[发明专利]用于一硬件的监控装置及监控方法

说明书

技术领域

本发明是关于一种用于一硬件的监控装置及监控方法；特别是一种能避免硬件 被一恶意进程(malicious process)攻击的监控装置及监控方法。

背景技术

随着信息工业的发展，计算机与网络已在日常生活中占有不可或缺的地位。举 例而言，以计算机处理各种数据或是以网络搜寻各种信息、购物以及数据交换等等， 皆是人类已习以为常的生活方式。更进一步地说，网络信用卡结帐、网络购物下单 以及网络提款机(web ATM)等，更是许多人经常使用的网络服务。

然而，在计算机与网络受到使用者如此倚重的前提之下，一些恶意软件 (malware)便有机会侵害使用者的计算机。举例而言，某些恶意软件将会通过网 络、USB闪存、红外线或是蓝芽来窃取使用者存放于计算机中的重要数据、破坏 计算机内部信息、甚至于控制使用者的计算机系统以限制使用者的使用权限。另外， 有些恶意软件更会在使用者的计算机上安装广告软件或是垃圾软件，进而造成使用 者的困扰，同时浪费网络宝贵的资源。据此，计算机与网络的安全性即为相当重要 的课题。

为了防止恶意软件通过前段所述的各种方式破坏使用者的计算机，以往通常是 以防毒程序来阻止恶意软件对使用者的计算机进行存取或破坏。防毒程序则是根据 恶意软件分析工具所建立的恶意软件特征来检测并阻止恶意软件的破坏。更详细地 说，CWSandbox(恶意软件分析工具)通过分析不同恶意软件将建立不同种类的 恶意软件特征，而Kaspersky(防毒程序)即可通过这些恶意软件特征检测并阻止 恶意软件的破坏。

然而，不论是何种防毒程序或恶意软件分析工具，皆是安装于计算机的操作系 统中，其运作亦与恶意软件相同，皆是通过操作系统来进行操作的。详细地说，防 毒程序或恶意软件分析工具，是与恶意软件于同一个环境(即同一操作系统)之下 执行的。换言之，当某些恶意软件检测到其本身是处于一个防毒程序或恶意软件分 析工具正在执行的环境之下时，恶意软件将可以进一步破坏防毒程序或恶意软件分 析工具的正常运作。或者，恶意软件可以执行一些其它种类的正常程序的各种指令， 导致扫毒程序或恶意软件分析工具搜集到错误的数据。由此可知，若要通过存在于 操作系统中的防毒程序来检测同样存在于操作系统中的恶意软件的执行时，防毒程 序的检测能力是受到相当的限制。

据此，在恶意软件日益泛滥的情况之下，要如何设计一种并非于操作系统中执 行且无法被恶意软件反向检测到的监控方法，是业界亟需解决的问题。

发明内容

本发明的一目的在于提供一种用于一硬件的监控装置。该硬件包含一中央处理 器以及一存储模块。该监控装置包含一撷取模块以及一分析模块。该撷取模块于一 进程(process)执行前，自该存储模块撷取该进程的一进入点(entry point)信息， 该进程则包含至少一指令(instruction)。该分析模块则根据该进入点信息，自该 中央处理器取得与该进程相应的一地址值，其中该地址值对应至一储存该至少一指 令的存储器区块。当该中央处理器执行该进程的至少一指令时，该硬件的存储模块 根据该地址值记录该进程的至少一指令。

本发明的又一目的在于提供一种监控方法。该监控方法包含以下步骤：于一进 程执行前，撷取该进程的一进入点信息，其中该进程包含至少一指令；根据该进入 点信息，取得与该进程相应的一地址值，其中该地址值对应至一储存该至少一指令 的存储器区块；执行该进程的至少一指令；以及根据该地址值记录该进程的至少一 指令。其中，一硬件撷取该进入点信息并根据该地址值记录该进程的至少一指令。

本发明的再一目的在于提供一种计算机程序产品，内储一种监控方法的程序， 该程序被加载一微处理器后可执行并完成前段所述的监控方法。

综上所述，本发明所揭露的用于一硬件的监控装置及监控方法可以监控该硬件 中所有被执行的进程。对于该硬件来说，计算机在执行这些进程所包含的指令时， 这些指令将根据其所对应的地址值被记录并分析。据此，本发明不需操作系统支持 即能直接根据进程的指令所对应的地址值来检测恶意软件，进而改进现有技术的缺 点。同时，通过前述的方式检测恶意软件，本发明亦可保护计算机的各种重要区段 (critical section)，例如存储器等重要区段，以避免恶意软件的破坏导致重要区段 中执行的进程产生无法预期的结果(如跳过验证进程、Control hijacking等...)。

附图说明