CH716436B1 - Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware. - Google Patents

Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware. Download PDF

Info

Publication number
CH716436B1
CH716436B1 CH000238/2020A CH2382020A CH716436B1 CH 716436 B1 CH716436 B1 CH 716436B1 CH 000238/2020 A CH000238/2020 A CH 000238/2020A CH 2382020 A CH2382020 A CH 2382020A CH 716436 B1 CH716436 B1 CH 716436B1
Authority
CH
Switzerland
Prior art keywords
archive
file
portions
backup
slice
Prior art date
Application number
CH000238/2020A
Other languages
English (en)
Other versions
CH716436A2 (it
Inventor
Sergeev Alexey
Stupak Anatoly
Kulaga Andrey
Stanislav Protasov
Beloussov Serguei
Strogov Vladimir
Original Assignee
Acronis Int Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Acronis Int Gmbh filed Critical Acronis Int Gmbh
Publication of CH716436A2 publication Critical patent/CH716436A2/it
Publication of CH716436B1 publication Critical patent/CH716436B1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/128Details of file system snapshots on the file-level, e.g. snapshot creation, administration, deletion
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/82Solving problems relating to consistency
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)
  • Medicines Containing Antibodies Or Antigens For Use As Internal Diagnostic Agents (AREA)

Abstract

La presente invenzione concerne un sistema e un metodo per ispezionare parti di un archivio (114, 130, 200) alla ricerca di malware. Il metodo consiste nel montare su un disco una prima porzione (202) di una pluralità di porzioni (202-206) in un archivio di backup (114, 130, 200), in cui la prima porzione (202) è un'immagine dei dati utente in un primo tempo. Il metodo consiste inoltre nell'identificare un blocco modificato della porzione (202) montata, identificando almeno un file nella prima porzione (202) montata corrispondente al blocco modificato identificato e nello scansionare detto almeno un file alla ricerca di virus e malaware dannosi. In risposta alla rilevazione di almeno un file infetto, il metodo consiste nel generare una porzione riparata comprendente i dati utente della prima porzione (202) montata senza detto almeno un file.

Description

CAMPO TECNICO
[0001] La presente esposizione si riferisce in generale al campo della rilevazione di virus e malware negli archivi conservati e, più specificamente, ai sistemi e al metodo di scansione degli archivi di backup mediante l'ispezione di slice (porzioni) di archivio alla ricerca di malware.
STATO DELL'ARTE
[0002] In generale, il backup e la conservazione degli archivi per il ripristino vengono eseguiti regolarmente in base a un programma. Poiché spesso il backup potrebbe essere infettato da software dannosi, le aziende dispongono sovente di software automatizzati che eseguono scansioni alla ricerca di malware, sia prima del backup, durante il backup, prima del ripristino o simili. Le scansioni per rilevare la presenza di virus e malware devono essere effettuate periodicamente e regolarmente perché le banche dati antivirus vengono aggiornate spesso a causa della comparsa di nuovi tipi di malware. Tuttavia, la scansione completa di archivi di grandi dimensioni necessita di tempo e di notevoli risorse computazionali, spesso non disponibili oppure richiede un uso efficiente del tempo e delle risorse. La scansione degli archivi diventa particolarmente critica se gli archivi non sono conservati localmente ma in un archivio in cloud, perché la velocità di accesso a un archivio in cloud può essere significativamente inferiore rispetto all'accesso a un dispositivo di archiviazione locale (a seconda della velocità della rete o del canale di comunicazione utilizzato, e/o al livello di carico del canale). Inoltre, se si verificano problemi tali da far sì che venga rilevata nell'archivio la presenza di virus e/o file dannosi, l'archivio è considerato danneggiato o infetto e potrebbe non essere del tutto adatto all'uso per il ripristino del sistema o per l'estrazione di file e dati.
[0003] Convenzionalmente, per evitare di ripristinare dati infetti, gli archivi vengono periodicamente scansionati con scanner antivirus durante la conservazione, quando vengono aggiunte nuove slice all'archivio e/o prima di ripristinare i dati. Tuttavia, attualmente non esiste una soluzione per la scansione di punti temporali casuali in un archivio. Vengono invece forzate delle soluzioni per scansionare l'intero archivio. Inoltre, i dati attualmente danneggiati o infetti presenti negli archivi non possono essere riparati.
SOMMARIO
[0004] Un metodo per ispezionare porzioni di archivio alla ricerca di malware secondo la presente invenzione è rivendicato nella rivendicazione 1. Un sistema per ispezionare porzioni di archivio alla ricerca di malware secondo la presente invenzione è rivendicato nella rivendicazione 10. Forme di realizzazione preferite del metodo e del sistema secondo la presente invenzione sono date nelle rivendicazioni dipendenti, rispettivamente, da 2 a 9 e da 11 a 18. Gli aspetti dell'esposizione riguardano il campo della rilevazione di virus e malware negli archivi conservati. In particolare, gli aspetti dell'esposizione descrivono metodi e sistemi per la scansione degli archivi di backup mediante l'ispezione di slice (o „porzioni“) di archivio.ln un esempio, il metodo comprende nel montare come disco virtuale su un disco una prima ed una seconda slice di una pluralità di slice in un archivio di backup, in cui la prima slice è un'immagine dei dati utente in un primo tempo. Il metodo include inoltre la rilevazione di un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi della seconda slice della pluralità di slice, in cui la seconda slice è un'immagine dei dati utente acquisiti prima del primo tempo. Il metodo comprende nell'identificare, su un file system del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato e nello scansionare almeno un file alla ricerca di software dannosi. In risposta alla rilevazione di almeno un file infetto, il metodo comprende il generare una slice riparata che comprende i dati utente della prima slice montata senza l'almeno un file.
[0005] In alcuni esempi, la generazione della slice riparata include la rimozione di almeno un file dalla prima slice montata.
[0006] In alcuni esempi, una pluralità di blocchi modificati relativi alla seconda slice esiste per la prima slice montata, la generazione della slice riparata include la generazione di una copia della seconda slice e il trasferimento, alla copia della seconda slice, di tutti i file corrispondenti alla pluralità di blocchi modificati e non comprendenti l'almeno un file, in cui la copia della seconda slice è la slice riparata.
[0007] In alcuni esempi, la seconda slice è montata sul disco prima o contemporaneamente alla prima slice montata.
[0008] In alcuni esempi, il metodo comprende l'aggiungere la nuova slice riparata all'archivio di backup.
[0009] In alcuni esempi, il metodo comprende la scansione di una terza slice della pluralità di slice nell'archivio di backup alla ricerca di virus e software dannosi, in cui la terza slice è un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice. In risposta alla rilevazione di un file infetto nella terza slice, il metodo comprende il contrassegnare un sottoinsieme della pluralità di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda slice e la prima slice.
[0010] In alcuni esempi, il metodo comprende l'identificare un blocco della terza slice corrispondente al file infetto, tracciare il blocco e determinare se il file infetto esiste su una qualunque tra la seconda slice e la prima slice. In base alla determinazione (ossia il file infetto esiste su almeno una delle slice), il metodo comprende il rimuovere il file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice riparate.
[0011] La pluralità di slice è montata come uno o più dischi virtuali.
[0012] In alcuni esempi, la corrispondenza di almeno un file e il blocco modificato è determinata utilizzando una mappa dei blocchi dell'archivio di backup.
[0013] Si noti che i metodi sopra descritti possono essere implementati in un sistema comprendente un processore hardware. In alternativa, i metodi possono essere implementati utilizzando istruzioni eseguibili di un supporto informatico non transitorio.
[0014] Il riepilogo semplificato degli aspetti esemplificativi di cui sopra serve a consentire una comprensione basilare della presente esposizione.
BREVE DESCRIZIONE DEI DISEGNI
[0015] I disegni accompagnatori, che sono incorporati e costituiscono parte di questa specifica, illustrano uno o più aspetti esemplificativi della presente esposizione e, insieme alla descrizione dettagliata, servono a spiegarne i principi e le implementazioni.
[0016] LaFig. 1è uno schema a blocchi di un sistema di scansione di archivi di backup mediante l'ispezione di slice („porzioni“) di archivio.
[0017] LaFig. 2è uno schema a blocchi di una sequenza di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0018] LaFig. 3è uno schema a flusso di un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0019] LaFig. 4è uno schema di flusso che mostra un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0020] LaFig. 5è uno schema a blocchi di un sistema informatico sul quale il sistema e il metodo divulgato possono essere implementati secondo una realizzazione esemplare.
DESCRIZIONE DETTAGLIATA
[0021] Gli aspetti esemplari sono qui descritti nel contesto di un sistema, metodo e prodotto di programma informatico per l'ispezione di slice (porzioni) di archivio per rilevare la presenza di malware. Coloro che hanno un'ordinaria competenza nell'arte si renderanno conto che la seguente descrizione è puramente illustrativa e non intende essere in alcun modo limitativa. Altri aspetti si riveleranno immediatamente a chi è competente nell'arte che si avvarrà di questa esposizione. Si farà ora riferimento in dettaglio alle implementazioni degli aspetti esemplificativi come illustrato nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati, nei limiti del possibile, in tutti i disegni e nella seguente descrizione per riferirsi agli stessi elementi o ad elementi simili.
[0022] LaFig.1è uno schema a blocchi di un sistema 100 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0023] Il sistema 100 comprende un dispositivo informatico 102, uno scanner di archivi 110, un disco 120 e un archivio in cloud 130. Il dispositivo informatico client 102 può essere qualunque tipo di dispositivo informatico mobile, come un computer portatile, un tablet, un dispositivo mobile o simili. Il dispositivo informatico 102 comprende anche un modulo di backup 104 che esegue un backup dei dati utente memorizzati sul dispositivo informatico 102, dove i dati utente possono includere un'intera immagine di backup dei dischi del dispositivo informatico 102, il software installato sul dispositivo 102, i dati delle applicazioni utente come documenti personali o simili.
[0024] Il modulo di backup 104 può anche recuperare dati che non sono memorizzati localmente sul dispositivo informatico 102. In un esempio, il modulo di backup 104 memorizza e/o recupera i dati utente come un insieme di slice di backup 106 da/per un archivio in cloud 130, o in alternativa, un archivio locale su un disco fisico associato al dispositivo informatico 102. Le slice di backup 106 sono complessivamente memorizzate negli archivi di backup 108 nell'archivio in cloud 130. Ogni slice di backup è un'immagine dei dati utente o del disco fisico del dispositivo informatico 102 in un determinato momento. Nel corso del tempo, l'archivio in cloud 130 contiene molti archivi di backup 108 per diversi dispositivi informatici, ciascuno con più slice di backup.
[0025] Il modulo di backup 104 comunica con l'archivio cloud 130 su una rete 101 (ad es. Internet). In alcuni casi, affinché il modulo di backup 104 ripristini i dati dall'archivio di backup 108, viene eseguita una scansione. Se gli archivi di backup 108 sono aumentati notevolmente in termini di dimensioni (ad esempio, al di là di una soglia predeterminata come 500 GB), la necessità di eseguire una scansione può richiedere una quantità significativa di tempo e risorse. Nel caso in cui gli archivi 108 siano memorizzati localmente, il modulo di backup 104 può occupare una quantità significativa di risorse del dispositivo informatico 102 che possono essere necessarie altrove. Tali risorse possono includere spazio di archiviazione, memoria (ad esempio, RAM) e capacità di elaborazione.
[0026] Al fine di evitare un eccessivo consumo di risorse, sia localmente che su una piattaforma cloud, l'archivio in cloud 130 è sottoposto a scansione periodica tramite lo scanner di archivi 110. Lo scannerdi archivi 110 comprende un servizio di montaggio dell'archivio 112, un archivio API 114 e un'unità di montaggio dell'archivio 116. In alcuni esempi, lo scanner di archivi 110 funziona come servizio sulla rete 101, anche se in altri esempi, lo scanner di archivi 110 può funzionare sul dispositivo informatico 102. Inoltre, sono previste altre configurazioni in cui lo scanner di archivi può funzionare su un server diverso o sullo stesso server dell'archivio in cloud 130.
[0027] Lo scanner di archivi 110 esegue scansioni antivirus e malware sugli archivi di backup 108 per garantire che quando i dati vengono recuperati dall'archivio in cloud, un dispositivo informatico come il dispositivo informatico 102 non venga accidentalmente infettato. Il dispositivo (ad es. un server) che esegue lo scanner di archivi 110 può essere dotato di un disco fisico 120. In un esempio, il dispositivo può comprendere una macchina host e una macchina virtuale. In un altro esempio, lo scanner di archivi 110 riceve una richiesta di scansione degli archivi di backup 108. L'archivio API 114 è utilizzato per recuperare blocchi nuovi e modificati dalle slice conservate negli archivi di backup 108. L'unità di montaggio archivio 116 riceve la richiesta di montare una slice di archivio dall'archivio di backup 108, consentendo allo scanner di archivi 110 di lavorare con l'archivio come disco. L'unità di montaggio archivio 116 può montare la slice di archivio come disco virtuale 122. L'unità di montaggio archivio 116 consente di salvare le modifiche dei dati nella slice montata qualora siano state effettuate delle modifiche.
[0028] In un esempio, lo scanner di archivi 110 rileva tutti i blocchi modificati nelle slice più recenti a partire dalla creazione della slice più recente. Successivamente, lo scanner di archivi 110 utilizza l'archivio API 114 per determinare la corrispondenza dei file in una o più slice con i blocchi di dati sul disco montato. Tale determinazione può essere effettuata utilizzando una mappa dei blocchi. Una volta creata la corrispondenza, anche i file sul disco virtuale montato 122 che si allineano con i blocchi modificati sono considerati nuovi o modificati. In questo modo, questi nuovi file sul disco virtuale 122 possono essere analizzati alla ricerca di infezioni, virus e software dannosi. Lo scanner di archivi 110 può ricorrere inoltre all'archivio API 114 per rimuovere file infetti e/o danneggiati e malware dal disco virtuale 122. Infine, lo scanner di archivi 110 può salvare il disco virtuale 122 come nuova slice riparata negli archivi di backup 108 conservati nell'archivio in cloud 130 (o memorizzati su un dispositivo di archiviazione locale del dispositivo informatico 102). In altri esempi, la slice esistente può essere rimossa e sostituita con la nuova slice riparata.
[0029] Gli aspetti per la formazione della mappa dei blocchi dipendono dal particolare sistema operativo e dal file system. Ad esempio, in Windows i file NTFS possono essere master file table (MFT) residenti (memorizzati all'interno di record MFT) o non residenti, conservati nello spazio di archiviazione del volume. In un esempio, i blocchi allocati del file non residente possono essere recuperati utilizzando una chiamata di funzione di sistema, ad esempio, „FSCTL_GET_RETRIEVAL_POINTERS API“. Le mappe dei blocchi dei file residenti MFT possono essere determinate con l'analisi dell'allocazione MFT e l'identificatore di file noto, che è generalmente il numero di registro MFT. Il numero di registro MFT consente l'ispezione e la conoscenza dei blocchi del file MFT residente. L'analisi dell'allocazione MFT può essere determinata, per esempio, anche con l'aiuto della funzione di sistema „FSCTL_GET_RETRIEVAL_POINTERS“, ma per l'intero MFT, che è anche un file. Altri file system possono richiedere i propri algoritmi speciali che compongono la mappa o le mappe dei blocchi dei file.
[0030] Lo scanner di archivi 110 può anche essere configurato per scansionare una o più slice precedenti nell'archivio di backup 108 al fine di scoprire una slice infetta. Una volta identificata la slice infetta o compromessa, lo scanner di archivi 110 contrassegna la slice infetta e le slice indicate successivamente (temporaneamente) come infette e non adatte al recupero dei dati per qualunque dispositivo informatico. Di conseguenza, il modulo di backup 104 è configurato in modo da bloccare qualunque tentativo di ripristinare le slice contrassegnate come infette. Inoltre, ciò consente allo scanner di archivi 110 di stabilire un tempo di alterazione che può essere utilizzato per ulteriori analisi relative al tipo di infezione e ai fattori che possono essere stati coinvolti nell'alterazione. In alcuni esempi, gli attributi storici del dispositivo informatico 102 possono essere memorizzati nell'archivio in cloud 130, o altrove, e analizzati insieme al tempo di alterazione per stabilire una serie di cause all'origine dell'alterazione/infezione. Questa analisi può essere utilizzata per prevenire future infezioni o attacchi di malware.
[0031] LaFig.2è uno schema a blocchi che mostra la sequenza del sistema e del metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0032] In un esempio, il servizio di montaggio dell'archivio 112, l'archivio API 114 e l'archivio in cloud 130 e l'archivio locale 200 possono trovarsi nello spazio di memoria utente (UM), mentre l'unità di montaggio archivio 116 può trovarsi nello spazio di memoria del kernel (KM). Per accedere all'archivio in cloud 130 o a un archivio locale 200, lo scanner di archivi 110 contatta il servizio di montaggio dell'archivio 112. Il servizio di montaggio archivio 112 utilizza l'unità di montaggio 116 per montare gli archivi su un disco (ad es. un disco virtuale).
[0033] Facendo riferimento alla Fig. 2, l'unità di montaggio 116 monta sul disco 120 una prima slice 202 di una pluralità di slice (ad es. slice 202-206) nell'archivio in cloud 130, in cui la prima slice è un'immagine dei dati utente (ad es. sul dispositivo informatico 102) in un primo tempo. L'archivio API rileva quindi un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice 204 della pluralità di slice, in cui la seconda slice è un'immagine dei dati utente acquisiti prima del primo tempo. Ad esempio, la prima slice 202 può essere stata creata nel tempo t. La seconda slice 204 può essere stata creata nel tempo t-1.
[0034] L'archivio API 114 può quindi confrontare i blocchi dei rispettivi dischi montati delle rispettive slice per trovare blocchi alterati. Quando viene trovato un blocco modificato, il servizio di montaggio degli archivi 112 identifica, su un file system del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato. Lo scanner di archivi 110 scansiona quindi almeno un file alla ricerca di virus e software dannosi. In risposta alla rilevazione di almeno un file infetto, lo scanner di archivi 110 genera una slice riparata che comprende i dati utente della prima slice montata senza almeno un file. Questo processo di generazione può comprendere la rimozione di almeno un file dalla prima slice montata 202. In alcuni casi, dove vengono trovati molteplici blocchi modificati nella slice 202 relativi alla slice 204, il processo di generazione comporta la generazione di una copia della seconda slice 204, il trasferimento, alla copia della seconda slice, di tutti i file corrispondenti alla pluralità di blocchi modificati e non contenenti nessun file infetto (qui la copia della seconda slice è la slice riparata).
[0035] In alcuni esempi, lo scanner di archivi 110 può scansionare arbitrariamente una terza slice 206 della pluralità di slice dell'archivio di backup alla ricerca di virus e software dannosi. La terza slice 206 può essere un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice (cioè, t-N). In risposta alla rilevazione di un file infetto nella terza slice 206, lo scanner di archivi 110 può contrassegnare un sottoinsieme della pluralità di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati. In questo particolare esempio, sia la prima slice 202 che la seconda slice 204 vengono incluse nel sottoinsieme.
[0036] In alcuni esempi, lo scanner di archivi 110 può identificare un blocco della terza slice 206 corrispondente al file infetto. Lo scanner di archivi 110 può montare la seconda slice 204 e la prima slice 202 sul disco 120. Lo scanner di archivi 110 può tracciare il blocco e determinare se il file infetto esiste su una qualsiasi tra la seconda slice e la prima slice. Ad esempio, il file infetto può esistere sulla seconda slice 204, ma l'utente può aver rimosso manualmente il file infetto dalla prima slice 202. Poiché il file infetto non esiste sulla prima slice 202, solo la terza slice 206 e la seconda slice 204 devono essere riparate. Questo garantirà all'archivio di backup una serie di slice integre da cui l'utente potrà eseguire il backup.
[0037] In alcuni esempi, se l'archivio contiene slice infette, lo scanner di archivi 110 può scoprire queste slice per determinare il momento in cui si è verificata l'infezione (in base al tempo di creazione delle slice) e la fonte dell'infezione o il malware attraverso la scansione delle slice.
[0038] LaFig.3è uno schema di flusso che mostra un metodo 300 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0039] Il metodo inizia a 302 e continua a 304.
[0040] A 304, i componenti dello scanner di archivi 110 scansionano gli archivi di backup ispezionando le slice di archivio. I componenti dello scanner di archivi montano una slice più recente di un archivio di backup su un disco, montando ad esempio un disco virtuale. In alcuni esempi, un disco virtuale può essere montato su un server che esegue lo scanner di archivi 110, anche se la presente esposizione non si limita a tale configurazione.
[0041] A 306, l'archivio API 114 rileva tutti i blocchi modificati nelle slice più recenti a partire dalla creazione della slice più recente. In un esempio, l'API 114 ispeziona i blocchi sottostanti del disco virtuale su cui è montata la slice al fine di determinare i blocchi modificati. In altri esempi, i blocchi modificati sono rilevati confrontando i blocchi della slice più recente con i blocchi delle slice create in precedenza per i backup precedenti di un dispositivo informatico. I blocchi che differiscono da una slice all'altra comprendono l'insieme di blocchi modificati.
[0042] A 308, lo scanner di archivi 110 determina la corrispondenza di file in una o più slice con i blocchi di dati sul disco montato. In alcuni esempi, lo scannerdi archivi 110 stabilisce o legge la mappa dei blocchi della specifica slice di backup montata, in cui la mappa dei blocchi indica quali blocchi corrispondono a quali file.
[0043] A 310, lo scanner di archivi 110 determina sul file system del disco i file che sono stati modificati identificando i blocchi di dati modificati. Poiché i blocchi di dati modificati sono stati identificati, il blocco può essere utilizzato per identificare quali file corrispondono ai blocchi di dati modificati.
[0044] A 312, lo scanner di archivi 110 scansiona i file del file system che sono stati modificati dal completamento di una precedente slice di backup alla ricerca di virus e software dannosi.
[0045] A 314, lo scanner di archivi 110 può rimuovere file infetti e/o danneggiati e i malware dal disco virtuale. Il disco virtuale può quindi essere salvato come la slice più recente e reinserito negli archivi di backup 108 nell'archivio in cloud 130 o in un disco locale.
[0046] Il metodo termina a 320.
[0047] LaFig.4è uno schema di flusso che mostra un altro metodo 400 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
[0048] Il metodo inizia a 402 e continua a 404.
[0049] A 404, lo scanner di archivi 110 scansiona l'immagine di backup montata sul disco virtuale nel metodo 300. In un esempio, l'immagine di backup o l'immagine di archivio, come può essere indicata, può essere montata come disco virtuale o, in altri esempi, la slice può essere ripristinata su un disco fisico.
[0050] A 406, i file infetti sono identificati e contrassegnati. In alcuni esempi, i file sono identificati sulla base dei blocchi modificati identificati nel metodo 300 utilizzando una mappa dei blocchi o un altro metodo. La mappa dei blocchi mostra una corrispondenza tra i blocchi e i file sull'immagine montata. Così, quando i blocchi modificati vengono identificati, lo scanner di archivi 310 può identificare i file modificati.
[0051] A 408, qualunque malware presente sull'immagine di backup montata viene identificato eseguendo una scansione alla ricerca di virus e malware sui file presenti sul disco virtuale.
[0052] A 410, i file infetti e i malware sono rimossi dal file system del disco (ad es. un disco virtuale) dallo scanner di archivi 110. In alcuni esempi, i file infetti e/o i malware vengono messi in quarantena, sul disco virtuale o altrove. Si noti che lo spostamento dei file infetti in quarantena sul disco virtuale richiede la creazione della slice riparata che comprende la quarantena.
[0053] A 412 viene creata una nuova slice dallo scanner di archivi 110, escludendo i file infetti e il malware mediante l'esportazione del disco virtuale come nuova slice. La nuova slice viene memorizzata su un nuovo disco virtuale o in altra sede come il disco virtuale 122, oppure in un archivio in cloud 130 come mostra la Fig. 2 (ad es. ultima slice 202).
[0054] A 414, lo scanner di archivi aggiunge la slice appena creata e riparata sopra la slice più recente nell'archivio di backup (ad esempio, l'archivio 108). In altri esempi, la slice appena creata può sostituire la slice più recente o la slice infetta.
[0055] Il metodo termina a 420.
[0056] LaFig.5è uno schema a blocchi che mostra un sistema informatico 20 su cui aspetti dei sistemi e dei metodi di scansione degli archivi di backup mediante l'ispezione di slice di archivio possono essere implementati secondo un aspetto esemplare. Si noti che il sistema informatico 20 può corrispondere a qualunque componente del sistema 100 descritto in precedenza. Il sistema informatico 20 può essere sotto forma di più dispositivi informatici, o sotto forma di un singolo dispositivo informatico, ad esempio un computer da tavolo, un notebook, un laptop, un dispositivo informatico mobile, uno smartphone, un tablet, un server, un computer centrale, un dispositivo integrato e altre forme di dispositivi informatici.
[0057] Come mostrato, il sistema informatico 20 comprende un'unità di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 che collega i vari componenti del sistema, inclusa la memoria associata all'unità di elaborazione centrale 21. Il bus di sistema 23 può comprendere una memoria del bus o un controller di memoria del bus, un bus periferico e un bus locale in grado di interagire con qualsiasi altra architettura di bus. Esempi di bus possono includere PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I<2>C e altre interconnessioni adeguate. L'unità di elaborazione centrale 21 (detta anche processore) può comprendere un singolo processore o una serie di processori con uno o più core. Il processore 21 può eseguire uno o più codici informatici eseguibili che implementano le tecniche della presente esposizione. La memoria di sistema 22 può essere qualunque memoria per la memorizzazione dei dati qui utilizzati e/o programmi informatici eseguibili dal processore 21. La memoria di sistema 22 può includere una memoria volatile come una memoria ad accesso casuale (RAM) 25 e una memoria non volatile come una memoria di sola lettura (ROM) 24, una memoria flash, ecc. o una combinazione di queste. Il sistema di base di input/output (BIOS) 26 può memorizzare le procedure di base per il trasferimento di informazioni tra elementi del sistema informatico 20, come quelle al momento del caricamento del sistema operativo con l'uso della ROM 24.
[0058] Il sistema informatico 20 può comprendere uno o più dispositivi di archiviazione come uno o più dispositivi di archiviazione rimovibili 27, uno o più dispositivi di archiviazione non rimovibili 28, o una combinazione di questi. Uno o più dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un aspetto, i dispositivi di archiviazione e i corrispondenti supporti di archiviazione informatici sono moduli indipendenti dalla potenza per la memorizzazione di istruzioni, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 possono utilizzare una varietà di supporti di archiviazione informatici. Esempi di supporti di archiviazione informatici includono la memoria a bordo macchina come cache, SRAM, DRAM, RAM a zero condensatori, RAM a doppio transistor, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altre tecnologie di memoria come nelle unità a stato solido (SSD) o unità flash; cassette magnetiche, nastri magnetici e memorizzazione su dischi magnetici come, ad esempio, in unità disco rigido o floppy disk; memorizzazione ottica come, ad esempio, in compact disk (CD-ROM) o dischi digitali versatili (DVD); e qualsiasi altro supporto che può essere utilizzato per memorizzare i dati desiderati e che possa essere accessibile dal sistema informatico 20.
[0059] La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 del sistema informatico 20 possono essere utilizzati per memorizzare un sistema operativo 35, applicazioni aggiuntive di programmi 37, altri moduli di programma 38 e dati di programma 39. Il sistema informatico 20 può includere un'interfaccia periferica 46 per la comunicazione dei dati provenienti dai dispositivi di input 40, come tastiera, mouse, stilo, controller di gioco, dispositivo a comandi vocali, dispositivo a comandi tattili o altri dispositivi periferici, come stampante o scanner tramite una o più porte I/O, come una porta seriale, una porta parallela, un bus seriale universale (USB) o un'altra interfaccia periferica. Un dispositivo di visualizzazione 47, come uno o più monitor, proiettori o display integrato, possono anche essere collegati al bus di sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 può essere dotato di altri dispositivi periferici di uscita (non mostrati), come altoparlanti e altri dispositivi audiovisivi.
[0060] Il sistema informatico 20 può funzionare in un ambiente di rete utilizzando una connessione di rete a uno o più computer remoti 49. Il computer remoto (o i computer) 49 può essere costituito da postazioni di lavoro locali o server che comprendono la maggior parte o tutti gli elementi menzionati sopra nella descrizione della natura di un sistema informatico 20. Nella rete informatica possono essere presenti anche altri dispositivi, quali, ma non solo, router, stazioni di rete, dispositivi peer o altri nodi di rete. Il sistema informatico 20 può comprendere una o più interfacce di rete 51 o adattatori di rete per comunicare con i computer remoti 49 attraverso una o più reti, quali una rete informatica locale (LAN) 50, una rete informatica ad ampio raggio (WAN), una rete intranet e Internet. Esempi di interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
[0061] Il supporto di archiviazione informatico può essere un dispositivo tangibile in grado di conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un processore di un dispositivo informatico, come il sistema informatico 20. Il supporto di archiviazione informatico può essere un dispositivo di archiviazione elettronica, un dispositivo di archiviazione magnetica, un dispositivo di archiviazione ottica, un dispositivo di archiviazione elettromagnetica, un dispositivo di archiviazione a semiconduttori o qualunque combinazione appropriata di questi. A titolo di esempio, tale supporto di archiviazione informatico può comprendere una memoria ad accesso casuale (RAM), una memoria a sola lettura (ROM), una EEPROM, una memoria a sola lettura di un compact disc portatile (CD-ROM), un disco digitale versatile (DVD), una memoria flash, un disco rigido, un dischetto portatile, un memory stick, un floppy disk, o anche un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in un solco con istruzioni registrate. Come utilizzato nel presente, un supporto di archiviazione informatico non è da intendersi come segnali transitori di per sé, come onde radio o altre onde elettromagnetiche che si propagano liberamente, onde elettromagnetiche che si propagano attraverso una guida d'onda o un mezzo di trasmissione, o segnali elettrici trasmessi attraverso un filo.
[0062] Le istruzioni di programmi informatici descritte nel presente documento possono essere scaricate sui rispettivi dispositivi informatici da un supporto di archiviazione informatico o su un computer esterno o un dispositivo di archiviazione esterno attraverso una rete, ad esempio Internet, una rete locale, una rete ad ampio raggio e/o una rete wireless. La rete può comprendere cavi di trasmissione in rame, fibre ottiche di trasmissione, trasmissione senza fili, router, firewall, switch, computer gateway e/o server di bordo. Un'interfaccia di rete di ogni dispositivo informatico riceve dalla rete istruzioni di programmi informatici e inoltra le istruzioni di programmi informatici per l'archiviazione in un supporto di archiviazione informatico all'interno del rispettivo dispositivo informatico.
[0063] Le istruzioni di programmi informatici per l'esecuzione delle operazioni della presente esposizione possono essere istruzioni di assemblaggio, insiemi di istruzioni (ISA), istruzioni per macchine, istruzioni dipendenti dalla macchina, microcodici, istruzioni firmware, dati di impostazione dello stato, oppure codici sorgente o codici oggetto scritti in qualunque combinazione di uno o più linguaggi di programmazione, compreso un linguaggio di programmazione orientato agli oggetti e linguaggi di programmazione procedurali convenzionali. Le istruzioni di programmi informatici possono essere eseguite interamente sul computer dell'utente, in parte sul computer dell'utente, come pacchetto software indipendente, in parte sul computer dell'utente e in parte su un computer remoto o interamente sul computer o server remoto. In quest'ultimo caso, il computer remoto può essere collegato al computer dell'utente attraverso qualunque tipo di rete, compresa una rete LAN o WAN, oppure la connessione può essere effettuata a un computer esterno (ad esempio, attraverso Internet). In alcuni aspetti, i circuiti elettronici che comprendono, ad esempio, circuiti a logica programmabile, gate array programmabili sul campo (FPGA), o array a logica programmabile (PLA) possono eseguire le istruzioni di programmi informatici utilizzando le informazioni di stato delle istruzioni di programmi informatici per personalizzare i circuiti elettronici, al fine di eseguire aspetti della presente esposizione.
[0064] Per vari aspetti, i sistemi e i metodi descritti nella presente esposizione possono essere trattati in termini di moduli. Il termine „modulo“ qui utilizzato si riferisce a un dispositivo reale, componente o disposizione di componenti, realizzato utilizzando hardware, come ad esempio tramite un circuito integrato specifico di un'applicazione (ASIC) o FPGA, o come una combinazione di hardware e software, come ad esempio tramite un sistema a microprocessore e un insieme di istruzioni per implementare le funzionalità del modulo, che (mentre viene eseguito) trasforma il sistema a microprocessore in un dispositivo speciale. Un modulo può anche essere implementato come una combinazione dei due, con alcune funzioni facilitate solo dall'hardware e altre funzioni facilitate da una combinazione di hardware e software. In alcune implementazioni, almeno una parte e, in alcuni casi tutte, di un modulo può essere eseguita sul processore di un sistema informatico (come quello descritto più in dettaglio nella precedente Fig. 5). Di conseguenza, ogni modulo può essere realizzato in una varietà di configurazioni adatte e non deve essere limitato ad una particolare implementazione qui esemplificata.
[0065] Per motivi di chiarezza, non tutte le caratteristiche di routine degli aspetti sono qui riportate. Sarebbe auspicabile che nello sviluppo di qualunque implementazione effettiva della presente esposizione venissero prese numerose decisioni specifiche dell'implementazione al fine di raggiungere gli obiettivi specifici dello sviluppatore e questi obiettivi specifici varieranno a seconda delle diverse implementazioni e dei diversi sviluppatori. Resta inteso che un tale sforzo di sviluppo potrebbe essere complesso e richiedere molto tempo, ma sarebbe comunque un'impresa facile per coloro che hanno un'ordinaria competenza nell'arte che si avvantaggiano di questa esposizione.
[0066] Inoltre, è da intendersi che la fraseologia o la terminologia qui utilizzata ha scopo descrittivo e non restrittivo e pertanto la terminologia o la fraseologia della presente specifica deve essere interpretata da chi è competente nell'arte alla luce degli insegnamenti e degli orientamenti qui presentati, in combinazione con le conoscenze di chi è competente nell'arte o nelle arti pertinenti. Inoltre, a nessun termine della specifica o delle rivendicazioni deve essere attribuito un significato non comune o speciale, a meno che ciò non sia esplicitamente indicato.
[0067] Mentre gli aspetti e le applicazioni sono stati mostrati e descritti, è evidente a chi è competente nell'arte e che si avvale della presente esposizione che molte più modifiche di quelle sopra menzionate sono possibili senza discostarsi dall'ambito di tutela delle rivendicazioni.

Claims (16)

1. Metodo per ispezionare porzioni di archivio alla ricerca di malware, il metodo comprendente: montaggio come disco virtuale su un disco di una prima e di una seconda porzione di una pluralità di porzioni in un archivio di backup, in cui la prima porzione è un'immagine dei dati utente in un primo tempo; ricerca di un blocco modificato della prima porzione montata confrontando blocchi della prima porzione montata con blocchi della seconda porzione della pluralità di porzioni, in cui la seconda porzione è un'immagine dei dati utente acquisiti prima del primo tempo; se è rilevato il blocco modificato in detta ricerca: – identificazione, su un file system del disco, di almeno un file nella prima porzione montata corrispondente al blocco modificato rilevato; – scansione dell'almeno un file alla ricerca di software dannosi; e – in risposta alla rilevazione che l'almeno un file è infettato da un software dannoso, generazione di una porzione riparata che comprende i dati utente della prima porzione montata senza l'almeno un file.
2. Metodo secondo la rivendicazione 1, in cui la generazione della porzione riparata comprende una copia dalla prima porzione senza detto almeno un file.
3. Metodo secondo la rivendicazione 1, in cui esiste una pluralità di blocchi modificati relativi alla seconda porzione per la prima porzione montata e in cui la generazione della porzione riparata include: generazione di una copia della seconda porzione; e trasferimento, sulla copia della seconda porzione, di tutti i file corrispondenti alla pluralità di blocchi modificati e non includenti l'almeno un file, in cui la copia della seconda porzione con tutti i file trasferiti corrispondenti alla pluralità di blocchi modificati e non includenti l'almeno un file è la porzione riparata.
4. Metodo secondo una delle rivendicazioni da 1 a 3, in cui la seconda porzione è montata prima o contemporaneamente alla prima porzione montata.
5. Metodo secondo una delle rivendicazioni da 1 a 4, comprendente anche l'aggiunta della porzione riparata all'archivio di backup.
6. Metodo secondo una delle rivendicazioni da 1 a 5, comprendente inoltre: montaggio di una terza porzione della pluralità delle porzioni nell'archivio di backup; scansione dei file nella terza porzione alla ricerca di software dannosi, in cui la terza porzione è un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda porzione; in risposta alla rilevazione di un file infetto nella terza porzione, contrassegno di un sottoinsieme della pluralità di porzioni acquisite dopo un tempo di creazione della terza porzione come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda porzione e la prima porzione.
7. Metodo secondo la rivendicazione 6, comprendente inoltre: identificazione di un blocco della terza porzione corrispondente al file infetto; tracciamento del blocco e determinazione se il file infetto esiste su una qualunque tra la seconda porzione e la prima porzione; e rimozione del file infetto da una qualunque tra la seconda porzione e la prima porzione generando le rispettive porzioni corrette.
8. Metodo secondo una delle rivendicazioni da 1 a 7, in cui una corrispondenza tra l'almeno un file e il blocco modificato viene determinata utilizzando una mappa dei blocchi dell'archivio di backup.
9. Sistema (100) per ispezionare porzioni di archivio alla ricerca di malware, il sistema (100) comprendente: un dispositivo informatico (102), un archivio di backup (108) comprendete una pluralità di porzioni di backup, uno scanner di archivi (110) comprendente una unità di monitoraggio archivio (116), ed un disco (120), detta unità di monitoraggio archivio (116) è configurata per montare come disco virtuale sul disco (120) una prima ed una seconda porzione di detta pluralità di porzioni nell'archivio di backup, in cui la prima porzione è un'immagine dei dati utente in un primo tempo; detto scanner di archivi (110) essendo configurato per ricercare un blocco modificato della prima porzione montata confrontando blocchi della prima porzione montata con blocchi della seconda porzione della pluralità di porzioni, in cui la seconda porzione è un'immagine dei dati utente acquisiti prima del primo tempo; e, se è identificato il blocco modificato per identificare, su un file system del disco, almeno un file nella prima porzione montata corrispondente al blocco modificato rilevato; scansionare l'almeno un file alla ricerca di software dannosi; e in risposta alla rilevazione che l'almeno un file infettato da un software dannoso, generare una porzione riparata comprendente i dati utente della prima porzione montata senza l'almeno un file.
10. Sistema secondo la rivendicazione 9, in cui lo scanner di archivi (110) è configurato per generare la porzione riparata rimuovendo l'almeno un file dalla prima porzione montata.
11. Sistema secondo una delle rivendicazioni da 9 a 10, in cui esiste una pluralità di blocchi modificati relativi alla seconda porzione per la prima porzione montata e in cui lo scanner di archivi (110) è configurato per generare la porzione riparata tramite: generazione di una copia della seconda porzione; e trasferimento, sulla copia della seconda porzione, di tutti i file corrispondenti alla pluralità di blocchi modificati e non includenti l'almeno un file, in cui la copia della seconda porzione è la porzione riparata.
12. Sistema secondo una delle rivendicazioni da 9 a 11, in cui lo scanner di archivi (110) è configurato per montare la seconda porzione prima o contemporaneamente alla prima porzione montata.
13. Sistema secondo una delle rivendicazioni da 9 a 12, in cui lo scanner di archivi (110) è ulteriormente configurato per aggiungere la porzione riparata all'archivio di backup.
14. Sistema secondo una delle rivendicazioni da 9 a 13, in cui lo scanner di archivi (110) è ulteriormente configurato per: montare una terza porzione della pluralità delle porzioni nell'archivio di backup; scansionare file della terza porzione-alla ricerca di software dannosi, in cui la terza porzione è un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda porzione; in risposta alla rilevazione di un file infetto nella terza porzione, contrassegnare un sottoinsieme della pluralità di porzioni acquisite dopo un tempo di creazione della terza porzione come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda porzione e la prima porzione.
15. Sistema secondo la rivendicazione 14, in cui lo scanner di archivi (110) è ulteriormente configurato per: identificare un blocco della terza porzione corrispondente al file infetto; tracciare il blocco e determinare se il file infetto esiste su una qualunque tra la seconda porzione e la prima porzione; e rimuovere il file infetto da una qualunque tra la seconda porzione e la prima porzione generando le rispettive porzioni corrette.
16. Sistema secondo una delle rivendicazioni da 9 a 15, in cui lo scanner di archivi (110) è configurato per determinare una corrispondenza tra l'almeno un file e il blocco modificato tramite una mappa dei blocchi dell'archivio di backup.
CH000238/2020A 2019-07-16 2020-02-28 Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware. CH716436B1 (it)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201962874548P 2019-07-16 2019-07-16
US16/798,709 US11328061B2 (en) 2019-07-16 2020-02-24 System and method of inspecting archive slices for malware

Publications (2)

Publication Number Publication Date
CH716436A2 CH716436A2 (it) 2021-01-29
CH716436B1 true CH716436B1 (it) 2023-11-30

Family

ID=69742910

Family Applications (1)

Application Number Title Priority Date Filing Date
CH000238/2020A CH716436B1 (it) 2019-07-16 2020-02-28 Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware.

Country Status (4)

Country Link
US (2) US11328061B2 (it)
EP (1) EP3767509B1 (it)
JP (1) JP7390932B2 (it)
CH (1) CH716436B1 (it)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11328061B2 (en) 2019-07-16 2022-05-10 Acronis International Gmbh System and method of inspecting archive slices for malware
US11562067B2 (en) * 2019-07-16 2023-01-24 Acronis International Gmbh System and method of inspecting archive slices for malware using empty sparse files
US11372811B1 (en) * 2020-03-31 2022-06-28 Amazon Technologies, Inc. Optimizing disk volume scanning using snapshot metadata
JP2021170196A (ja) * 2020-04-15 2021-10-28 株式会社日立製作所 ストレージシステム及び計算機システム
EP4060535A1 (en) * 2021-03-15 2022-09-21 Acronis International GmbH System and method of inspecting archive slices for malware using empty sparse files
US11936513B2 (en) * 2021-03-30 2024-03-19 Acronis International Gmbh System and method for anomaly detection in a computer network
US11637855B2 (en) 2021-04-26 2023-04-25 Orca Security LTD. Systems and methods for managing cyber vulnerabilities
US20230195902A1 (en) * 2021-12-21 2023-06-22 Acronis International Gmbh Systems and methods for protecting data during synchronization

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040158730A1 (en) 2003-02-11 2004-08-12 International Business Machines Corporation Running anti-virus software on a network attached storage device
US7222143B2 (en) * 2003-11-24 2007-05-22 Lenovo (Singapore) Pte Ltd. Safely restoring previously un-backed up data during system restore of a failing system
US7797555B2 (en) * 2006-05-12 2010-09-14 Intel Corporation Method and apparatus for managing power from a sequestered partition of a processing system
US7962956B1 (en) * 2006-11-08 2011-06-14 Trend Micro Incorporated Evaluation of incremental backup copies for presence of malicious codes in computer systems
JP5028218B2 (ja) 2007-10-30 2012-09-19 株式会社日立製作所 記憶制御装置、ストレージシステム及び記憶制御装置の制御方法
US8484737B1 (en) * 2008-11-10 2013-07-09 Symantec Corporation Techniques for processing backup data for identifying and handling content
WO2010140222A1 (ja) 2009-06-02 2010-12-09 富士通株式会社 情報処理システム、管理装置および情報処理方法
US9268689B1 (en) * 2012-03-26 2016-02-23 Symantec Corporation Securing virtual machines with optimized anti-virus scan
US9785647B1 (en) 2012-10-02 2017-10-10 Axcient, Inc. File system virtualization
US11328061B2 (en) 2019-07-16 2022-05-10 Acronis International Gmbh System and method of inspecting archive slices for malware

Also Published As

Publication number Publication date
EP3767509C0 (en) 2023-06-07
US20210019404A1 (en) 2021-01-21
CH716436A2 (it) 2021-01-29
JP7390932B2 (ja) 2023-12-04
US11328061B2 (en) 2022-05-10
JP2021018799A (ja) 2021-02-15
EP3767509A1 (en) 2021-01-20
EP3767509B1 (en) 2023-06-07
US20220237288A1 (en) 2022-07-28
US11762994B2 (en) 2023-09-19

Similar Documents

Publication Publication Date Title
CH716436B1 (it) Sistema e metodo di controllo di porzioni di archivio alla ricerca di malware.
US9645815B2 (en) Dynamically recommending changes to an association between an operating system image and an update group
US20150067143A1 (en) System for virtual machine risk monitoring
US9864793B2 (en) Language tag management on international data storage
US9996424B2 (en) Splitting a clone having snapshots from a parent
US9558058B2 (en) Technology for stall detection
CH717425B1 (it) Sistema e metodo per il ripristino selettivo di un sistema informatico a uno stato operativo.
US20140101431A1 (en) Dynamically recommending configuration changes to an operating system image
US11562067B2 (en) System and method of inspecting archive slices for malware using empty sparse files
US8799716B2 (en) Heap dump occurrence detection
CH716656A2 (it) Sistema e metodo di generazione e archivazione di metadati specifici dell&#39;informatica forense.
US11550913B2 (en) System and method for performing an antivirus scan using file level deduplication
CN110727942B (zh) 用于恶意软件检测的存储器跟踪
US10089469B1 (en) Systems and methods for whitelisting file clusters in connection with trusted software packages
JP2022100232A (ja) 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法
US8892499B2 (en) Life cycle management of rule sets
CN105404828A (zh) 用于数据安全的方法和系统
US9678854B2 (en) Application-centric analysis of leak suspect operations
CH718428A2 (it) Sistema e metodo di ispezione di sezioni di archivi per il rilevamento di malware tramite file di tipo sparse vuoti
US8935494B2 (en) Backing up an image in a computing system
CN107305582B (zh) 一种元数据处理方法及装置
CH717045B1 (it) Sistemi e metodi di protezione contro la modifica non autorizzata di dump di memoria.
US9740603B2 (en) Managing content in persistent memory modules when organization of the persistent memory modules changes
CN117421725A (zh) 用于恶意软件检测的存储器跟踪
CH719295A2 (it) Sistemi e metodi per proteggere i dati durante la sincronizzazione.

Legal Events

Date Code Title Description
PK Correction

Free format text: RETTIFICHE