一种阻断恶意代码使用执行文件的装置,包括:数据库,其存储代理系统内的各个执行文件的原始DNA值;阻断单元,其设置阻断模式以阻断执行文件被移动、改变或者生成,并在阻断模式下,如果任意执行文件正在被改变,则在代理系统内的任意执行文件被改变之前备份原件;以及文件执行单元,如果存在关于代理系统内的特定执行文件的执行请求,则比较存储在数据库中的特定执行文件的DNA值和特定执行文件的原始DNA值,从而确定是否执行特定执行文件,以及如果特定执行文件是任何这种改变后的执行文件,则其恢复并执行已备份的原件。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及恶意代码的阻断,具体涉及阻止恶意代码使用执行文件的装置和方法,该装置和方法能够阻断代理系统内的执行文件被移动、删除、改变或者生成,从而阻断在该代理系统中生成包含恶意代码的执行文件或者阻断恶意代码改变执行文件。
技术介绍
通常,为了阻止恶意代码感染专用代理系统,如工厂中管理自动化设备的专用计算机系统,可在该专用代理系统中安装具有反病毒引擎的客户端反病毒产品。反病毒引擎需要定期更新以阻止恶意代码感染,此外,为了安全起见,专用代理系统也需要更新。但是,反病毒引擎的这种更新存在将计算机系统中正在运行以执行专用功能的文件误认为含有恶意代码的风险,以及不利地,计算机系统的更新有与专用程序不兼容的风 险。同时,存在一种由管理员结合恶意代码诊断程序阻断非授权文件的执行以在专用计算机系统中阻止恶意代码的方法。例如,在其上安装了安全操作系统的现有系统通过组合文件的路径名、文件名、散列等而设置规则,阻断不符合该规则的文件的执行或者读取。但是,当更新系统或者安装新程序时,需要改变规则,而这种规则太过复杂,以至于难以得到更正,因此管理起来很不方便。
技术实现思路
技术问题综上所述,本专利技术提供了阻止恶意代码使用执行文件的装置和方法,该装置和方法能够通过检测要执行的特定执行文件是否被恶意代码感染,然后比较已完成检测的特定执行文件的在数据库中存储的DNA值和原始DNA值,以在阻断模式状态下执行或者阻断该执行文件(在该状态下,阻断在代理系统中安装的执行文件被移动、删除、改变和生成),阻止包含恶意代码的执行文件被生成或者阻止恶意代码改变执行文件。根据本专利技术,存在一种恶意代码阻止装置,该装置包含数据库,存储了在代理系统中存储的各个执行文件的原始DNA值;阻断单元,适用于设置阻断模式以阻断执行文件被移动、改变或者生成,并在阻断模式下,在代理系统内的给定执行文件被改变之前,对给定执行文件的原件执行备份;和文件执行单元,适用于比较代理系统内的被请求执行的特定执行文件的DNA值和该特定执行文件在数据库中存储的原始DNA值,以确定是否执行该特定执行文件,并当该特定执行文件已被改变时,恢复备份原件,并执行该备份原件。根据本专利技术,存在一种阻止恶意代码使用执行文件的方法,该方法包含计算在代理系统中存储的各个执行文件的DNA值,并将计算出的DNA值存储在数据库中;设置阻断模式以阻断执行文件被移动、删除、生成或者改变;当存在对执行来自代理系统的特定执行文件的请求时,检测该特定执行文件是否被恶意代码感染;计算已被感染的特定执行文件的DNA值;针对该特定执行文件,比较在数据库中存储的计算出的DNA值和原始DNA值,当它们不相等时,阻断该特定执行文件。 有利作用根据本专利技术,通过阻断代理系统内的执行文件被移动、删除、改变或者生成,可以阻断包含恶意代码的执行文件的生成或者阻断恶意代码改变执行文件,从而不用执行额外的更新就能保护代理系统免受恶意代码感染。此外,根据本专利技术,阻断安装在代理系统中的执行文件的移动、删除、改变或者生成,并当执行文件被执行时,比较该执行文件的在数据库中存储的原始DNA值和DNA值,以执行或者阻断该执行文件,从而不用更新反病毒引擎或者代理系统,仅用少量资源就能增强代理系统的安全性。附图说明下面通过结合附图对实施例进行描述,本专利技术的上述及其它目的和特性将会变得 清楚,其中图I是包含了根据本专利技术的实施例的用于阻止恶意代码的恶意代码阻止装置的计算机网络系统的框图,以及;图2示出了由根据本专利技术的实施例的恶意代码阻止设备执行的恶意代码阻止流程的流程图。本专利技术的最佳模式通过结合附图的以下实施例,将清楚地理解本专利技术的目的和作用以及实现它们的技术构成。在以下描述中,如果不必要的细节可能会使本专利技术模糊不清,则众所周知的功能或者结构将不会被详细描述。此外,鉴于本专利技术的功能描述了以下术语,而且其可能随用户或者操作者的目的或者实践而改变。在下文中,结合附图将详细描述本专利技术的实施例。图I是包含根据本专利技术的实施例的用于阻止恶意代码的恶意代码阻止装置的计算机网络系统的框图。计算机网络系统包含代理系统10,其上安装了恶意代码阻止装置100,和管理服务器150,其通过有线/无线通信网络200连接至代理系统10。代理系统10可以是低规格的终端,如工厂中用于管理自动化设备的终端、生产管理系统、电子收款机(POS)系统等。恶意代码阻止装置100安装在代理系统10中,其包含阻断单元102、文件执行单元104、阻断解除单元106、管理员单元108、更新单元110、恶意代码检测单元112、数据库114、和执行文件存储单元116。执行文件存储单元116存储将在代理系统10中执行的执行文件,其可以是硬盘、只读存储器(ROM)、随机存取存储器(RAM)等。数据库114存储针对执行文件存储单元116中存储的各个执行文件的多个部分的DNA初始值。例如,执行文件可以是常规EXE文件、具有可执行代码的脚本文件、具有脚本功能的文档文件等,而DNA值可以是基于冗余码校验(CRC)应用散列函数获得的值。当代理系统10被初始化后,阻断单元102设置代理系统10至阻断模式。在这里使用的术语阻断模式是指一种用于阻断代理系统10内的执行文件被移动、删除、生成或者改变的模式。同时,当在阻断模式下存在改变给定执行文件的请求时,阻断单元102在该给定执行文件被改变之前备份该给定执行文件(原件);而当存在对执行改变后的给定执行文件的请求时,阻断单元102删除该给定执行文件,从而阻断它的执行。在这种情况下,例如,阻断单元102对于特定执行文件,比较在数据库114中存储的DNA值和DNA值,当它们不相等时,阻断单元102删除给定执行文件。该备份原件被提供至文件执行单元104。文件执行单元104执行由阻断单元102提供的给定备份执行文件的原件。为此,文件执行单元104将比较DNA值和给定备份执行文件的原件存储在数据库114中的DNA值,以确定是否执行该执行文件的原件。换言之,当存在执行代理系统10内的特定执行文件的请求时,文件执行单元104计算该特定执行文件的DNA值,并比较该特定执行文件的数据库114中存储的DNA值和原始DNA值。文件执行单元104进而基于比较结果来确定该特定执行文件是否已被改变,以执行该特定文件或者阻断该特定文件的执行。此外,当在数据库114中存储的特定执行文件的DNA值和特定执行文件的原始DNA值不相等时,文件执行单元104将该特定执行文件的DNA值传送至通过有线/无线通信网 络200连接的管理服务器150,并请求检测该特定执行文件。当接收到来自代理系统10的管理员或者管理服务器150的解除阻断的请求时,阻断解除单元106计算代理系统10内的各个执行文件的DNA值。随后,阻断解除单元106比较存储在数据库114中的计算出的DNA值和原始DNA值,以检查每个执行文件是否已被改变,并确定是否解除阻断模式。当确定代理系统10内的各个执行文件没有改变时,阻断解除单元106解除阻断模式,并且响应于阻断模式的解除,管理员可以允许更新代理系统10内的执行文件、在代理系统10中安装新程序、或者在代理系统10中改变或者删除文件。在代理系统10工作在阻断模式的情况下,管理员单元108提供了响应于来自管理员的请本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:李材汉,
申请(专利权)人:株式会社AHNLAB,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。