数据处理系统的安全装置和安全方法

技术领域

本发明涉及从各种恶意代码保护数据处理系统，并防止数据泄漏及故障等的安全装置和安全方法。

背景技术

随着运行管理各种数据的电脑或移动终端等的数据处理系统，和传播这些相互通讯的如互联网等网路的发展，无数的数据通过数据处理系统进行处理。

这些数据不仅包含对用户有益的信息，还包含损坏性的信息，这种信息可以列举病毒(virus)、间谍软件(spyware)、恶意广告软件(adware)等的恶意代码。所述恶意代码对特定或不特定多数用户所使用的数据处理系统造成严重的损伤，或执行用户不需要的动作，甚至泄漏用户的个人信息对用户造成经济上的损失。因此，必须持续地执行监视并拦截恶意代码的努力。

以往，通常为了检索恶意代码，将恶意代码的模式储存在DB，并监视相应模式的文件是否在指定的数据处理系统或网路的特定位置上存在。

然而，现有的方式是将储存的文件与储存在所述DB的模式随机比较确认的方式，因此相对于投资时间及投资资源具有安全度不高的问题。而且，现有的方式与文件的执行无关，只在现有的安全装置的驱动时刻对相应文件随机监视安全性，因此在特定时刻，对没有激活的恶意代码，或者不是恶意代码本身，而是在执行特定处理或在特定时刻开始进行恶意性功能的恶意代码，现有的安全装置具有无法监视的缺陷。

为了解决这种问题，曾有提出现有的安全装置对数据处理系统或在特定位置存在的所有文件以一定周期一一确认的方法。然而，现有的安全装置需要监视的安全对象文件的个数，随着数据处理系统或特定位置的规模其数不少，而且周期越短监视次数也越增加，因此为了精密的文件监视，现有的安全装置具有需要不少规格的问题。

发明内容

对此，本发明是为了解决如上所述的问题而发明的，其课题是提供，对诱导恶意代码动作的执行文件有效地执行监视的数据处理系统的安全装置和安全方法。

用于完成所述技术性课题的本发明数据处理系统的安全装置，包含：

执行模块，在执行含有由例程类型的安全加载器和原始执行文件所构成的存根(stub)的存根文件时，处理由所述安全加载器呼叫并通过所述安全加载器从所述存根复原的所述原始执行文件加以执行；以及

监视模块，监视根据复原的所述原始执行文件执行的数据处理系统的动作。

为了完成另一所述技术性课题的本发明数据处理系统的安全方法，包含：

确认安全装置安装的步骤，在数据处理系统中执行存根文件时，所述存根文件的安全加载器呼叫所述数据处理系统的安全装置；

储存对象文件信息的步骤，储存从所述存根文件的存根复原的原始执行文件；以及

监视原始执行文件的步骤，监视根据复原的所述原始执行文件执行的数据处理系统的动作。

如上所述的本发明是，监视包含在执行文件的恶意代码动作的安全装置，在执行所述执行文件时以被动驱动来动作，由此提高对恶意代码的监视效率和动作效率，同时具有在监视动作中可使系统负荷最小化的效果。

附图说明

图1是根据本发明的安全装置的结构示意图。

图2是将根据本发明的安全装置作为基础形成的安全方法的流程图。

图3是根据本发明的安全装置的另一结构示意图。

图4是通过根据本发明的安全装置转换成存根文件的原始执行文件和图标的状态图。

图5是根据本发明的存根文件的图标图像。

图6是将根据本发明的安全装置作为基础形成的安全方法的另一实施例的流程图。

具体实施方式

如上所述的本发明的特征及效果通过附图和以下的相关详细说明将会变得很明确，由此本发明的技术领域中具有通常知识的技术人员可以容易实施本发明的技术思想。本发明可以实施多种变更，亦可以采取多种形态，所以在图面例示特定实施例，将对本发明进行详细的说明。但这不表示本发明限定在特定的揭示形态，而是应该理解成包含本发明的思想及技术范围所含的所有变更、均等物或替代物。在本说明书中使用的术语只是用于说明特定实施例而使用的，并不是意图限制本发明。

以下，结合附图对实施本发明的具体内容进行详细的说明。

图1是根据本发明的安全装置的结构示意图，参照此图进行说明。

根据本发明的安全装置10是由执行存根文件40时确认在特定区域发生的活动，且该活动脱离指定的活动时对此进行拦截及/或警告的监视模块11，和处理经安全处理的存根文件40复原成原始执行文件加以执行的执行模块12所构成。

监视模块11在存根文件40执行时，更具体的，在构成存根文件40的原始执行文件执行时，确认在数据处理系统的注册表、文件I/O、服务、窗口、内核区驱动器等的区域发生的数据生成及编辑等的活动，检测到与构成存根文件40的该原始执行文件无关或相关应用程序的接近或动作是不允许的执行时，对此进行强制停止或输出警告窗口通知给用户。与该原始执行文件无关或相关应用程序的接近或动作是不允许的执行是指，在原始执行文件或存根文件40等未经允许记录的恶意代码在任意区域执行与该原始执行文件或存根文件40无关的动作，或对系统运行可能造成影响区域(注册表、文件I/O、服务等)的变更(生成、修正及删除等)。作为参考，监视恶意代码活动的监视模块11采用公知、公用的杀毒软件技术，该技术包含检测到不允许的执行时对此进行强制停止或输出警告窗口等的技术。

执行模块12是随着存根文件40的执行以被动呼叫来执行，并处理使得构成存根文件40的安全加载器43根据程序动作，使存根文件40的存根41复原成原始执行文件。即，执行模块12的处理是使安全加载器43根据已设定的程序例程执行的构成。

存根文件40是由以原始执行文件构成的存根41、具有生成存根文件40的生成者信息及/或生成系统信息等的标头42(header)、和控制用于执行原始执行文件的处理并呼叫安全装置10的安全加载器43所构成，且为了以流方式处理构成数据，依序排列安全加载器43、标头42及存根41以便在相应OS及应用程序30中被依序处理。结果，安全加载器43是将存根文件40的执行主动通知给安全装置10，且与构成安全装置10的执行模块12联系，进行相应原始数据，即存根41的复原工作的一种设计的例程。作为参考，安全装置10的一构成执行模块12是从安全加载器43接收复原的原始执行文件的位置并且使所述原始执行文件执行的控制装置。

关于根据本发明的安全装置10的更具体的技术说明，说明安全方法时进行详细的说明。

图2是将根据本发明的安全装置作为基础形成的安全方法的流程图，参照此图进行说明。

S10：执行文件的执行步骤

在数据处理系统中，用于驱动相应系统或应用程序30的执行文件根据用户的选择或已设定的流程执行。在此，执行文件是具有*.exe，*.dll等PE(PortableExecutable)结构的文件，除此之外，亦可以采用多种扩展名的执行文件。

作为参考，作为本发明对象的存根文件40是以与原始执行文件相同的名称储存，所以执行所述原始执行文件的OS(OperatingSystem；20)或应用程序30将认为执行文件的存根文件40确认为相应原始执行文件并进行该执行。因此，原始执行文件为"a.exe"时，存根文件40也转换成"a.exe"而储存，所以OS(20)或相应应用程序30在处理相应执行文件的时刻，处理转换成存根文件40储存的"a.exe"的执行。

接着，在执行文件上记录的信息由OS(20)或应用程序30以流方式依序处理。因此，执行文件为存根文件40时，OS(20)或应用程序30按照储存的顺序处理在存根文件40上所记录的信息，即安全加载器43、标头42及存根41。

S20：确认安全装置安装的步骤

OS(20)或应用程序30的处理过程中确认安全加载器43，且安全加载器43根据设定的内容动作并呼叫安全装置10。

另一方面，所述执行文件不是根据本发明安全处理的存根文件40，而是普通执行文件时，因相应执行文件不具有安全加载器43，所以在OS(20)或应用程序30的处理中不会呼叫安全装置10，由相应应用程序直接执行所述执行文件的存根41。

作为参考，在没有设置根据本发明的安全装置10的数据处理系统，执行存根文件40时，由于存根文件40的安全加载器43没有呼叫的对象，所以不能进行后续的过程。结果，在没有设置安全装置10的数据处理系统，监视对象执行文件的执行本身从根本上被拦截，因此具有使安全极大化的效果。

S30：确认对象文件的步骤

一种程序例程安全加载器43分别确认用于确认存根文件40位置的第1完整路径(FullPath)信息，和构成存根文件40的安全加载器43、标头42、和存根41的大小。存根文件40是根据用户的用意可以移动到多种位置而执行的独立文件，所以并不限制固定在特定位置。因此，安全加载器43在每当执行存根文件40时确认本身的位置及大小。作为参考，完整路径(FullPath)是在指定文件名称时从硬碟名称开始指定所有的目录名称而输入，是确认文件绝对位置的众所周知、惯用的信息。

存根41是原始执行文件区间，在转换成存根文件40的处理时，可以对原始执行文件区间加密。结果，将原始执行文件转换成存根文件40时，由于原始执行文件被加密，不仅是在执行时从根本上拦截恶意代码的活动，还具有防止原始执行文件的数据未经许可泄漏的效果。

S40：储存对象文件信息的步骤

安全加载器43将存根41的原始执行文件分离储存在临时文件夹F，并确认相应临时文件夹F的位置，即第2完整路径信息，与所述第1完整路径信息一起传送给安全装置10的执行模块12。

作为参考，存根41的原始执行文件被加密时，安全加载器43可能将加密的原始执行文件解密后储存在临时文件夹F，或是安全加载器43也可能将加密的原始执行文件首先储存在临时文件夹F后在相应原始执行文件的执行之前由执行模块12将其解密。

S50：执行原始执行文件的步骤

由安全加载器43呼叫的安全装置10的执行模块12从安全加载器43接收所述第2完整路径信息，且执行模块12处理相当于所述第2完整路径信息的原始执行文件加以执行。

所述原始执行文件根据执行模块12的控制开始专有的相应执行，且联系的应用程序开始其驱动。

S60：监视原始执行文件的步骤

安全装置10的监视模块11将安全加载器43传送的第1、第2完整路径信息作为基础确认临时文件夹F中的所述原始执行文件，在所述原始执行文件被执行时，在数据处理系统的注册表、文件I/O、服务、窗口、内核区驱动器等的区域掌握生成及编辑的所有数据以确认恶意代码的存在或是否发生未经许可的行为等。

因为监视模块11具有所述原始执行文件动作以后的执行信息，在所述原始执行文件动作以后发生指定的执行信息以外的动作时，监视模块11认为在数据处理系统的相应区域发生恶意代码或未经许可的行为，并进行后续处理。

S70：监视对象后续处理步骤

监视模块11确认在数据处理系统的相应区域发生恶意代码或未经许可的行为时，可以停止所述数据处理系统的相应动作，且可以采取输出警告窗口给用户的后续处理。

监视模块11的后续处理内容列举，确认对OS启动所需区域(MBR等)的试图更改、确认不是以一般用户等级而是以内核等级对注册表值的不必要的试图更改(监视注册表)、对拦截接近或要求部分的记录储存等的数据生成或编辑等。

如上所述，监视模块11可以采用用于限制恶意代码的驱动或未经许可行为的众所周知、公用的装置。

另外，存根文件40包含标头42，监视模块11从标头42确认存根文件40的标头信息。所述标头信息包含生成存根文件40的生成者信息及/或生成地信息、文件流入路径(以下称为‘文件流入信息’)等，并以所述标头信息为基准可以采取将存根文件40的执行控制或删除等的安全处理。

对此进行更具体的说明，监视模块11在监视原始执行文件的步骤S60中，以存根文件40的标头信息作为基础，首先查询相应存根文件40的文件流入路径信息(例如，发送文件的发送人邮件地址、下载文件的URL地址、包含文件的USB装置名称等)。确认查询的文件流入路径信息为现有进行恶意代码驱动或未经许可行为的政策上未经许可的流入路径时，可以进行拦截相应原始执行文件的执行或删除存根文件40的处理，进而可以进行限制具有所述文件流入路径信息的其他存根文件动作的处理，以拦截相应文件流入路径本身的后续处理。

S80：执行文件结束步骤

当相应执行文件的执行结束时，执行模块12删除临时储存原始执行文件的临时文件夹F或原始执行文件。

图3是根据本发明的安全装置的另一结构示意图，图4是通过根据本发明的安全装置转换成存根文件的原始执行文件和图标的状态图，图5是根据本发明的存根文件的图标图像，参照此图进行说明。

根据本发明的安全装置10’还包含将监视对象原始执行文件处理转换成存根文件40的生成模块13。

执行文件中有必须保持安全的应用程序的执行文件。因此，相应应用程序动作时必须以安全为前提，为此所述应用程序的执行文件驱动时必须实时监视恶意代码也是否一起活动。因此，根据本发明的安全装置10’包含将指定的原始执行文件处理转换成存根文件40的生成模块13。

另外，执行文件在执行时额外生成并执行下位执行文件以便执行新程序等。例如，像程序安装文件等的执行文件由用户执行相应执行文件时，额外生成下位执行文件，并且使其自动执行，或由用户选择执行。

因此，生成模块13在主要执行文件处理转换成存根文件40时，处理在执行相应存根文件40中生成的下位执行文件也自动转换成存根文件。

如图4(a)所示，生成模块13为了存根文件40转换，生成安全加载器43，在转换对象，即原始执行文件的前段插入安全加载器43，使得所述原始执行文件转换成存根文件40。结果，生成模块13在相当于原始执行文件的存根41的前段配置安全加载器43转换成存根文件40。

对在原始执行文件插入安全加载器的技术进行更具体的说明。

在原始执行文件中插入存根程序安全加载器43，或将安全加载器43和数据组合的工作都是在执行文件附加数据的工作。这样将执行文件和数据组合的方法有多种，在根据本发明的实施例中例示如下。

(1)第1实施例

将安全加载器43附加在资源上。这个方法是通常在编译时间使用的方法，多半在生成相当于安全加载器43的存根程序的执行模块13中使用。以二进制资源包含原始执行文件本身后，将其加载使用的形态。使用视窗提供的资源API时，可以容易地进行这种工作。由于资源与原始执行文件一起加载到记忆体，附加在资源的安全加载器43大，且不需要一次加载时，可能发生记忆体的浪费。

(2)第2实施例

将新的区段附加在原始执行文件上，在此附加安全加载器43。附加区段的方式在编译时间和编译之后均可以使用。在编译时间，为了附加区段，使用#pragmadata_seg就可以。在完成的存根文件40，为了附加区段，必须制作额外的实用程式。这种方式的最大优势是可以附加可执行的代码。另一方面，因为没有支援的API，在已制作的存根文件40要附加区段，具有必须直接实现的缺点。因为区段也与资源一样要一起加载在记忆体，浪费记忆体的问题可能保持不变。

接着，完成向存根文件40的转换时，生成模块13将记录标志的图标图像信息储存在存根文件40的资源，由此揭示记录标志的图标图像，以便用户识别。存根文件40是以监视一种执行文件，即原始执行文件的目的转换的，因为文件名称与原始执行文件相同，图标图像也与现有的原始执行文件的图标图像不得不相同。因此，为使用户识别图标，如图4(b)所示，转换的存根文件40的图标图像IC上以Overlay等的方式记录‘检’标志T。图5例示记录标志的存根文件40的图标图像，用户见到在相应文件夹输出的所述图标图像，就可以直接区分转换成存根文件40的原始执行文件，由此可以保障安全的工作环境。

图6是将根据本发明的安全装置作为基础形成的安全方法的另一实施例的流程图，参照此图进行说明。

S05：存根文件转换步骤

在数据处理系统输入新的执行文件，或特定应用程序设定为监视对象时，安全装置10’的生成模块13为了将所述执行文件或特定应用程序的执行文件转换成监视对象，在所述执行文件，即原始执行文件上插入一种程序例程安全加载器43，由此将所述原始执行文件转换成存根文件40。

在数据处理系统输入新的执行文件的形态可由通过电子邮件等的附加文件的传送(下载),通过如USB或CD等的移动式圆盘的传送等的形态来显示。而且，特定应用程序设定为监视对象的形态可由安装用于网上银行或网上支付等的应用程序等的形态来显示。

除此之外，用户执行安装文件的途中，通过新生成的执行文件，在数据处理系统亦可以输入新的执行文件。

因为执行文件的执行步骤S10、确认安全装置安装的步骤S20、确认对象文件的步骤S30、储存对象文件信息的步骤S40、执行原始执行文件的步骤S50、监视原始执行文件的步骤S60、监视对象后续处理步骤S70与上述的内容相同/类似，故省略相应内容的重复说明。

S65：确认执行文件生成的步骤

安全装置10’的生成模块13在执行原始执行文件时，确认是否生成新的执行文件。如上所述，因为执行文件像安装文件一样包含生成空前的新执行文件的执行文件，生成模块13确认空前的新执行文件的生成后，进行存根文件转换步骤S05。

当然，确认没有新生成的执行文件时，继续监视原始执行文件的执行或结束执行文件。

如上所述，在本发明的详细说明中，参照本发明的较佳实施例进行了说明，但凡是本技术领域中具有通常知识的技术人员应该可以理解在不脱离在权利要求书所记载的本发明思想及技术范围的情况下，可以以多种修正及变更来实施本发明。

[附图标记说明]

10，10’：安全装置11:监视模块

12：执行模块13：生成模块

20：OS30：应用程序

40：存根文件41：存根

42：标头43：安全加载器