【技术实现步骤摘要】
本专利技术涉及一种白名单方法,尤其涉及一种用来阻断脚本类型的恶意程序的白名单方法。
技术介绍
1、目前已知有多种白名单方法与软件可以用来协助使用者于程序中阻断恶意程序,例如应用白名单(application whitelisting,awl)、kaspersky、fapolicyd及ivanti公司开发的产品等。
2、其中,应用白名单仅能满足对于一般的恶意程序的保护,kaspersky仅能提供对于解译器程序(interpreter process)的整个配置(configuration)的保护而无法针对应用控制功能中的个别脚本(script)来提供保护,fapolicyd及类似软件(如trellix)无法检测到不具有shebang的恶意脚本程序,而ivanti开发的产品则无法检测到没有副档名的恶意脚本程序。
3、有鉴于此,市场上实需提供一种新颖的白名单方法,可以满足使用者对于各种脚本类型(script-based)的恶意程序的阻断需求。
技术实现思路
1、本专利技术的主要目的,在于提供一种阻断脚本类型的恶意程序的白名单方法,可以于程序中检测并阻断脚本类型(script-based malware)的恶意程序的执行。
2、为了达成上述目的,本专利技术的阻断脚本类型的恶意程序的白名单方法,主要包括下列步骤:
3、a)检查一程序(process)的一指令行(cmdline),以确定该程序开启一启动脚本文件(startup script fi
4、b)于该第一拦截点检测该启动脚本文件是否存在于一白名单中;
5、c)于该启动脚本文件存在该白名单中时判断检测通过,并且开启该启动脚本文件,其中该启动脚本文件至少包括一模块脚本文件;
6、d)确定该程序唤起(invoke)一模块载入器(module loader)来汇入与开启该模块脚本文件的一第二拦截点;及
7、e)于该第二拦截点上,通过该白名单检测该模块载入器是否被允许汇入该模块脚本文件,或是否被允许开启已被汇入的该模块脚本文件。
8、相较于相关技术,本专利技术可以在一个程序(例如为解译器程序)读取文件与开启文件时,检测文件是否为脚本类型的文件,并且判断文件是否存在于白名单中。由此,有效阻断脚本类型的恶意程序的执行。
本文档来自技高网...【技术保护点】
1.一种阻断脚本类型的恶意程序的白名单方法,包括:
2.根据权利要求1所述的白名单方法,其中所述步骤a)包括:
3.根据权利要求2所述的白名单方法,其中所述步骤a3)包括判断所述指令行的参数是否包含所述启动脚本文件的文件路径及档名,并且于所述指令行的参数包含所述文件路径及所述档名时判断所述程序要开启所述启动脚本文件,并确定所述第一拦截点。
4.根据权利要求1所述的白名单方法,其中所述启动脚本文件具有元数据,所述步骤b)是在所述启动脚本文件的所述元数据中包含对应至所述白名单的白名单标签时,判断所述启动脚本文件存在于所述白名单中。
5.根据权利要求1所述的白名单方法,其中所述步骤d)包括:
6.根据权利要求5所述的白名单方法,其中所述步骤e)包括:
7.根据权利要求6所述的白名单方法,其中所述步骤d12)包括:
8.根据权利要求7所述的白名单方法,其中所述步骤d)是检查所述程序唤起所述模块载入器的命令,并基于所述命令的内容确认所述模块脚本文件为何以及所述模块脚本文件是否存在。
9.根据权利
10.根据权利要求9所述的白名单方法,其中所述步骤e)包括:
11.根据权利要求9所述的白名单方法,其中所述步骤d22)进一步包括:
12.根据权利要求10所述的白名单方法,其中所述步骤e22)是检查所述程序的所述启动呼叫的参数以取得所述模块脚本文件的副档名,并且将所述模块脚本文件的副档名与所述模块载入器所限制的副档名进行比对。
...【技术特征摘要】
1.一种阻断脚本类型的恶意程序的白名单方法,包括:
2.根据权利要求1所述的白名单方法,其中所述步骤a)包括:
3.根据权利要求2所述的白名单方法,其中所述步骤a3)包括判断所述指令行的参数是否包含所述启动脚本文件的文件路径及档名,并且于所述指令行的参数包含所述文件路径及所述档名时判断所述程序要开启所述启动脚本文件,并确定所述第一拦截点。
4.根据权利要求1所述的白名单方法,其中所述启动脚本文件具有元数据,所述步骤b)是在所述启动脚本文件的所述元数据中包含对应至所述白名单的白名单标签时,判断所述启动脚本文件存在于所述白名单中。
5.根据权利要求1所述的白名单方法,其中所述步骤d)包括:
6.根据权利要求5所述的白名单方法,其中所述步骤e...
【专利技术属性】
技术研发人员:林宜慧,林昆颖,梁嘉玲,林立忠,阙志克,
申请(专利权)人:台达电子工业股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。