鉴识及移除恶意软件的方法技术

本发明专利技术涉及一种鉴识及移除恶意软件的方法，其使用一个个人计算装置，而个人计算装置能够与一个远程服务器连接。远程服务器管理一个黑名单及一个白名单。黑名单记录已知具有恶意代码的程序。白名单记录已知没有恶意代码的程序。当收到一个扫描要求时，本发明专利技术的方法就开始启动。扫描要求是一个命令，其指示个人计算装置与远程服务器共同合作，执行一系列文件的扫描，以检测恶意代码。本发明专利技术的方法执行一个沙盒评估流程，以鉴识具有恶意代码的文件。沙盒评估流程是一个隔离的测试程序，其运作程序以找出恶意代码。如果找到恶意代码，本发明专利技术会执行一个威胁修复流程。

Methods of Identifying and Removing Malware

The present invention relates to a method for identifying and removing malware using a personal computing device that can connect to a remote server. The remote server manages a blacklist and a whitelist. Blacklists record programs that are known to have malicious code. Whitelist records programs that are known to have no malicious code. When a scanning request is received, the method of the present invention starts. Scanning requirements are commands that instruct personal computing devices to cooperate with remote servers to perform a series of file scanning to detect malicious code. The method of the invention executes a sandbox evaluation process to identify files with malicious code. Sandbox evaluation process is an isolated test program that operates to find malicious code. If malicious code is found, the present invention performs a threat repair process.

【技术实现步骤摘要】
【国外来华专利技术】鉴识及移除恶意软件的方法本申请是PCT国际申请并且要求了于2016年06月16日递交的美国临时申请62/350,963作为优先权。
本专利技术涉及保护用户网络浏览器免于染上不想要的附加功能或扩展功能，尤其涉及一种方法其能够鉴识及解除恶意软件、档案、及浏览器扩展功能。
技术介绍
现在，当用户安装网络浏览器附加功能或扩展功能的时候(在下文中皆称之为扩展功能)，常常会导致某些设定以一种用户基本上是不想要或不期待的方式被改变。例如，默认的搜索引擎或新标签页等设定被无预期地改变，当发生这些状况时会让人非常的挫折沮丧，并且大大地败坏使用者搜寻因特网的兴致。此外，某些网络扩展功能的开发者会故意地在他们的扩展功能中包含用户不想要的设定的改变，例如：改变预设的搜索引擎。更有甚者，这些网络扩展功能也会呈现其他恶意的行为，例如：广告言过其实，追踪个人的信息，及在用户计算机安装恶意软件。
技术实现思路
本专利技术的目的是介绍一种方法，其能够让使用者克服上述的种种问题。本专利技术是一种方法，其搜寻及监控任何已知会造成问题的扩展功能的安装。例如，当用户上网浏览电影的时候，突然收到一个包含看起来像但其实不是视频下载按钮的弹出窗口。如果用户点选了这个弹出窗口，他会发现在他的浏览器上出现一个新的工具栏，而这个工具栏的会以使用者没有预料到的方式改变他的搜索设定。本专利技术的特点是在于：它能够在安装时检查这些问题。在现有技术，一些扩展功能在删除所有扩展功能后仍然存在。然而，这样的一种方法常常还是被认为是过度的。本专利技术是一种网络浏览器扩展功能，其长驻在用户的计算机，以监控其他的扩展功能。当安装一个呈现出不期望/不良行为的扩展功能时，这个监控的扩展功能会使这个不想要的扩展功能失效或被卸载。相对于现有技术将所有扩展功能全部删除的方法，本专利技术根据一个数据库检查扩展功能，并移除已知的不良的扩展功能。本专利技术会取得用户计算机中所有网络浏览器扩展功能的ID，并且将这些ID送到远程的一个服务器。然后这个服务器会检查哪些ID是属于已知的不良的扩展功能，然后返回符合的名单，处理他们。除了自动地让一个不想要的扩展功能失效或被卸载，本专利技术也可以建议用户手动地移除违规的扩展功能，或手动地使违规扩展功能失效。本专利技术的具有监控能力的扩展功能会检查那些潜在性不受欢迎的扩展功能。这些检查将会在这个扩展功能生命周期的某些时间点定期地进行。相对于先前技术，这是一个比较定制化的解决方案。本专利技术是一个比较精细类似于外科手术的解决方案，而不是一个过度的一揽子解决方案。附图说明图1是一幅方框图，其显示执行本专利技术之方法的系统的组件彼此之间通讯的状况。图2是一幅流程图，其显示本专利技术的整个方法。图3是一幅流程图，其显示本专利技术的一个子流程，其用于选择一或多个个人档案以扫描恶意代码。图4是一幅流程图，其显示本专利技术的一个子流程，其用于扫描新下载的档案。图5是一幅流程图，其显示本专利技术的一个子流程，其用于启动周期性扫描。图6是一幅流程图，其显示本专利技术的一个子流程，其用于执行沙盒评估流程。图7是一幅流程图，其显示本专利技术的一个子流程，其用于执行威胁修复流程。图8是一幅流程图，其显示本专利技术的一个子流程，其用于选择并执行威胁修复流程中的一个删除命令。图9是一幅流程图，其显示本专利技术的一个子流程，其用于选择并执行威胁修复流程中的一个隔离命令。图10是一幅流程图，其显示本专利技术的一个子流程，其用于散播目标广告。具体实施方式首先要特别说明的是：本说明书所使用的图示仅是用于说明本专利技术的某些实施例，本专利技术的范围并不受该些图示的限制。请参照图1到图10。本专利技术的鉴识及移除恶意软件的方法，其让用户的计算机免于恶意文件的威胁，恶意文件包括但不限于：文档，程序，及网络浏览器扩展功能。本专利技术使用自动扫描功能及手动扫瞄功能去鉴识用户计算机中的恶意文件，并让恶意文件失效。在本说明书中所称的恶意文件是指恶意代码或病毒。本专利技术能够做为一个实时的扫描系统，其能够监视下载中或安装中的恶意文件。并且，本专利技术也可以作为一个手动或定期扫描的系统，其可以在收到指示时进行扫描，或者进行定期扫描。本专利技术的扫描功能是设计为：将文件与一个黑名单进行比较来鉴识出恶意文件。另外，本专利技术使用一个沙盒系统来测试文件，以决定文件是否是恶意的。本专利技术的其他实施例会推荐使用者可能会觉得有用的程序或服务。请参照图2。为实现上述的功能，本专利技术的方法使用一种系统，其能够提供一部可通讯地连接到至少一个远程服务器的个人计算装置(PC)(步骤A)。用来与本专利技术交互的个人计算装置包括但不限于，一部智能型手机、一部笔记本电脑、一部台式电脑、或一部平板电脑。远程服务器执行本专利技术的一系列内部流程，并且将恶意代码信息传输至个人计算机。个人计算装置包含多个个人文件，每一个个人文件与一个程序标识符号(PID)相关联。多个个人文件是储存在个人计算装置里面的文档、程序、及程序扩展功能的集合。另外，程序标识符号(PID)是本专利技术用来区别这些多个个人文件的标识。本专利技术的方法还提供一个黑名单及一个白名单，这两个名单由该远程服务器所管理(步骤B)。黑名单中的程序标示符号与那些已经知道含有恶意代码的个人文件相关联。相反，白名单中的程序标示符号与那些已经知道不含有恶意代码的个人文件相关联。个人计算装置、远程服务器、黑名单及白名单是用来实施本专利技术的方法的系统所需要的组件。请参照图2。当提供上述的系统组件，本专利技术的方法还包含：使用该个人计算装置接收至少一个特定文件的扫描请求(步骤C)。这个扫描请求是一个指令，其命令本专利技术的方法启动一个个人计算装置的恶意代码扫描。该至少一个特定文件是指将要被扫描恶意代码的文件，尤其是指将要被扫描恶意代码的一或多个个人文件。本专利技术的方法还包含：如果特定档案的程序标识符号并没有在黑名单及白名单上面，远程服务器针对特定文件执行一个沙盒评估流程，藉以将特定文件的程序标识符号附加于黑名单或白名单(步骤D)。沙盒评估流程是本专利技术的一个子流程，其决定特定文件是否含有恶意代码。如果特定文件确定含有恶意代码，相关的程序标识符号就附加于黑名单。相反地，如果特定文件发现没有恶意代码，相关的程序标识符号就附加于白名单。此外，沙盒评估流程是在一个隔离的虚拟机中进行，如此可以防止恶意代码对个人计算装置或远程服务器造成不良的影响。本专利技术的方法还包含：如果特定文件的程序标识符号在黑名单上面，远程服务器针对特定文件执行一个威胁修复流程(步骤E)。威胁修复流程是本专利技术的一个子流程，其用于移除被发现含有恶意代码的个人文件，或使其失效。请参照图3。本专利技术被设计成：给用户提供多种选择，让用户可以决定要扫描哪些个人文件，或在何时要进行扫描。为此，本专利技术包含一个子流程，这一个子流程让用户可以选择至少一个文件被扫描。这一个子流程包含：提示用户从个人计算装置的多个个人文件中选择至少一个想要的文件。该至少一个期望文件是用户想要扫描恶意代码的一个或多个个人文件。这一个子流程还包含：在步骤C之前，使用该个人计算装置将至少一个期望文件指定为该至少一个特定文件。这一个步骤对本专利技术的方法扫描期望文件中的恶意代码做准备。另外，这一个子流程让用户可以手动地启动一或多个个人文件的恶意代码扫描。请参照图4。本专利技术的方法具有一个单独的子流程，其用于：在用户每次下载本文档来自技高网...

【技术保护点】
1.一种鉴识及移除恶意软件的方法，其包含下列步骤：(A)提供一部个人计算装置(PC)，其可通讯地连接到至少一个远程服务器，其中该个人计算装置包含多个个人文件，而且该多个个人文件之中的每一个个人文件与一个对应的程序标识符号(PID)有关联；(B)提供一个黑名单及一个白名单，其中该黑名单及该白名单由该远程服务器所管理；(C)使用该个人计算装置接收至少一个特定文件的一个扫描请求，其中该特定文件是来自于该多个个人文件；(D)如果该特定文件的该对应的程序标识符号并没有在该黑名单该及该白名单上面，使用该远程服务器针对该特定文件案执行一个沙盒评估流程，以将该特定文件的该对应的程序标识符号附加于该黑名单或该白名单；及(E)如果该特定文件的该对应的程序标识符号在黑名单上面，使用该远程服务器针对该特定文件执行一个威胁修复流程。

【技术特征摘要】
【国外来华专利技术】2016.06.16 US 62/350,9631.一种鉴识及移除恶意软件的方法，其包含下列步骤：(A)提供一部个人计算装置(PC)，其可通讯地连接到至少一个远程服务器，其中该个人计算装置包含多个个人文件，而且该多个个人文件之中的每一个个人文件与一个对应的程序标识符号(PID)有关联；(B)提供一个黑名单及一个白名单，其中该黑名单及该白名单由该远程服务器所管理；(C)使用该个人计算装置接收至少一个特定文件的一个扫描请求，其中该特定文件是来自于该多个个人文件；(D)如果该特定文件的该对应的程序标识符号并没有在该黑名单该及该白名单上面，使用该远程服务器针对该特定文件案执行一个沙盒评估流程，以将该特定文件的该对应的程序标识符号附加于该黑名单或该白名单；及(E)如果该特定文件的该对应的程序标识符号在黑名单上面，使用该远程服务器针对该特定文件执行一个威胁修复流程。2.如权利要求1所述的鉴识及移除恶意软件的方法，其更包含：提示用户使用该个人计算装置从该多个个人文件中选择至少一个期望的文件；及在该步骤C之前，使用该个人计算装置将该至少一个期望的档案指定为该至少一个特定文件。3.如权利要求1所述的鉴识及移除恶意软件的方法，其更包含下列步骤：下载一个新文件到该个人计算装置；使用该个人计算装置将该新档案附加到该多个个人文件之中；及在该步骤C之前，使用该个人计算装置将该新档案指定为该至少一个特定文件。4.如权利要求1所述的鉴识及移除恶意软件的方法，其更包含下列步骤：提示用户使用该个人计算装置为该多个个人文件选择一个时间间隔；在该步骤C之前，使用该个人计算装置将所有的该多个个人文件指定为该至少一个特定文件；及以该时间间隔，周期性地执行该步骤C到该步骤E。5.如权利要求1所述的鉴识及移除恶意软件的方法，其更包含下列步骤：(F)当该特定文件的该对应的程序标识符号...

【专利技术属性】
技术研发人员：亚伦·佛德·拉芙蕾丝，塞伦·赛尔瑞斯·汤普森，史蒂文·迈克尔·马克维茨，
申请(专利权)人：比斯垂普有限责任公司，
类型：发明
国别省市：美国,US