D为第六实施例的部分流程图;以及图3为一第七实施例的流程图。
具体实施例方式以下将通过实施例来解释本发明内容,本发明的实施例并非用以限制本发明须在 如实施例所述的任何特定的环境、应用或特殊方式方能实施。需说明的是,以下实施例及附 图中,与本发明无关的元件已省略而未绘示;且附图中各元件间的尺寸关系仅为求容易了 解,非用以限制实际比例。在本发明中,检验一可执行文件是指检验该可执行文件是否为一可疑文件或一恶 意文件。一可执行文件为可疑文件是指该可执行文件有可能为一恶意软件。在本发明中, 在一第一阶段(即一离线阶段)中,可从四个层面检验一可执行文件。在离线阶段中,计算 装置处于一不活动模式(inactive mode);亦即,该计算装置是由可移除装置启动。该四个 检验层面为(1)该可执行文件是否由一可信任的软件制造商(可信任的供货商)所发布; (2)该可执行文件的一讯息摘要是否可被验证(一可移除装置及/或计算机可读取记录媒 体是否包含与此讯息摘要相同的一摘要信息);(3)该可执行文件是否与另一可执行文件 具有一触发关系;以及(4)该可执行文件是否为一自动执行文件。在第一阶段中检查该四 个层面之后,即可确定该可执行文件为一可信任文件或一可疑文件。本发明可继续进行一第二阶段(一执行时间阶段(rim-time stage))。在执行时 间阶段中,该计算装置处于活动模式(计算装置自我启动)。在执行时间阶段中,进一步检 验在离线阶段中被确定为可疑文件的可执行文件。对于一可疑的可执行文件,若其在第二 阶段中的检验结果与其在第一阶段中的检验结果相异,则此可疑的可执行文件为一恶意软 件的可能性大增。本发明的细节将详述于以下段落中。本发明的一第一实施例描绘于图IA中,其显示一可移除装置la,可移除装置Ia用 以检验一储存于一计算装置加中的可执行文件21。于本实施例中,为检验可执行文件21 是否由一可信任的软件制造商(一可信的供货商)所发布。为检验可执行文件21,使用者 须连接可移除装置Ia与计算装置加。须说明的是,可移除装置Ia无病毒,并可为任何一 种计算机储存媒体,例如硬盘(hard disk)、CD-ROM、DVD-ROM、蓝光光盘(blur-ray disc) 等。然而,计算机储存媒体的类型并非用以限制本发明的范围。于其它实施例中,可移除装 置Ia可为诸如计算机等具有计算能力的装置。可移除装置Ia包含一初始化模块10、一文 件扫描模块11以及一供货商检验模块12。于离线阶段开始时,可移除装置Ia须在其启动计算装置加之前连接至计算装置 加。换言之,为防止任何恶意软件一开始就控制计算装置2a,计算装置加被设定为由可移 除装置Ia启动。之后,使可移除装置Ia的初始化模块10启动计算装置加。初始化模块 10可为一安装于可移除装置Ia中的操作系统。于可信任地启动后,文件扫描模块11自计 算装置加撷取可执行文件21。需说明的是,可移除装置Ia的文件扫描模块11能够识别计 算装置加的文件系统,以撷取可执行文件21。于撷取可执行文件21后,供货商检验模块21执行一关于可执行文件21的一供货 商的供货商检验。若可执行文件21通过供货商检验,供货商检验模块12便决定可执行文 件21为一可信任文件。首先,供货商检验模块12判断可执行文件21是否具有一关于可执行文件21的一 供货商的供货商信息。此处,供货商是指制作可执行文件21的公司、机构等。若供货商检验模块12判断可执行文件21不具有关于其供货商的供货商信息,则供货商检验模块12便 决定不再对可执行文件21执行进一步的供货商检验。而若可执行文件21具有一供货商信 息210,则供货商检验模块12便进一步判断供货商信息210是否可信赖。可执行文件21的 供货商信息210可与可执行文件21的一凭证(certificate)相关联。举例而言,若可执行 文件21被设计为在Microsoft Windows中执行,则可执行文件21包含一凭证,该凭证是于 可执行文件21发布时在Microsoft Windows中注册,使人们及/或机器能够得知该可执行 文件是来自供货商Microsoft,特别是当可执行文件21是由一知名软件制造商发布时,此 是因为大多数知名软件制造商均希望使其软件于Microsoft Windows下执行。对于由知名 软件制造商所发布的软件,凭证具有数字签章(digital signature)的作用。具体而言,供货商信息210包含一供货商信息片段、一指定讯息以及一加密讯息。 供货商信息片段用以指示可执行文件21是由哪一软件制造商所制作。举例而言,若可执行 文件21是由Oracle发布,则供货商信息片段指示“Oracle”。供货商检验模块12根据供货 商信息片段,自可移除装置Ia撷取一供货商公开金钥31。接着,供货商检验模块12使用供 货商公开金钥31,将可执行文件21的供货商信息210的加密讯息解密为一解密讯息。之 后,供货商检验模块12判断该解密讯息是否与该指定讯息相同。若供货商检验模块12判 断该解密讯息与该指定讯息相同,则供货商检验模块12决定可执行文件21为一可信任文 件;亦即,可执行文件21通过供货商检验。相反地,若供货商检验模块12判断该解密讯息 与该指定讯息相异,则供货商检验模块12会因为可执行文件21可能为伪造的而判断可执 行文件21为一可疑文件。因在离线阶段中,供货商检验模块12根据供货商信息210判断可执行文件21为 一可疑文件,故可执行文件21被记录于一可疑文件列表(suspicious list)中。随后,初 始化模块10关闭计算装置加而退出离线阶段。接着,可进入一执行时间检验阶段。计算 装置加自我启动而进入执行时间阶段。文件扫描模块11撷取记录于可疑文件列表的可执 行文件21,供货商检验模块12接着再次检测可执行文件21是否具有供货商信息。若此次 可执行文件21不具有供货商信息,则意味着可执行文件21的供货商信息被移除。因此,判 断可执行文件21为恶意文件;亦即,可执行文件21为一恶意软件的可能性大增。若检验的目的是判断可执行文件21是否由一可信任的软件制造商发布时,第一 实施例的可移除装置Ia便能够达成该任务。然而,使用者有可能希望对可执行文件21执 行其它检验。特别是当可执行文件21不具有供货商信息时。于此种情形中,可执行文件21 俨若一恶意软件一样可疑。本发明的一第二实施例即说明此种情景。请参阅图1B,其为本发明的一第二实施例的示意图。第二实施例为一可移除装置 lb,用以检验储存于一计算装置2b中的一可执行文件21’。可移除装置Ib无病毒(可信 任),且储存若干摘要信息32a,. . .,3&。如同在第一实施例中所述的情形,可移除装置Ib 包含初始化模块10、文件扫描模块11及供货商检验模块12。此外,可移除装置Ib包含一 摘要检验模块(digest-check module) 14。初始化模块10、文件扫描模块11及供货商检验 模块12执行与第一实施例中相同的功能,故在此不予赘述。以下说明将着重于摘要检验模 块14的细节,且是基于供货商检验模块13判断可执行文件21’不具有供货商信息的情形。可执行文件21’不具有供货商信息意味着可执行文件21’应被暂时视为一可能的 恶意软件,而并非已被视为一恶意软件。原因在于,并非所有可执行文件皆由知名软件制造商发布,某些可执行文件被订制用于特定计算机。非知名软件制造商所发布的可执行文件 可能不具有供货商信息。因此,可移除装置Ib的摘要检验模块14须进一步检验可执行文 件21’。摘要检验模块14对可执行文件21’执行一摘要检验。若可执行文件21’通过摘要 检验,摘要检验模块14便决定可执行文件21’为一可信任文件。首先,摘要检验模块14利用一讯息摘要算法(例如一 MD5算法)计算可执行文件 21’的一第一讯息摘要。接着,摘要检验模块14判断可移除装置Ib是否具有一与可执行文 件21’的第一讯息摘要相同的摘要信息。换言之,摘要检验模块14判断摘要信息32a,..., 32z中是否有任一者与可执行文件21’的第一讯息摘要相同。若摘要检验模块14判断第一 讯息摘要与摘要信息32a,...,32z其中之一(例如摘要信息32a)相同,摘要检验模块14 便决定可执行文件21’为一可信任文件。相反地,若摘要检验模块14判断摘要信息32a,. . . , 32z皆不与第一讯息摘要 相同,则摘要检验模块14便决定可执行文件21’未通过摘要检验。然而,尽管摘要信息 32a, ...,32z皆不与可执行文件21’的第一讯息摘要相同,此并不意味着可执行文件21’ 为一可疑文件,而是仅意味着摘要检验模块14无法判定可执行文件21’是否为一可信任文 件。之后,初始化模块10关闭计算装置2b以退出离线阶段。此时,可进入一执行时间阶段。 计算装置2b自我启动而进入执行时间阶段。文件扫描模块11开始自计算装置2b撷取记 录于可疑文件列表的可执行文件21’。之后,摘要检验模块12计算可执行文件21’的一第 二摘要讯息。若可执行文件21’的第一摘要讯息与可执行文件21’的第二摘要讯息相异, 则意味着可执行文件21’在进入「执行时间」阶段时已改变其完整性。因此,摘要检验模块 14决定可执行文件21’为一恶意软件。根据第一实施例及第二实施例可知,只要一可执行文件通过供货商检验模块12 所执行的供货商检验与摘要检验模块14所执行的摘要检验至少其中的一,便可判定该可 执行文件为一可信任文件。对于不具有供货商信息且未通过摘要检验的可执行文件,本发 明将如下文所述在离线阶段中从其它角度进一步检验之。在阐述其它实施例之前,需先阐述二重要概念。首先,在计算机的执行时间程序 中,某些可执行文件并非一开始时即由操作系统执行,而是在一后续阶段中由其它可执行 文件触发。第二,某些可执行文件为自动执行文件。某些恶意软件可采用此等特征来攻击 计算机及欺骗用于防恶意软件的软件。为防止此等行为攻击计算机,若一可执行文件在供 货商检验模块12所执行的供货商检验及摘要检验模块14所执行的摘要检验中皆未通过检 验,则应检验其触发关系及/或自动执行状态。请参阅图1C,其为本发明的一第三实施例的示意图。本发明的第三实施例为一可 移除装置lc,用以检验储存于一计算装置2c中的第一可执行文件24。如同在第二实施例 中所述的情景,可移除装置Ic包含初始化模块10、文件扫描模块11、供货商检验模块12以 及摘要检验模块14。此外,可移除装置Ic包含一连结文件检测模块(file-link-detect module) 15。与可移除装置Ic相连的计算装置2c包含第一可执行文件M及一第二可执行 文件22。初始化模块10、文件扫描模块11、供货商检验模块12以及摘要检验模块14可执 行与在第一及第二实施例中相同的功能,故在此不予赘述。以下说明将着重于连结文件检测模块15。亦即,供货商检验模块12判断第一可执 行文件M未能通过一关于第一可执行文件的一供货商的供货商检验,且摘要检验模块14判断第一可执行文件M未能通过一摘要检验。连结文件检测模块15检测第一可执行文件M是否与计算装置2c中另一可执行 文件(例如第二可执行文件22)具有一触发关系。需说明的是,可执行文件的触发关系因 计算装置而异,因而由计算装置的操作系统记录触发关系。因此,若在第一可执行文件M 与第二可执行文件22之间存在一触发关系,计算装置2c的操作系统(未绘示于附图)将 记录该触发关系。该触发关系可为第一可执行文件M能够被第二可执行文件22触发,或 者第一可执行文件M能够触发第二可执行文件22。若连结文件检测模块15检测到第一可 执行文件M与第二可执行文件22具有一触发关系,则意味着执行第一可执行文件M便可 能会导致计算装置2c感染计算机病毒。藉此,连结文件检测模块15根据对第一可执行文 件M与第二可执行文件22之间触发关系的检测,决定第一可执行文件M为一可疑文件。因在离线阶段中,连结文件检测模块15判断第一可执行文件M为一可疑文件,因 而第一可执行文件M被记录于一可疑文件列表中。此后,初始化模块10关闭计算装置2c 以退出离线阶段。之后,可进入一执行时间阶段。计算装置2c自我启动而进入执行时间阶 段。文件扫描模块11自计算装置2c撷取记录于可疑文件列表的第一可执行文件M。接着, 连结文件检测模块15再次检测第一可执行文件M是否具有一触发关系。若在执行时间阶 段中判断出第一可执行文件M不具有一触发关系,则意味着第一可执行文件M为一已经 过修改的恶意软件。若连结文件检测模块15判断第一可执行文件M与另一可执行文件具 有一触发关系但与第二可执行文件22不具有触发关系,此亦意味着第一可执行文件M已 经过修改。在这种情况下,连结文件检测模块15判断第一可执行文件M为一恶意软件。如上所述,另一种可疑行为为自动执行,此阐述于一第四实施例中。请参阅图1D, 其为本发明一第四实施例的示意图。本发明的第四实施例为一可移除装置ld,用以检验储 存于计算装置2d中的可执行文件25。如同在第二实施例中所示的情形,可移除装置Id包 含初始化模块10、文件扫描模块11、供货商检验模块12以及摘要检验模块14。此外,可移 除装置Id包含一自动执行判断模块16。初始化模块10、文件扫描模块11、供货商检验模块 12以及摘要检验模块14执行与第一及第二实施例中相同的功能,故在此不予赘述。以下说明将着重于自动执行判断模块16。亦即,供货商检验模块12判断可执行文 件25未能通过一关于该可执行文件的一供货商的供货商检验,且摘要检验模块14判断可 执行文件25未能通过一摘要检验。自动执行判断模块16将判断可执行文件25是否为一 自动执行文件。具体而言,自动执行判断模块16可通过剖析计算装置2d的一操作系统注 册信息而进行判断。当计算装置2d的操作系统已在操作系统注册信息上记录自动执行状 态时,自动执行判断模块16便可进行该判断。若自动执行判断模块16判断可执行文件25 为一自动执行文件,其便进一步决定可执行文件25为一可疑文件。因在离线阶段中,可执行文件25被自动执行判断模块16判断为一可疑文件,随后 可进一步检验可执行文件25。在离线阶段中,自动执行判断模块16将可执行文件25记录 于一可疑文件列表中。此后,初始化模块10关闭计算装置2d,以退出离线阶段。之后,可进 入一执行时间阶段。计算装置2d自我启动而进入执行时间阶段。文件扫描模块11自计算 装置2d撷取记录于一可疑文件列表的可执行文件25。然后,自动执行判断模块16再次检 测可执行文件25是否具有自动执行状态。若在执行时间阶段中自动执行判断模块16判断 可执行文件25不为自动执行文件,则自动执行判断模块16判断可执行文件25为一恶意软件,此乃因可执行文件25已被修改。图IE为本发明的一第五实施例,为一可移除装置le,用以检验储存于计算装置2e 中的所有可执行文件23a、23b、23c。可移除装置Ie包含初始化模块10、文件扫描模块11、 供货商检验模块12、摘要检验模块14、连结文件检测模块15以及自动执行判断模块16。可 移除装置加储存多摘要信息33a、33b以供用于摘要检验。所有模块及元件皆可执行在前 述各实施例中所述的功能,故在此不予赘述。计算装置加储存有可执行文件23a、23b、23c ;然而,某些可执行文件23a、23b、23c 可能为一可疑文件。若预先未经任何检验便启动计算装置加,则可能会有愈来愈越多的可 执行文件23a、23b、23c变成一可疑文件。为防止出现此种情形,可移除装置Ie预先连接至 计算装置2e。之后,由可移除装置Ie的初始化模块10启动计算装置2e,以使可移除装置 Ie控制计算装置2e。文件扫描模块11自计算装置2e撷取所有可执行文件23a、23b、23c。对于各该可 执行文件23a、23b、23c,可移除装置Ie皆检验其为一可信任文件还是一可疑文件。在本实施例中,若一可执行文件通过供货商检验模块12所执行的供货商检验与 摘要检验模块14所执行的摘要检验其中的一,其便为一可信任文件。而若一可执行文件未 能通过供货商检验模块12所执行的供货商检验,其便被决定为一可疑文件。若一可执行文件不具有供货商信息且未通过摘要检验模块14所执行的摘要检 验,则必须由连结文件检测模块15及/或自动执行判断模块16进一步检验该可执行文件。 于此种情形中,该可执行文件必须同时通过连结文件检测模块15与自动执行判断模块16 所执行的检验,方可被判断为一可信任文件。换言之,该可执行文件不能与另一可执行文件 具有一触发关系且不能为一自动执行文件,否则其将被判断为一可疑文件。于第五实施例 中,一可疑的可执行文件将被暂时移至一被隔离位置。于所有可执行文件23a、23b、23c皆经过可移除装置Ie检验之后,因可疑的可执行 文件已被隔离,因而可判断计算装置2e为一无病毒装置。同样地,第五实施例将可疑的可 执行文件记录于一可疑文件列表中。这种可疑的可执行文件可在一执行时间阶段中予以进 一步检验。在执行时间阶段中所执行检验的细节已阐述于第一、第二、第三及第四实施例 中,故在此不予赘述。本发明的一第六实施例绘示于图2A-2D中,其为一种用以检验一计算装置(例如 在上述实施例中所述的计算装置加)的一可执行文件的方法。首先,该方法执行步骤301,使一可移除装置启动该计算装置,其中该可移除装置 无病毒。接着,执行步骤302,使该可移除装置自该计算装置撷取该可执行文件。之后,执行 步骤303,使该可移除装置判断该可执行文件是否具有一关于该可执行文件的一供货商的 供货商信息。若于步骤303中判断出该可执行文件具有一供货商信息,则应判断该可执行 文件是否为可信赖的。具体而言,可通过图2B中所示的步骤进一步达成可执行文件的正确性检验。须 说明者,该供货商信息包含一供货商信息片段、一指定讯息以及一加密讯息。首先,执行步 骤303a,根据该供货商信息片段,自该可移除装置撷取一供货商公开金钥。之后,执行步骤 30北,使用该供货商公开金钥将该供货商信息的加密讯息解密为一解密讯息。接着,执行步 骤303c,判断该解密讯息是否与该指定讯息相同。若该解密讯息与该指定讯息相同(即,步骤303c的判断结果为“是”),则执行步骤308,决定该可执行文件为一可信任文件。反之, 若该解密讯息与该指定讯息相异(即,步骤303c的判断结果为「否」),则意味着该可执行 文件可能为伪造的,之后执行步骤303d,决定该可执行文件为一可疑文件。将被决定为可疑 文件的可执行文件记录于一可疑文件列表中。至此,第六实施例在一离线阶段中执行完毕。本发明的方法可结束于步骤303d或执行进一步检验。第六实施例进一步执行步 骤30 至303i,以在一执行时间阶段中进行进一步检验。须注意者,步骤30 至303i无 需在步骤303d之后立即执行。步骤30 至303i可在一后续时刻执行。在执行时间阶段 中,执行步骤30 ,关闭该计算装置,以退出离线阶段。执行步骤303f,于该计算装置自我 启动而进入执行时间阶段后,自该计算装置撷取该可执行文件。接着,执行步骤303g,再次 判断该可执行文件是否具有一供货商信息。若该可执行文件不具有一供货商信息,则此意 味着该可执行文件被修改或者该可执行文件的供货商信息被修改。因此,执行步骤30池,决 定该可执行文件为一恶意软件。若步骤303g的判断结果为“是”,则执行步骤303i,决定该 可执行文件仍为一可疑文件。若于步骤303中,该可执行文件不具有一供货商信息,则该方法继续进行步骤 304。于步骤304中,该方法使用一讯息摘要算法(例如一 MD5算法)计算该可执行文件的 一讯息摘要。接着,于步骤305中,该方法判断储存于该可移除装置中的任一摘要信息是否 与该可执行文件的讯息摘要相同。若步骤305判断该讯息摘要与可移除装置中的一摘要信息 相同,则该方法继续执行步骤308,决定该可执行文件为一可信任文件。反之,若步骤305判断该 可移除装置不具有与该可执行文件的讯息摘要相同的摘要信息,则该方法继续执行步骤306。于步骤306中,该方法检测该可执行文件是否与计算装置的另一可执行文件具有 一触发关系。若在该可执行文件与另一可执行文件之间存在一触发关系,则执行步骤306a, 决定该可执行文件为一可疑文件,并将被决定为可疑文件的可执行文件记录于一可疑文件 列表中。步骤304、305、306、306a、308是于离线阶段执行。本发明的方法可结束于步骤306a 或执行进一步检验。第六实施例进一步执行步骤306b至306f,以在一执行时间阶段中进一 步检验。须注意者,步骤306b至306f无需在步骤306a后立即执行。步骤306b至306f可 在一后续时刻执行。于执行时间阶段,执行步骤306b,关闭该计算装置,以退出离线阶段。执行步骤 306c,在该计算装置自我启动而进入执行时间阶段后,自该计算装置撷取该可执行文件。接 着,执行步骤306d,再次判断该可执行文件是否具有一触发关系。若在该计算装置的执行时 间阶段中,该可执行文件不具有一触发关系,则此意味着该可执行文件为一恶意软件,此乃 因该可执行文件已被修改。之后,执行步骤306f,决定该可执行文件为一恶意软件。反之, 则执行步骤306e,决定该可执行文件仍为一可疑文件。相反地,若步骤306的判断结果为“否”,则执行步骤307,判断该可执行文件是否 为一自动执行文件。若该可执行文件不为自动执行文件,则执行步骤308,决定该第一可执 行文件为一可信任文件。若在步骤307中判断该可执行文件为一自动执行文件,则在步骤 307a中决定该可执行文件为一可疑文件,并将被决定为一可疑文件的可执行文件记录于一 可疑文件列表中。步骤307、307a、308是在离线阶段执行。本发明的方法可结束于步骤307a 或执行进一步检验。第六实施例进一步执行步骤307b至307f,以在一执行时间阶段中进 行进一步检验。须注意者,步骤307b至307f无需在步骤307a后立即执行。步骤307b至307f可在一后续时刻执行。于执行时间阶段,执行步骤307b,关闭该计算装置,以退出离线阶段。执行步骤 307c,在该计算装置自我启动而进入执行时间阶段后,自该计算装置撷取该可执行文件。接 着,执行步骤307d,再次判断该可执行文件是否为一自动执行文件。若在该计算装置的执行 时间阶段中,该可执行文件不为自动执行文件,则此意味着该可执行文件已被修改,因而执 行步骤307f,决定该可执行文件为一恶意软件。反之,则执行步骤307e,决定该可执行文件 仍为一可疑文件。本发明的一第七实施例绘示于图3中,其为一种用以检验一计算装置(例如在上 述实施例中所述的计算装置加)的一可执行文件的方法。首先,该方法执行步骤401,使一可移除装置启动该计算装置,其中该可移除装置 无病毒。接着,执行步骤402,使该可移除装置自该计算装置撷取该可执行文件。然后,执行 步骤403,使该可移除装置判断该可执行文件是否不具有一关于该可执行文件的一供货商 的供货商信息。执行步骤404,计算该可执行文件的一第一讯息摘要。将该可执行文件的第一讯 息摘要记录于一摘要列表中。随后,执行步骤405,关闭该计算装置,以退出离线阶段。执 行步骤406,在该计算装置自我启动而进入执行时间阶段后,自该计算装置撷取该可执行文 件。然后,执行步骤407,计算该可执行文件的一第二摘要讯息,以供在步骤408中用于后续 比较。具体而言,于步骤408中,判断该第一摘要讯息与该可执行文件的该第二摘要讯 息相异。此意味着该可执行文件已被修改。因此,执行步骤409,判断该可执行文件为一恶 意软件。须注意的是,本发明的离线阶段与执行时间阶段是独立运作。换言之,本发明可在 离线阶段中从该四个层面检验计算装置的所有可执行文件。在离线阶段中,某些可执行文 件被决定为可疑文件,且这种可疑的可执行文件将记录于一可疑文件列表中。在离线阶段 的检验完成后,进入执行时间阶段的检验。在执行时间阶段中,再次检验记录于该可疑文件 列表的可疑的可执行文件。若一可疑的可执行文件在执行时间阶段的检验结果与在离线阶 段的检验结果相异,便决定该可疑的可执行文件为一恶意软件。反之,则决定该可疑的可执 行文件仍为一可疑文件。除了上述步骤,本发明用以检验一计算装置的一可执行文件的方法亦能执行前述 各实施例所描述的所有操作及功能。所属技术领域具有通常知识者可直接了解本发明的方 法如何基于上述各实施例以执行这种操作及功能。故不赘述。综上所述,本发明是利用一可信任的可移除装置启动一计算装置并分二阶段检验 该计算装置的所有可执行文件。若在“离线阶段”中判断一可执行文件为一可疑文件,则将 该可执行文件记录于一可疑文件列表中。于该可信任的可移除装置在“离线阶段”中检验 完该计算装置的所有可执行文件后,仍需要执行进一步的检验。于“执行时间”阶段中,将 进一步检验记录于可疑文件列表的可执行文件,以决定其是否为恶意软件。相应地,被判断 为可疑文件及恶意软件的可执行文件将被移至一单独位置。藉此,判断该计算装置无病毒 (可信任)。因此,即使一计算装置已被计算机病毒感染,本发明的可移除装置仍可将该计 算装置作为一无病毒装置进行开启。
上述的实施例仅用来例举本发明的实施态样,以及阐释本发明的技术特征,并非 用来限制本发明的保护范畴。任何熟悉此技术者可轻易完成的改变或均等性的安排均属于 本发明所主张的范围,本发明的权利保护范围应以申请专利范围为准。
权利要求
1.一种以一可移除装置检验一计算装置的一第一可执行文件的方法,该可移除装置无 病毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该第一可执行文件;(c)使该可移除装置判断该第一可执行文件不具有一关于该第一可执行文件的一供货 商的供货商信息;(d)使该可移除装置使用一讯息摘要算法计算该第一可执行文件的一讯息摘要;(e)使该可移除装置判断其不具有与该讯息摘要相同的摘要信息;(f)使该可移除装置检测该第一可执行文件与该计算装置的一第二可执行文件具有一 触发关系;以及(g)使该可移除装置根据步骤(f)的检测结果,决定该第一可执行文件为一可疑文件。
2.根据权利要求1所述的方法,其特征在于,还包含下列步骤于步骤(g)后(h)使该可移除装置关闭该计算装置;(i)于该计算装置自我启动后,使该可移除装置自该计算装置撷取该第一可执行文件;(j)使该可移除装置检测该第一可执行文件与该计算装置的该第二可执行文件不具有 触发关系;以及(k)使该可移除装置根据步骤(j)的检测结果,决定该第一可执行文件为一恶意软件。
3.根据权利要求1所述的方法,其特征在于,该触发关系是指该第二可执行文件会触 发该第一可执行文件。
4.根据权利要求1所述的方法,其特征在于,该触发关系是指该第一可执行文件会触 发该第二可执行文件。
5.根据权利要求1所述的方法,其特征在于,该计算装置的一操作系统记录该触发关系。
6.一种以一可移除装置检验一计算装置的一可执行文件的方法,该可移除装置无病 毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件不具有一关于该可执行文件的一供货商的供货 商信息;(d)使该可移除装置使用一讯息摘要算法计算该可执行文件的一讯息摘要;(e)使该可移除装置判断其不具有与该讯息摘要相同的摘要信息;(f)使该可移除装置判断该可执行文件为一自动执行文件;以及(g)使该可移除装置根据步骤(f)的判断结果,决定该可执行文件为一可疑文件。
7.根据权利要求6所述的方法,其特征在于,还包含下列步骤于步骤(g)后(h)使该可移除装置关闭该计算装置;(i)于该计算装置自我启动后,使该可移除装置自该计算装置撷取该可执行文件; (j)使该可移除装置判断该可执行文件非为一自动执行文件;以及(k)使该可移除装置根据步骤(j)的判断结果,决定该可执行文件为一恶意软件。
8.根据权利要求6所述的方法,其特征在于,步骤(f)是通过分析该计算装置的一操作 系统注册信息,以判断该可执行文件为一自动执行文件。
9.一种以一可移除装置检验一计算装置的一可执行文件的方法,该可移除装置无病 毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件不具有一关于该可执行文件的一供货商的供货 商信息;(d)使该可移除装置使用一讯息摘要算法计算该可执行文件的一讯息摘要;(e)使该可移除装置判断该讯息摘要与该可移除装置所储存的一摘要信息相同;以及(f)使该可移除装置根据步骤(e)的判断结果,决定该可执行文件为一可信任文件。
10.一种以一可移除装置检验一计算装置的一可执行文件的方法,该可移除装置无病 毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件包含一供货商信息,该供货商信息包含一供货 商信息片段、一指定讯息及一加密讯息;(d)使该可移除装置根据该供货商信息片段撷取一供货商公开金钥,该供货商公开金 钥是储存于该可移除装置;(e)使该可移除装置以该供货商公开金钥,将该加密讯息解密为一解密讯息;(f)使该可移除装置判断该解密讯息与该指定讯息相异;以及(g)使该可移除装置根据步骤(f)的判断结果,决定该可执行文件为一可疑文件。
11.根据权利要求10所述的方法,其特征在于,还包含下列步骤于步骤(g)后(h)使该可移除装置关闭该计算装置;(i)于该计算装置自我启动后,使该可移除装置自该计算装置撷取该可执行文件;(j)使该可移除装置判断该可执行文件不具有一关于该可执行文件的一供货商的供货 商信息;以及(k)使该可移除装置根据步骤(j)的判断结果,决定该可执行文件为一恶意软件。
12.根据权利要求10所述的方法,其特征在于,该供货商信息与该可执行文件的一凭 证相关联。
13.—种以一可移除装置检验一计算装置的一可执行文件的方法,该可移除装置无病 毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件包含一供货商信息,该供货商信息包含一供货 商信息片段、一指定讯息及一加密讯息;(d)使该可移除装置根据该供货商信息片段撷取一供货商公开金钥,该供货商公开金 钥储存于该可移除装置;(e)使该可移除装置以该供货商公开金钥,将该加密讯息解密为一解密讯息;(f)使该可移除装置判断该解密讯息与该指定讯息相同;以及(g)使该可移除装置根据步骤(f)的判断结果,决定该可执行文件为一可信任文件。
14.根据权利要求13所述的方法,其特征在于,该供货商信息与该可执行文件的一凭 证相关联。
15.一种以一可移除装置检验一计算装置的一可执行文件的方法,该可移除装置无病 毒,该方法包含下列步骤(a)使该可移除装置启动该计算装置;(b)使该可移除装置自该计算装置撷取该可执行文件;(c)使该可移除装置判断该可执行文件不具有一关于该可执行文件的一供货商的供货 商信息;(d)使该可移除装置使用一讯息摘要算法计算该可执行文件的一第一讯息摘要;(e)使该可移除装置判断其不具有与该讯息摘要相同的摘要信息;(f)使该可移除装置关闭该计算装置;(g)于该计算装置自我启动后,使该可移除装置自该计算装置撷取该可执行文件;(h)使该可移除装置使用一讯息摘要算法计算该可执行文件的一第二讯息摘要;(i)使该可移除装置判断该第一讯息摘要与该第二讯息摘要相异;以及(j)使该可移除装置根据步骤(i)的判断结果,决定该可执行文件为一恶意软件。
16.一种用以检验一计算装置的一第一可执行文件的可移除装置,该可移除装置无病 毒,该可移除装置包含一初始化模块,用以启动该计算装置;一文件扫描模块,用以自该计算装置撷取该第一可执行文件;一供货商检验模块,用以判断该第一可执行文件不具有一关于该第一可执行文件的一 供货商的供货商信息;一摘要检验模块,用以使用一讯息摘要算法计算该第一可执行文件的一讯息摘要,并 判断该可移除装置不具有与该讯息摘要相同的摘要信息;以及一连结文件检测模块,用以检测该第一可执行文件与该计算装置的一第二可执行文件 具有一触发关系,并根据该检测结果,决定该第一可执行文件为一可疑文件。
17.根据权利要求16所述的可移除装置,其特征在于,该初始化模块还用以关闭该计 算装置,该文件扫描模块还用以于该计算装置自我启动后,自该计算装置撷取该第一可执 行文件,该连结文件检测模块还用以检测该第一可执行文件与该计算装置的该第二可执行 文件不具有触发关系,并根据该检测结果,决定该第一可执行文件为一恶意软件。
18.根据权利要求16所述的可移除装置,其特征在于,该触发关系是指该第二可执行 文件会触发该第一可执行文件。
19.根据权利要求16所述的可移除装置,其特征在于,该触发关系是指该第一可执行 文件会触发该第二可执行文件。
20.根据权利要求16所述的可移除装置,其特征在于,该计算装置的一操作系统记录 该触发关系。
21.一种用以检验一计算装置的一可执行文件的可移除装置,该可移除装置无病毒,该 可移除装置包含一初始化模块,用以启动该计算装置;一文件扫描模块,用以自该计算装置撷取该可执行文件;一供货商检验模块,用以判断该可执行文件不具有一关于该可执行文件的一供货商的 供货商信息;一摘要检验模块,用以使用一讯息摘要算法计算该可执行文件的一讯息摘要,并判断 该可移除装置不具有与该讯息摘要相同的摘要信息;以及一自动执行判断模块,用以判断该可执行文件为一自动执行文件,并根据该判断结果, 决定该可执行文件为一可疑的文件。
22.根据权利要求21所述的可移除装置,其特征在于,该初始化模块还用以关闭该计 算装置,该文件扫描模块还用以于该计算装置自我启动后,自该计算装置撷取该可执行文 件,该自动执行判断模块还用以判断该可执行文件非为一自动执行文件,并根据该判断结 果,决定该可执行文件为一恶意软件。
23.根据权利要求21所述的可移除装置,其特征在于,该自动执行判断模块通过分析 该计算装置的一操作系统注册信息,以判断该可执行文件为一自动执行文件。
24.一种用以检验一计算装置的一可执行文件的可移除装置,该可移除装置无病毒,该 可移除装置包含一初始化模块,用以启动该计算装置;一文件扫描模块,用以自该计算装置撷取该可执行文件;一供货商检验模块,用以判断该可执行文件不具有一关于该可执行文件的一供货商的 供货商信息;以及一摘要检验模块,用以使用一讯息摘要算法计算该可执行文件的一讯息摘要,用以判 断该讯息摘要与该可移除装置所储存的一摘要信息相同,以及用以根据该判断结果,决定 该可执行文件为一可信任文件。
25.一种用以检验一计算装置的一可执行文件的可移除装置,该可移除装置无病毒,该 可移除装置包含一初始化模块,用以启动该计算装置;一文件扫描模块,用以自该计算装置撷取该可执行文件;以及一供货商检验模块,用以判断该可执行文件包含一供货商信息,该供货商信息包含一 供货商信息片段、一指定讯息及一加密讯息,用以根据该供货商信息片段,自该可移除装置 撷取一供货商公开金钥,用以以该供货商公开金钥,将该加密讯息解密为一解密讯息,用以 判断该解密讯息与该指定讯息相异,以及用以根据该判断结果,决定该可执行文件为一可 疑文件。
26.根据权利要求25所述的可移除装置,其特征在于,该初始化模块还用以关闭该计 算装置,该文件扫描模块还用以于该计算装置自我启动后,自该计算装置撷取该可执行文 件,该供货商检验模块还用以判断该可执行文件不具有一关于该可执行文件的一供货商的 供货商信息,并根据该判断结果,决定该可执行文件为一恶意软件。
27.根据权利要求25所述的可移除装置,其特征在于,该供货商信息与该可执行文件 的一凭证相关联。
28.一种用以检验一计算装置的一可执行文件的可移除装置,该可移除装置无病毒,该可移除装置包含一初始化模块,用以启动该计算装置; 一文件扫描模块,用以自该计算装置撷取该可执行文件;以及 一供货商检验模块,用以判断该可执行文件包含一供货商信息,该供货商信息包含一 供货商信息片段、一指定讯息及一加密讯息,用以根据该供货商信息片段,自该可移除装置 撷取一供货商公开金钥,用以以该供货商公开金钥,将该加密讯息解密为一解密讯息,用以 判断该解密讯息与该指定讯息相同,以及用以根据该判断结果,决定该可执行文件为一可 信任文件。
29.根据权利要求观所述的可移除装置,其特征在于,该供货商信息与该可执行文件 的一凭证相关联。
30.一种用以检验一计算装置的一可执行文件的可移除装置,该可移除装置无病毒,该 可移除装置包含一初始化模块,用以启动该计算装置;一文件扫描模块,用以自该计算装置撷取该可执行文件;一供货商检验模块,用以判断该可执行文件不具有一关于该可执行文件的一供货商的 供货商信息;以及一摘要检验模块,用以使用一讯息摘要算法计算该可执行文件的一第一讯息摘要,以 及用以判断该可移除装置不具有与该讯息摘要相同的摘要信息;其中该初始化模块还用以关闭该计算装置,该文件扫描模块还用以于该计算装置自我 启动后,自该计算装置撷取该可执行文件,该摘要检验模块还用以使用一讯息摘要算法计 算该可执行文件的一第二讯息摘要,判断该第一讯息摘要与该第二讯息摘要相异,并根据 该判断结果,决定该可执行文件为一恶意软件。
全文摘要
本发明提供一种用以检验一计算装置的一可执行文件的装置及方法,是采用一可移除装置实施。该可移除装置启动该计算装置,并自该计算装置撷取可执行文件,在撷取该可执行文件后,一供货商检验模块及一摘要检验模块对该可执行文件分别执行一供货商检验及一摘要检验。若该可执行文件在供货商检验与摘要检验中皆未通过检验,则由一连结文件检测模块及一自动执行判断模块检验该可执行文件的行为,以决定该可执行文件是否为一可疑文件。
文档编号G06F21/00GK102110204SQ20101018293
公开日2011年6月29日 申请日期2010年5月13日 优先权日2009年12月23日
发明者陈俊祥 申请人:英群企业股份有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:陈俊祥
  • 技术所有人:英群企业股份有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
蛔虫移除装置相关技术
检验装置气密性的方法相关技术
检验装置气密性相关技术
电能计量装置检验规程相关技术
接地装置检验批容量相关技术
继电保护装置检验规程相关技术
行驶记录仪检验装置相关技术
如何检验装置气密性相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2