[发明专利]电子装置及检测恶意文件的方法

说明书

本发明公开了一种电子装置及检测恶意文件的方法。方法包括下列步骤。搜寻一执行文件，并拆解执行文件以得到一导入表。导入表至少包括一第一动态连结函式库的名称及一第二动态连结函式库的名称。计算第一动态连结函式库与第二动态连结函式库之间的一距离。判断距离是否超过一门槛值。若距离超过门槛值，则检查执行文件中是否存在与导入表重复的内容。若执行文件中存在与导入表重复的内容，则执行文件为一恶意文件。

技术领域

本发明是有关于一种电子装置及检测的方法，且特别是有关于一种电子装置及检测恶意文件的方法。

背景技术

随着网络技术的普及，很多资讯必须通过网络传递。当电子装置连上网络，一不小心就会受到恶意程序的攻击。现有的防毒技术是通过已知的恶意程序的特征值去检测及扫描文件，以找出恶意程序或恶意文件。举例来说，一般防毒软件主要通过已知的恶意程序的特征值去检测及扫描恶意文件。然而，此方法无法防止新型态的先进持续性威胁(AdvancedPersistent Threat,APT)及零时差(Zero-day)恶意程序的PE Infection攻击。因为，防毒软件公司并无这些新型态或客制化的恶意程序的特征值，故无法找出电子装置中的恶意程序或恶意文件。因此，如何有效的检测出电子装置中的恶意程序或恶意文件乃业界所重视的议题。

发明内容

本发明是有关于一种电子装置及检测恶意文件的方法，其利用检测恶意文件的方法快速筛选出疑似的恶意文件，再进一步准确确认疑似的恶意文件是否为恶意文件。

根据本发明的一实施例，提出一种检测恶意文件的方法。方法包括下列步骤。搜寻一执行文件，并拆解执行文件以得到一导入表(Import table)。导入表至少包括一第一动态连结函式库(Dynamic-link library,DLL)的名称及一第二动态连结函式库的名称。计算第一动态连结函式库与第二动态连结函式库之间的一距离。判断距离是否超过一门槛值。若距离超过门槛值，则检查执行文件中是否存在与导入表重复的内容。若执行文件中存在与导入表重复的内容，则判断执行文件为一恶意文件。

根据本发明的另一实施例，提供一种电子装置。电子装置包括一处理器及一储存单元。储存单元用以储存一执行文件。处理器用以搜寻执行文件，并拆解执行文件以得到一导入表。导入表至少包括一第一动态连结函式库的名称及一第二动态连结函式库的名称。处理器计算第一动态连结函式库与第二动态连结函式库之间的一距离。处理器判断距离是否超过一门槛值。若距离超过门槛值，则处理器检查执行文件中是否存在与导入表重复的内容。若执行文件中存在与导入表重复的内容，则判断执行文件为一恶意文件。

下文是配合所附图式对本发明作详细说明如下。

附图说明

图1绘示电子装置的方块图。

图2绘示依照本发明的实施例的检测恶意文件的方法的流程图。

图3绘示导入表的一例的示意图。

图4绘示导入表的另一例的示意图。

图5绘示导入表的一例的示意图。

图6A绘示正常执行文件中的导入表及可移植执行文件标头的示意图。

图6B绘示被黑客新增地址的导入表的示意图。

其中，附图标记：

100：电子装置

102：处理器

104：储存单元

S202、S204、S206、S208、S210、S212、S214：流程步骤

300、400：导入表

400A、400B：区块

500：可移植执行文件标头