CH716436A2 - Sistema e metodo di controllo di parti di archivo alla ricerca di malware. - Google Patents

Sistema e metodo di controllo di parti di archivo alla ricerca di malware. Download PDF

Info

Publication number
CH716436A2
CH716436A2 CH00238/20A CH2382020A CH716436A2 CH 716436 A2 CH716436 A2 CH 716436A2 CH 00238/20 A CH00238/20 A CH 00238/20A CH 2382020 A CH2382020 A CH 2382020A CH 716436 A2 CH716436 A2 CH 716436A2
Authority
CH
Switzerland
Prior art keywords
slice
file
archive
slices
disk
Prior art date
Application number
CH00238/20A
Other languages
English (en)
Other versions
CH716436B1 (it
Inventor
Strogov Vladimir
Stupak Anatoly
Kulaga Andrey
Sergeev Alexey
Beloussov Serguei
Stanislav Protasov
Original Assignee
Acronis Int Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Acronis Int Gmbh filed Critical Acronis Int Gmbh
Publication of CH716436A2 publication Critical patent/CH716436A2/it
Publication of CH716436B1 publication Critical patent/CH716436B1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/128Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/82Solving problems relating to consistency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)

Abstract

La presente invenzione concerne un sistema e un metodo per ispezionare parti di un archivio (114, 130, 200) alla ricerca di malware. Il metodo consiste nel montare su un disco una prima parte (202) di una pluralità di parti (202-206) in un archivio di backup (114, 130, 200), in cui la prima parte (202) un'immagine dei dati utente in un primo tempo. Il metodo consiste inoltre nell'identificare un blocco parte (202) parte (202) modificato della parte (202) montata, identificando almeno un file nella prima parte (202) montata corrispondente al blocco modificato identificato e nello scansionare detto almeno un file alla ricerca di virus e malware. In risposta alla rilevazione di almeno un file infetto, il metodo consiste nel generare una parte riparata comprendente i dati utente della prima parte (202) montata senza detto almeno un file.

Description

Descrizione
CAMPO TECNICO
[0001] La presente esposizione si riferisce in generale al campe della rilevazione di virus e malware negli archivi conservati e, piü specificamente, ai sistemi e al metodo di scansione degli archivi di backup mediante l'ispezione di slice di archivio alla ricerca di malware.
STATO DELL'ARTE
[0002] In generale, il backup e la conservazione degli archivi per il ripristino vengono eseguiti regolarmente in base a un programma. Reiche spesso il backup potrebbe essere infettato da Software dannosi, le aziende dispongono sovente di Software automatizzati ehe eseguono scansioni alla ricerca di malware, sia prima del backup, durante il backup, prima del ripristino o simili. Le scansioni per rilevare la presenza di virus e malware devono essere effettuate periodicamente e regolarmente perche le banche dati antivirus vengono aggiornate spesso a causa della comparsa di nuovi tipi di malware. Tuttavia, la scansione completa di archivi di grandi dimensioni necessita di tempo e di notevoli risorse computazionali, spesso non disponibili oppure richiede un uso efficiente del tempo e delle risorse. La scansione degli archivi diventa particolarmente critica se gli archivi non sono conservati localmente ma in un archivio in cloud, perche la velocitä di accesso a un archivio in cloud puö essere significativamente inferiore rispetto all'accesso a un dispositivo di archiviazione locale (a seconda della velocitä della rete o del canale di comunicazione utilizzato, e/o al livello di carico del canale). Inoltre, se si verificano problemi tali da far si ehe venga rilevata nell'archivio la presenza di virus e/o file dannosi, l'archivio e considerato danneggiato o infetto e potrebbe non essere del tutto adatto all'uso per il ripristino del sistema o per l'estrazione di file e dati.
[0003] Convenzionalmente, per evitare di ripristinare dati infetti, gli archivi vengono periodicamente scansionati con Scanner antivirus durante la conservazione, quando vengono aggiunte nuove slice all'archivio e/o prima di ripristinare i dati. Tuttavia, attualmente non esiste una soluzione per la scansione di punti temporali casuali in un archivio. Vengono invece forzate delle soluzioni per scansionare l'intero archivio. Inoltre, i dati attualmente danneggiati o infetti presenti negli archivi non possono essere riparati.
SOMMARIO
[0004] Gli aspetti dell'esposizione riguardano il campo della rilevazione di virus e malware negli archivi conservati. In particolare, gli aspetti dell'esposizione descrivono metodi e sistemi per la scansione degli archivi di backup mediante l'ispezione di slice di archivio.
[0005] In un esempio, il metodo conmprende nel montare su un disco una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei dati utente in un primo tempo. II metodo include inoltre la rilevazione di un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo. II metodo comprende nell'identificare, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato e nello scansionare almeno un file alla ricerca di virus e Software dannosi. In risposta alla rilevazione di almeno un file infetto, il metodo comprende il generare una slice riparata ehe comprende i dati utente della prima slice montata senza l'almeno un file.
[0006] In alcuni esempi, la generazione della slice riparata include la rimozione di almeno un file dalla prima slice montata.
[0007] In alcuni esempi, una pluralitä di blocchi modificati relativi alla seconda slice esiste per la prima slice montata, la generazione della slice riparata include la generazione di una copia della seconda slice e il trasferimento, alla copia della seconda slice, di tutti i file corrispondenti alla pluralitä di blocchi modificati e non comprendenti l'almeno un file, in cui la copia della seconda slice e la slice riparata.
[0008] In alcuni esempi, la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
[0009] In alcuni esempi, il metodo comprende l'aggiungere la nuova slice riparata all'archivio di backup.
[0010] In alcuni esempi, il metodo comprende la scansione di una terza slice della pluralitä di slice nell'archivio di backup alla ricerca di virus e Software dannosi, in cui la terza slice e un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice. In risposta alla rilevazione di un file infetto nella terza slice, il metodo comprende il contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda slice e la prima slice.
[0011] In alcuni esempi, il metodo comprende l'identificare un blocco della terza slice corrispondente al file infetto, montare la seconda slice e la prima slice sul disco, tracciare il blocco e determinare se il file infetto esiste su una qualunque tra la seconda slice e la prima slice. In base alla determinazione (ossia il file infetto esiste su almeno una delle slice), il metodo comprende il rimuovere il file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice riparate.
[0012] In alcuni esempi, la pluralitä di slice puö essere montata come uno o piü dischi virtuali.
[0013] In alcuni esempi, la corrispondenza di almeno un file e II blocco modificato e determinata utilizzando una mappa del blocchi dell'archivio di backup.
[0014] Si noti ehe i metodi sopra descritti possono essere implementati in un sistema comprendente un processore Hardware. In alternativa, i metodi possono essere implementati utilizzando istruzioni eseguibili di un supporto informatico non transitorio.
[0015] II riepilogo semplificato degli aspetti esemplificativi di cui sopra serve a consentire una comprensione basilare della presente esposizione. Questa sintesi non e una sintesi esaustiva di tutti gli aspetti contemplati e non intende ne identificare elementi chiave o critici di tutti gli aspetti, ne delineare la portata di alcuni o di tutti gli aspetti della presente esposizione. II suo unico scopo e presentare uno o piü aspetti in forma semplificata come preludio alla descrizione piü dettagliata dell'esposizione ehe segue. A completamento di quanto precede, uno o piü aspetti della presente esposizione includono le caratteristiche descritte ed evidenziate in modo esemplare nelle rivendicazioni.
BREVE DESCRIZIONE DEI DISEGNI
[0016] I disegni accompagnatori, ehe sono incorporati e costituiscono parte di questa specifica, illustrano uno o piü aspetti esemplificativi della presente esposizione e, insieme alla descrizione dettagliata, servono a spiegarne i principi e le implementazioni.
[0017] La Fig. 1 e uno Schema a blocchi di un sistema di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0018] La Fig. 2 e uno Schema a blocchi di una sequenza di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0019] La Fig. 3 e uno Schema a flusso di un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0020] La Fig. 4 e uno Schema di flusso ehe mostra un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0021] La Fig. 5 e uno Schema a blocchi di un sistema informatico sul quäle il sistema e il metodo divulgato possono essere implementati secondo una realizzazione esemplare.
DESCRIZIONE DETTAGLIATA
[0022] Gli aspetti esemplari sono qui descritti nel contesto di un sistema, metodo e prodotto di programma informatico per l'ispezione di slice di archivio per rilevare la presenza di malware. Coloro ehe hanno un'ordinaria competenza nell'arte si renderanno conto ehe la seguente descrizione e puramente illustrativa e non intende essere in alcun modo limitativa. Altri aspetti si riveleranno immediatamente a chi e competente nell'arte ehe si avvarrä di questa esposizione. Si farä ora riferimento in dettaglio alle implementazioni degli aspetti esemplificativi come illustrato nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati, nei limiti del possibile, in tutti i disegni e nella seguente descrizione per riferirsi agli stessi elementi o ad elementi simili.
[0023] La Fig. 1 e uno Schema a blocchi di un sistema 100 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0024] II sistema 100 comprende un dispositivo informatico 102, uno Scanner di archivi 110, un disco 120 e un archivio in cloud 130. II dispositivo informatico dient 102 puö essere qualunque tipo di dispositivo informatico mobile, come un Computer portatile, un fablet, un dispositivo mobile o simili. II dispositivo informatico 102 comprende anche un modulo di backup 104 ehe esegue un backup dei dati utente memorizzati sul dispositivo informatico 102, dove i dati utente possono includere un'intera immagine di backup dei dischi del dispositivo informatico 102, il Software installato sul dispositivo 102,
I dati delle applicazioni utente come documenti personali o simili.
[0025] II modulo di backup 104 puö anche recuperare dati ehe non sono memorizzati localmente sul dispositivo informatico 102. In un esempio, il modulo di backup 104 memorizza e/o recupera i dati utente come un insieme di slice di backup 106 da/per un archivio in cloud 130, o in alternativa, un archivio locale su un disco fisico associato al dispositivo informatico 102. Le slice di backup 106 sono complessivamente memorizzate negli archivi di backup 108 nell'archivio in cloud 130. Ogni slice di backup e un'immagine dei dati utente o del disco fisico del dispositivo informatico 102 in un determinato momento. Nel corso del tempo, l'archivio in cloud 130 contiene molti archivi di backup 108 per diversi dispositivi informatici, ciascuno con piü slice di backup.
[0026] II modulo di backup 104 comunica con l'archivio cloud 130 su una rete 101 (ad es. Internet). In alcuni casi, affinche
Il modulo di backup 104 ripristini i dati dall'archivio di backup 108, viene eseguita una scansione. Se gli archivi di backup 108 sono aumentati notevolmente in termini di dimensioni (ad esempio, al di lä di una soglia predeterminata come 500 GB), la necessitä di eseguire una scansione puö richiedere una quantitä significativa di tempo e risorse. Nel caso in cui gli archivi 108 siano memorizzati localmente, il modulo di backup 104 puö occupare una quantitä significativa di risorse del
dispositivo informatico 102 ehe possono essere necessarie altrove. Tali risorse possono includere spazio di archiviazione, memoria (ad esempio, RAM) e capacitä di elaborazione.
[0027] AI fine di evitare un eccessivo consumo di risorse, sia localmente ehe su una piattaforma cloud, l'archivio in cloud 130 e sottoposto a scansione periodica tramite Io Scanner di archivi 110. Lo Scanner di archivi 110 comprende un servizio di montaggio dell'archivio 112, un archivio API 114 e un'unitä di montaggio dell'archivio 116. In alcuni esempi, lo Scanner di archivi 110 funziona come servizio sulla rete 101, anche se in altri esempi, lo Scanner di archivi 110 puö funzionare sul dispositivo informatico 102. Inoltre, sono previste altre configurazioni in cui lo Scanner di archivi puö funzionare su un Server diverso o sullo stesso Server dell'archivio in cloud 130.
[0028] Lo Scanner di archivi 110 esegue scansioni antivirus e malware sugli archivi di backup 108 per garantire ehe quando i dati vengono recuperati dall'archivio in cloud, un dispositivo informatico come il dispositivo informatico 102 non venga accidentalmente infettato. II dispositivo (ad es. un Server) ehe esegue lo Scanner di archivi 110 puö essere dotato di un disco fisico 120. In un esempio, il dispositivo puö comprendere una macchina host e una macchina virtuale. In un altro esempio, lo Scanner di archivi 110 riceve una richiesta di scansione degli archivi di backup 108. L'archivio API 114 e utilizzato per recuperare blocchi nuovi e modificati dalle slice conservate negli archivi di backup 108. L'unitä di montaggio archivio 116 riceve la richiesta di montare una slice di archivio dall'archivio di backup 108, consentendo allo Scanner di archivi 110 di lavorare con l'archivio come disco. L'unitä di montaggio archivio 116 puö montare la slice di archivio come disco virtuale 122. L'unitä di montaggio archivio 116 consente di salvare le modifiche dei dati nella slice montata qualora siano state effettuate delle modifiche.
[0029] In un esempio, lo Scanner di archivi 110 rileva tutti i blocchi modificati nelle slice piü recenti a partire dalla creazione della slice piü recente. Successivamente, lo Scanner di archivi 110 utilizza l'archivio API 114 per determinare la corrispondenza dei file in una o piü slice con i blocchi di dati sul disco montato. Tale determinazione puö essere effettuata utilizzando una mappa dei blocchi. Una volta creata la corrispondenza, anche i file sul disco virtuale montato 122 ehe si allineano con i blocchi modificati sono considerati nuovi o modificati. In questo modo, questi nuovi file sul disco virtuale 122 possono essere analizzati alla ricerca di infezioni, virus e Software dannosi. Lo Scanner di archivi 110 pub ricorrere inoltre all'archivio API 114 per rimuovere file infetti e/o danneggiati e malware dal disco virtuale 122. Infine, lo Scanner di archivi 110 puö salvare II disco virtuale 122 come nuova slice riparata negli archivi di backup 108 conservati nell'archivio in cloud 130 (o memorizzati su un dispositivo di archiviazione locale del dispositivo informatico 102). In altri esempi, la slice esistente puö essere rimossa e sostituita con la nuova slice riparata.
[0030] Gli aspetti per la formazione della mappa dei blocchi dipendono dal particolare sistema operative e dal file System. Ad esempio, in Windows i file NTFS possono essere master file fable (MFT) resident! (memorizzati all'interno di record MFT) o non residenti, conservati nello spazio di archiviazione del volume. In un esempio, i blocchi allocati del file non residente possono essere recuperati utilizzando una chiamata di funzione di sistema, ad esempio, „FSCTL_GET_RETRIEVAL_POINTERS API". Le mappe dei blocchi dei file residenti MFT possono essere determinate con l'analisi dell'allocazione MFT e l'identificatore di file noto, ehe e generalmente II numero di registro MFT. II numero di registro MFT consente l'ispezione e la conoscenza dei blocchi del file MFT residente. L'analisi dell'allocazione MFT puö essere determinata, per esempio, anche con l'aiuto della funzione di sistema „FSCTL_GET_RETRIEVAL_POINTERS", ma per l'intero MFT, ehe e anche un file. Altri file System possono richiedere i propri algoritmi speciali ehe compongono la mappa o le mappe dei blocchi dei file.
[0031] Lo Scanner di archivi 110 puö anche essere configurato per scansionare una o piü slice precedenti nell'archivio di backup 108 al fine di scoprire una slice infetta. Una volta identificata la slice infetta o compromessa, lo Scanner di archivi 110 contrassegna la slice infetta e le slice indicate successivamente (temporaneamente) come infette e non adatte al recupero dei dati per qualunque dispositivo informatico. Di conseguenza, il modulo di backup 104 e configurato in modo da bloccare qualunque tentativo di ripristinare le slice contrassegnate come infette. Inoltre, ciö consente allo Scanner di archivi 110 di stabilire un tempo di alterazione ehe puö essere utilizzato per ulteriori analisi relative al tipo di infezione e al fattori ehe possono essere stati coinvolti nell'alterazione. In alcuni esempi, gli attributi storici del dispositivo informatico 102 possono essere memorizzati nell'archivio in cloud 130, o altrove, e analizzati insieme al tempo di alterazione per stabilire una Serie di cause all'origine dell'alterazione/infezione. Questa analisi puö essere utilizzata per prevenire future infezioni o attacchi di malware.
[0032] La Fig. 2 e uno Schema a blocchi ehe mostra la sequenza del sistema e del metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0033] In un esempio, il servizio di montaggio dell'archivio 112, l'archivio API 114 e l'archivio in cloud 130 e l'archivio locale 200 possono trovarsi nello spazio di memoria utente (UM), mentre l'unitä di montaggio archivio 116 puö trovarsi nello spazio di memoria del kernel (KM). Per accedere all'archivio in cloud 130 o a un archivio locale 200, lo Scanner di archivi 110 contatta II servizio di montaggio dell'archivio 112. II servizio di montaggio archivio 112 utilizza l'unitä di montaggio 116 per montare gli archivi su un disco (ad es. un disco virtuale).
[0034] Facendo riferimento alla Fig. 2, l'unitä di montaggio 116 monta sul disco 120 una prima slice 202 di una pluralitä di slice (ad es. slice 202-206) nell'archivio in cloud 130, in cui la prima slice e un'immagine dei dati utente (ad es. suldispositivo informatico 102) in un primo tempo. L'archivio API rileva quindi un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice 204 della pluralitä di slice, in cui la seconda
slice e un'immagine dei dati utente acquisiti prima del primo tempo. Ad esempio, la prima slice 202 pud essere stata creata nel tempo t. La seconda slice 204 pud essere stata creata nel tempo t-1.
[0035] L'archivio API 114 pud quindi confrontare I blocchi dei rispettivi dischi montati delle rispettive slice per trovare blocchi alterati. Quando viene trovato un blocco modificato, il servizio di montaggio degli archivi 112 identifica, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato. Lo Scanner di archivi 110 scansiona quindi almeno un file al la ricerca di virus e Software dannosi. In risposta al la rilevazione di almeno un file infetto, lo Scanner di archivi 110 genera una slice riparata ehe comprende i dati utente della prima slice montata senza almeno un file. Questo processo di generazione puh comprendere la rimozione di almeno un file dalla prima slice montata 202. In alcuni casi, dove vengono trovati molteplici blocchi modificati nella slice 202 relativi alla slice 204, il processo di generazione comporta la generazione di una copia della seconda slice 204, il trasferimento, alla copia della seconda slice, di tutti i file corrispondenti alla pluralitä di blocchi modificati e non contenenti nessun file infetto (qui la copia della seconda slice e la slice riparata).
[0036] In alcuni esempi, lo Scanner di archivi 110 pud scansionare arbitrariamente una terza slice 206 della pluralitä di slice dell'archivio di backup alla ricerca di virus e Software dannosi. La terza slice 206 puö essere un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice (cioe, t-N). In risposta alla rilevazione di un file infettonella terza slice 206, lo Scanner di archivi 110 puö contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati. In questo particolare esempio, sia la prima slice 202 ehe la seconda slice 204 vengono incluse nel sottoinsieme.
[0037] In alcuni esempi, lo Scanner di archivi 110 puö identificare un blocco della terza slice 206 corrispondente al file infetto. Lo Scanner di archivi 110 puö montare la seconda slice 204 e la prima slice 202 sul disco 120. Lo Scanner di archivi 110 puö tracciare il blocco e determinare se il file infetto esiste su una qualsiasi tra la seconda slice e la prima slice. Ad esempio, il file infetto puö esistere sulla seconda slice 204, ma l'utente puö aver rimosso manualmente il file infetto dalla prima slice 202. Poiche il file infetto non esiste sulla prima slice 202, solo la terza slice 206 e la seconda slice 204 devono essere riparate. Questo garantirä all'archivio di backup una Serie di slice integre da cui l'utente poträ eseguire II backup.
[0038] In alcuni esempi, se l'archivio contiene slice infette, lo Scanner di archivi 110 puö scoprire queste slice per determinare il momento in cui si e verificata l'infezione (in base al tempo di creazione delle slice) e la fonte dell'infezione o il malware attraverso la scansione delle slice.
[0039] La Fig. 3 e uno Schema di flusso ehe mostra un metodo 300 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0040] II metodo inizia a 302 e continua a 304.
[0041] A 304, I componenti dello Scanner di archivi 110 scansionano gli archivi di backup ispezionando le slice di archivio. I componenti dello Scanner di archivi montano una slice piü recente di un archivio di backup su un disco, montando ad esempio un disco virtuale. In alcuni esempi, un disco virtuale puö essere montato su un Server ehe esegue lo Scanner di archivi 110, anche se la presente esposizione non si limita a tale configurazione.
[0042] A 306, l'archivio API 114 rileva tutti i blocchi modificati nelle slice piü recenti a partire dalla creazione della slice piü recente. In un esempio, l'API 114 ispeziona i blocchi sottostanti del disco virtuale su cui e montata la slice al fine di determinare i blocchi modificati. In altri esempi, i blocchi modificati sono rilevati confrontando i blocchi della slice piü recente con i blocchi delle slice create in precedenza per i backup precedenti di un dispositivo informatico. I blocchi ehe differiscono da una slice all'altra comprendono l'insieme di blocchi modificati.
[0043] A 308, lo Scanner di archivi 110 determina la corrispondenza di file in una o piü slice con i blocchi di dati sul disco montato. In alcuni esempi, lo Scanner di archivi 110 stabilisce o legge la mappa dei blocchi della specifica slice di backup montata, in cui la mappa dei blocchi indica quali blocchi corrispondono a quali file.
[0044] A 310, lo Scanner di archivi 110 determina sul file System del disco i file ehe sono stati modificati identificando i blocchi di dati modificati. Poiche i blocchi di dati modificati sono stati identificati, il blocco puö essere utilizzato per identificare quali file corrispondono ai blocchi di dati modificati.
[0045] A 312, lo Scanner di archivi 110 scansiona i file del file System ehe sono stati modificati dal completamento di una precedente slice di backup alla ricerca di virus e Software dannosi.
[0046] A 314, lo Scanner di archivi 110 puö rimuovere file infetti e/o danneggiati e i malware dal disco virtuale. II disco virtuale puö quindi essere salvato come la slice piü recente e reinserito negli archivi di backup 108 nell'archivio in cloud 130 o in un disco locale.
[0047] II metodo termina a 320.
[0048] La Fig. 4 e uno Schema di flusso ehe mostra un altro metodo 400 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0049] II metodo inizia a 402 e continua a 404.
[0050] A 404, Io Scanner di archivi 110 scansiona l'immagine di backup montata sul disco virtuale nel metodo 300. In un esempio, l'immagine di backup o l'immagine di archivio, come puö essere indicata, puö essere montata come disco virtuale o, in altri esempi, la slice puö essere ripristinata su un disco fisico.
[0051] A 406, i file infetti sono identificati e contrassegnati. In alcuni esempi, i file sono identificati sulla base dei blocchi modificati identificati nel metodo 300 utilizzando una mappa dei blocchi o un altro metodo. La mappa dei blocchi mostra una corrispondenza tra i blocchi e i file sull'immagine montata. Cosl, quando i blocchi modificati vengono identificati, Io Scanner di archivi 310 puö identificare i file modificati.
[0052] A 408, qualunque malware presente sull'immagine di backup montata viene identificato eseguendo una scansione alla ricerca di virus e malware sui file presenti sul disco virtuale.
[0053] A 410, i file infetti e i malware sono rimossi dal file System del disco (ad es. un disco virtuale) dallo Scanner di archivi 110. In alcuni esempi, i file infetti e/o i malware vengono messi in quarantena, sul disco virtuale o altrove. Si noti ehe Io spostamento dei file infetti in quarantena sul disco virtuale richiede la creazione della slice riparata ehe comprende la quarantena.
[0054] A 412 viene creata una nuova slice dallo Scanner di archivi 110, escludendo i file infetti e il malware mediante l'esportazione del disco virtuale come nuova slice. La nuova slice viene memorizzata su un nuovo disco virtuale o in altra sede come il disco virtuale 122, oppure in un archivio in cloud 130 come mostra la Fig. 2 (ad es. ultima slice 202).
[0055] A 414, Io Scanner di archivi aggiunge la slice appena creata e riparata sopra la slice piü recente nell'archivio di backup (ad esempio, l'archivio 108). In altri esempi, la slice appena creata puö sostituire la slice piü recente o la slice infetta.
[0056] II metodo termina a 420.
[0057] La Fig. 5 e uno Schema a blocchi ehe mostra un sistema informatico 20 su cui aspetti dei sistemi e dei metodi di scansione degli archivi di backup mediante l'ispezione di slice di archivio possono essere implementati secondo un aspetto esemplare. Si noti ehe il sistema informatico 20 puö corrispondere a qualunque componente del sistema 100 descritto in precedenza. II sistema informatico 20 puö essere sotto forma di piü dispositivi informatici, o sotto forma di un singolo dispositivo informatico, ad esempio un Computer da tavolo, un notebook, un laptop, un dispositivo informatico mobile, uno Smartphone, un fablet, un Server, un Computer centrale, un dispositivo integrato e altre forme di dispositivi informatici.
[0058] Come mostrato, il sistema informatico 20 comprende un'unitä di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 ehe collega i vari componenti del sistema, inclusa la memoria associata all'unitä di elaborazione centrale 21. II bus di sistema 23 puö comprendere una memoria del bus o un Controller di memoria del bus, un bus periferico e un bus locale in grado di interagire con qualsiasi altra architettura di bus. Esempi di bus possono includere PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, l2C e altre interconnessioni adeguate. L'unitädi elaborazione centrale 21 (detta anche processore) puö comprendere un singolo processore o una Serie di processori con uno o piü core. II processore 21 puö eseguire uno o piü codici informatici eseguibili ehe implementano le tecniche della presente esposizione. La memoria di sistema 22 puö essere qualunque memoria per la memorizzazione dei dati qui utilizzati e/o programmi informatici eseguibili dal processore 21. La memoria di sistema 22 puö includere una memoria volatile come una memoria ad accesso casuale (RAM) 25 e una memoria non volatile come una memoria di sola lettura (ROM) 24, una memoria flash, ecc. o una combinazione di queste. II sistema di base di input/output (BIOS) 26 puö memorizzare le procedure di base per il trasferimento di informazioni tra elementi del sistema informatico 20, come quelle al momento del caricamento del sistema operative con l'uso della ROM 24.
[0059] II sistema informatico 20 puö comprendere uno o piü dispositivi di archiviazione come uno o piü dispositivi di archiviazione rimovibili 27, uno o piü dispositivi di archiviazione non rimovibili 28, o una combinazione di questi. Uno o piü dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un aspetto, i dispositivi di archiviazione e i corrispondenti supporti di archiviazione informatici sono moduli indipendenti dalla potenza per la memorizzazione di istruzioni, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 possono utilizzare una varietä di supporti di archiviazione informatici. Esempi di supporti di archiviazione informatici includono la memoria a bordo macchina come cache, SRAM, DRAM, RAM a zero condensatori, RAM a doppio transistor, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altre tecnologie di memoria come nelle unitä a stato solido (SSD) o unitä flash; cassette magnetiche, nastri magnetici e memorizzazione su dischi magnetici come, ad esempio, in unitä disco rigido o floppy disk; memorizzazione ottica come, ad esempio, in compact disk (CD-ROM) o dischi digitali versatili (DVD); e qualsiasi altro supporto ehe puöessere utilizzato per memorizzare i dati desiderati e ehe possa essere accessibile dal sistema informatico 20.
[0060] La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 del sistema informatico 20 possono essere utilizzati per memorizzare un sistema operativo 35, applicazioni aggiuntive di programmi 37, altri moduli di programma 38 e dati di programma 39. II sistema informatico 20 puö includere un'interfaccia periferica 46 per la comunicazione dei dati provenienti dai dispositivi di input 40, come tastiera, mouse, stilo, Controller di gioco, dispositivo a comandi vocali, dispositivo a comandi tattili o altri dispositivi periferici, come stampante o Scanner tramite una o piü porte I/O, come una porta seriale, una porta parallela, un bus seriale universale (USB) o un'altra interfaccia periferica. Un dispositivo di visualizzazione 47, come uno o piü monitor, proiettori o display integrato, possono anche
essere collegati al bus di sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 puö essere dotato di altri dispositivi periferici di uscita (non mostrati), come altoparlanti e altri dispositivi audiovisivi.
[0061] II sistema informatico 20 pub funzionare in un ambiente di rete utilizzando una connessione di rete a uno o piü Computer remoti 49. II Computer remoto (o i Computer) 49 pub essere costituito da postazioni di lavoro locali o Server ehe comprendono la maggior parte o tutti gli elementi menzionati sopra nella descrizione della natura di un sistema informatico 20. Nella rete informatica possono essere presenti anche altri dispositivi, quali, ma non solo, router, stazioni di rete, dispositivi peer o altri nodi di rete. II sistema informatico 20 pub comprendere una o piü interfacce di rete 51 o adattatori di rete per comunicare con i Computer remoti 49 attraverso una o piü reti, quali una rete informatica locale (LAN) 50, una rete informatica ad ampio raggio (WAN), una rete intranet e Internet. Esempi di interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
[0062] Gli aspetti della presente esposizione possono essere un sistema, un metodo e/o un prodotto di un programma informatico. II prodotto del programma informatico pub includere un supporto di archiviazione informatico (o supporti) con istruzioni per programmi informatici per far si ehe un processore esegua aspetti della presente esposizione.
[0063] II supporto di archiviazione informatico pub essere un dispositivo tangibile in grado di conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un processore di un dispositivo informatico, come il sistema informatico 20. II supporto di archiviazione informatico pub essere un dispositivo di archiviazione elettronica, un dispositivo di archiviazione magnetica, un dispositivo di archiviazione ottica, un dispositivo di archiviazione elettromagnetica, un dispositivo di archiviazione a semiconduttori o qualunque combinazione appropriata di questi. A titolo di esempio, tale supporto di archiviazione informatico pub comprendere una memoria ad accesso casuale (RAM), una memoria a sola lettura (ROM), una EEPROM, una memoria a sola lettura di un compact disc portatile (CD-ROM), un discodigitale versatile (DVD), una memoria flash, un disco rigido, un dischetto portatile, un memory stick, un floppy disk, o anche un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in un solco con istruzioni registrate. Come utilizzato nel presente, un supporto di archiviazione informatico non e da intendersi come segnali transitori di per se, come onde radio o altre onde elettromagnetiche ehe si propagano liberamente, onde elettromagnetiche ehe si propagano attraverso una guida d'onda o un mezzo di trasmissione, o segnali elettrici trasmessi attraverso un filo.
[0064] Le istruzioni di programmi informatici descritte nel presente documento possono essere scaricate sui rispettivi dispositivi informatici da un supporto di archiviazione informatico o su un Computer esterno o un dispositivo di archiviazione esterno attraverso una rete, ad esempio Internet, una rete locale, una rete ad ampio raggio e/o una rete wireless. La rete pub comprendere cavi di trasmissione in rame, fibre ottiche di trasmissione, trasmissione senza fili, router, firewall, switch, Computer gateway e/o Server di bordo. Un'interfaccia di rete di ogni dispositivo informatico riceve dalla rete istruzioni di programmi informatici e inoltra le istruzioni di programmi informatici per l'archiviazione in un supporto di archiviazione informatico aH'interno del rispettivo dispositivo informatico.
[0065] Le istruzioni di programmi informatici per l'esecuzione delle operazioni della presente esposizione possono essere istruzioni di assemblaggio, insiemi di istruzioni (ISA), istruzioni per macchine, istruzioni dipendenti dalla macchina, microcodici, istruzioni firmware, dati di impostazione dello stato, oppure codici sorgente o codici oggetto scritti in qualunque combinazione di uno o piü linguaggi di programmazione, compreso un linguaggio di programmazione orientato agli oggetti e linguaggi di programmazione procedurali convenzionali. Le istruzioni di programmi informatici possono essere eseguite interamente sul Computer dell'utente, in parte sul Computer dell'utente, come pacchetto Software indipendente, in parte sul Computer dell'utente e in parte su un Computer remoto o interamente sul Computer o Server remoto. In quest'ultimo caso, il Computer remoto pub essere collegato al Computer dell'utente attraverso qualunque tipo di rete, compresa una rete LAN o WAN, oppure la connessione pub essere effettuata a un Computer esterno (ad esempio, attraverso Internet). In alcuni aspetti, i circuiti elettronici ehe comprendono, ad esempio, circuiti a logica programmabile, gate array programmabili sul campo (FPGA), o array a logica programmabile (PLA) possono eseguire le istruzioni di programmi informatici utilizzando le informazioni di stato delle istruzioni di programmi informatici per personalizzare i circuiti elettronici, al fine di eseguire aspetti della presente esposizione.
[0066] Per vari aspetti, i sistemi e i metodi descritti nella presente esposizione possono essere trattati in termini di moduli. II termine „modulo" qui utilizzato si riferisce a un dispositivo reale, componente o disposizione di componenti, realizzato utilizzando hardware, come ad esempio tramite un circuito integrato specifico di un'applicazione (ASIC) o FPGA, o come una combinazione di hardware e Software, come ad esempio tramite un sistema a microprocessore e un insieme di istruzioni per implementare le funzionalitä del modulo, ehe (mentre viene eseguito) trasforma il sistema a microprocessore in un dispositivo speciale. Un modulo pub anche essere implementato come una combinazione dei due, con alcune funzioni facilitate solo dall'hardware e altre funzioni facilitate da una combinazione di hardware e Software. In alcune implementazioni, almeno una parte e, in alcuni casi tutte, di un modulo pub essere eseguita sul processore di un sistema informatico (come quello descritto piü in dettaglio nella precedente Fig. 5). Di conseguenza, ogni modulo pub essere realizzato in una varietä di configurazioni adatte e non deve essere limitato ad una particolare implementazione qui esemplificata.
[0067] Per motivi di chiarezza, non tutte le caratteristiche di routine degli aspetti sono qui riportate. Sarebbe auspicabile ehe nello sviluppo di qualunque implementazione effettiva della presente esposizione venissero prese numerose decisioni specifiche dell'implementazione al fine di raggiungere gli obiettivi specifici dello sviluppatore e questi obiettivi specifici

Claims (18)

  1. varieranno a seconda delle diverse implementazioni e del divers! sviluppatori. Resta inteso ehe un tale sforzo di sviluppo potrebbe essere complesso e richiedere molto tempo, ma sarebbe comunque un'impresa facile per coloro ehe hanno un'ordinaria competenza nell'arte ehe si avvantaggiano di questa esposizione.
    [0068] Inoltre, e da intendersi ehe la fraseologia o la terminologia qui utilizzata ha scopo descrittivo e non restrittivo e pertanto la terminologia o la fraseologia della presente specifica deve essere interpretata da chi e competente nell'arte alla luce degli insegnamenti e degli orientamenti qui presentati, in combinazione con le conoscenze di chi e competente nell'arte o nelle arti pertinenti. Inoltre, a nessun termine della specifica o delle rivendicazioni deve essere attribuito un significato non comune o speciale, a meno ehe ciö non sia esplicitamente indicato.
    [0069] I vari aspetti qui illustrati comprendono gli equivalenti noti, present! e futuri, del moduli not! cui si fa riferimento a titolo illustrativo. Inoltre, mentre gli aspetti e le applicazioni sono stati mostrati e descritti, sarebbe evidente a chi e competente nell'arte e ehe si avvale della presente esposizione ehe molte piü modifiche di quelle sopra menzionate sono possibili senza discostarsi dai concetti dell'invenzione qui esposti.
    Rivendicazioni
    1. Un metodo per ispezionare slice di archivio alla ricerca di malware, il metodo comprendente:
    montaggio su un disco di una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei dati utente in un primo tempo;
    rilevazione di un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo.
    identificazione, su un file System del disco, di almeno un file nella prima slice montata corrispondente al blocco modificato rilevato;
    scansione di almeno un file alla ricerca di virus e/o Software dannosi; e
    in risposta alla rilevazione di almeno un file infettato da un virus e/o Software dannoso, generazione di una slice riparata ehe comprende I dati utente della prima slice montata senza almeno un file.
  2. 2. II metodo secondo la rivendicazione 1, in cui la generazione della slice riparata comprende la rimozione di almeno un file dalla prima slice montata.
  3. 3. II metodo secondo una qualunque delle rivendicazioni da 1 a 2, in cui esiste una pluralitä di blocchi modificati relativ! alla seconda slice per la prima slice montata e in cui la generazione della slice riparata include:
    generazione di una copia della seconda slice; e trasferimento, sulla copia della seconda slice, di tutti i file corrispondenti alla pluralitä di blocchi modificati e non includenti almeno un file, in cui la copia della seconda slice e la slice riparata.
  4. 4. II metodo secondo una delle rivendicazioni da 1 a 3, in cui la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
  5. 5. II metodo secondo una qualunque delle rivendicazioni da 1 a 4, comprendente anche l'aggiunta della nuova slice riparata all'archivio di backup.
  6. 6. II metodo secondo una qualunque delle rivendicazioni da 1 a 5, comprendente inoltre:
    scansione di una terza slice della pluralitä di slice nell'archivio di backup alla ricerca di virus e Software dannosi, in cui la terza slice e un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice;
    in risposta alla rilevazione di un file infetto nella terza slice, contrassegno di un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui II sottoinsieme comprende la seconda slice e la prima slice.
  7. 7. II metodo secondo la rivendicazione 6, comprendente inoltre:
    identificazione di un blocco della terza slice corrispondente al file infetto;
    montaggio della seconda slice e della prima slice sul disco;
    tracciamento del blocco e determinazione se II file infetto esiste su una qualunque tra la seconda slice e la prima slice; e
    rimozione del file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice corrette.
  8. 8. II metodo secondo una qualunque delle rivendicazioni da 1 a 7, in cui la prima slice e montata come disco virtuale.
  9. 9. II metodo secondo una qualunque delle rivendicazioni da 1 a 8, in cui una corrispondenza tra almeno un file e il blocco modificato viene determinata utilizzando una mappa dei blocchi dell'archivio di backup.
  10. 10. Un sistema per ispezionare slice di archivio alla ricerca di malware, II sistema comprendente:
    un processore hardware configurato per:
    montare su un disco una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei dati utente in un primo tempo;
    rilevare un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo;
    identificare, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato;
    scansionare almeno un file alla ricerca di virus e/o Software dannosi; e
    in risposta alla rilevazione di almeno un file infettato da un virus e/o Software dannoso, generare una slice riparata comprendente i dati utente della prima slice montata senza almeno un file.
  11. 11. II sistema secondo la rivendicazione 10, in cui II processore Hardware e configurato per generare la slice riparata rimuovendo almeno un file dalla prima slice montata.
  12. 12. II sistema secondo una qualunque delle rivendicazioni da 10 a 11, in cui esiste una pluralitä di blocchi modificati relativi alla seconda slice per la prima slice montata e in cui il processore Hardware e configurato per generare la slice riparata: generando una copia della seconda slice; e
    trasferendo, sulla copia della seconda slice, tutti I file corrispondenti alla pluralitä di blocchi modificati e non includenti almeno un file, in cui la copia della seconda slice e la slice riparata.
  13. 13. II sistema secondo una qualunque delle rivendicazioni da 10 a 12, in cui la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
  14. 14. II sistema secondo una qualunque delle rivendicazioni da 10 a 13, in cui II processore Hardware e ulteriormente configurato per aggiungere la nuova slice riparata all'archivio di backup.
  15. 15. II sistema secondo una qualunque delle rivendicazioni da 10 a 14, in cui II processore Hardware e ulteriormente configurato per:
    scansionare una terza slice della pluralitä di slice neirarchivio di backup alla ricerca di virus e Software dannosi, in cui la terza slice e un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice;
    in risposta alla rilevazione di un file infetto nella terza slice, contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda slice e la prima slice.
  16. 16. II sistema secondo la rivendicazione 15, in cui il processore Hardware e ulteriormente configurato per:
    identificare un blocco della terza slice corrispondente al file infetto;
    montare la seconda slice e la prima slice sul disco;
    tracciare il blocco e determinare se II file infetto esiste su una qualunque tra la seconda slice e la prima slice; e rimuovere il file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice corrette.
  17. 17. II sistema secondo una qualunque delle rivendicazioni da 10 a 16, in cui la prima slide e montata come un disco virtuale.
  18. 18. II sistema secondo una qualunque delle rivendicazioni da 10 a 17, in cui una corrispondenza tra almeno un file e II blocco modificato viene determinata dal processore Hardware utilizzando una mappa dei blocchi dell'archivio di backup.
CH000238/2020A 2019-07-16 2020-02-28 Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware. CH716436B1 (it)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201962874548P 2019-07-16 2019-07-16
US16/798,709 US11328061B2 (en) 2019-07-16 2020-02-24 System and method of inspecting archive slices for malware

Publications (2)

Publication Number Publication Date
CH716436A2 true CH716436A2 (it) 2021-01-29
CH716436B1 CH716436B1 (it) 2023-11-30

Family

ID=69742910

Family Applications (1)

Application Number Title Priority Date Filing Date
CH000238/2020A CH716436B1 (it) 2019-07-16 2020-02-28 Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware.

Country Status (4)

Country Link
US (2) US11328061B2 (it)
EP (1) EP3767509B1 (it)
JP (1) JP7390932B2 (it)
CH (1) CH716436B1 (it)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11562067B2 (en) * 2019-07-16 2023-01-24 Acronis International Gmbh System and method of inspecting archive slices for malware using empty sparse files
US11328061B2 (en) 2019-07-16 2022-05-10 Acronis International Gmbh System and method of inspecting archive slices for malware
US11372811B1 (en) * 2020-03-31 2022-06-28 Amazon Technologies, Inc. Optimizing disk volume scanning using snapshot metadata
JP2021170196A (ja) * 2020-04-15 2021-10-28 株式会社日立製作所 ストレージシステム及び計算機システム
CH718428A2 (it) 2021-03-15 2022-09-15 Acronis Int Gmbh Sistema e metodo di ispezione di sezioni di archivi per il rilevamento di malware tramite file di tipo sparse vuoti
US11936513B2 (en) * 2021-03-30 2024-03-19 Acronis International Gmbh System and method for anomaly detection in a computer network
US11627154B2 (en) 2021-04-26 2023-04-11 Orca Security LTD. Forward and rearward facing attack vector visualization
US20230195902A1 (en) * 2021-12-21 2023-06-22 Acronis International Gmbh Systems and methods for protecting data during synchronization

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158730A1 (en) 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device
US7222143B2 (en) * 2003-11-24 2007-05-22 Lenovo (Singapore) Pte Ltd. Safely restoring previously un-backed up data during system restore of a failing system
US7797555B2 (en) * 2006-05-12 2010-09-14 Intel Corporation Method and apparatus for managing power from a sequestered partition of a processing system
US7962956B1 (en) * 2006-11-08 2011-06-14 Trend Micro Incorporated Evaluation of incremental backup copies for presence of malicious codes in computer systems
JP5028218B2 (ja) 2007-10-30 2012-09-19 株式会社日立製作所 記憶制御装置、ストレージシステム及び記憶制御装置の制御方法
US8484737B1 (en) * 2008-11-10 2013-07-09 Symantec Corporation Techniques for processing backup data for identifying and handling content
JPWO2010140222A1 (ja) 2009-06-02 2012-11-15 富士通株式会社 情報処理システム、管理装置および情報処理方法
US9268689B1 (en) * 2012-03-26 2016-02-23 Symantec Corporation Securing virtual machines with optimized anti-virus scan
US9785647B1 (en) 2012-10-02 2017-10-10 Axcient, Inc. File system virtualization
US11328061B2 (en) 2019-07-16 2022-05-10 Acronis International Gmbh System and method of inspecting archive slices for malware

Also Published As

Publication number Publication date
JP7390932B2 (ja) 2023-12-04
EP3767509C0 (en) 2023-06-07
EP3767509A1 (en) 2021-01-20
US11328061B2 (en) 2022-05-10
US20210019404A1 (en) 2021-01-21
CH716436B1 (it) 2023-11-30
US20220237288A1 (en) 2022-07-28
US11762994B2 (en) 2023-09-19
EP3767509B1 (en) 2023-06-07
JP2021018799A (ja) 2021-02-15

Similar Documents

Publication Publication Date Title
CH716436A2 (it) Sistema e metodo di controllo di parti di archivo alla ricerca di malware.
US9645815B2 (en) Dynamically recommending changes to an association between an operating system image and an update group
US10467085B2 (en) Fault processing method, system, and computer program product
US9996424B2 (en) Splitting a clone having snapshots from a parent
CH717425B1 (it) Sistema e metodo per il ripristino selettivo di un sistema informatico a uno stato operativo.
US11561875B2 (en) Systems and methods for providing data recovery recommendations using A.I
US11210003B2 (en) Method, device and computer program product for restoring data based on replacing child node identifiers with parent node identifier
CH716656A2 (it) Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense.
US11550913B2 (en) System and method for performing an antivirus scan using file level deduplication
US20140157263A1 (en) Restoring a Previous Version of a Virtual Machine Image
US11562067B2 (en) System and method of inspecting archive slices for malware using empty sparse files
CH718167A2 (it) Sistemi e metodi per il riferimento incrociato di istantanee forensi nel tempo per l'analisi delle cause alla radice
US7673082B2 (en) Method and system to determine device criticality for hot-plugging in computer configurations
US8892499B2 (en) Life cycle management of rule sets
US9678854B2 (en) Application-centric analysis of leak suspect operations
WO2021225991A1 (en) Systems and methods for identifying software vulnerabilities in embedded device firmware
US8935494B2 (en) Backing up an image in a computing system
CH718428A2 (it) Sistema e metodo di ispezione di sezioni di archivi per il rilevamento di malware tramite file di tipo sparse vuoti
US11068194B2 (en) Method and system for storing and managing states of a computer
US11513695B2 (en) Vital product data synchronization
US20240143474A1 (en) System and method for dynamic sensors support in ipmi stack
CH717045B1 (it) Sistemi e metodi di protezione contro la modifica non autorizzata di dump di memoria.
CH719295A2 (it) Sistemi e metodi per proteggere i dati durante la sincronizzazione.

Legal Events

Date Code Title Description
PK Correction

Free format text: RETTIFICHE