[发明专利]产生及利用特征码以监测程序的装置及方法

说明书

技术领域

本发明涉及一种监测程序的装置及方法；尤其涉及一种利用应用程序接口侦测(Application Program Interface Hooking；简称API Hooking)技术以监测程序的装置及方法。

背景技术

由于因特网的普及，近年来计算机病毒的发展也以可在因特网间传递的蠕虫及特洛伊木马程序等为主。在微软窗口操作系统环境中，这些蠕虫及特洛伊木马程序主要是趁执行中的程序发生缓冲区溢位(bufferoverflow)的问题时，或趁系统呼叫应用程序接口(Application ProgramInterface；简称API)时，取得对程序的控制权，进而破坏整个计算机的运行。

图1A是描述程序(source function)111呼叫目标应用程序接口112的已有技术的示意图。图中箭头所指的方向代表函式间呼叫的方向。由箭头113、114分别可知，程序111直接呼叫目标应用程序接口112，而目标应用程序接口112执行完后亦直接返回程序111。

现行的防毒软件都是在发生第一次灾情之后，找出并记录蠕虫及特洛伊木马程序等病毒的特征，再将这些特征加入病毒码中，以供日后比对。现行技术主要采取反组译的方式，记录待测执行文件所有应用程序接口的返回地址，再于执行时进行比对。然而，此种技术有两个主要的缺点。第一，并非所有的执行档都可以进行反组译，例如编码过后的执行文件及外挂程序(plug-in)等，也因此无法处理动态加载的程序。第二，使用此种方式，需要监测所有的应用程序接口，因而会消耗大量资源。

因此，如何提供一种能处理编码过后的执行文件及外挂程序的应用程序接口监测技术，亦即动态的监测技术，同时使这样的技术不耗费过多的资源，仍为此领域值得研究的课题。

发明内容

本发明的一目的在于提供一种产生特征码以监测程序的装置。该装置包含呼叫模块、记录模块及产生模块。该呼叫模块用以使该程序通过应用程序接口呼叫函式。该记录模块用以记录该应用程序接口呼叫该函式后的返回地址。该产生模块用以根据该返回地址产生该特征码。该特征码被用以与该程序于再次执行时以同样步骤所产生的监测码比对，以决定该程序是否受到攻击。

本发明的另一目的在于提供一种利用特征码以监测程序的装置。该装置包含呼叫模块、记录模块、产生模块及判断模块。该呼叫模块用以使该程序通过应用程序接口呼叫函式。该记录模块用以记录该应用程序接口呼叫该函式后的返回地址。该产生模块用以根据该返回地址产生监测码。该判断模块用以判断该监测码与该特征码是否相同。该特征码为该程序于再次执行时以同样步骤所产生的，以及若该监测码与该特征码不同，该产生模块还用以产生信息用以表示该程序受到攻击。

本发明的另一目的在于提供一种产生特征码以监测程序的方法。该方法包含下列步骤：使该程序通过应用程序接口呼叫函式；记录该应用程序接口呼叫该函式后的返回地址；以及根据该返回地址产生该特征码。该特征码被用以与该程序于再次执行时以同样步骤所产生的监测码比对，以决定该程序是否受到攻击。

本发明的另一目的在于提供一种利用特征码以监测程序的方法。该方法包含下列步骤：使该程序通过应用程序接口呼叫函式；记录该应用程序接口呼叫该函式后的返回地址；根据该返回地址产生监测码；判断该监测码与该特征码是否相同；以及若该监测码与该特征码不同，产生信息用以表示该程序受到攻击。其中，该特征码系为该程序于再次执行时以同样步骤所产生的。

本发明的又一目的在于提供一种产生特征码以监测程序的方法。该方法包含下列步骤：令呼叫模块使该程序通过应用程序接口呼叫函式；令记录模块记录该应用程序接口呼叫该函式后的返回地址；以及令产生模块根据该返回地址产生该特征码。该特征码被用以与该程序于再次执行时以同样步骤所产生的监测码比对，以决定该程序是否受到攻击。

本发明的再一目的在于提供一种利用特征码以监测程序的方法。该方法包含下列步骤：令呼叫模块使该程序通过应用程序接口呼叫函式；令记录模块记录该应用程序接口呼叫该函式后的返回地址；令产生模块根据该返回地址产生监测码；令判断模块判断该监测码与该特征码是否相同；以及若该监测码与该特征码不同，令该产生模块产生信息用以表示该程序受到攻击。该特征码为该程序于再次执行时以同样步骤所产生的。