CN103413090B - 用于数据存储设备上恶意软件的检测和处理的系统和方法 - Google Patents
用于数据存储设备上恶意软件的检测和处理的系统和方法 Download PDFInfo
- Publication number
- CN103413090B CN103413090B CN201310193052.0A CN201310193052A CN103413090B CN 103413090 B CN103413090 B CN 103413090B CN 201310193052 A CN201310193052 A CN 201310193052A CN 103413090 B CN103413090 B CN 103413090B
- Authority
- CN
- China
- Prior art keywords
- storage device
- data storage
- program
- file
- virus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
- Storage Device Security (AREA)
Abstract
公开了用于数据存储设备上恶意软件的检测和修复的系统和方法。系统包括控制器、用于连接外部数据存储设备的通信接口、以及用于存储反病毒软件的存储器。反病毒软件配置为扫描包含在数据存储设备中的数据、实施对在数据存储设备上所发现的恶意文件或程序的修复或移除、识别数据存储设备上的可疑文件或程序以及无法修复或者从数据存储设备移除的恶意文件或程序、向反病毒软件提供商发送关于这些文件或程序的信息、从反病毒软件提供商接收用于反病毒软件的更新、以及使用经更新的反病毒软件重新扫描可疑文件或程序以及无法修复或移除的恶意文件或程序。
Description
技术领域
本发明涉及计算机安全领域,并且特别涉及用于便携式数据存储设备上恶意软件的检测和修复的系统和方法。
背景技术
很难想象没有计算机网络的现代企业办公室,不论其面积有多大。网络在连接并访问共享网络资源和设备的个人计算机(PC)之间提供信息的快速交换。然而,有必要管理和控制PC对企业网络的访问以及诸如闪存驱动器和其它海量数据存储设备等外部数据存储设备对企业网络的访问。在典型的企业环境中,每天都有数以百计的此类数据存储设备连接到企业PC的实例被登记。并且,此类数据存储设备常常包含有害软件(例如,恶意软件),其会对该设备所连接的PC造成重大损害。此外,恶意软件会通过网络传播并对其它PC也造成损害。此类事件常常要求公司的IT人员花时间识别恶意软件并将其从受感染的PC中移除。另外,此类感染会造成商业机密的泄露乃至经济损失。
即使企业PC具有反病毒应用程序,也不能100%保护计算机免受来自直接连接的数据存储设备的可能的恶意软件感染。例如,当企业PC的用户已长时间没有更新反病毒软件的反病毒数据库,并且在用户不知道的情况下,包含新类型的、可能无法被使用过时的反病毒数据库的反病毒应用程序检测到的恶意软件的闪存驱动器被连接到PC时,此类情况可能出现。该恶意软件可能传播到企业网络中的其它PC而造成重大损害或者信息的丢失。还存在其中PC用户的疏忽或者缺乏经验可能造成恶意软件感染的很多其他场景。
另外,对受到恶意软件感染的诸如闪存驱动器的数据存储设备的修复可能造成不同的问题,包括对设备本身的损害。例如,当反病毒应用程序在数据存储设备上检测到恶意软件并移除恶意软件的可执行部件时,反病毒应用程序可能没有触及恶意软件的autorun.inf(自动运行)文件,该autorun.inf文件典型地用于在windows OS(操作系统)下自动启动来自数据存储设备的应用程序和程序。结果,当连接到PC时,该数据存储设备将不再是可检测的。另外,举例来说,如果反病毒应用程序在数据存储设备上检测到有害软件并试图修复或者移除所检测到的恶意软件的可执行部件,并且此时,用户将该数据存储设备从PC拔出,那么数据存储设备的文件系统可能被损害并且造成该设备上数据的全部丢失。这种情况可能会发生,因为反病毒应用程序典型地并不向用户告知对来自闪存驱动器的恶意软件的修复或移除。
因此,需要改进的系统和方法用于诸如闪存驱动器等等的便携式数据存储设备上恶意软件的检测和修复。
发明内容
公开了用于数据存储设备上恶意软件的检测和修复的系统、方法和计算机程序产品。在一个示范性实施例中,用于恶意软件的检测和修复的系统包括控制器、用于连接外部数据存储设备的通信接口和用于存储反病毒软件的存储器。反病毒软件配置为扫描包含在数据存储设备中的数据、实施对在数据存储设备上所发现的恶意文件或程序的修复或移除、识别数据存储设备上的可疑文件或程序以及通过反病毒软件不能修复或从数据存储设备中移除的恶意文件或程序、向用户报告这些文件或程序、向反病毒软件提供商发送关于这些文件或程序的信息、从反病毒软件提供商接收用于反病毒软件的更新、以及使用所提供的反病毒更新来至少重新扫描可疑文件或程序以及不能被修复或移除的恶意文件或程序。
以上对示范性实施例的简要概括用于提供对本发明的基本理解。此概括并非本发明所有预期方面的宽泛概述,且并非意图确定所有实施例的重要或关键要素,也并非意图描绘任何或全部实施例的范围。其唯一的目的是以简化的形式呈现一个或多个实施例作为随后对于本发明更加详尽的描述的前序。为了实现前述事项,一个或多个实施例包括了在权利要求中所描述和具体指出的特征。
附图说明
附图并入并构成本说明书的一部分,示出了本发明的一个或多个示范性实施例,且附图与详细描述一起用于解释实施例的原理和实现方案。
附图中:
图1示出了根据一个示范性实施例的、用于数据存储设备上恶意软件的检测和修复的系统的示意图。
图2a和2b示出了根据一个示范性实施例的、用于数据存储设备上恶意软件的检测和修复的系统的操作流程图。
图3示出了可用来实现本发明的用于恶意软件的检测和修复的系统的计算机系统的一个示范性实施例。
具体实施方式
本文围绕用于便携式存储设备上恶意软件的检测和修复的系统和方法来描述本发明的示范性实施例。本领域的普通技术人员将会意识到下面的描述仅仅是例示性的且并非意图以任何形式进行限制。受益于本公开的本领域技术人员将容易地获得其它实施例的启示。现在将详细地对如附图所示的本发明的示范性实施例的实现方案进行参考。贯穿附图和下面的描述,将尽可能使用相同的附图标记来指代相同或类似的项。
图1示出了用于数据存储设备上恶意软件的检测和修复的系统。系统101包括诸如USB、Mini USB、eSATA或火线接口的连接模块103,用于连接诸如闪存驱动器的外部数据存储设备102。应当注意的是,系统101可以具有用于连接不同类型的数据存储设备的多个不同的连接模块103。连接模块103连接到控制器105,该控制器105设计为在系统101的模块之间传输数据。
系统101还包括通信模块106,该通信模块106促进同联网PC、远程服务器或因特网上其它处理/通信设备的数据通信。通信模块106可以使用诸如UMTS/CDMA(3G)、WIMAX/LTE(4G)、WiFi、HSPA和EDGE的无线通信技术,也可以使用诸如USB、以太网、光纤、ASDN、xDSL及其它的有线数据传输技术。
系统101还包括电源模块104,其在系统101的脱机操作期间长时间提供电力而不需要再充电。电源模块104可以是原电池或者蓄电池,例如锂离子。当系统101通过连接模块103连接到PC时,可以对电源模块104进行充电。
系统101还包括反病毒引擎107,其配置为针对被诸如病毒、特洛伊木马和蠕虫的恶意软件所感染的文件的存在而扫描诸如闪存驱动器的数据存储设备102,实施对受感染文件的修复和/或对恶意软件的移除。反病毒引擎107可以包括如下反病毒产品中的一个或多个,包括但不限于卡巴斯基反病毒(Kaspersky Antivirus)、用于Windows工作站的卡巴斯基反病毒、用于Linux工作站的卡巴斯基反病毒、McAfee反病毒、Norton反病毒或类似的产品。
在一个示范性实施例中,反病毒引擎107可以若干独立软件模块的形式实现,其每一个配置为实施特定任务。例如,一个模块可以实施签名验证,而另一个可以实施启发式分析等等。根据一个示范性实施例,反病毒引擎107配置为使用随机存取存储器,该随机存取存储器可以由控制器105提供。
在一个示范性实施例中,反病毒引擎107连接到反病毒数据库110,该反病毒数据库110包含用于反病毒扫描和修复所必要的信息。该信息包括但不限于已知的干净的和恶意的程序的签名、启发式分析算法和其他类型的信息。此外,反病毒引擎107可以将可疑的文件存储在反病毒数据库110中用于随后使用通信模块106传输给反病毒软件开发者的服务器。
系统101还包括存储器模块108,其用于在由反病毒引擎107进行数据存储设备102的反病毒扫描期间备份存储在数据存储设备102上的数据。反病毒引擎107和反病毒数据库110还可以存储在存储器模块108中。存储器模块108可以是,例如,NOR类型或NAND类型的闪存驱动器存储器。
系统101还包括用户界面模块109,其配置为允许用户发起系统101的操作、向用户通知系统的操作状态、显示反病毒分析的结果并且一旦反病毒分析完成则接收用户指令。在一个示范性实施例中,用户界面模块109可以以发光二级管(LED)或带有图形用户界面(GUI)和触屏功能性的液晶显示器(LCD)来实现。模块109还可以指示反病毒扫描的进度和该扫描的结果,例如,诸如“闪存驱动器已被测试且不包含任何受感染的文件和/或恶意软件”和“闪存驱动器已被测试且包含受感染的文件和/或恶意软件”的事件。模块109还可以包括扬声器并可使用音频信号,该音频信号允许用户将这类事件评定为反病毒扫描的结束或者存在无法修复或无法从数据存储设备102移除的可疑文件、受感染的文件或恶意程序。应该注意的是,电源模块104、存储器模块108、通信模块106和反病毒数据库110是可选模块,系统101没有这些模块也可以操作。
应该注意的是,还可存在系统101的其它实施例。例如,系统101可以实现为USB适配器,其能够插入PC的USB端口。诸如闪存驱动器的数据存储设备102能够插入该USB适配器用于由系统101进行反病毒扫描。在另一个实施例中,系统101可以实现为USB集线器,其允许对连接到USB集线器的诸如闪存驱动器等的多个数据存储设备102同时进行反病毒扫描。
图2a和2b示出了以上描述的用于数据存储设备上恶意软件的检测和修复的系统的操作方法。在步骤201,诸如闪存驱动器的数据存储设备102的用户将该设备连接到系统101的诸如USB端口的连接模块103。然后,该过程继续到图2b所示的阶段A。因此,在步骤2021,在数据存储设备102连接到系统101后,控制器105可以接收来自设备102的关于设备名称、设备存储器类型及其容量、设备制造商名称的信息和其它识别数据存储设备102的信息。然后,控制器105在存储器模块108中创建例如分区或文件夹的备份区域并使用任何识别存储设备102的文件夹或数据来命名备份区域,该备份区域专用于存储来自设备102的数据。例如,控制器105可以选择存储驱动器102的名称、其存储器的量、或者关于设备制造商的信息作为存储器模块108上分区或文件夹的名称。应该注意的是,在该初始阶段由控制器105所收集的任何数据都可以用于对所连接的设备102的后续识别。
在控制器105于存储器模块108中制造分区或文件夹用于对来自闪存驱动器102的数据的备份后,在步骤2022,控制器105将存储在设备102中的所有数据复制到所创建的分区或文件夹中。因此,存储器模块108将包含存储在驱动器102上的所有数据的备份副本。如果在由反病毒引擎107对数据存储设备102进行反病毒扫描和恶意软件修复期间设备102的任何数据受到损坏,则可以将备份数据复制回设备102。
接着,在步骤2023,控制器105将接收在设备102上所存储的所有数据并将它们传输到反病毒引擎107用于进行反病毒扫描。应该注意的是,在系统101的各种版本中信息传输的顺序可以是不同的。例如,在一个示范性实施例中,对来自设备102的数据的备份和对设备102的反病毒扫描可以同时实施。接收到来自设备102的数据后,反病毒引擎107使用存储在反病毒数据库110中的反病毒定义和其它恶意软件相关数据来启动对所接收的数据的反病毒扫描。在扫描期间,反病毒引擎107可以向控制器105指示每一个所扫描的文件和直到扫描结束的时间。控制器105可以将该信息传送到用户界面模块109以显示给用户。因此,在数据存储设备102的反病毒扫描过程期间,用户得到实时的反馈。
取决于用户界面模块109的实现方案,显示给用户的信息可以包括关于所扫描的文件的动态变化信息、直到扫描过程结束的剩余时间和有关反病毒扫描过程的其它信息。此外,当扫描完成时并且当可以将数据存储设备102从系统101断开连接而没有数据丢失或损害设备102的威胁时,模块109可以告知用户。另外,在该阶段,反病毒引擎107将实施对在设备102上所检测到的任何受感染的文件或恶意程序的修复或移除。
接着,在步骤2024,反病毒引擎107在反病毒数据库110中收集各种关于所扫描的文件和数据存储设备102上所发现的任何恶意软件的统计信息。数据库110可以包括用于该信息的存储的专用分区或文件夹,其可由识别设备102的任何信息来加以识别。因此,关于所扫描的文件、所检测到并被移除或未被移除的恶意程序以及存储在设备102上的可疑文件的所有信息都存储在反病毒数据库110的适当段(section)中。将来,例如,可以将该信息发送到反病毒软件开发公司用于进一步的分析。
接着,回到图2a的步骤203,在该步骤中反病毒引擎107确定是否在数据存储设备102上检测到任何可能是恶意的可疑文件。这可当反病毒数据库110不包含关于已知恶意软件的最新信息时发生。在步骤203,如果反病毒引擎107并未在设备102上检测出任何可疑文件,并且有能力修复所有受感染的文件并移除所有所检测到的恶意软件,那么使系统101在步骤204继续,在步骤204,反病毒引擎107将把关于所检测到的/被移除的恶意程序和所有受感染的/被修复的文件的信息发送到控制器105。控制器105将该数据传送到用户界面模块109用于显示给用户。
如上所说明的,取决于模块109的实现方案,用户还可接收音频信息,该音频信息代表诸如扫描的结束、可疑文件、恶意程序或者对数据存储设备102的其它威胁的事件。如果模块109实现为向用户显示扫描过程的动态并在扫描完成之后显示对应于某些事件的各种颜色标志,那么,除了上面所述的,反病毒引擎107还可为数据存储设备102以文本格式生成报告并经由控制器105对其进行传送。该报告可以包括描述所扫描的文件、所检测到的恶意软件、受感染的和被修复的或被删除的文件、应该或不应该由用户执行的措施列表等等的信息。
此外,在步骤204,控制器105可以删除存储在存储器模块108中的专用分区或文件夹中的设备102的备份数据。控制器105也可删除分区或文件夹。然后,反病毒引擎107将数据存储设备102不包含可疑文件以及所有受感染的文件都被修复和/或恶意程序被移除的信息传送给控制器105。
然而,在步骤203,如果反病毒引擎107在数据存储设备102上发现可疑文件即潜在的有害文件,或者发现所检测到的受感染的文件的部分尚未由反病毒引擎107修复,或者发现所检测到的恶意软件尚未由反病毒引擎107移除,那么系统101的操作在步骤205继续,在步骤205中,反病毒引擎107将把关于在设备102上所有所检测到的可疑文件和未修复的恶意软件的信息发送到控制器105。控制器105将把该信息传送到用户界面模块109,根据一个示范性实施例,用户界面模块109可以将该信息连同用于处理可疑文件和未修复的恶意软件的推荐显示给用户。例如,反病毒引擎107可推荐用户避免使用设备102以及稍后使用系统101再次检查设备102。可替换地,引擎107可识别可疑文件并推荐用户从设备102中移除这些文件。
在步骤206,系统101可将关于可疑文件和未修复的恶意软件的信息传送到反病毒软件开发者的服务器。此外,在一个示范性实施例中,系统101可将关于用户识别为干净的可疑文件的信息传送给开发者。此类措施是借助于通信模块106来实行的。取决于实现方案,通信模块106可使用有线的或无线的网络连接。在一个示范性实施例中,通信模块106可包括USB或以太网接口。在这种情况下,可使用模块106将系统101连接到任何提供互联网访问的PC。控制器105从通信模块106接收关于到PC的可用连接的信息,并且控制器105将该信息传递给反病毒引擎107。反病毒引擎107向控制器105告知反病毒软件开发者公司的服务器的因特网地址,并且控制器105将该信息传递给建立与服务器的连接的通信模块106。而且,反病毒引擎107传送来自数据库模块110的统计信息,其包含关于可疑文件的信息、关于尚未被修复的受感染的文件的信息、和/或关于尚未由引擎107移除的恶意软件的信息。控制器105转而将该信息传送给通信模块106,通信模块106将其发送给反病毒软件开发者的服务器用于进一步的分析。如果使用提供直接的因特网访问而不使用第三方PC、诸如LTE或CDMA的无线技术来实现通信模块106,那么上面描述的措施,即,关于可疑文件和未被修复的恶意软件的信息的传输,可以在扫描设备102后由通信模块106直接实施。
作为响应,在步骤207,反病毒软件开发者可发送用于反病毒数据库110和/或反病毒引擎107的更新。更新可包括新的、指示可疑文件是否实际上是恶意的病毒定义、用于可疑文件的修复和/或恶意软件的移除的脚本或指令。更新信息将由通信模块106所接收,被发送给控制器105,并被转发到反病毒引擎107,反病毒引擎107将转而更新反病毒数据库110。
在对反病毒引擎和数据库进行更新之后,反病毒引擎107可使用经更新的反病毒信息重新扫描数据存储设备102,并移除或修复已识别为有害的所有可疑文件,并且还修复一些此前所检测到的受感染的文件。系统101的操作在步骤204结束,在步骤204中,通过模块109告知用户扫描过程的成功完成。
在一个示范性实施例中,通信模块106可将关于可疑文件、未被修复的受感染的文件以及尚未从数据存储设备102移除的恶意软件的信息发送到网络中的任何PC,诸如网络管理员的PC。因此,管理员被告知包含可疑的或恶意的程序的数据存储设备102已连接到网络上的PC,这样,管理员可以采取必要的措施以阻止恶意软件传播到网络中的其它PC。
图3示出了实现为PC的、用于数据存储设备上恶意软件的检测和修复的系统的示范性实施例。应该注意的是,系统101并不限于PC,而是可实现为网络服务器、笔记本、平板电脑、智能电话或其它类型的数据处理或计算设备。PC5可以装在窃启防护(temper-protective)箱6内。PC5可以包括由系统总线10相连接的一个或多个处理器15、存储器20、一个或多个硬盘驱动器30、光驱35、串行端口40、图形卡45、声卡50和网卡55。系统总线10可以是若干类型的总线结构中的任何一种,该若干类型的总线结构包括使用各种已知总线架构中的任何一种的存储器总线或存储器控制器、外围总线和本地总线。处理器15可包括一个或多个Core2Quad2.33GHz处理器或其它类型的CPU。
系统存储器20可包括只读存储器(ROM)21和随机存取存储器(RAM)23。存储器20可以实现为DRAM(动态RAM)、EPROM、EEPROM、闪存或其它类型的存储器架构。ROM21存储基本输入/输出系统22(BIOS),其包含诸如在启动期间帮助在PC5的部件之间传输信息的基本例程。RAM23存储诸如XP或其它类型的操作系统(OS)的操作系统24,其负责PC5中的进程的管理和协调以及硬件资源的分配和共享。系统存储器20还存储诸如反病毒应用程序的应用程序和程序25,该反病毒应用程序诸如卡巴斯基反病毒、用于Windows工作站的卡巴斯基反病毒、用于Linux工作站的卡巴斯基反病毒、McAfee反病毒、Norton反病毒或类似的产品。存储器20还存储由程序25所使用的各种运行时数据26。
PC5可进一步包括诸如SATA磁性硬盘驱动器(HDD)的硬盘驱动器30,以及用于读取或写入可移动光盘的、诸如CD-ROM、DVD-ROM或其它光学介质的光盘驱动器35。驱动器30和35以及它们相关联的计算机可读介质提供对于实现本文所公开的算法和方法的计算机可读指令、数据结构、应用程序、数据库和程序模块/子例程的非易失性存储。虽然示例性的PC5采用磁盘和光盘,但是本领域技术人员应该了解,可存储PC5可访问的数据的其它类型的计算机可读介质也可用于系统的替代实施例中,诸如磁带盒、闪存卡、数字视频盘、RAM、ROM、EPROM、闪存以及其它类型的存储器。
PC5进一步包括多个诸如通用串行总线(USB)的串行端口40,其用于连接数据输入设备75诸如键盘、鼠标、触摸板及其它。串行端口40还可用于连接数据输出设备80诸如打印机、扫描仪及其它,以及连接其它外围设备85诸如外部数据存储设备102等。PC5还可包括诸如 GT240M或其它视频卡的图形卡45,用于与监视器60或其它视频再现设备相接口。PC5还可以包括声卡50,用于经由内部或外部扬声器65再现声音。此外,PC5可包括网卡55,诸如以太网、WiFi、GSM、蓝牙或用于将PC5连接到诸如因特网的网络70和反病毒公司的服务器的其它有线、无线或蜂窝网络接口。
PC5可以具有阻止对系统的越权访问的防护箱6,包括命令和信息到系统中的入口。只有经授权的雇员,例如系统管理员或信息安全公司的雇员,具有对PC5的访问权并能打开或移除(取决于版本)防护箱6。另外,只有这些雇员能够连接诸如键盘或鼠标的数据输入设备以将命令和信息输入到计算机系统5中。
在各种实施例中,本文描述的算法和方法可以以硬件、软件、固件(firmware)或者其任意组合来实现。如果以软件实现,则函数可以作为一条或多条指令或代码在非暂时性的计算机可读介质上存储。计算机可读介质既包括计算机存储,也包括有助于计算机程序从一处传递到另一处的通信介质。存储介质可以是可被计算机访问的任何可用介质。根据实施例但并非限定,这样的计算机可读介质包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储设备,或者可用来以指令或数据结构的形式携带或存储所需的程序代码并且可被计算机访问的任何其它介质。此外,任何连接均可称为计算机可读介质。例如,如果从网站、服务器或其它远程源传送软件所使用的同轴电缆、光缆、双绞线、数字用户专用线(DSL)或者诸如红外、无线电及微波之类的无线技术均包括在介质的定义中。
为了清楚起见,本文并未对实施例的所有常规特征加以示出和描述。应当意识到在任何这类实际的实现方案的开发过程中,必须做出大量特定于实现方案的决策以实现开发者的特定目标,同时应当意识到这些特定目标将随实现方案的不同以及开发者的不同而改变。应当意识到这类开发工作可能是复杂且耗费时间的,但是对于受益于本文公开的本领域的普通技术人员而言,都将是常规的工程任务。
此外,可以理解的是本文使用的措辞或术语是为了描述而非限定的目的,以便本领域的技术人员根据本文提出的教导及指引并结合相关领域技术人员的知识来解读本说明书中的措辞或术语。而且,除非如此明确的予以阐述,否则本说明书或权利要求中的任何术语均并非意图归结为非常规或者特殊的含义。
本文公开的各种实施例包含本文通过示例的方式所提及的已知部件的现在及将来已知的等同物。而且,尽管已经示出及描述了实施例及其应用,但对于受益于本公开的本领域的技术人员而言显而易见的是,比以上提及的更多的修改是可能的而不脱离本文所公开的发明构思。
Claims (6)
1.一种用于数据存储设备上恶意软件的检测和修复的计算机实现的方法,所述方法包括:
将外部数据存储设备连接到处理设备;
存储对包括在外部数据存储设备上的至少一部分数据到所述处理设备的存储器的备份副本;
使用部署在所述处理设备上的反病毒软件来扫描包含在所述数据存储设备中的数据;
由所述反病毒软件实施对在所述数据存储设备上所发现的一个或多个恶意文件或程序的修复或移除;
如果一个或多个文件或程序在所述扫描、修复和移除期间中的至少一个中损坏,则由所述反病毒软件以存储在所述处理设备的所述存储器中的所述备份副本来替换所述数据存储设备中的至少一部分损坏的数据;
识别在所述数据存储设备上所发现的一个或多个可疑文件或程序以及无法由所述反病毒软件修复或从所述数据存储设备移除的一个或多个恶意文件或程序;
向反病毒软件提供商发送关于所述可疑文件或程序以及无法修复或移除的恶意文件或程序的信息;
从所述反病毒软件提供商接收用于所述反病毒软件的更新;以及
由经更新的反病毒软件来至少重新扫描所述可疑文件或程序以及无法修复或移除的恶意文件或程序。
2.根据权利要求1所述的方法,其中将外部数据存储设备连接到处理设备进一步至少包括:
识别所连接的数据存储设备,包括识别所述数据存储设备的名称、所述数据存储设备的存储器的大小、所述数据存储设备的所述存储器的类型以及数据存储设备的制造商中的一个或多个。
3.根据权利要求1所述的方法,其中存储对包括在外部数据存储设备上的至少一部分数据到所述处理设备的存储器的备份副本进一步至少包括:
在所述处理设备的所述存储器中创建专用的分区或文件夹;以及
将来自所述数据存储设备的所述至少一部分数据的备份副本存储在所述处理设备的所述存储器中的所创建的分区或文件夹中。
4.根据权利要求3所述的方法,还包括报告所述一个或多个可疑文件或程序以及无法修复或移除的一个或多个恶意文件或程序。
5.根据权利要求4所述的方法,其中向用户报告所述一个或多个可疑文件或程序以及无法修复或移除的一个或多个恶意文件或程序进一步至少包括:
提供用于处理所述可疑文件或程序以及处理无法修复或移除的所述恶意文件或程序的用户推荐。
6.根据权利要求1所述的方法,其中更新所述反病毒软件进一步至少包括:
更新已知干净的和恶意的程序的签名;以及
更新启发式分析算法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/477,283 US8782793B2 (en) | 2012-05-22 | 2012-05-22 | System and method for detection and treatment of malware on data storage devices |
| US13/477,283 | 2012-05-22 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103413090A CN103413090A (zh) | 2013-11-27 |
| CN103413090B true CN103413090B (zh) | 2016-08-10 |
Family
ID=46548289
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310193052.0A Expired - Fee Related CN103413090B (zh) | 2012-05-22 | 2013-05-22 | 用于数据存储设备上恶意软件的检测和处理的系统和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8782793B2 (zh) |
| EP (1) | EP2667314B1 (zh) |
| CN (1) | CN103413090B (zh) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130074178A1 (en) * | 2011-09-15 | 2013-03-21 | Sandisk Technologies Inc. | Preventing access of a host device to malicious data in a portable device |
| CN103577751B (zh) * | 2012-07-25 | 2015-06-10 | 腾讯科技(深圳)有限公司 | 文件扫描方法和装置 |
| EP2901612A4 (en) * | 2012-09-28 | 2016-06-15 | Level 3 Communications Llc | APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK |
| US20140181975A1 (en) * | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
| US8826431B2 (en) * | 2012-11-20 | 2014-09-02 | Symantec Corporation | Using telemetry to reduce malware definition package size |
| US10089461B1 (en) * | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
| US10432658B2 (en) * | 2014-01-17 | 2019-10-01 | Watchguard Technologies, Inc. | Systems and methods for identifying and performing an action in response to identified malicious network traffic |
| US10992747B2 (en) | 2014-02-27 | 2021-04-27 | Clevx, Llc | Data storage system with removable device and method of operation thereof |
| RU2571721C2 (ru) * | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
| JP6280236B2 (ja) * | 2014-11-10 | 2018-02-14 | 日本電信電話株式会社 | 最適化装置、最適化方法および最適化プログラム |
| US10089095B2 (en) * | 2015-05-06 | 2018-10-02 | Mcafee, Llc | Alerting the presence of bundled software during an installation |
| RU2601148C1 (ru) * | 2015-06-30 | 2016-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления аномалий при подключении устройств |
| ES2733075T3 (es) * | 2015-09-16 | 2019-11-27 | Fundacion Tecnalia Res & Innovation | Sistema, método y dispositivo para evitar ataques cibernéticos |
| CN106982188B (zh) * | 2016-01-15 | 2020-11-27 | 阿里巴巴集团控股有限公司 | 恶意传播源的检测方法及装置 |
| KR102573921B1 (ko) * | 2016-09-13 | 2023-09-04 | 삼성전자주식회사 | 바이러스/멀웨어로부터 안전한 저장 장치, 그것을 포함한 컴퓨팅 시스템 및 그것의 방법 |
| RU174367U1 (ru) * | 2016-10-06 | 2017-10-11 | Федеральное государственное казенное военное образовательное учреждение высшего профессионального образования "Военная академия воздушно-космической обороны имени Маршала Советского Союза Г.К. Жукова" Министерства обороны Российской Федерации | Устройство проверки съемных носителей информации на наличие вредоносного кода |
| US11023575B2 (en) * | 2017-06-26 | 2021-06-01 | Fortinet, Inc. | Security sanitization of USB devices |
| US10438000B1 (en) * | 2017-09-22 | 2019-10-08 | Symantec Corporation | Using recognized backup images for recovery after a ransomware attack |
| EP3477522B1 (en) * | 2017-10-30 | 2020-12-09 | VirusTotal SLU | Scanning files using antivirus software |
| US10496822B2 (en) * | 2017-12-21 | 2019-12-03 | Mcafee, Llc | Methods and apparatus for securing a mobile device |
| US10725870B1 (en) | 2018-01-02 | 2020-07-28 | NortonLifeLock Inc. | Content-based automatic backup of images |
| US10911469B1 (en) * | 2019-08-23 | 2021-02-02 | Capital One Services, Llc | Dynamic fraudulent user blacklist to detect fraudulent user activity with near real-time capabilities |
| CN111639341B (zh) * | 2020-05-29 | 2023-09-05 | 北京金山云网络技术有限公司 | 一种恶意程序的检测方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6542975B1 (en) * | 1998-12-24 | 2003-04-01 | Roxio, Inc. | Method and system for backing up data over a plurality of volumes |
| WO2003077129A1 (en) * | 2002-03-13 | 2003-09-18 | Win Enterprise Co., Ltd. | Apparatus for protecting computer using functional character |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005008417A2 (en) * | 2003-07-11 | 2005-01-27 | Computer Associates Think, Inc. | Method and system for protecting against computer viruses |
| US7222143B2 (en) * | 2003-11-24 | 2007-05-22 | Lenovo (Singapore) Pte Ltd. | Safely restoring previously un-backed up data during system restore of a failing system |
| US7591018B1 (en) | 2004-09-14 | 2009-09-15 | Trend Micro Incorporated | Portable antivirus device with solid state memory |
| JP4880675B2 (ja) * | 2005-05-05 | 2012-02-22 | シスコ アイアンポート システムズ エルエルシー | 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出 |
| US7730040B2 (en) * | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US7975304B2 (en) * | 2006-04-28 | 2011-07-05 | Trend Micro Incorporated | Portable storage device with stand-alone antivirus capability |
| US8631494B2 (en) * | 2006-07-06 | 2014-01-14 | Imation Corp. | Method and device for scanning data for signatures prior to storage in a storage device |
| US20090037496A1 (en) * | 2007-08-01 | 2009-02-05 | Chong Benedict T | Diagnostic Virtual Appliance |
| US20090113128A1 (en) | 2007-10-24 | 2009-04-30 | Sumwintek Corp. | Method and system for preventing virus infections via the use of a removable storage device |
| US9235704B2 (en) * | 2008-10-21 | 2016-01-12 | Lookout, Inc. | System and method for a scanning API |
| US9015840B2 (en) * | 2009-06-08 | 2015-04-21 | Clevx, Llc | Portable media system with virus blocker and method of operation thereof |
| KR20110049274A (ko) * | 2009-11-04 | 2011-05-12 | 삼성전자주식회사 | 휴대용 단말기에서 바이러스 검사를 수행하기 위한 장치 및 방법 |
| WO2011095484A1 (en) * | 2010-02-02 | 2011-08-11 | Gemalto Sa | Method of countermeasure against the installation-by-tearing of viruses onto a secure portable mass storage device |
| US8910288B2 (en) * | 2010-02-05 | 2014-12-09 | Leidos, Inc | Network managed antivirus appliance |
| US8677493B2 (en) * | 2011-09-07 | 2014-03-18 | Mcafee, Inc. | Dynamic cleaning for malware using cloud technology |
| US9519782B2 (en) * | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
-
2012
- 2012-05-22 US US13/477,283 patent/US8782793B2/en not_active Expired - Fee Related
- 2012-07-19 EP EP12177002.8A patent/EP2667314B1/en not_active Not-in-force
-
2013
- 2013-05-22 CN CN201310193052.0A patent/CN103413090B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6542975B1 (en) * | 1998-12-24 | 2003-04-01 | Roxio, Inc. | Method and system for backing up data over a plurality of volumes |
| WO2003077129A1 (en) * | 2002-03-13 | 2003-09-18 | Win Enterprise Co., Ltd. | Apparatus for protecting computer using functional character |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2667314A1 (en) | 2013-11-27 |
| CN103413090A (zh) | 2013-11-27 |
| US20130318610A1 (en) | 2013-11-28 |
| EP2667314B1 (en) | 2016-02-24 |
| US8782793B2 (en) | 2014-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103413090B (zh) | 用于数据存储设备上恶意软件的检测和处理的系统和方法 | |
| US11736530B2 (en) | Framework for coordination between endpoint security and network security services | |
| US20210029156A1 (en) | Security monitoring system for internet of things (iot) device environments | |
| US9800606B1 (en) | Systems and methods for evaluating network security | |
| US20190250937A1 (en) | Managing virtual machine security resources | |
| US8863289B2 (en) | Portable security device and methods for detection and treatment of malware | |
| US9223966B1 (en) | Systems and methods for replicating computing system environments | |
| US8782792B1 (en) | Systems and methods for detecting malware on mobile platforms | |
| US9166993B1 (en) | Anomaly detection based on profile history and peer history | |
| Ntantogian et al. | Evaluating the privacy of Android mobile applications under forensic analysis | |
| CN106557697B (zh) | 生成杀毒记录集合的系统和方法 | |
| US9158915B1 (en) | Systems and methods for analyzing zero-day attacks | |
| CN109155774B (zh) | 用于检测安全威胁的系统和方法 | |
| Rhee et al. | Threat modeling of a mobile device management system for secure smart work | |
| US20150261940A1 (en) | Systems and methods for detecting information leakage by an organizational insider | |
| US20100251363A1 (en) | Modified file tracking on virtual machines | |
| Souppaya et al. | Guide to enterprise patch management technologies | |
| US20130160126A1 (en) | Malware remediation system and method for modern applications | |
| US8640233B2 (en) | Environmental imaging | |
| US9690598B2 (en) | Remotely establishing device platform integrity | |
| CN101753570A (zh) | 用于检测恶意软件的方法和系统 | |
| US7660412B1 (en) | Generation of debug information for debugging a network security appliance | |
| WO2020076634A1 (en) | System and method for deploying and configuring cyber-security protection solution using portable storage device | |
| US10970392B2 (en) | Grouping application components for classification and malware detection | |
| CN112035843A (zh) | 一种漏洞处理方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160810 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |