專利名稱:用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明是關(guān)于一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置及方法。更 具體而言,本發(fā)明是以一可信裝置(trusted apparatus)檢驗一計算裝置的一可執(zhí)行文件 是否為一惡意文件。
背景技術(shù):
通過計算機輔助作業(yè),使用者能夠更有效率地工作。因此,計算機對于現(xiàn)今人們的 日常生活已變得不可或缺。也正因為如此,計算機安全問題愈來愈受到人們的重視。其中 最嚴重的計算機安全問題之一即為無所不在的惡意軟件(簡稱為malware),例如計算機病 毒(computer virus)。由于計算機病毒會造成巨大損失,人們已開發(fā)出諸多用以檢測及防止計算機病毒 的技術(shù)。舉例而言,通常在計算機中安裝防毒軟件(anti-virus software),以用于檢測計 算機病毒。然而,由于防毒軟件是通過各種病毒獨有的“病毒碼(signature”來識別病毒, 因此,防毒軟件檢測病毒的能力便受限于病毒數(shù)據(jù)庫(virus database)。換言之,大多數(shù)防 毒軟件是利用一“黑名單(black list)”方法捕捉病毒。因此,若出現(xiàn)新病毒,防毒軟件在 不更新病毒數(shù)據(jù)庫的情況下,將無法保護計算機。此外,計算機病毒可能在防毒軟件生效之 前,即已存在于計算機中。因此,計算機病毒可在防毒軟件或任何其它安全機制生效之前控 制計算機。綜上所述,如何提供一種用以防止計算機受到惡意軟件攻擊的可靠方法,實為該 領(lǐng)域的技術(shù)者亟需解決的課題。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置 及方法,用以可靠防止計算機受到惡意軟件的攻擊。根據(jù)本發(fā)明一方面提供一種以一可移除裝置檢驗一計算裝置的一第一可執(zhí)行文 件的方法。該可移除裝置無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算 裝置;(b)使該可移除裝置自該計算裝置擷取該第一可執(zhí)行文件;(c)使該可移除裝置判 斷該第一可執(zhí)行文件不具有一關(guān)于該第一可執(zhí)行文件的一供貨商的供貨商信息(vendor information) ; (d)使該可移除裝置使用一訊息摘要算法(messagedigest algorithm)計 算該第一可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷其不具有與該訊息摘要相同 的摘要信息;(f)使該可移除裝置檢測該第一可執(zhí)行文件與該計算裝置的一第二可執(zhí)行文 件具有一觸發(fā)關(guān)系;以及(g)使該可移除裝置根據(jù)步驟(f)的檢測結(jié)果,決定該第一可執(zhí)行 文件為一可疑文件。根據(jù)本發(fā)明另一方面提供一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件 的方法。該可移除裝置無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算裝 置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨商信息;(d)使該可移除裝置使用一 訊息摘要算法計算該可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷其不具有與該訊 息摘要相同的摘要信息;(f)使該可移除裝置判斷該可執(zhí)行文件為一自動執(zhí)行(auto-rim) 文件;以及(g)使該可移除裝置根據(jù)步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可疑文 件。根據(jù)本發(fā)明再一方面提供一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件 的方法。該可移除裝置無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算裝 置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí) 行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨商信息;(d)使該可移除裝置使用一 訊息摘要算法計算該可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷該訊息摘要與該 可移除裝置所儲存的一摘要信息相同;以及(f)根據(jù)步驟(e)的判斷結(jié)果,決定該可執(zhí)行文 件為一可信任文件。根據(jù)本發(fā)明又一方面提供一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件 的方法。該可移除裝置是無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算 裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可 執(zhí)行文件包含一供貨商信息,該供貨商信息包含一供貨商信息片段、一指定訊息及一加密 訊息;(d)使該可移除裝置根據(jù)該供貨商信息片段擷取一供貨商公開金鑰(vendor public key),該供貨商公開金鑰儲存于該可移除裝置;(e)使該可移除裝置以該供貨商公開金鑰, 將該加密訊息解密為一解密訊息;(f)使該可移除裝置判斷該解密訊息與該指定訊息相 異;以及(g)使該可移除裝置根據(jù)步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可疑文件。本發(fā)明另一方面提供一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方 法。該可移除裝置無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b) 使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(C)使該可移除裝置判斷該可執(zhí)行文件 包含一供貨商信息,該供貨商信息包含一供貨商信息片段、一指定訊息及一加密訊息;(d) 使該可移除裝置根據(jù)該供貨商信息片段擷取一供貨商公開金鑰,該供貨商公開金鑰儲存于 該可移除裝置;(e)使該可移除裝置以該供貨商公開金鑰,將該加密訊息解密為一解密訊 息;(f)使該可移除裝置判斷該解密訊息與該指定訊息相同;以及(g)使該可移除裝置根據(jù) 步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可信任文件。根據(jù)本發(fā)明又一方面提供一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件 的方法。該可移除裝置無病毒。該方法包含下列步驟(a)使該可移除裝置啟動該計算裝 置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(C)使該可移除裝置判斷該可執(zhí) 行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨商信息;(d)使該可移除裝置使用一 訊息摘要算法計算該可執(zhí)行文件的一第一訊息摘要;(e)使該可移除裝置判斷其不具有與 該訊息摘要相同的摘要信息;(f)使該可移除裝置關(guān)閉該計算裝置;(g)于該計算裝置自我 啟動后,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(h)使該可移除裝置使用一訊 息摘要算法計算該可執(zhí)行文件的一第二訊息摘要;(i)使該可移除裝置判斷該第一訊息摘 要與該第二訊息摘要相異;以及(j)使該可移除裝置根據(jù)步驟(i)的判斷結(jié)果,決定該可執(zhí) 行文件為一惡意軟件。根據(jù)本發(fā)明再一方面提供一種用以檢驗一計算裝置的一第一可執(zhí)行文件的可移除裝置。該可移除裝置是無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊、一供 貨商檢驗?zāi)K、一摘要檢驗?zāi)K以及一連結(jié)文件檢測模塊。該初始化模塊用以啟動該計算 裝置。該文件掃描模塊用以自該計算裝置擷取該第一可執(zhí)行文件。該供貨商檢驗?zāi)K用以 判斷該第一可執(zhí)行文件不具有一關(guān)于該第一可執(zhí)行文件的一供貨商的供貨商信息。該摘要 檢驗?zāi)K用以使用一訊息摘要算法計算該第一可執(zhí)行文件的一訊息摘要,并判斷該可移除 裝置不具有與該訊息摘要相同的摘要信息。該連結(jié)文件檢測模塊用以檢測該第一可執(zhí)行文 件與該計算裝置的一第二可執(zhí)行文件具有一觸發(fā)關(guān)系,并根據(jù)該檢測結(jié)果,決定該第一可 執(zhí)行文件為一可疑文件。根據(jù)本發(fā)明另一方面提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝 置。該可移除裝置是無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊、一供貨商 檢驗?zāi)K、一摘要檢驗?zāi)K以及一自動執(zhí)行判斷模塊。該初始化模塊用以啟動該計算裝置。 該文件掃描模塊用以自該計算裝置擷取該可執(zhí)行文件。該供貨商檢驗?zāi)K用以判斷該可執(zhí) 行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨商信息。該摘要檢驗?zāi)K用以使用一 訊息摘要算法計算該可執(zhí)行文件的一訊息摘要,并判斷該可移除裝置不具有與該訊息摘要 相同的摘要信息。該自動執(zhí)行判斷模塊用以判斷該可執(zhí)行文件為一自動執(zhí)行文件,并根據(jù) 該判斷結(jié)果,決定該可執(zhí)行文件為一可疑的文件。根據(jù)本發(fā)明又一方面提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝 置。該可移除裝置無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊、一供貨商檢 驗?zāi)K以及一摘要檢驗?zāi)K。該初始化模塊用以啟動該計算裝置。該文件掃描模塊用以自 該計算裝置擷取該可執(zhí)行文件。該供貨商檢驗?zāi)K用以判斷該可執(zhí)行文件不具有一關(guān)于該 可執(zhí)行文件的一供貨商的供貨商信息。該摘要檢驗?zāi)K用以使用一訊息摘要算法計算該可 執(zhí)行文件的一訊息摘要,用以判斷該訊息摘要與該可移除裝置所儲存的一摘要信息相同, 以及用以根據(jù)該判斷結(jié)果,決定該可執(zhí)行文件為一可信任文件。根據(jù)本發(fā)明再一方面提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝 置。該可移除裝置無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊以及一供貨 商檢驗?zāi)K。該初始化模塊用以啟動該計算裝置。該文件掃描模塊用以自該計算裝置擷取 該可執(zhí)行文件。該供貨商檢驗?zāi)K用以判斷該可執(zhí)行文件包含一供貨商信息,該供貨商信 息包含一供貨商信息片段、一指定訊息及一加密訊息,用以根據(jù)該供貨商信息片段,自該可 移除裝置擷取一供貨商公開金鑰,用以以該供貨商公開金鑰,將該加密訊息解密為一解密 訊息,用以判斷該解密訊息與該指定訊息相異,以及用以根據(jù)該判斷結(jié)果,決定該可執(zhí)行文 件為一可疑文件。根據(jù)本發(fā)明另一方面提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝 置。該可移除裝置是無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊以及一供 貨商檢驗?zāi)K。該初始化模塊用以啟動該計算裝置。該文件掃描模塊用以自該計算裝置擷 取該可執(zhí)行文件。該供貨商檢驗?zāi)K用以判斷該可執(zhí)行文件包含一供貨商信息,該供貨商 信息包含一供貨商信息片段、一指定訊息及一加密訊息,用以根據(jù)該供貨商信息片段,自該 可移除裝置擷取一供貨商公開金鑰,用以以該供貨商公開金鑰,將該加密訊息解密為一解 密訊息,用以判斷該解密訊息與該指定訊息相同,以及用以根據(jù)該判斷結(jié)果,決定該可執(zhí)行 文件為一可信任文件。
根據(jù)本發(fā)明又一方面提供一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝 置。該可移除裝置無病毒。該可移除裝置包含一初始化模塊、一文件掃描模塊、一供貨商檢 驗?zāi)K以及一摘要檢驗?zāi)K。該初始化模塊用以啟動該計算裝置。該文件掃描模塊用以自 該計算裝置擷取該可執(zhí)行文件。該供貨商檢驗?zāi)K用以判斷該可執(zhí)行文件不具有一關(guān)于該 可執(zhí)行文件的一供貨商的供貨商信息。該摘要檢驗?zāi)K用以使用一訊息摘要算法計算該可 執(zhí)行文件的一第一訊息摘要,以及用以判斷該可移除裝置不具有與該訊息摘要相同的摘要 信息。該初始化模塊還用以關(guān)閉該計算裝置。該文件掃描模塊還用以于該計算裝置自我啟 動后,自該計算裝置擷取該可執(zhí)行文件。該摘要檢驗?zāi)K還用以使用該訊息摘要算法計算 該可執(zhí)行文件的一第二訊息摘要,然后根據(jù)該可執(zhí)行文件的該第一訊息摘要與該第二訊息 摘要相異的該判斷結(jié)果決定該第一可執(zhí)行文件為一惡意軟件。綜上所述,本發(fā)明提供多種用以從各種角度檢驗一計算裝置的一可執(zhí)行文件的方 法及可移除裝置。本發(fā)明利用一可信的可移除裝置(無病毒的可移除裝置)啟動一計算裝 置并檢驗儲存于該計算裝置中的一可執(zhí)行文件。此外,通過檢驗該計算裝置中所包含的所有可執(zhí)行文件,本發(fā)明可檢驗該計算裝 置是否已感染病毒。若判斷出該計算裝置中的一可執(zhí)行文件為一可疑文件,則將其移至該 計算裝置的一指定區(qū)域。在本發(fā)明檢驗完該計算裝置的所有可執(zhí)行文件后,即可確定該計 算裝置無病毒(可信任)。因此,即使一計算裝置已被計算機病毒感染,亦可利用本發(fā)明將 該計算裝置作為一無病毒裝置進行開啟。因被移至指定區(qū)域的可執(zhí)行文件是被確定為可疑文件而非惡意文件,本發(fā)明提供 了用于進一步檢驗此等可疑的可執(zhí)行文件的方法。具體而言,使該計算裝置自我啟動。接 著,本發(fā)明可根據(jù)以下四個層面至少其中的一,檢驗此等可疑的可執(zhí)行文件。對于任一可疑 的可執(zhí)行文件,若檢驗結(jié)果不同于上次的檢驗結(jié)果,本發(fā)明即可決定此可疑的可執(zhí)行文件 為惡意文件。
在參閱附圖及隨后描述的實施方式后,該技術(shù)領(lǐng)域具有通常知識者便可了解本發(fā) 明的其它目的,以及本發(fā)明的技術(shù)手段及實施態(tài)樣,其中圖IA為本發(fā)明的--第一實施例的示意IB為本發(fā)明的--第二實施例的示意IC為本發(fā)明的--第三實施例的示意ID為本發(fā)明的--第四實施例的示意IE為本發(fā)明的--第五實施例的示意2A為本發(fā)明的--第六實施例的流程2B為第六實施例的部分流程圖;圖2C為第六實施例的部分流程圖;圖2D為第六實施例的部分流程圖;以及圖3為一第七實施例的流程圖。
具體實施例方式以下將通過實施例來解釋本發(fā)明內(nèi)容,本發(fā)明的實施例并非用以限制本發(fā)明須在 如實施例所述的任何特定的環(huán)境、應(yīng)用或特殊方式方能實施。需說明的是,以下實施例及附 圖中,與本發(fā)明無關(guān)的元件已省略而未繪示;且附圖中各元件間的尺寸關(guān)系僅為求容易了 解,非用以限制實際比例。在本發(fā)明中,檢驗一可執(zhí)行文件是指檢驗該可執(zhí)行文件是否為一可疑文件或一惡 意文件。一可執(zhí)行文件為可疑文件是指該可執(zhí)行文件有可能為一惡意軟件。在本發(fā)明中, 在一第一階段(即一離線階段)中,可從四個層面檢驗一可執(zhí)行文件。在離線階段中,計算 裝置處于一不活動模式(inactive mode);亦即,該計算裝置是由可移除裝置啟動。該四個 檢驗層面為(1)該可執(zhí)行文件是否由一可信任的軟件制造商(可信任的供貨商)所發(fā)布; (2)該可執(zhí)行文件的一訊息摘要是否可被驗證(一可移除裝置及/或計算機可讀取記錄媒 體是否包含與此訊息摘要相同的一摘要信息);(3)該可執(zhí)行文件是否與另一可執(zhí)行文件 具有一觸發(fā)關(guān)系;以及(4)該可執(zhí)行文件是否為一自動執(zhí)行文件。在第一階段中檢查該四 個層面之后,即可確定該可執(zhí)行文件為一可信任文件或一可疑文件。本發(fā)明可繼續(xù)進行一第二階段(一執(zhí)行時間階段(rim-time stage))。在執(zhí)行時 間階段中,該計算裝置處于活動模式(計算裝置自我啟動)。在執(zhí)行時間階段中,進一步檢 驗在離線階段中被確定為可疑文件的可執(zhí)行文件。對于一可疑的可執(zhí)行文件,若其在第二 階段中的檢驗結(jié)果與其在第一階段中的檢驗結(jié)果相異,則此可疑的可執(zhí)行文件為一惡意軟 件的可能性大增。本發(fā)明的細節(jié)將詳述于以下段落中。本發(fā)明的一第一實施例描繪于圖IA中,其顯示一可移除裝置la,可移除裝置Ia用 以檢驗一儲存于一計算裝置加中的可執(zhí)行文件21。于本實施例中,為檢驗可執(zhí)行文件21 是否由一可信任的軟件制造商(一可信的供貨商)所發(fā)布。為檢驗可執(zhí)行文件21,使用者 須連接可移除裝置Ia與計算裝置加。須說明的是,可移除裝置Ia無病毒,并可為任何一 種計算機儲存媒體,例如硬盤(hard disk)、CD-ROM、DVD-ROM、藍光光盤(blur-ray disc) 等。然而,計算機儲存媒體的類型并非用以限制本發(fā)明的范圍。于其它實施例中,可移除裝 置Ia可為諸如計算機等具有計算能力的裝置。可移除裝置Ia包含一初始化模塊10、一文 件掃描模塊11以及一供貨商檢驗?zāi)K12。于離線階段開始時,可移除裝置Ia須在其啟動計算裝置加之前連接至計算裝置 加。換言之,為防止任何惡意軟件一開始就控制計算裝置2a,計算裝置加被設(shè)定為由可移 除裝置Ia啟動。之后,使可移除裝置Ia的初始化模塊10啟動計算裝置加。初始化模塊 10可為一安裝于可移除裝置Ia中的操作系統(tǒng)。于可信任地啟動后,文件掃描模塊11自計 算裝置加擷取可執(zhí)行文件21。需說明的是,可移除裝置Ia的文件掃描模塊11能夠識別計 算裝置加的文件系統(tǒng),以擷取可執(zhí)行文件21。于擷取可執(zhí)行文件21后,供貨商檢驗?zāi)K21執(zhí)行一關(guān)于可執(zhí)行文件21的一供貨 商的供貨商檢驗。若可執(zhí)行文件21通過供貨商檢驗,供貨商檢驗?zāi)K12便決定可執(zhí)行文 件21為一可信任文件。首先,供貨商檢驗?zāi)K12判斷可執(zhí)行文件21是否具有一關(guān)于可執(zhí)行文件21的一 供貨商的供貨商信息。此處,供貨商是指制作可執(zhí)行文件21的公司、機構(gòu)等。若供貨商檢驗?zāi)K12判斷可執(zhí)行文件21不具有關(guān)于其供貨商的供貨商信息,則供貨商檢驗?zāi)K12便 決定不再對可執(zhí)行文件21執(zhí)行進一步的供貨商檢驗。而若可執(zhí)行文件21具有一供貨商信 息210,則供貨商檢驗?zāi)K12便進一步判斷供貨商信息210是否可信賴。可執(zhí)行文件21的 供貨商信息210可與可執(zhí)行文件21的一憑證(certificate)相關(guān)聯(lián)。舉例而言,若可執(zhí)行 文件21被設(shè)計為在Microsoft Windows中執(zhí)行,則可執(zhí)行文件21包含一憑證,該憑證是于 可執(zhí)行文件21發(fā)布時在Microsoft Windows中注冊,使人們及/或機器能夠得知該可執(zhí)行 文件是來自供貨商Microsoft,特別是當可執(zhí)行文件21是由一知名軟件制造商發(fā)布時,此 是因為大多數(shù)知名軟件制造商均希望使其軟件于Microsoft Windows下執(zhí)行。對于由知名 軟件制造商所發(fā)布的軟件,憑證具有數(shù)字簽章(digital signature)的作用。具體而言,供貨商信息210包含一供貨商信息片段、一指定訊息以及一加密訊息。 供貨商信息片段用以指示可執(zhí)行文件21是由哪一軟件制造商所制作。舉例而言,若可執(zhí)行 文件21是由Oracle發(fā)布,則供貨商信息片段指示“Oracle”。供貨商檢驗?zāi)K12根據(jù)供貨 商信息片段,自可移除裝置Ia擷取一供貨商公開金鑰31。接著,供貨商檢驗?zāi)K12使用供 貨商公開金鑰31,將可執(zhí)行文件21的供貨商信息210的加密訊息解密為一解密訊息。之 后,供貨商檢驗?zāi)K12判斷該解密訊息是否與該指定訊息相同。若供貨商檢驗?zāi)K12判 斷該解密訊息與該指定訊息相同,則供貨商檢驗?zāi)K12決定可執(zhí)行文件21為一可信任文 件;亦即,可執(zhí)行文件21通過供貨商檢驗。相反地,若供貨商檢驗?zāi)K12判斷該解密訊息 與該指定訊息相異,則供貨商檢驗?zāi)K12會因為可執(zhí)行文件21可能為偽造的而判斷可執(zhí) 行文件21為一可疑文件。因在離線階段中,供貨商檢驗?zāi)K12根據(jù)供貨商信息210判斷可執(zhí)行文件21為 一可疑文件,故可執(zhí)行文件21被記錄于一可疑文件列表(suspicious list)中。隨后,初 始化模塊10關(guān)閉計算裝置加而退出離線階段。接著,可進入一執(zhí)行時間檢驗階段。計算 裝置加自我啟動而進入執(zhí)行時間階段。文件掃描模塊11擷取記錄于可疑文件列表的可執(zhí) 行文件21,供貨商檢驗?zāi)K12接著再次檢測可執(zhí)行文件21是否具有供貨商信息。若此次 可執(zhí)行文件21不具有供貨商信息,則意味著可執(zhí)行文件21的供貨商信息被移除。因此,判 斷可執(zhí)行文件21為惡意文件;亦即,可執(zhí)行文件21為一惡意軟件的可能性大增。若檢驗的目的是判斷可執(zhí)行文件21是否由一可信任的軟件制造商發(fā)布時,第一 實施例的可移除裝置Ia便能夠達成該任務(wù)。然而,使用者有可能希望對可執(zhí)行文件21執(zhí) 行其它檢驗。特別是當可執(zhí)行文件21不具有供貨商信息時。于此種情形中,可執(zhí)行文件21 儼若一惡意軟件一樣可疑。本發(fā)明的一第二實施例即說明此種情景。請參閱圖1B,其為本發(fā)明的一第二實施例的示意圖。第二實施例為一可移除裝置 lb,用以檢驗儲存于一計算裝置2b中的一可執(zhí)行文件21’。可移除裝置Ib無病毒(可信 任),且儲存若干摘要信息32a,. . .,3&。如同在第一實施例中所述的情形,可移除裝置Ib 包含初始化模塊10、文件掃描模塊11及供貨商檢驗?zāi)K12。此外,可移除裝置Ib包含一 摘要檢驗?zāi)K(digest-check module) 14。初始化模塊10、文件掃描模塊11及供貨商檢驗 模塊12執(zhí)行與第一實施例中相同的功能,故在此不予贅述。以下說明將著重于摘要檢驗?zāi)?塊14的細節(jié),且是基于供貨商檢驗?zāi)K13判斷可執(zhí)行文件21’不具有供貨商信息的情形??蓤?zhí)行文件21’不具有供貨商信息意味著可執(zhí)行文件21’應(yīng)被暫時視為一可能的 惡意軟件,而并非已被視為一惡意軟件。原因在于,并非所有可執(zhí)行文件皆由知名軟件制造商發(fā)布,某些可執(zhí)行文件被訂制用于特定計算機。非知名軟件制造商所發(fā)布的可執(zhí)行文件 可能不具有供貨商信息。因此,可移除裝置Ib的摘要檢驗?zāi)K14須進一步檢驗可執(zhí)行文 件21’。摘要檢驗?zāi)K14對可執(zhí)行文件21’執(zhí)行一摘要檢驗。若可執(zhí)行文件21’通過摘要 檢驗,摘要檢驗?zāi)K14便決定可執(zhí)行文件21’為一可信任文件。首先,摘要檢驗?zāi)K14利用一訊息摘要算法(例如一 MD5算法)計算可執(zhí)行文件 21’的一第一訊息摘要。接著,摘要檢驗?zāi)K14判斷可移除裝置Ib是否具有一與可執(zhí)行文 件21’的第一訊息摘要相同的摘要信息。換言之,摘要檢驗?zāi)K14判斷摘要信息32a,..., 32z中是否有任一者與可執(zhí)行文件21’的第一訊息摘要相同。若摘要檢驗?zāi)K14判斷第一 訊息摘要與摘要信息32a,...,32z其中之一(例如摘要信息32a)相同,摘要檢驗?zāi)K14 便決定可執(zhí)行文件21’為一可信任文件。相反地,若摘要檢驗?zāi)K14判斷摘要信息32a,. . . , 32z皆不與第一訊息摘要 相同,則摘要檢驗?zāi)K14便決定可執(zhí)行文件21’未通過摘要檢驗。然而,盡管摘要信息 32a, ...,32z皆不與可執(zhí)行文件21’的第一訊息摘要相同,此并不意味著可執(zhí)行文件21’ 為一可疑文件,而是僅意味著摘要檢驗?zāi)K14無法判定可執(zhí)行文件21’是否為一可信任文 件。之后,初始化模塊10關(guān)閉計算裝置2b以退出離線階段。此時,可進入一執(zhí)行時間階段。 計算裝置2b自我啟動而進入執(zhí)行時間階段。文件掃描模塊11開始自計算裝置2b擷取記 錄于可疑文件列表的可執(zhí)行文件21’。之后,摘要檢驗?zāi)K12計算可執(zhí)行文件21’的一第 二摘要訊息。若可執(zhí)行文件21’的第一摘要訊息與可執(zhí)行文件21’的第二摘要訊息相異, 則意味著可執(zhí)行文件21’在進入「執(zhí)行時間」階段時已改變其完整性。因此,摘要檢驗?zāi)K 14決定可執(zhí)行文件21’為一惡意軟件。根據(jù)第一實施例及第二實施例可知,只要一可執(zhí)行文件通過供貨商檢驗?zāi)K12 所執(zhí)行的供貨商檢驗與摘要檢驗?zāi)K14所執(zhí)行的摘要檢驗至少其中的一,便可判定該可 執(zhí)行文件為一可信任文件。對于不具有供貨商信息且未通過摘要檢驗的可執(zhí)行文件,本發(fā) 明將如下文所述在離線階段中從其它角度進一步檢驗之。在闡述其它實施例之前,需先闡述二重要概念。首先,在計算機的執(zhí)行時間程序 中,某些可執(zhí)行文件并非一開始時即由操作系統(tǒng)執(zhí)行,而是在一后續(xù)階段中由其它可執(zhí)行 文件觸發(fā)。第二,某些可執(zhí)行文件為自動執(zhí)行文件。某些惡意軟件可采用此等特征來攻擊 計算機及欺騙用于防惡意軟件的軟件。為防止此等行為攻擊計算機,若一可執(zhí)行文件在供 貨商檢驗?zāi)K12所執(zhí)行的供貨商檢驗及摘要檢驗?zāi)K14所執(zhí)行的摘要檢驗中皆未通過檢 驗,則應(yīng)檢驗其觸發(fā)關(guān)系及/或自動執(zhí)行狀態(tài)。請參閱圖1C,其為本發(fā)明的一第三實施例的示意圖。本發(fā)明的第三實施例為一可 移除裝置lc,用以檢驗儲存于一計算裝置2c中的第一可執(zhí)行文件24。如同在第二實施例 中所述的情景,可移除裝置Ic包含初始化模塊10、文件掃描模塊11、供貨商檢驗?zāi)K12以 及摘要檢驗?zāi)K14。此外,可移除裝置Ic包含一連結(jié)文件檢測模塊(file-link-detect module) 15。與可移除裝置Ic相連的計算裝置2c包含第一可執(zhí)行文件M及一第二可執(zhí)行 文件22。初始化模塊10、文件掃描模塊11、供貨商檢驗?zāi)K12以及摘要檢驗?zāi)K14可執(zhí) 行與在第一及第二實施例中相同的功能,故在此不予贅述。以下說明將著重于連結(jié)文件檢測模塊15。亦即,供貨商檢驗?zāi)K12判斷第一可執(zhí) 行文件M未能通過一關(guān)于第一可執(zhí)行文件的一供貨商的供貨商檢驗,且摘要檢驗?zāi)K14判斷第一可執(zhí)行文件M未能通過一摘要檢驗。連結(jié)文件檢測模塊15檢測第一可執(zhí)行文件M是否與計算裝置2c中另一可執(zhí)行 文件(例如第二可執(zhí)行文件22)具有一觸發(fā)關(guān)系。需說明的是,可執(zhí)行文件的觸發(fā)關(guān)系因 計算裝置而異,因而由計算裝置的操作系統(tǒng)記錄觸發(fā)關(guān)系。因此,若在第一可執(zhí)行文件M 與第二可執(zhí)行文件22之間存在一觸發(fā)關(guān)系,計算裝置2c的操作系統(tǒng)(未繪示于附圖)將 記錄該觸發(fā)關(guān)系。該觸發(fā)關(guān)系可為第一可執(zhí)行文件M能夠被第二可執(zhí)行文件22觸發(fā),或 者第一可執(zhí)行文件M能夠觸發(fā)第二可執(zhí)行文件22。若連結(jié)文件檢測模塊15檢測到第一可 執(zhí)行文件M與第二可執(zhí)行文件22具有一觸發(fā)關(guān)系,則意味著執(zhí)行第一可執(zhí)行文件M便可 能會導(dǎo)致計算裝置2c感染計算機病毒。藉此,連結(jié)文件檢測模塊15根據(jù)對第一可執(zhí)行文 件M與第二可執(zhí)行文件22之間觸發(fā)關(guān)系的檢測,決定第一可執(zhí)行文件M為一可疑文件。因在離線階段中,連結(jié)文件檢測模塊15判斷第一可執(zhí)行文件M為一可疑文件,因 而第一可執(zhí)行文件M被記錄于一可疑文件列表中。此后,初始化模塊10關(guān)閉計算裝置2c 以退出離線階段。之后,可進入一執(zhí)行時間階段。計算裝置2c自我啟動而進入執(zhí)行時間階 段。文件掃描模塊11自計算裝置2c擷取記錄于可疑文件列表的第一可執(zhí)行文件M。接著, 連結(jié)文件檢測模塊15再次檢測第一可執(zhí)行文件M是否具有一觸發(fā)關(guān)系。若在執(zhí)行時間階 段中判斷出第一可執(zhí)行文件M不具有一觸發(fā)關(guān)系,則意味著第一可執(zhí)行文件M為一已經(jīng) 過修改的惡意軟件。若連結(jié)文件檢測模塊15判斷第一可執(zhí)行文件M與另一可執(zhí)行文件具 有一觸發(fā)關(guān)系但與第二可執(zhí)行文件22不具有觸發(fā)關(guān)系,此亦意味著第一可執(zhí)行文件M已 經(jīng)過修改。在這種情況下,連結(jié)文件檢測模塊15判斷第一可執(zhí)行文件M為一惡意軟件。如上所述,另一種可疑行為為自動執(zhí)行,此闡述于一第四實施例中。請參閱圖1D, 其為本發(fā)明一第四實施例的示意圖。本發(fā)明的第四實施例為一可移除裝置ld,用以檢驗儲 存于計算裝置2d中的可執(zhí)行文件25。如同在第二實施例中所示的情形,可移除裝置Id包 含初始化模塊10、文件掃描模塊11、供貨商檢驗?zāi)K12以及摘要檢驗?zāi)K14。此外,可移 除裝置Id包含一自動執(zhí)行判斷模塊16。初始化模塊10、文件掃描模塊11、供貨商檢驗?zāi)K 12以及摘要檢驗?zāi)K14執(zhí)行與第一及第二實施例中相同的功能,故在此不予贅述。以下說明將著重于自動執(zhí)行判斷模塊16。亦即,供貨商檢驗?zāi)K12判斷可執(zhí)行文 件25未能通過一關(guān)于該可執(zhí)行文件的一供貨商的供貨商檢驗,且摘要檢驗?zāi)K14判斷可 執(zhí)行文件25未能通過一摘要檢驗。自動執(zhí)行判斷模塊16將判斷可執(zhí)行文件25是否為一 自動執(zhí)行文件。具體而言,自動執(zhí)行判斷模塊16可通過剖析計算裝置2d的一操作系統(tǒng)注 冊信息而進行判斷。當計算裝置2d的操作系統(tǒng)已在操作系統(tǒng)注冊信息上記錄自動執(zhí)行狀 態(tài)時,自動執(zhí)行判斷模塊16便可進行該判斷。若自動執(zhí)行判斷模塊16判斷可執(zhí)行文件25 為一自動執(zhí)行文件,其便進一步?jīng)Q定可執(zhí)行文件25為一可疑文件。因在離線階段中,可執(zhí)行文件25被自動執(zhí)行判斷模塊16判斷為一可疑文件,隨后 可進一步檢驗可執(zhí)行文件25。在離線階段中,自動執(zhí)行判斷模塊16將可執(zhí)行文件25記錄 于一可疑文件列表中。此后,初始化模塊10關(guān)閉計算裝置2d,以退出離線階段。之后,可進 入一執(zhí)行時間階段。計算裝置2d自我啟動而進入執(zhí)行時間階段。文件掃描模塊11自計算 裝置2d擷取記錄于一可疑文件列表的可執(zhí)行文件25。然后,自動執(zhí)行判斷模塊16再次檢 測可執(zhí)行文件25是否具有自動執(zhí)行狀態(tài)。若在執(zhí)行時間階段中自動執(zhí)行判斷模塊16判斷 可執(zhí)行文件25不為自動執(zhí)行文件,則自動執(zhí)行判斷模塊16判斷可執(zhí)行文件25為一惡意軟件,此乃因可執(zhí)行文件25已被修改。圖IE為本發(fā)明的一第五實施例,為一可移除裝置le,用以檢驗儲存于計算裝置2e 中的所有可執(zhí)行文件23a、23b、23c。可移除裝置Ie包含初始化模塊10、文件掃描模塊11、 供貨商檢驗?zāi)K12、摘要檢驗?zāi)K14、連結(jié)文件檢測模塊15以及自動執(zhí)行判斷模塊16。可 移除裝置加儲存多摘要信息33a、33b以供用于摘要檢驗。所有模塊及元件皆可執(zhí)行在前 述各實施例中所述的功能,故在此不予贅述。計算裝置加儲存有可執(zhí)行文件23a、23b、23c ;然而,某些可執(zhí)行文件23a、23b、23c 可能為一可疑文件。若預(yù)先未經(jīng)任何檢驗便啟動計算裝置加,則可能會有愈來愈越多的可 執(zhí)行文件23a、23b、23c變成一可疑文件。為防止出現(xiàn)此種情形,可移除裝置Ie預(yù)先連接至 計算裝置2e。之后,由可移除裝置Ie的初始化模塊10啟動計算裝置2e,以使可移除裝置 Ie控制計算裝置2e。文件掃描模塊11自計算裝置2e擷取所有可執(zhí)行文件23a、23b、23c。對于各該可 執(zhí)行文件23a、23b、23c,可移除裝置Ie皆檢驗其為一可信任文件還是一可疑文件。在本實施例中,若一可執(zhí)行文件通過供貨商檢驗?zāi)K12所執(zhí)行的供貨商檢驗與 摘要檢驗?zāi)K14所執(zhí)行的摘要檢驗其中的一,其便為一可信任文件。而若一可執(zhí)行文件未 能通過供貨商檢驗?zāi)K12所執(zhí)行的供貨商檢驗,其便被決定為一可疑文件。若一可執(zhí)行文件不具有供貨商信息且未通過摘要檢驗?zāi)K14所執(zhí)行的摘要檢 驗,則必須由連結(jié)文件檢測模塊15及/或自動執(zhí)行判斷模塊16進一步檢驗該可執(zhí)行文件。 于此種情形中,該可執(zhí)行文件必須同時通過連結(jié)文件檢測模塊15與自動執(zhí)行判斷模塊16 所執(zhí)行的檢驗,方可被判斷為一可信任文件。換言之,該可執(zhí)行文件不能與另一可執(zhí)行文件 具有一觸發(fā)關(guān)系且不能為一自動執(zhí)行文件,否則其將被判斷為一可疑文件。于第五實施例 中,一可疑的可執(zhí)行文件將被暫時移至一被隔離位置。于所有可執(zhí)行文件23a、23b、23c皆經(jīng)過可移除裝置Ie檢驗之后,因可疑的可執(zhí)行 文件已被隔離,因而可判斷計算裝置2e為一無病毒裝置。同樣地,第五實施例將可疑的可 執(zhí)行文件記錄于一可疑文件列表中。這種可疑的可執(zhí)行文件可在一執(zhí)行時間階段中予以進 一步檢驗。在執(zhí)行時間階段中所執(zhí)行檢驗的細節(jié)已闡述于第一、第二、第三及第四實施例 中,故在此不予贅述。本發(fā)明的一第六實施例繪示于圖2A-2D中,其為一種用以檢驗一計算裝置(例如 在上述實施例中所述的計算裝置加)的一可執(zhí)行文件的方法。首先,該方法執(zhí)行步驟301,使一可移除裝置啟動該計算裝置,其中該可移除裝置 無病毒。接著,執(zhí)行步驟302,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件。之后,執(zhí)行 步驟303,使該可移除裝置判斷該可執(zhí)行文件是否具有一關(guān)于該可執(zhí)行文件的一供貨商的 供貨商信息。若于步驟303中判斷出該可執(zhí)行文件具有一供貨商信息,則應(yīng)判斷該可執(zhí)行 文件是否為可信賴的。具體而言,可通過圖2B中所示的步驟進一步達成可執(zhí)行文件的正確性檢驗。須 說明者,該供貨商信息包含一供貨商信息片段、一指定訊息以及一加密訊息。首先,執(zhí)行步 驟303a,根據(jù)該供貨商信息片段,自該可移除裝置擷取一供貨商公開金鑰。之后,執(zhí)行步驟 30北,使用該供貨商公開金鑰將該供貨商信息的加密訊息解密為一解密訊息。接著,執(zhí)行步 驟303c,判斷該解密訊息是否與該指定訊息相同。若該解密訊息與該指定訊息相同(即,步驟303c的判斷結(jié)果為“是”),則執(zhí)行步驟308,決定該可執(zhí)行文件為一可信任文件。反之, 若該解密訊息與該指定訊息相異(即,步驟303c的判斷結(jié)果為「否」),則意味著該可執(zhí)行 文件可能為偽造的,之后執(zhí)行步驟303d,決定該可執(zhí)行文件為一可疑文件。將被決定為可疑 文件的可執(zhí)行文件記錄于一可疑文件列表中。至此,第六實施例在一離線階段中執(zhí)行完畢。本發(fā)明的方法可結(jié)束于步驟303d或執(zhí)行進一步檢驗。第六實施例進一步執(zhí)行步 驟30 至303i,以在一執(zhí)行時間階段中進行進一步檢驗。須注意者,步驟30 至303i無 需在步驟303d之后立即執(zhí)行。步驟30 至303i可在一后續(xù)時刻執(zhí)行。在執(zhí)行時間階段 中,執(zhí)行步驟30 ,關(guān)閉該計算裝置,以退出離線階段。執(zhí)行步驟303f,于該計算裝置自我 啟動而進入執(zhí)行時間階段后,自該計算裝置擷取該可執(zhí)行文件。接著,執(zhí)行步驟303g,再次 判斷該可執(zhí)行文件是否具有一供貨商信息。若該可執(zhí)行文件不具有一供貨商信息,則此意 味著該可執(zhí)行文件被修改或者該可執(zhí)行文件的供貨商信息被修改。因此,執(zhí)行步驟30池,決 定該可執(zhí)行文件為一惡意軟件。若步驟303g的判斷結(jié)果為“是”,則執(zhí)行步驟303i,決定該 可執(zhí)行文件仍為一可疑文件。若于步驟303中,該可執(zhí)行文件不具有一供貨商信息,則該方法繼續(xù)進行步驟 304。于步驟304中,該方法使用一訊息摘要算法(例如一 MD5算法)計算該可執(zhí)行文件的 一訊息摘要。接著,于步驟305中,該方法判斷儲存于該可移除裝置中的任一摘要信息是否 與該可執(zhí)行文件的訊息摘要相同。若步驟305判斷該訊息摘要與可移除裝置中的一摘要信息 相同,則該方法繼續(xù)執(zhí)行步驟308,決定該可執(zhí)行文件為一可信任文件。反之,若步驟305判斷該 可移除裝置不具有與該可執(zhí)行文件的訊息摘要相同的摘要信息,則該方法繼續(xù)執(zhí)行步驟306。于步驟306中,該方法檢測該可執(zhí)行文件是否與計算裝置的另一可執(zhí)行文件具有 一觸發(fā)關(guān)系。若在該可執(zhí)行文件與另一可執(zhí)行文件之間存在一觸發(fā)關(guān)系,則執(zhí)行步驟306a, 決定該可執(zhí)行文件為一可疑文件,并將被決定為可疑文件的可執(zhí)行文件記錄于一可疑文件 列表中。步驟304、305、306、306a、308是于離線階段執(zhí)行。本發(fā)明的方法可結(jié)束于步驟306a 或執(zhí)行進一步檢驗。第六實施例進一步執(zhí)行步驟306b至306f,以在一執(zhí)行時間階段中進一 步檢驗。須注意者,步驟306b至306f無需在步驟306a后立即執(zhí)行。步驟306b至306f可 在一后續(xù)時刻執(zhí)行。于執(zhí)行時間階段,執(zhí)行步驟306b,關(guān)閉該計算裝置,以退出離線階段。執(zhí)行步驟 306c,在該計算裝置自我啟動而進入執(zhí)行時間階段后,自該計算裝置擷取該可執(zhí)行文件。接 著,執(zhí)行步驟306d,再次判斷該可執(zhí)行文件是否具有一觸發(fā)關(guān)系。若在該計算裝置的執(zhí)行時 間階段中,該可執(zhí)行文件不具有一觸發(fā)關(guān)系,則此意味著該可執(zhí)行文件為一惡意軟件,此乃 因該可執(zhí)行文件已被修改。之后,執(zhí)行步驟306f,決定該可執(zhí)行文件為一惡意軟件。反之, 則執(zhí)行步驟306e,決定該可執(zhí)行文件仍為一可疑文件。相反地,若步驟306的判斷結(jié)果為“否”,則執(zhí)行步驟307,判斷該可執(zhí)行文件是否 為一自動執(zhí)行文件。若該可執(zhí)行文件不為自動執(zhí)行文件,則執(zhí)行步驟308,決定該第一可執(zhí) 行文件為一可信任文件。若在步驟307中判斷該可執(zhí)行文件為一自動執(zhí)行文件,則在步驟 307a中決定該可執(zhí)行文件為一可疑文件,并將被決定為一可疑文件的可執(zhí)行文件記錄于一 可疑文件列表中。步驟307、307a、308是在離線階段執(zhí)行。本發(fā)明的方法可結(jié)束于步驟307a 或執(zhí)行進一步檢驗。第六實施例進一步執(zhí)行步驟307b至307f,以在一執(zhí)行時間階段中進 行進一步檢驗。須注意者,步驟307b至307f無需在步驟307a后立即執(zhí)行。步驟307b至307f可在一后續(xù)時刻執(zhí)行。于執(zhí)行時間階段,執(zhí)行步驟307b,關(guān)閉該計算裝置,以退出離線階段。執(zhí)行步驟 307c,在該計算裝置自我啟動而進入執(zhí)行時間階段后,自該計算裝置擷取該可執(zhí)行文件。接 著,執(zhí)行步驟307d,再次判斷該可執(zhí)行文件是否為一自動執(zhí)行文件。若在該計算裝置的執(zhí)行 時間階段中,該可執(zhí)行文件不為自動執(zhí)行文件,則此意味著該可執(zhí)行文件已被修改,因而執(zhí) 行步驟307f,決定該可執(zhí)行文件為一惡意軟件。反之,則執(zhí)行步驟307e,決定該可執(zhí)行文件 仍為一可疑文件。本發(fā)明的一第七實施例繪示于圖3中,其為一種用以檢驗一計算裝置(例如在上 述實施例中所述的計算裝置加)的一可執(zhí)行文件的方法。首先,該方法執(zhí)行步驟401,使一可移除裝置啟動該計算裝置,其中該可移除裝置 無病毒。接著,執(zhí)行步驟402,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件。然后,執(zhí)行 步驟403,使該可移除裝置判斷該可執(zhí)行文件是否不具有一關(guān)于該可執(zhí)行文件的一供貨商 的供貨商信息。執(zhí)行步驟404,計算該可執(zhí)行文件的一第一訊息摘要。將該可執(zhí)行文件的第一訊 息摘要記錄于一摘要列表中。隨后,執(zhí)行步驟405,關(guān)閉該計算裝置,以退出離線階段。執(zhí) 行步驟406,在該計算裝置自我啟動而進入執(zhí)行時間階段后,自該計算裝置擷取該可執(zhí)行文 件。然后,執(zhí)行步驟407,計算該可執(zhí)行文件的一第二摘要訊息,以供在步驟408中用于后續(xù) 比較。具體而言,于步驟408中,判斷該第一摘要訊息與該可執(zhí)行文件的該第二摘要訊 息相異。此意味著該可執(zhí)行文件已被修改。因此,執(zhí)行步驟409,判斷該可執(zhí)行文件為一惡 意軟件。須注意的是,本發(fā)明的離線階段與執(zhí)行時間階段是獨立運作。換言之,本發(fā)明可在 離線階段中從該四個層面檢驗計算裝置的所有可執(zhí)行文件。在離線階段中,某些可執(zhí)行文 件被決定為可疑文件,且這種可疑的可執(zhí)行文件將記錄于一可疑文件列表中。在離線階段 的檢驗完成后,進入執(zhí)行時間階段的檢驗。在執(zhí)行時間階段中,再次檢驗記錄于該可疑文件 列表的可疑的可執(zhí)行文件。若一可疑的可執(zhí)行文件在執(zhí)行時間階段的檢驗結(jié)果與在離線階 段的檢驗結(jié)果相異,便決定該可疑的可執(zhí)行文件為一惡意軟件。反之,則決定該可疑的可執(zhí) 行文件仍為一可疑文件。除了上述步驟,本發(fā)明用以檢驗一計算裝置的一可執(zhí)行文件的方法亦能執(zhí)行前述 各實施例所描述的所有操作及功能。所屬技術(shù)領(lǐng)域具有通常知識者可直接了解本發(fā)明的方 法如何基于上述各實施例以執(zhí)行這種操作及功能。故不贅述。綜上所述,本發(fā)明是利用一可信任的可移除裝置啟動一計算裝置并分二階段檢驗 該計算裝置的所有可執(zhí)行文件。若在“離線階段”中判斷一可執(zhí)行文件為一可疑文件,則將 該可執(zhí)行文件記錄于一可疑文件列表中。于該可信任的可移除裝置在“離線階段”中檢驗 完該計算裝置的所有可執(zhí)行文件后,仍需要執(zhí)行進一步的檢驗。于“執(zhí)行時間”階段中,將 進一步檢驗記錄于可疑文件列表的可執(zhí)行文件,以決定其是否為惡意軟件。相應(yīng)地,被判斷 為可疑文件及惡意軟件的可執(zhí)行文件將被移至一單獨位置。藉此,判斷該計算裝置無病毒 (可信任)。因此,即使一計算裝置已被計算機病毒感染,本發(fā)明的可移除裝置仍可將該計 算裝置作為一無病毒裝置進行開啟。
上述的實施例僅用來例舉本發(fā)明的實施態(tài)樣,以及闡釋本發(fā)明的技術(shù)特征,并非 用來限制本發(fā)明的保護范疇。任何熟悉此技術(shù)者可輕易完成的改變或均等性的安排均屬于 本發(fā)明所主張的范圍,本發(fā)明的權(quán)利保護范圍應(yīng)以申請專利范圍為準。
權(quán)利要求
1.一種以一可移除裝置檢驗一計算裝置的一第一可執(zhí)行文件的方法,該可移除裝置無 病毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該第一可執(zhí)行文件;(c)使該可移除裝置判斷該第一可執(zhí)行文件不具有一關(guān)于該第一可執(zhí)行文件的一供貨 商的供貨商信息;(d)使該可移除裝置使用一訊息摘要算法計算該第一可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷其不具有與該訊息摘要相同的摘要信息;(f)使該可移除裝置檢測該第一可執(zhí)行文件與該計算裝置的一第二可執(zhí)行文件具有一 觸發(fā)關(guān)系;以及(g)使該可移除裝置根據(jù)步驟(f)的檢測結(jié)果,決定該第一可執(zhí)行文件為一可疑文件。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,還包含下列步驟于步驟(g)后(h)使該可移除裝置關(guān)閉該計算裝置;(i)于該計算裝置自我啟動后,使該可移除裝置自該計算裝置擷取該第一可執(zhí)行文件;(j)使該可移除裝置檢測該第一可執(zhí)行文件與該計算裝置的該第二可執(zhí)行文件不具有 觸發(fā)關(guān)系;以及(k)使該可移除裝置根據(jù)步驟(j)的檢測結(jié)果,決定該第一可執(zhí)行文件為一惡意軟件。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,該觸發(fā)關(guān)系是指該第二可執(zhí)行文件會觸 發(fā)該第一可執(zhí)行文件。
4.根據(jù)權(quán)利要求1所述的方法,其特征在于,該觸發(fā)關(guān)系是指該第一可執(zhí)行文件會觸 發(fā)該第二可執(zhí)行文件。
5.根據(jù)權(quán)利要求1所述的方法,其特征在于,該計算裝置的一操作系統(tǒng)記錄該觸發(fā)關(guān)系。
6.一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方法,該可移除裝置無病 毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨 商信息;(d)使該可移除裝置使用一訊息摘要算法計算該可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷其不具有與該訊息摘要相同的摘要信息;(f)使該可移除裝置判斷該可執(zhí)行文件為一自動執(zhí)行文件;以及(g)使該可移除裝置根據(jù)步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可疑文件。
7.根據(jù)權(quán)利要求6所述的方法,其特征在于,還包含下列步驟于步驟(g)后(h)使該可移除裝置關(guān)閉該計算裝置;(i)于該計算裝置自我啟動后,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件; (j)使該可移除裝置判斷該可執(zhí)行文件非為一自動執(zhí)行文件;以及(k)使該可移除裝置根據(jù)步驟(j)的判斷結(jié)果,決定該可執(zhí)行文件為一惡意軟件。
8.根據(jù)權(quán)利要求6所述的方法,其特征在于,步驟(f)是通過分析該計算裝置的一操作 系統(tǒng)注冊信息,以判斷該可執(zhí)行文件為一自動執(zhí)行文件。
9.一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方法,該可移除裝置無病 毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨 商信息;(d)使該可移除裝置使用一訊息摘要算法計算該可執(zhí)行文件的一訊息摘要;(e)使該可移除裝置判斷該訊息摘要與該可移除裝置所儲存的一摘要信息相同;以及(f)使該可移除裝置根據(jù)步驟(e)的判斷結(jié)果,決定該可執(zhí)行文件為一可信任文件。
10.一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方法,該可移除裝置無病 毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件包含一供貨商信息,該供貨商信息包含一供貨 商信息片段、一指定訊息及一加密訊息;(d)使該可移除裝置根據(jù)該供貨商信息片段擷取一供貨商公開金鑰,該供貨商公開金 鑰是儲存于該可移除裝置;(e)使該可移除裝置以該供貨商公開金鑰,將該加密訊息解密為一解密訊息;(f)使該可移除裝置判斷該解密訊息與該指定訊息相異;以及(g)使該可移除裝置根據(jù)步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可疑文件。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于,還包含下列步驟于步驟(g)后(h)使該可移除裝置關(guān)閉該計算裝置;(i)于該計算裝置自我啟動后,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(j)使該可移除裝置判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨 商信息;以及(k)使該可移除裝置根據(jù)步驟(j)的判斷結(jié)果,決定該可執(zhí)行文件為一惡意軟件。
12.根據(jù)權(quán)利要求10所述的方法,其特征在于,該供貨商信息與該可執(zhí)行文件的一憑 證相關(guān)聯(lián)。
13.—種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方法,該可移除裝置無病 毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件包含一供貨商信息,該供貨商信息包含一供貨 商信息片段、一指定訊息及一加密訊息;(d)使該可移除裝置根據(jù)該供貨商信息片段擷取一供貨商公開金鑰,該供貨商公開金 鑰儲存于該可移除裝置;(e)使該可移除裝置以該供貨商公開金鑰,將該加密訊息解密為一解密訊息;(f)使該可移除裝置判斷該解密訊息與該指定訊息相同;以及(g)使該可移除裝置根據(jù)步驟(f)的判斷結(jié)果,決定該可執(zhí)行文件為一可信任文件。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于,該供貨商信息與該可執(zhí)行文件的一憑 證相關(guān)聯(lián)。
15.一種以一可移除裝置檢驗一計算裝置的一可執(zhí)行文件的方法,該可移除裝置無病 毒,該方法包含下列步驟(a)使該可移除裝置啟動該計算裝置;(b)使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(c)使該可移除裝置判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的供貨 商信息;(d)使該可移除裝置使用一訊息摘要算法計算該可執(zhí)行文件的一第一訊息摘要;(e)使該可移除裝置判斷其不具有與該訊息摘要相同的摘要信息;(f)使該可移除裝置關(guān)閉該計算裝置;(g)于該計算裝置自我啟動后,使該可移除裝置自該計算裝置擷取該可執(zhí)行文件;(h)使該可移除裝置使用一訊息摘要算法計算該可執(zhí)行文件的一第二訊息摘要;(i)使該可移除裝置判斷該第一訊息摘要與該第二訊息摘要相異;以及(j)使該可移除裝置根據(jù)步驟(i)的判斷結(jié)果,決定該可執(zhí)行文件為一惡意軟件。
16.一種用以檢驗一計算裝置的一第一可執(zhí)行文件的可移除裝置,該可移除裝置無病 毒,該可移除裝置包含一初始化模塊,用以啟動該計算裝置;一文件掃描模塊,用以自該計算裝置擷取該第一可執(zhí)行文件;一供貨商檢驗?zāi)K,用以判斷該第一可執(zhí)行文件不具有一關(guān)于該第一可執(zhí)行文件的一 供貨商的供貨商信息;一摘要檢驗?zāi)K,用以使用一訊息摘要算法計算該第一可執(zhí)行文件的一訊息摘要,并 判斷該可移除裝置不具有與該訊息摘要相同的摘要信息;以及一連結(jié)文件檢測模塊,用以檢測該第一可執(zhí)行文件與該計算裝置的一第二可執(zhí)行文件 具有一觸發(fā)關(guān)系,并根據(jù)該檢測結(jié)果,決定該第一可執(zhí)行文件為一可疑文件。
17.根據(jù)權(quán)利要求16所述的可移除裝置,其特征在于,該初始化模塊還用以關(guān)閉該計 算裝置,該文件掃描模塊還用以于該計算裝置自我啟動后,自該計算裝置擷取該第一可執(zhí) 行文件,該連結(jié)文件檢測模塊還用以檢測該第一可執(zhí)行文件與該計算裝置的該第二可執(zhí)行 文件不具有觸發(fā)關(guān)系,并根據(jù)該檢測結(jié)果,決定該第一可執(zhí)行文件為一惡意軟件。
18.根據(jù)權(quán)利要求16所述的可移除裝置,其特征在于,該觸發(fā)關(guān)系是指該第二可執(zhí)行 文件會觸發(fā)該第一可執(zhí)行文件。
19.根據(jù)權(quán)利要求16所述的可移除裝置,其特征在于,該觸發(fā)關(guān)系是指該第一可執(zhí)行 文件會觸發(fā)該第二可執(zhí)行文件。
20.根據(jù)權(quán)利要求16所述的可移除裝置,其特征在于,該計算裝置的一操作系統(tǒng)記錄 該觸發(fā)關(guān)系。
21.一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置,該可移除裝置無病毒,該 可移除裝置包含一初始化模塊,用以啟動該計算裝置;一文件掃描模塊,用以自該計算裝置擷取該可執(zhí)行文件;一供貨商檢驗?zāi)K,用以判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的 供貨商信息;一摘要檢驗?zāi)K,用以使用一訊息摘要算法計算該可執(zhí)行文件的一訊息摘要,并判斷 該可移除裝置不具有與該訊息摘要相同的摘要信息;以及一自動執(zhí)行判斷模塊,用以判斷該可執(zhí)行文件為一自動執(zhí)行文件,并根據(jù)該判斷結(jié)果, 決定該可執(zhí)行文件為一可疑的文件。
22.根據(jù)權(quán)利要求21所述的可移除裝置,其特征在于,該初始化模塊還用以關(guān)閉該計 算裝置,該文件掃描模塊還用以于該計算裝置自我啟動后,自該計算裝置擷取該可執(zhí)行文 件,該自動執(zhí)行判斷模塊還用以判斷該可執(zhí)行文件非為一自動執(zhí)行文件,并根據(jù)該判斷結(jié) 果,決定該可執(zhí)行文件為一惡意軟件。
23.根據(jù)權(quán)利要求21所述的可移除裝置,其特征在于,該自動執(zhí)行判斷模塊通過分析 該計算裝置的一操作系統(tǒng)注冊信息,以判斷該可執(zhí)行文件為一自動執(zhí)行文件。
24.一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置,該可移除裝置無病毒,該 可移除裝置包含一初始化模塊,用以啟動該計算裝置;一文件掃描模塊,用以自該計算裝置擷取該可執(zhí)行文件;一供貨商檢驗?zāi)K,用以判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的 供貨商信息;以及一摘要檢驗?zāi)K,用以使用一訊息摘要算法計算該可執(zhí)行文件的一訊息摘要,用以判 斷該訊息摘要與該可移除裝置所儲存的一摘要信息相同,以及用以根據(jù)該判斷結(jié)果,決定 該可執(zhí)行文件為一可信任文件。
25.一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置,該可移除裝置無病毒,該 可移除裝置包含一初始化模塊,用以啟動該計算裝置;一文件掃描模塊,用以自該計算裝置擷取該可執(zhí)行文件;以及一供貨商檢驗?zāi)K,用以判斷該可執(zhí)行文件包含一供貨商信息,該供貨商信息包含一 供貨商信息片段、一指定訊息及一加密訊息,用以根據(jù)該供貨商信息片段,自該可移除裝置 擷取一供貨商公開金鑰,用以以該供貨商公開金鑰,將該加密訊息解密為一解密訊息,用以 判斷該解密訊息與該指定訊息相異,以及用以根據(jù)該判斷結(jié)果,決定該可執(zhí)行文件為一可 疑文件。
26.根據(jù)權(quán)利要求25所述的可移除裝置,其特征在于,該初始化模塊還用以關(guān)閉該計 算裝置,該文件掃描模塊還用以于該計算裝置自我啟動后,自該計算裝置擷取該可執(zhí)行文 件,該供貨商檢驗?zāi)K還用以判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的 供貨商信息,并根據(jù)該判斷結(jié)果,決定該可執(zhí)行文件為一惡意軟件。
27.根據(jù)權(quán)利要求25所述的可移除裝置,其特征在于,該供貨商信息與該可執(zhí)行文件 的一憑證相關(guān)聯(lián)。
28.一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置,該可移除裝置無病毒,該可移除裝置包含一初始化模塊,用以啟動該計算裝置; 一文件掃描模塊,用以自該計算裝置擷取該可執(zhí)行文件;以及 一供貨商檢驗?zāi)K,用以判斷該可執(zhí)行文件包含一供貨商信息,該供貨商信息包含一 供貨商信息片段、一指定訊息及一加密訊息,用以根據(jù)該供貨商信息片段,自該可移除裝置 擷取一供貨商公開金鑰,用以以該供貨商公開金鑰,將該加密訊息解密為一解密訊息,用以 判斷該解密訊息與該指定訊息相同,以及用以根據(jù)該判斷結(jié)果,決定該可執(zhí)行文件為一可 信任文件。
29.根據(jù)權(quán)利要求觀所述的可移除裝置,其特征在于,該供貨商信息與該可執(zhí)行文件 的一憑證相關(guān)聯(lián)。
30.一種用以檢驗一計算裝置的一可執(zhí)行文件的可移除裝置,該可移除裝置無病毒,該 可移除裝置包含一初始化模塊,用以啟動該計算裝置;一文件掃描模塊,用以自該計算裝置擷取該可執(zhí)行文件;一供貨商檢驗?zāi)K,用以判斷該可執(zhí)行文件不具有一關(guān)于該可執(zhí)行文件的一供貨商的 供貨商信息;以及一摘要檢驗?zāi)K,用以使用一訊息摘要算法計算該可執(zhí)行文件的一第一訊息摘要,以 及用以判斷該可移除裝置不具有與該訊息摘要相同的摘要信息;其中該初始化模塊還用以關(guān)閉該計算裝置,該文件掃描模塊還用以于該計算裝置自我 啟動后,自該計算裝置擷取該可執(zhí)行文件,該摘要檢驗?zāi)K還用以使用一訊息摘要算法計 算該可執(zhí)行文件的一第二訊息摘要,判斷該第一訊息摘要與該第二訊息摘要相異,并根據(jù) 該判斷結(jié)果,決定該可執(zhí)行文件為一惡意軟件。
全文摘要
本發(fā)明提供一種用以檢驗一計算裝置的一可執(zhí)行文件的裝置及方法,是采用一可移除裝置實施。該可移除裝置啟動該計算裝置,并自該計算裝置擷取可執(zhí)行文件,在擷取該可執(zhí)行文件后,一供貨商檢驗?zāi)K及一摘要檢驗?zāi)K對該可執(zhí)行文件分別執(zhí)行一供貨商檢驗及一摘要檢驗。若該可執(zhí)行文件在供貨商檢驗與摘要檢驗中皆未通過檢驗,則由一連結(jié)文件檢測模塊及一自動執(zhí)行判斷模塊檢驗該可執(zhí)行文件的行為,以決定該可執(zhí)行文件是否為一可疑文件。
文檔編號G06F21/00GK102110204SQ20101018293
公開日2011年6月29日 申請日期2010年5月13日 優(yōu)先權(quán)日2009年12月23日
發(fā)明者陳俊祥 申請人:英群企業(yè)股份有限公司