CH716656A2 - Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense. - Google Patents

Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense. Download PDF

Info

Publication number
CH716656A2
CH716656A2 CH01317/19A CH13172019A CH716656A2 CH 716656 A2 CH716656 A2 CH 716656A2 CH 01317/19 A CH01317/19 A CH 01317/19A CH 13172019 A CH13172019 A CH 13172019A CH 716656 A2 CH716656 A2 CH 716656A2
Authority
CH
Switzerland
Prior art keywords
metadata
computer
backup
specific
forensics
Prior art date
Application number
CH01317/19A
Other languages
English (en)
Inventor
Strogov Vladimir
Ishanov Oleg
Dod Alexey
Beloussov Serguei
Protasov Stanislav
Original Assignee
Acronis Int Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Acronis Int Gmbh filed Critical Acronis Int Gmbh
Publication of CH716656A2 publication Critical patent/CH716656A2/it

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1451Management of the data involved in backup or backup restore by selection of backup contents
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1464Management of the backup or restore process for networked environments
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1469Backup restoration techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/84Using snapshots, i.e. a logical point-in-time copy of the data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Health & Medical Sciences (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

L'invenzione riguarda un metodo ed un sistema per la generazione e l'archiviazione di metadati specifici dell'informatica forense. In un esempio, un modulo di digital forensics (110) è configurato per generare un backup dei dati utente memorizzati su un dispositivo informatico (102) conformemente a un piano di backup. Il modulo di digital forensics (110) identifica, a partire da una pluralità di metadati di sistema del dispositivo informatico (102) i metadati specifici dell'informatica forense del dispositivo informatico (102) in base a regole predeterminate, in cui i metadati specifici dell'informatica forense sono utilizzati per rilevare attività digitali sospette. Il modulo di digital forensics (110) genera un backup dei metadati specifici dell'informatica forense conformemente al piano di backup e analizza i metadati specifici dell'informatica forense per rilevare un'indicazione dell'attività digitale sospetta sul dispositivo informatico (102). In risposta alla rilevazione dell'attività digitale sospetta sulla base dell'analisi, il sistema genera un evento di sicurezza indicante che l'attività digitale sospetta si è verificata.

Description

Descrizione
CAMPO TECNICO
[0001] La presente esposizione riguarda il settore della sicurezza del dati e, piü specificamente, I sistemi e I metodi di generazione e archiviazione di metadati specifici deirinformatica forense per indagare su attivitä digitali sospette.
STATO DELL'ARTE
[0002] I dati presenti su un dispositivo informatico possono dover essere ripristinati per vari motivi. Ad esempio, un sistema operative di un dispositivo informatico puö essere danneggiato ed il sistema puö aver bisogno di recuperare un insieme non danneggiato di file di backup al poste di quelli danneggiati. Generalmente, le copie di backup sono eseguite unicamente per i dati necessari a ripristinare il sistema di un utente. Questi dati possono includere applicazioni installate, impostazioni, documenti, file, database, ecc.
[0003] Con l'aumento del ricorso alfinformatica digitale, la quantitä di reati informatici come l'hacking, il furto di dati e gli attacchi di malware, e aumentata di pari passo. Di conseguenza, e necessario salvare informazioni aggiuntive sui dati di un sistema quando si creano copie di backup ehe possono essere utilizzate per indagare su questi crimini informatici. Gli ingegneri forensi possono utilizzare queste informazioni aggiuntive per stabilire l'origine di un attacco e rilevare i rimanenti artefatti e le tracce dell'attacco su un sistema.
[0004] Tuttavia, le indagini nel campo della digital forensics richiedono urgenza, tempo e manodopera. Un approccio basato sulla forza bruta nell'analisi dei dati elemento per elemento non e efficace perche questo approccio comporta svariati presupposti, come l'autenticitä dei dati analizzati e il fatto ehe oggetti non fidati non vengano cancellati da un malintenzionato. II tempo necessario per portare a termine un'indagine con questo approccio dipende inoltre dalla quantitä di dati da analizzare. Ad esempio, il tempo necessario per la revisione di un disco rigido di grandi dimensioni puö essere esponenzialmente maggiore del tempo necessario per un disco rigido piü piccolo, perche gli investigatori hanno molti piü file da esaminare e non necessariamente potrebbero sapere da dove iniziare l'analisi. Questo approccio puö essere ancora piü scoraggiante se un'indagine non e conclusiva perche i dati rilevanti di un sistema sono giä stati rimossi quando l'investigatore inizia l'analisi perche, ad esempio, il dispositivo informatico in questione e stato riavviato, formattato o danneggiato.
[0005] Vi e quindi la necessitä di un metodo per generare e archiviere i metadati specifici deirinformatica forense ehe affronti le carenze sopra descritte.
SOMMARIO
[0006] Aspetti dell'esposizione riguardano il settore della sicurezza dei dati. In particolare, aspetti dell'esposizione descrivono metodi e sistemi per la generazione e l'archiviazione di metadati specifici deirinformatica forense.
[0007] In un esempio, il metodo per la generazione e l'archiviazione di metadati specifici deirinformatica forense comprende un modulo di digital forensics configurato per generare un backup dei dati utente memorizzati su un dispositivo informatico secondo un piano di backup. II modulo di digital forensics identifica, a partire da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici deirinformatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici deirinformatica forense sono utilizzati per rilevare attivitä digitali sospette. II modulo di digital forensics genera un backup dei metadati specifici deirinformatica forense in conformitä con il piano di backup, in cui il backup dei metadati specifici deirinformatica forense e memorizzato separatamente dal backup dei dati utente. II modulo di digital forensics analizza i metadati specifici deirinformatica forense per rilevare un'indicazione dell'attivitä digitale sospetta sul dispositivo informatico e in risposta alla rilevazione dell'attivitä digitale sospetta basata sull'analisi genera un evento di sicurezza ehe indica ehe l'attivitä digitale sospetta si e verificata.
[0008] In un esempio, il modulo di digital forensics contrassegna ulteriormente i successivi backup dei dati utente del piano di backup come potenzialmente interessati dall'attivitä digitale sospetta.
[0009] In un esempio, il modulo di digital forensics richiede anche l'esecuzione di un'indagine digitale.
[0010] In un esempio, il modulo di digital forensics ripristina anche il dispositivo informatico con un precedente backup dei dati utente generati prima dell'attivitä digitale sospetta.
[0011] In un esempio, il modulo di digital forensics aumenta anche la frequenza di generazione dei backup nel piano di backup dei metadati specifici deirinformatica forense.
[0012] In un esempio, i metadati specifici deirinformatica forense comprendono almeno uno tra: un identificatore di un processo in esecuzione, informazioni sull'allocazione della memoria, un identificatore di un thread in esecuzione, informazioni sui privilegi di sicurezza, informazioni sul registro, un identificatore di un processo nascosto e un percorso di esecuzione automatica sul dispositivo informatico.
[0013] In un esempio, il modulo di digital forensics genera un identificatore di notarizzazione del backup dei metadati specifici deirinformatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una firma digitale, o un codice di controllo. II modulo di digital forensics memorizza quindi l'identificatore di autenticazione con il backup dei metadati specifici deirinformatica forense.
[0014] In un esempio, il modulo di digital forensics analizza i metadati specifici dell'informatica forense per trovare l'indicazione dell'attivitä digitale sospetta, identificando prima un primo backup dei metadati specifici dell'informatica forense generato in un primo momento e un secondo backup dei metadati specifici dell'informatica forense generato in un secondo momento dopo la prima volta. II modulo di digital forensics rileva quindi, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup ehe non e presente nel primo backup e determina se il processo e fidato. In risposta alla constatazione ehe il processo non e fidato, il modulo di digital forensics rileva l'indicazione dell'attivitä digitale sospetta sul dispositivo informatico.
[0015] In un esempio, il modulo di digital forensics determina se il processo e fidato confrontando il processo con una pluralitä di processi fidati noti elencati in una struttura di dati e determinando ehe non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
[0016] In un esempio, il modulo di digital forensics identifica anche le caratteristiche dell'attivitä digitale sospetta e identifica metadati avanzati specifici deH'informatica forense sulla base di tali caratteristiche in cui i metadati avanzati specifici deH'informatica forense comprendono dettagli specifici delle caratteristiche dell'attivitä digitale sospetta. II modulo di digital forensics genera quindi dei backup successivi dei metadati avanzati specifici deH'informatica forense (in aggiunta o in alternativa ai metadati originali specifici dell'informatica forense).
[0017] II sommario semplificato degli aspetti esemplificativi di cui sopra serve a consentire una comprensione basilare della presente esposizione. Questo sommario non e una panoramica esaustiva di tutti gli aspetti contemplati e non intende ne identificare elementi chiave o critici di tutti gli aspetti, ne delineare la portata di alcuni o di tutti gli aspetti della presente esposizione. II suo unico scopo e presentare uno o piü aspetti in forma semplificata come preludio alla descrizione piü dettagliata dell'esposizione ehe segue. A completamento di quanto precede, uno o piü aspetti della presente esposizione includono le caratteristiche descritte ed evidenziate in modo esemplare nelle rivendicazioni.
BREVE DESCRIZIONE DEI DISEGNI
[0018] I disegni accompagnatori, ehe sono incorporati e costituiscono parte di questa descrizione, illustrano uno o piü aspetti esemplificativi della presente esposizione e, insieme alla descrizione dettagliata, servono a spiegarne i principi e le implementazioni.
La FIG. 1 e un diagramma a blocchi ehe illustra un sistema per la generazione e l'archiviazione di metadati specifici deH'informatica forense.
La FIG. 2 illustra un diagramma di flusso di un esempio di metodo per la generazione e l'archiviazione di metadati specifici deH'informatica forense.
La FIG. 3 illustra un diagramma di flusso di un esempio di metodo per rilevare attivitä digitali sospette.
La FIG. 4 illustra un diagramma di flusso di un esempio di metodo per aggiornare il piano di backup basato sulla rilevazione di attivitä digitali sospette.
La FIG. 5 presenta un esempio di un sistema informatico generico su cui possono essere implementati degli aspetti della presente esposizione.
DESCRIZIONE DETTAGLIATA
[0019] Aspetti illustrativi sono qui descritti nel contesto di un sistema, metodo e prodotto di programma informatico per la generazione e l'archiviazione di metadati specifici dell'informatica forense. Coloro ehe hanno un'ordinaria competenza nell'arte si renderanno conto ehe la seguente descrizione e puramente illustrativa e non intende essere in alcun modo limitativa. Altri aspetti si riveleranno immediatamente a chi e competente nell'arte ehe si avvarrä di questa esposizione. Si farä ora riferimento in dettaglio alle implementazioni degli aspetti esemplificativi come illustrato nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati, nei limiti del possibile, in tutti i disegni e nella seguente descrizione per riferirsi agli stessi elementi o ad elementi simili.
[0020] La FIG. 1 e un diagramma a blocchi ehe illustra un sistema 100 per la generazione e l'archiviazione di metadati specifici deH'informatica forense. II sistema 100 include il dispositivo informatico 102, ehe pub comprendere un personal Computer, un Server, ecc., ehe comprende un'unitä di elaborazione centrale („CPU") e una memoria ehe include dei Software per l'esecuzione di varie attivitä (ad esempio, Software del sistema operativo (OS), Software applicativo, ecc.). I dati per il dispositivo informatico 102 possono essere memorizzati nella memoria del dispositivo stesso, nonche su altri dispositivi esterni come il Server di backup 104, un compact disk, un'unitä flash drive, un disco ottico e simili.
[0021 ] Nella presente esposizione, i dati di backup 106 provenienti dalla memoria del dispositivo 102 vengono trasmessi al Server di backup 104 attraverso la rete 108. La rete 108 puö essere Internet, una rete di telefonia mobile, una rete dati (ad esempio, una rete 4G o LTE), un Bluetooth o qualunque combinazione di questi elementi. Ad esempio, il Server di backup 104 puö far parte di un ambiente di cloud computing accessibile via Internet, oppure puö far parte di una rete locale (LAN)
con il dispositivo informatico 102. Le linee ehe collegano il Server di backup 104 e il dispositivo informatico 102 alla rete 108 rappresentano i percorsi di comunicazione ehe possono includere qualunque combinazione di connessioni a spazio libero (ad es. per segnali wireless) e delle connessioni fisiche (ad es. cavi in fibra ottica).
[0022] Si noti ehe puö esservi piü di un Server di backup 104, ma la FIG. 1 ne mostra uno solo per evitare di complicare ulteriormente il disegno. Ad esempio, il Server di backup 104 puö rappresentare una pluralitä di Server in un cluster cloud distribuito. II Server di backup 104 puö comprendere qualunque numero di componenti fisici (come mostrato nella FIG. 5 ad esempio). Ad esempio, il Server di backup 104 puö comprendere una Serie di componenti fisici come processori, dispositivi di archiviazione a blocchi fisici (ad esempio, unitä di disco rigido (HDD), unitä a stato solido (SSD), unitä flash, dischi SMR, ecc.) o memorie (ad esempio, memoria ad accesso casuale (RAM)), componenti di interfaccia I/O, ecc.
[0023] I dati di backup 106 possono essere dati di qualunque tipo, inclusi dati utente, applicazioni, file di sistema, preferenze, documenti, supporti, ecc. II dispositivo informatico 102 puö inviare i dati di backup 106 per l'archiviazione sul Server di backup 104 secondo un piano di backup indicante i dati specifici da includere nei dati di backup 106 e la frequenza con cui i dati devono essere sottoposti a backup. Ad esempio, il dispositivo informatico 102 puö generare una copia di un file di dati esistente nella memoria del dispositivo 102 e trasmettere la copia in forma di dati di backup 106 al Server di backup 104 ogni due ore. I dati di backup 106 possono essere selezionati da un utente del dispositivo informatico 102 e anche la frequenza del piano di backup puö essere selezionata da un utente.
[0024] Come descritto sopra, sebbene il backup dei dati consenta di conservare le informazioni su un sistema (ad esempio il dispositivo informatico 102), la difesa da potenziali attivitä digitali sospette rende necessario salvare informazioni supplementari relative ai dati sul dispositivo informatico 106. Gli ingegneri forensi possono utilizzare queste informazioni supplementari per determinare l'origine di un'attivitä digitale sospetta e rilevare gli artefatti e le tracce residue dell'attivitä digitale sospetta sul dispositivo informatico 106. Poiche un'analisi forense puö richiedere molto tempo, in quanto gli ingegneri devono estrarre manualmente i dati ed esaminare tutte le informazioni dato per dato, e necessario un metodo ehe riduca i tempi di triage delle prove, fornisca l'accesso al contenuto delle prove senza ehe i dati siano disarchiviati e autentichi i dati per garantire ehe non siano danneggiati.
[0025] Di conseguenza, la presente esposizione fornisce un metodo per la generazione e l'archiviazione di metadati specifici dell'informatica forense. II modulo di digital forensics 1 Wcomprende tre componenti, ossia: generatore di metadati specifici dell'informatica forense (FS) 112, analizzatore di attivitä 114 e dispositivo di notarizzazione 116. II modulo di digital forensics 110 puö risiedere sul dispositivo informatico 102 e puö essere eseguito dall'elaboratore del dispositivo 102. II modulo di digital forensics 110 puö essere un Software di backup diviso come thin dient sul dispositivo 102 e come thick dient sul Server di backup 104 (o viceversa). In alcune realizzazioni, il modulo di digital forensics 110 puö risiedere su un dispositivo esterno, come un Server collegato al dispositivo informatico 102 attraverso la rete 108, o un percorso di comunicazione diretta (ad esempio un cavo USB).
[0026] AI fine di fornire ad un ingegnere forense le informazioni necessarie per condurre un'analisi forense in modo efficiente, il generatore di metadati FS 112 identifica i dati e i metadati pertinenti sul dispositivo informatico 102 ehe devono essere conservati separatamente in un archivio accessibile. In alcune realizzazioni, il generatore di metadati FS 112 puö estrarre i metadati dei dati di backup 106 e archiviarli nel Server di backup 104 come metadati FS 118. I metadati FS 118 possono includere vari attributi predeterminati dei dati di backup 106 ehe sono inclini a cambiare durante un'attivitä digitale sospetta. Tali attributi includono l'identificazione dei dati di backup 106, un percorso per i dati di backup 106, l'identificazione dei processi ehe utilizzano i dati di backup 106 e l'utilizzo della memoria associata ai dati di backup 106.
[0027] II generatore di metadati FS 112 puö raccogliere informazioni di sistema utilizzando varie funzioni e chiamate di sistema interne. Sebbene la raccolta di informazioni di sistema puö essere eseguita su qualsiasi sistema operativo, per ragioni di sintesi, le funzioni di raccolta e chiamata dei metadati e discusse nella presente esposizione sono specifiche dei sistemi operativi Windows™. Va notato ehe il generatore di metadati FS 112 puö impiegare funzioni e chiamate analoghe per estrarre metadati analoghi in qualunque altro sistema operativo in esecuzione sul dispositivo informatico 102.
[0028] II generatore di metadati FS 112 puö enumerare i processi utilizzando una qualsiasi delle seguenti funzioni: EnumProcesses, WTSEnumerateProcesses, CreateToolhelp32Snapshot, Process32First, Process32Next, NtQuerySystemlnformation (SystemProcessAndThreadlnformation).
[0029] II generatore di metadati FS 112 puö estrarre metadati quali nome, descrizione e ragione sociale di un file specificato da Path tramite API delle risorse: GetFileVersionlnfoSize, GetFileVersionlnfo e VerQueryValue. GetFileVersionlnfoSize, GetFileVersionlnfo e VerQueryValue.
[0030] II generatore di metadati FS 112 puö estrarre metadati come indirizzo di base, dimensione e loadcount di un file specificato tramite la funzione NtQuerySystemlnformation (SystemProcessAndThreadlnformation).
[0031] II generatore di metadati FS 112 puö estrarre metadati sull'uso della memoria di un processo specifico usando la funzione GetProcessMemorylnfo.
[0032] II generatore di metadati FS 112 puö estrarre metadati come la riga di comando e le informazioni della directory corrente utilizzando la funzione NtQuerylnformationProcess, mentre la funzione ReadProcessMemory e usata per leggere dal Process Environment Block (PEB).
[0033] II generatore di metadati FS 112 puö estrarre metadati riguardanti un file DLL (Dynamic Link Library) come l'indirizzo di base della DLL, la dimensione della DLL e il loadcount della DLL, utilizzando la funzione EnumProcessModules. Inoltre, il generatore di metadati FS 112 puö estrarre metadati relativi a un file DDL quali nome, descrizione e ragione sociale tramite Fath attraverso le API delle risorse: GetFileVersionlnfoSize, GetFileVersionlnfo, VerQueryValue.
[0034] II generatore di metadati FS 112 puö estrarre metadati riguardanti un processo come le informazioni di temporizzazione utilizzando la funzione GetProcessTimes.
[0035] II generatore di metadati FS 112 puö estrarre metadati come un elenco di tutti gli handle aperti per ogni processo utilizzando la funzione NtQuerySystemlnformation(SystemHandlelnformation).
[0036] II generatore di metadati FS 112 puö estrarre metadati quali le impostazioni delle politiche di mitigazione di un processo (ad esempio, la politica di Address Space Layout Randomization (ASLR) o la Control Flow Guard (CFG)) utilizzando rispettivamente le funzioni GetProcessMitigationPolicy (ProcessASLRRPolicy) e GetProcessMitigationPolicy (ProcessControlFlowGuardGuardPolicy).
[0037] II generatore di metadati FS 112 puö estrarre metadati come una copia del descrittore di sicurezza per un oggetto specificato da un handle utilizzando la funzione GetSecuritylnfo.
[0038] II generatore di metadati FS 112 puö estrarre metadati quali le informazioni su un token di accesso utilizzando la funzione GetTokenlnformation(TokenUser). Un token di accesso e creato da un sistema, come il dispositivo informatico 102, quando un utente si connette. Ogni processo eseguito per conto dell'utente ha una copia del token di accesso. II token di accesso identifica l'utente, i gruppi di utenti e i privilegi. II generatore di metadati FS 112 puö utilizzare la funzione PrivilegeCheck per determinare se un token di accesso possiede un determinato insieme di privilegi.
[0039] II generatore di metadati FS 112 puö estrarre metadati come la classe di prioritä di un processo specificato insieme al valore di prioritä di ogni thread del processo utilizzando rispettivamente le funzioni GetPriorityClass e GetThreadPriority.
[0040] II generatore di metadati FS 112 puö estrarre metadati dei servizi registrati in un processo come il nome del servizio, la descrizione, il percorso e Io stato. Allo stesso modo, il generatore FS 112 puö estrarre metadati di thread come TID, ora di inizio, ora del kernel, ora dell'utente, stacktrace e stackwalk utilizzando le funzioni CreateToolhelp32Snapshot, Thread32First e Thread32Next.
[0041] II generatore di metadati FS 112 puö estrarre metadati come i nomi dei programmi lanciati al momento dell'avvio leggendo i valori delle seguenti chiavi di registro:
-HKEY_LOCAL MACI IlNE\Softwarc\Microsoft\Windows\CurrentVcrsion\Run
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
-HKEY_LOCAL_MACniNE\Software\Microsoft\Windows\CurrentVersion\RunServices
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
-HKEY LOCAL_MACHTNE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\Userinit
-EIKEY LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Win!ogon\Notify
-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\
BootExecute
-EIKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-HKEY_CURRENT USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
-HKEYJZURRENT USER\Software\Microsoft\Windows\CurrcntVersion\RunScrvicesOnce
-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
-HKEY_LOCALJVIACEIINE \Softwarc\Microsoft\Windows\CurrentVcrsion\Policies\
Explorer\Run
-HKEY_CURRENT USER \Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run
-HKEY CURRENT_USER\Software\Microsoft\Windows NT\CurrentVcrsion\Windows\ load
-HKEY_LOCAL_MACHlNE\Software\Microsoft\Windows NT\CurrentVersion\Windows
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Winlogon\Notify
-HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\Shell
-HKEY LOCAL-MACHINE \SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad
[0042] II generatore di metadati FS 112 puö estrarre metadati utilizzando uno strumento forense come II Volatility Framework™. Ad esempio, II generatore di metadati FS 112 pud estrarre informazioni su processi nascosti usando il comando „psxview", puö scansionare la memoria per verificare i driver caricati, scaricati e scollegati usando il comando „modscan" o „moddump", puö trovare hook di funzione API/DLL usando il comando „apihooks", puö trovare hook in una tabella descrittiva del servizio di sistema usando il comando „ssdt", puö identificare gli hook dei pacchetti di richiesta I/O (IRP) usando il comando „driverirp" e puö estrarre la tabella dei descrittori degli Interrupt usando il comando „idt", puö estrarre il butter della cronologia dei comandi usando il comando „cmdscan", puö estrarre le informazioni della console usando il comando „consoles", puö identificare i servizi registrati in un sistema usando il comando „svcscan".
[0043] II generatore di metadati FS 112 puö estrarre metadati come le informazioni sui socket di rete (ad esempio, un elenco di endpoint TCP/UDP disponibili per un'applicazione) utilizzando le funzioni GetExtendedTcpTable e GetExtendedUdpTable.
[0044] II generatore di metadati FS 112 puö estrarre metadati come I record della tabella del file master (MFT) ehe contengono informazioni dettagliate su un file su un volume di un file System NTFS, incluse le sue dimensioni, l'ora e la data, i permessi e il contenuto dei dati.
[0045] II generatore di metadati FS 112 puö estrarre metadati ehe dettagliano l'insieme degli identificatori di sessione di accesso esistenti (LUID), il numero di sessioni e le informazioni su una sessione di accesso specifica usando le funzioni LsaEnumerateLogonSessionSessionSessionData e LsaGetLogonSessionData.
[0046] II generatore di metadati FS 112 puö estrarre metadati come i log degli eventi di Windows usando la funzione ReadEventLog.
[0047] II generatore di metadati FS 112 puö estrarre metadati come ad esempio un elenco di file di contenuti del cestino usando le funzioni SHGetDesktopFolder e SHGetSpecialFolderLocation(CSIDL_BITBUCKET).
[0048] II generatore di metadati FS 112 puö estrarre metadati come l'IPv4 nella tabella di mappatura degli indirizzi fisici usando la funzione GetlpNetTable.
[0049] II generatore di metadati FS 112 puö estrarre metadati come le informazioni della cache DNS usando la funzione DnsQuery(DNS_QUERY_NO_WIRE_QUERY).
[0050] II generatore di metadati FS 112 puö generare uno screenshot usando le funzioni CreateCompatibleDC, CreateCompatibleBitmap, StretchBlt, BitBlt e GetDIBits.
[0051] I metadati supplementari ehe il generatore di metadati FS 112 puö estrarre sono il nome del Computer, il nome di dominio, il fuso orario, le variabili ambientali, le firme e i certificati. Per determinare metadati quali hash, profilo di entropia e stringhe, il generatore di metadati FS 112 puö utilizzare speciali metodi di calcolo e di ricerca.
[0052] II generatore di metadati FS 112 puö generare metadati FS 118. I metadati FS 118 possono essere una struttura di dati (ad esempio un array) ehe aggrega qualunque combinazione dei metadati precedentemente descritti. Ad esempio, un primo campo della struttura di dati puö indicare il nome del file di dati, un secondo campo della struttura di dati puö indicare il percorso del file di dati, e cosl via.
[0053] II generatore di metadati FS 112 puö generare metadati FS 118 sulla base di regele predeterminate affinche venga selezionata una combinazione dei metadati sopra descritti e queste informazioni vengano raccolte periodicamente per il backup. Queste regole predeterminate possono essere memorizzate nella memoria del dispositivo informatico 102 o del Server di backup 104. In un esempio, una regola puö indicare, a seconda dello stato del dispositivo 102 (ad esempio, attivitä sospette rilevate o nessuna attivitä sospetta rilevata), ehe venga recuperato un certo insieme di metadati sopra descritti. In un esempio, una regola puö indicare ehe, quando un'attivitä sospetta non viene rilevata, venga raccolto almeno uno degli elementi seguenti: identificatori di processi in esecuzione, informazioni sull'allocazione della memoria, identificatori di thread in esecuzione, informazioni sui privilegi di sicurezza, informazioni sul registro, identificatori di processi nascosti e percorsi di esecuzione automatica sul dispositivo informatico. Se viene rilevata un'attivitä sospetta, un'ulteriore Serie di metadati puö essere inclusa nell'elenco dei metadati specifici dell'informatica forense, quali identificatori di processi inattivi, identificativi di thread inattivi, ecc., in base alla regola predeterminata. Un'altra regola puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup a seconda ehe il dispositivo informatico 102 sia inattivo (ad esempio, in modalitä sleep). Un'altra regola ancora puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup se la quantitä di spazio libero nel Server di backup 104 e inferiore allo spazio limite. E un'altra regola ancora puö indicare di ridurre il numero di tipi di metadati specifici dell'informatica forense da recuperare per il backup se la frequenza del piano di backup e superiore alla frequenza di soglia (ad esempio, per garantire ehe il backup di dati non sia troppo impegnativo in termini di elaborazione o di memoria). In termini di riduzione, la regola puö specificare il numero esatto di tipi di metadati da recuperare. Ad esempio, se per impostazione predefinita vengono recuperati 20 tipi di metadati per il backup, la regola puö indicare di ridurre il numero a 10 tipi di metadati.
[0054] L'analizzatore di attivitä 114 analizza gli attributi dei metadati FS 118 memorizzati sul dispositivo informatico 102 e puö costituire la prima linea di difesa per rilevare attivitä digital! sospette. Ad esempio, i metadati FS 118 possono comprendere i processi elencati ehe vengono eseguiti sul dispositivo informatico 102 (ad esempio, recuperati dal generatore di metadati FS 112 attraverso la funzione EnumProcesses). L'analizzatore di attivitä 114 puö quindi identificare processi estranei ehe non sono stati eseguiti da un utente autorizzato del dispositivo informatico 102. L'analizzatore di attivitä 114 puö anche scansionare i metadati FS 118 per rilevare applicazioni e file di dati estranei ehe non sono stati installati da un utente autorizzato del dispositivo informatico 102. In risposta al rilevamento di un processo, di un'applicazione o di un file di dati estraneo, l'analizzatore di attivitä 114 puö generare un evento di sicurezza indicante un'attivitä digitale sospetta sul dispositivo informatico 102. L'evento di sicurezza rappresenta un segnale ehe richiede l'esecuzione di un'indagine digitale. Come accennato in precedenza, eventuali ritardi nella segnalazione di attivitä digitali sospette possono essere onerosi. Prima ehe un ingegnere forense riesca ad esaminare il dispositivo informatico 102, questo potrebbe giä essere stato danneggiato da un attacco informatico. Di conseguenza, in risposta all'individuazione di un'indicazione di attivitä digitale sospetta, viene immediatamente generato un evento di sicurezza. L'evento di sicurezza puö essere, ad esempio, un'allerta per l'utente del dispositivo informatico 102 ehe sono state rilevate delle attivitä sospette.
[0055] In un esempio, l'analizzatore di attivitä 114 puö contrassegnare i successivi backup dei dati utente (ad es. dati di backup 106) del piano di backup come potenzialmente interessati dall'attivitä digitale sospetta. In un esempio, l'analizzatore di attivitä 114 pub ripristinare il dispositivo informatico 102 con un precedente backup dei dati di backup 106 generati prima dell'attivitä digitale sospetta. In particolare, l'analizzatore di attivitä 114 puö trasmettere i dati di backup 106 e i metadati FS 118 al Server di backup 104, entrambi con un indicatore segnalante ehe e stata rilevata un'attivitä digitale sospetta, e puö recuperare, dal Server di backup 104, una copia precedente dei dati di backup 106 ehe non include l'attivitä digitale sospetta da sostituire nel dispositivo informatico 102. In un esempio, il modulo di digital forensics aumenta anche la frequenza di generazione dei backup nel piano di backup dei metadati specifici dell'informatica forense.
[0056] Un altro aspetto della presente esposizione e verificare l'autenticitä dei dati analizzati in un'analisi forense. Generalmente, un ingegnere forense estrae i dati dal dispositivo informatico 102, ma e possibile ehe i dati estratti siano stati danneggiati dalla sospetta attivitä digitale. E anche possibile ehe il dispositivo informatico 102 abbia subito delle modifiche, come Io spegnimento o la formattazione, al punto ehe un ingegnere forense non e in grado di generare report accurati dei dati. Occorre pertanto verificare se i dati analizzati sono autentici e se non sono stati alterati in alcun modo.
[0057] II dispositivo di notarizzazione 116 puö generare un identificatore di notarizzazione del backup dei metadati specifici dell'informatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una firma digitale o un codice di controllo. II dispositivo di notarizzazione 116 puö inoltre memorizzare un identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense. Ad esempio, il dispositivo di notarizzazione 116 puö generare valori di hash dei metadati FS 118 nel dispositivo informatico 102 per abilitare questo processo di verifica. Quando i metadati FS 118 vengono trasmessi al Server di backup 104, il dispositivo di notarizzazione 116 puö utilizzare una funzione crittografica di hash per generare un valore hash di metadati FS 118 e successivamente aggiungere il valore hash al backup. In alcune realizzazioni, il dispositivo informatico 102 puö trasmettere simultaneamente i dati di backup 106 e i metadati FS 118 al Server di backup 104. Cosl, per tutti i dati di backup 106 sul Server di backup 104, esistono metadati FS 118 con le relative informazioni sui metadati del dispositivo 102 (incluso un valore hash corrispondente). Memorizzando una prova di notarizzazione, come ad esempio un ID di transazione a blockchain, viene garantita l'autenticitä dei metadati.
[0058] La FIG. 2 mostra un diagramma di flusso del metodo 200 per la generazione e l'archiviazione di metadati specifici dell'informatica forense. AI 202, il generatore di metadati FS 112 genera un backup dei dati utente memorizzati su un dispositivo informatico secondo un piano di backup. I dati di backup possono includere file di dati (ad es. foto, video, documenti, applicazioni, ecc.) e impostazioni associate all'utente. II piano di backup puö richiedere il backup periodico dei dati dell'utente identificato (ad esempio, una volta all'ora). AI 204, il generatore di metadati FS 112 identifica i metadati di sistema. In un esempio, supponiamo ehe i metadati di sistema siano informazioni sui thread inattivi. Questi metadati possono far parte di un elenco di metadati di sistema ehe possono essere recuperati dal generatore di metadati FS 112. Naturalmente, il recupero di tutti i metadati di sistema disponibili puö richiedere molta memoria ed essere impegnativo per il elaboratore e per un ingegnere forense in termini di dati da rivedere. E pertanto necessario ridurre la quantitä di metadati da sottoporre a backup poiche consente una migliore visibilitä delle attivitä digitali sospette quando si considerano solo i metadati specifici deH'informatica forense.
[0059] AI 206, il generatore di metadati FS 112 determina se i metadati di sistema sono classificati come metadati specifici deH'informatica forense. Facendo riferimento all'esempio precedente, il generatore di metadati FS 112 puö recuperare un elenco di regele predeterminate, di cui una puö indicare ehe durante la normale attivitä (ad esempio, quando non viene rilevata alcuna attivitä digitale sospetta) le informazioni sui thread inattivi non devono essere memorizzate come parte dei metadati specifici dell'informatica forense. In risposta alla determinazione ehe i metadati di sistema non sono classificati come metadati specifici dell'informatica forense, il metodo 200 diventa 208, dove il generatore di metadati FS 112 determina se tutti i metadati di sistema sono stati presi in considerazione (ad esempio, se vi sono altri metadati di sistema non considerati nell'elenco dei metadati di sistema).
[0060] AI 208, il generatore di metadati FS 112 puö determinare ehe vi sono altri metadati di sistema da considerare. Ne risulta ehe il metodo 200 ritorna al 204, dove vengono identificati diversi metadati di sistema. Per esempio, il generatore di metadati FS 112 puö considerare metadati di sistema gli identificatori dei processi in esecuzione sul dispositivo informatico. AI 206, il generatore di metadati FS 112 puö determinare ehe gli identificatori dei processi in esecuzione sono classificati come metadati specifici deH'informatica forense. In questo modo, al 210, il generatore di metadati FS 112 recupera i metadati di sistema (ad esempio, gli identificatori dei processi in esecuzione) per il backup come parte dei metadati specifici dell'informatica forense. Ad esempio, il generatore di metadati FS 112 puö utilizzare le funzioni sopra descritte per enumerare i processi in esecuzione e raccogliere i rispettivi PID. Dal 210, il metodo 200 ritorna al 208 in modo ehe possano essere recuperati altri metadati specifici dell'informatica forense.
[0061] Se non devono essere considerati altri metadati di sistema al 208, il metodo 200 passa al 212, dove il generatore di metadati FS 112 genera un backup per i metadati specifici deH'informatica forense in conformitä al piano di backup. Ad esempio, il generatore di metadati FS 112 puö aggregare i metadati specifici deH'informatica forense recuperati e caricarli sul Server di backup 104 tramite la rete 108.
[0062] AI 214, l'analizzatore di attivitä 114 puö determinare se un'attivitä digitale sospetta e stata rilevata sulla base dei metadati specifici deH'informatica forense. Questo aspetto e ulteriormente discusso nella descrizione della FIG. 3. In
risposta al rilevamento deH'attivitä digitale sospetta, al 216, l'analizzatore di attivitä 114 genera un evento di sicurezza. Ad esempio, l'analizzatore di attivitä 114 puö segnalare una richiesta di indagine digitale da parte di un ingegnere forense. Se non viene rilevata alcuna attivitä digitale sospetta, il metodo 200 ritorna al 202, dove ha inizio un altro ciclo di backup.
[0063] La FIG. 3 mostra un diagramma di flusso del metodo 300 per rilevare attivitä digitali sospette. AI 302, l'analizzatore di attivitä 114 pub identificare un primo backup del metadati specifici deH'informatica forense generato per la prima volta (ad esempio, nel ciclo precedente del piano di backup). AI 304, l'analizzatore di attivitä 114 identifica un secondo backup dei metadati specifici dell'informatica forense generati per la seconda volta dopo la prima volta (ad esempio, il backup corrente).
[0064] AI 306, l'analizzatore di attivitä 114 confronta I rispettivi backup per identificare un processo ehe esiste nel secondo backup e non nel primo backup. Se non viene trovato alcun processo, il metodo 300 ha fine. In risposta all'identificazione di un tale processo, l'analizzatore di attivitä 114 puö determinare se il processo e fidato. Ad esempio, l'analizzatore di attivitä 114 puö determinare se il processo e fidato confrontando il processo con una pluralitä di processi fidati noti elencati in una struttura di dati. In risposta alla constatazione ehe non esiste alcuna corrispondenza tra II processo e un processo fidato noto nella pluralitä di processi fidati noti, l'analizzatore di attivitä 114 puö determinare ehe II processo non e fidato. Su queste basi, II metodo 300 passa a 312, dove l'analizzatore di attivitä 114 rileva un'indicazione di attivitä digitale sospetta sul dispositivo informatico.
[0065] Se il processo e effettivamente fidato (ad. es. si trova nell'elenco dei processi fidati), il metodo 300 passa invece a 310, dove l'analizzatore di attivitä 114 non rileva alcuna attivitä digitale sospetta sul dispositivo informatico.
[0066] La FIG. 4 mostra un diagramma di flusso del metodo 400 per aggiornare il piano di backup basato sulla rilevazione di attivitä digitali sospette. II metodo 400 puö essere eseguito dal modulo di digital forensics 110 dopo ehe l'analizzatore di attivitä 114 ha generato un evento di sicurezza al 216 del metodo 200. AI 402, il generatore di metadati FS 112 puö aumentare la frequenza del piano di backup. Supponiamo ehe la frequenza del piano di backup sia una volta al minuto. E possibile ehe un vero e proprio attacco informatico non si sia ancora verificato e ehe qualsiasi attivitä digitale sospetta rilevata sia parte di un potenziale attacco informatico. AI fine di migliorare la granularitä delle informazioni per un ingegnere forense ehe esegue un'indagine digitale, la frequenza dei backup e la quantitä di dettagli mirati sulle attivitä sospette dovrebbe aumentare. Di conseguenza, al 402, il generatore di metadati FS 112 puö aumentare la frequenza del piano di backup - in particolare per i metadati specifici dell'informatica forense - a ogni 10 secondi (invece ehe ogni minuto).
[0067] AI 404, l'analizzatore di attivitä 114 puö identificare una caratteristica deH'attivitä digitale sospetta. Ad esempio, l'attivitä digitale sospetta puö essere l'esecuzione di un processo non fidato. La caratteristica deH'attivitä digitale sospetta puö quindi essere il PID del processo. AI 406, il generatore di metadati FS 112 puö identificare metadati di sistema per dettagli avanzati sull'attivitä digitale sospetta in base alla caratteristica. Ad esempio, il generatore di metadati FS 112 puö inizialmente recuperare esclusivamente i PID dei processi in esecuzione. In risposta all'identificazione della caratteristica, il generatore di metadati FS 112 puö iniziare a monitorare ulteriori dettagli sul processo non fidato come l'uso della memoria, i privilegi di sicurezza e le informazioni sul thread.
[0068] AI 408, il generatore di metadati FS 112 recupera i metadati di sistema identificati come parte di metadati specifici dell'informatica forense. II metodo 400 passa quindi al 202 del metodo 200. Di conseguenza, durante la seconda iterazione del metodo 200 (ad esempio, dopo ehe e stata rilevata un'attivitä sospetta), I successivi backup di metadati specifici dell'informatica forense avverranno piü frequentemente e con ulteriori dettagli sull'attivitä digitale sospetta (come parte di avanzati metadati specifici dell'informatica forense).
[0069] La FIG. 5 e un diagramma a blocchi ehe mostra un sistema informatico 20 su cui possono essere implementati aspetti di sistemi e metodi di archiviazione e generazione di metadati specifici dell'informatica forense. II sistema informatico 20 puö rappresentare il dispositivo informatico 102 e/o il Server di backup 104 e puö essere sotto forma di piü dispositivi informatici, o sotto forma di un singolo dispositivo informatico, ad esempio un Computer da tavolo, un notebook, un laptop, un dispositivo informatico mobile, uno Smartphone, un fablet, un Server, un Computer centrale, un dispositivo integrato e altre forme di dispositivi informatici.
[0070] Come mostrato, il sistema informatico 20 comprende un'unitä di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 ehe collega i vari componenti del sistema, inclusa la memoria associata all'unitä di elaborazione centrale 21. II bus di sistema 23 puö comprendere una memoria del bus o un Controller di memoria del bus, un bus periferico e un bus locale in grado di interagire con qualsiasi altra architettura di bus. Esempi di bus possono includere PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I2C e altre interconnessioni adeguate. L'unitädi elaborazione centrale 21 (detta anche elaboratore) puö comprendere un singolo o una Serie di processori con uno o piü core. II elaboratore 21 puö eseguire uno o piü codici informatici eseguibili ehe implementano le tecniche della presente esposizione. Ad esempio, uno qualunque dei metodi 200-400 eseguiti dal modulo di digital forensics 110 (ad esempio,attraverso i suoi componenti, come il generatore di metadati FS 112) puö essere eseguito dall'elaboratore 21. La memoria di sistema 22 puö essere qualunque memoria per la memorizzazione dei dati qui utilizzati e/o programmi informatici eseguibili dal elaboratore 21. La memoria di sistema 22 puö includere una memoria volatile come una memoria ad accesso casuale (RAM) 25 e una memoria non volatile come una memoria di sola lettura (ROM) 24, una memoria flash, ecc. o una combinazione di queste. II sistema di base di input/output (BIOS) 26 puö memorizzare le procedure di base per il
trasferimento di informazioni tra elementi del sistema informatico 20, come quelle al momento del caricamento del sistema operative con l'uso della ROM 24.
[0071] II sistema informatico 20 puö comprendere uno o piü dispositivi di archiviazione come uno o piü dispositivi di archiviazione rimovibili 27, uno o piü dispositivi di archiviazione non rimovibili 28, o una combinazione di questi. Uno o piü dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un esempio, i dispositivi di archiviazione e i corrispondenti supporti di archiviazione informatici sono moduli indipendenti dalla potenza per la memorizzazione di istruzioni, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili
27 e i dispositivi di archiviazione non rimovibili 28 possono utilizzare una varietä di supporti di archiviazione informatici. Esempi di supporti di archiviazione informatici includono la memoria a bordo macchina come cache, SRAM, DRAM, RAM a zero condensatori, RAM a doppio transistor, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altre tecnologie di memoria come nelle unitä a stato solido (SSD) o unitä flash; cassette magnetiche, nastri magnetici e memorizzazione su dischi magnetici come, ad esempio, in unitä disco rigido o floppy disk; memorizzazione ottica come, ad esempio, in compact disk (CD-ROM) o dischi digitali versatili (DVD); e qualsiasi altro supporto ehe puöessere utilizzato per memorizzare i dati desiderati e ehe possa essere accessibile dal sistema informatico 20.
[0072] La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili
28 del sistema informatico 20 possono essere utilizzati per memorizzare un sistema operative 35, applicazioni aggiuntive di programmi 37, altri moduli di programma 38 e dati di programma 39. II sistema informatico 20 puö includere un'interfaccia periferica 46 per la comunicazione del dati provenienti dai dispositivi di input 40, come tastiera, mouse, stilo, Controller di gioco, dispositivo a comandi vocali, dispositivo a comandi tattili o altri dispositivi periferici, come stampante o Scanner tramite una o piü porte I/O, come una porta seriale, una porta parallele, un bus seriale universale (USB) o un'altra interfaccia periferica. Un dispositivo di visualizzazione 47, come uno o piü monitor, proiettori o display integrato, possono anche essere collegati al bus di sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 puö essere dotato di altri dispositivi periferici di uscita (non mostrati), come altoparlanti e altri dispositivi audiovisivi.
[0073] II sistema informatico 20 puö funzionare in un ambiente di rete utilizzando una connessione di rete a uno o piü Computer remoti 49. II Computer remoto (o i Computer) 49 puö essere costituito da postazioni di lavoro locali o Server ehe comprendono la maggior parte o tutti gli elementi menzionati sopra nella descrizione della natura di un sistema informatico 20. Nella rete informatica possono essere presenti anche altri dispositivi, quali, ma non solo, router, stazioni di rete, dispositivi peer o altri nodi di rete. II sistema informatico 20 puö comprendere una o piü interfacce di rete 51 o adattatori di rete per comunicare con i Computer remoti 49 attraverso una o piü reti, quali una rete informatica locale (LAN) 50, una rete informatica ad ampio raggio (WAN), una intranet e Internet. Esempi di interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
[0074] Gli aspetti della presente esposizione possono essere un sistema, un metodo e/o un prodotto di un programma informatico. II prodotto del programma informatico puö includere un supporto di archiviazione informatico (o supporti) con istruzioni per programmi informatici per far si ehe un elaboratore esegua aspetti della presente esposizione.
[0075] II supporto di archiviazione informatico puö essere un dispositivo tangibile in grado di conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un elaboratore di un dispositivo informatico, come il sistema informatico 20. II supporto di archiviazione informatico puö essere un dispositivo di archiviazione elettronica, un dispositivo di archiviazione magnetica, un dispositivo di archiviazione ottica, un dispositivo di archiviazione elettromagnetica, un dispositivo di archiviazione a semiconduttori o qualunque combinazione appropriata di questi. A titolo di esempio, tale supporto di archiviazione informatico puö comprendere una memoria ad accesso casuale (RAM), una memoria a sola lettura (ROM), una EEPROM, una memoria a sola lettura di un compact disc portatile (CD-ROM), un discodigitale versatile (DVD), una memoria flash, un disco rigido, un dischetto portatile, un memory stick, un floppy disk, o anche un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in un solco con istruzioni registrate. Come utilizzato nel presente, un supporto di archiviazione informatico non e da intendersi come segnali transitori di per se, come onde radio o altre onde elettromagnetiche ehe si propagano liberamente, onde elettromagnetiche ehe si propagano attraverso una guida d'onda o un mezzo di trasmissione, o segnali elettrici trasmessi attraverso un filo.
[0076] Le istruzioni di programmi informatici descritte nel presente documento possono essere scaricate sui rispettivi dispositivi informatici da un supporto di archiviazione informatico o su un Computer esterno o un dispositivo di archiviazione esterno attraverso una rete, ad esempio Internet, una rete locale, una rete ad ampio raggio e/o una rete wireless. La rete puö comprendere cavi di trasmissione in rame, fibre ottiche di trasmissione, trasmissione senza fili, router, firewall, switch, Computer gateway e/o Server di bordo. Un'interfaccia di rete di ogni dispositivo informatico riceve dalla rete istruzioni di programmi informatici e inoltra le istruzioni di programmi informatici per l'archiviazione in un supporto di archiviazione informatico all'interno del rispettivo dispositivo informatico.
[0077] Le istruzioni di programmi informatici per l'esecuzione delle operazioni della presente esposizione possono essere istruzioni di assemblaggio, insiemi di istruzioni (ISA), istruzioni per macchine, istruzioni dipendenti dalla macchina, microcodici, istruzioni firmware, dati di impostazione dello stato, oppure codici sorgente o codici oggetto scritti in qualunque combinazione di uno o piü linguaggi di programmazione, compreso un linguaggio di programmazione orientato agli oggetti

Claims (19)

  1. e linguaggi di programmazione procedurali convenzionali. Le istruzioni di programmi informatici possono essere eseguite interamente sul Computer dell'utente, in parte sul Computer dell'utente, come pacchetto Software indipendente, in parte sul Computer dell'utente e in parte su un Computer remoto o interamente sul Computer o Server remoto. In quest'ultimo caso, il Computer remoto puö essere collegato al Computer dell'utente attraverso qualunque tipo di rete, compresa una rete LAN o WAN, oppure la connessione puö essere effettuata a un Computer esterno (ad esempio, attraverso Internet). In alcune realizzazioni, i circuiti elettronici ehe comprendono, ad esempio, circuiti a logica programmabile, gate array programmabili sul campo (FPGA), o array a logica programmabile (PLA) possono eseguire le istruzioni di programmi informatici utilizzando le informazioni di stato delle istruzioni di programmi informatici per personalizzare i circuiti elettronici, al fine di eseguire aspetti della presente esposizione.
    [0078] Per vari aspetti, i sistemi e i metodi descritti nella presente esposizione possono essere trattati in termini di moduli. II termine „modulo" qui utilizzato si riferisce a un dispositivo reale, componente o disposizione di componenti, realizzato utilizzando Hardware, come ad esempio tramite un circuito integrato specifico di un'applicazione (ASIC) o FPGA, o come una combinazione di Hardware e Software, come ad esempio tramite un sistema a microprocessore e un insieme di istruzioni per implementare le funzionalitä del modulo, ehe (mentre viene eseguito) trasforma il sistema a microprocessore in un dispositivo speciale. Un modulo puö anche essere implementato come una combinazione dei due, con alcune funzioni facilitate solo dall'hardware e altre funzioni facilitate da una combinazione di Hardware e Software. In alcune implementazioni, almeno una parte e, in alcuni casi tutti, i moduli possono essere eseguiti sul elaboratore di un sistema informatico. Di conseguenza, ogni modulo puö essere realizzato in una varietä di configurazioni adatte e non deve essere limitato ad una particolare implementazione qui esemplificata.
    [0079] Per motivi di chiarezza, non tutte le caratteristiche di routine degli aspetti sono qui riportate. Sarebbe auspicabile ehe nello sviluppo di qualsiasi implementazione effettiva della presente esposizione vengano prese numerose decisioni specifiche dell'implementazione al fine di raggiungere gli obiettivi specifici dello sviluppatore e questi obiettivi specifici variano a seconda delle diverse implementazioni e dei diversi sviluppatori. Resta inteso ehe un tale sforzo di sviluppo potrebbe essere complesso e richiederebbe molto tempo, ma sarebbe comunque un'impresa facile per coloro ehe hanno un'ordinaria competenza nell'arte ehe si avvantaggiano di questa esposizione.
    [0080] Inoltre, e da intendersi ehe la fraseologia o la terminologia qui utilizzata ha Io scopo di descrizione e non di restrizione, cosicche la terminologia o la fraseologia della presente specifica deve essere interpretata da chi e competente nell'arte alla luce degli insegnamenti e degli orientamenti qui presentati, in combinazione con le conoscenze di chi e competente nell'arte o nelle arti pertinenti. Inoltre, a nessun termine della specifica o rivendicazione deve essere attribuito un significato non comune o speciale, a meno ehe non sia esplicitamente indicato come tale.
    [0081] I vari aspetti qui illustrati comprendono gli equivalenti noti, presenti e futuri, dei moduli noti cui si fa riferimento a titolo illustrativo. Inoltre, mentre gli aspetti e le applicazioni sono stati mostrati e descritti, sarebbe evidente a chi e competente nell'arte e ehe si avvale della presente esposizione ehe molte piü modifiche di quelle sopra menzionate sono possibili senza discostarsi dai concetti dell'invenzione qui esposti.
    Rivendicazioni
    1. Un metodo per l'archiviazione di metadati specifici dell'informatica forense, in cui il metodo comprende:
    generare un backup dei dati utente archiviati su un dispositivo informatico conformemente a un piano di backup;
    identificare, da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici dell'informatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici deH'informatica forense sono utilizzati per rilevare attivitä digitali sospette;
    generare un backup dei metadati specifici dell'informatica forense in conformitä al piano di backup, in cui il backup dei metadati specifici dell'informatica forense e archiviato separatamente dal backup dei dati dell'utente;
    analizzare i metadati specifici dell'informatica forense per rilevare un'indicazione dell'attivitä digitale sospetta sul dispositivo informatico; e
    in risposta all'individuazione dell'attivitä digitale sospetta sulla base dell'analisi, generare un evento di sicurezza indicante ehe l'attivitä digitale sospetta si e verificata.
  2. 2. II metodo secondo la rivendicazione 1, in cui generare l'evento di sicurezza comprende anche la contrassegnazione dei successivi backup dei dati utente del piano di backup come potenzialmente interessati dall'attivitä digitale sospetta.
  3. 3. II metodo secondo una qualunque delle rivendicazioni da 1 a 2, in cui generare l'evento di sicurezza comprende anche la richiesta di esecuzione di un'indagine digitale.
  4. 4. II metodo secondo una qualunque delle rivendicazioni da 1 a 3, in cui la generazione dell'evento di sicurezza comprende anche il ripristino del dispositivo informatico con un precedente backup dei dati utente generati prima dell'attivitä digitale sospetta.
  5. 5. II metodo secondo una qualunque delle rivendicazioni da 1 a 4, in cui la generazione dell'evento di sicurezza comprende anche l'aumento della frequenza di generazione dei backup nel piano di backup dei metadati specifici dell'informatica forense.
  6. 6. II metodo secondo una qualunque delle rivendicazioni da 1 a 5, in cui I metadati specifici dell'lnformatica forense comprendono almeno uno tra: un identificatore di un processo in esecuzione,
    informazioni sull'allocazione della memoria, un identificatore di un thread in esecuzione, informazioni sui privilegi di sicurezza, informazioni di registro, un identificatore di un processo nascosto, e
    un percorso di esecuzione automatica sul dispositivo informatico.
  7. 7. II metodo secondo una qualunque delle rivendicazioni da 1 a 6, comprendente inoltre:
    generare un identificatore di notarizzazione del backup del metadati specifici dell'informatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una firma digitale o un codice di controllo; e
    memorizzare l'identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense.
  8. 8. II metodo secondo una qualunque delle rivendicazioni da 1 a 7, in cui l'analisi dei metadati specifici dell'informatica forense per l'indicazione di attivitä digitali sospette comprende:
    identificare un primo backup dei metadati specifici dell'informatica forense generato la prima volta e un secondo backup dei metadati specifici dell'informatica forense generato una seconda volta dopo la prima volta;
    rilevare, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup non presente nel primo backup; e
    determinare se il processo e fidato; e in risposta alla constatazione ehe il processo non e fidato, rilevare l'indicazione dell'attivitä digitale sospetta sul dispositivo informatico.
  9. 9. II metodo secondo la rivendicazione 8, in cui determinare se il processo e fidato comprende: confrontare il processo con una pluralitä di processi fidati noti elencati in una struttura di dati; e
    determinare ehe non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
  10. 10. II metodo in base a una qualunque delle rivendicazioni da 1 a 9, in cui generare l'evento di sicurezza comprende anche: identificare le caratteristiche dell'attivitä digitale sospetta;
    identificare metadati avanzati specifici dell'informatica forense sulla base delle caratteristiche, in cui i metadati avanzati specifici dell'informatica forense comprendono dettagli specifici delle caratteristiche dell'attivitä digitale sospetta; e generare backup successivi dei metadati avanzati specifici dell'informatica forense.
  11. 11. Un sistema per l'archiviazione dei metadati specifici dell'informatica forense, in cui il sistema comprende: un elaboratore hardware configurato per:
    generare un backup dei dati utente archiviati su un dispositivo informatico conformemente a un piano di backup; identificare, da una pluralitä di metadati di sistema del dispositivo informatico, i metadati specifici dell'informatica forense del dispositivo informatico basati su regole predeterminate, in cui i metadati specifici-dell'informatica forensesono utilizzati per rilevare attivitä digitali sospette;
    generare un backup dei metadati specifici dell'informatica forense in conformitä con il piano di backup, in cui il backup dei metadati specifici dell'informatica forense e archiviato separatamente dal backup dei dati dell'utente;
    analizzare i metadati specifici dell'informatica forense per rilevare un'indicazione dell'attivitä digitale sospetta sul dispositivo informatico; e
    in risposta all'individuazione dell'attivitä digitale sospetta sulla base dell'analisi, generare un evento di sicurezza indicante ehe l'attivitä digitale sospetta si e verificata.
  12. 12. II sistema secondo la rivendicazione 11, in cui l'elaboratore hardware e configurato anche per generare l'evento di sicurezza contrassegnando i successivi backup dei dati utente del piano di backup come potenzialmente interessati dall'attivitä digitale sospetta.
  13. 13. II sistema secondo una qualunque delle rivendicazioni da 11 a 12, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza richiedendo l'esecuzione di un'indagine digitale.
  14. 14. II sistema secondo una qualunque delle rivendicazioni da 11 a 13, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza ripristinando il dispositivo informatico con un precedente backup dei dati utente generati prima dell'attivitä digitale sospetta.
  15. 15. II sistema secondo una qualunque delle rivendicazioni da 11 a 14, in cui l'elaboratore hardware e anche configurato per generare l'evento di sicurezza aumentando la frequenza di generazione dei backup nel piano di backup dei metadati specifici dell'informatica forense.
  16. 16. II sistema secondo una qualunque delle rivendicazioni da 11 a 15, in cui l'elaboratore hardware e ulteriormente configurato per:
    generare un identificatore di notarizzazione del backup dei metadati specifici dell'lnformatica forense, in cui l'identificatore di notarizzazione e uno tra: un identificatore di transazione di blockchain, un valore di hash, una firma digitale o un codice di controllo; e
    memorizzare l'identificatore di notarizzazione con il backup dei metadati specifici dell'informatica forense.
  17. 17. II sistema secondo una qualunque delle rivendicazioni da 11 a 16, in cui l'elaboratore Hardware e anche configurato per analizzare i metadati specifici dell'informatica forense per rilevare l'indicazione dell'attivitä digitale sospetta: identificando un primo backup dei metadati specifici dell'informatica forense generati la prima volta e un secondo backup dei metadati specifici dell'informatica forense generati una seconda volta dopo la prima volta;
    rilevando, a partire dai metadati specifici dell'informatica forense, un processo nel secondo backup non presente nel primo backup; e
    determinando se il processo e fidato; e
    in risposta alla constatazione ehe il processo non e fidato, rilevando l'indicazione dell'attivitä digitale sospetta sul dispositivo informatico.
  18. 18. II sistema secondo una qualunque delle rivendicazioni da 11 a 17, in cui l'elaboratore Hardware e anche configurato per determinare se il processo non e fidato:
    confrontando il processo a una pluralitä di processi fidati noti elencati in una struttura di dati; e
    determinando ehe non esiste alcuna corrispondenza tra il processo e un processo fidato noto nella pluralitä di processi fidati noti.
  19. 19. II sistema secondo una qualunque delle rivendicazioni da 11 a 18, in cui l'elaboratore Hardware e anche configurato per generare l'evento di sicurezza:
    identificando le caratteristiche dell'attivitä digitale sospetta;
    identificando metadati avanzati specifici dell'informatica forense sulla base delle caratteristiche, in cui i metadati avanzati specifici dell'informatica forense comprendono dettagli specifici delle caratteristiche dell'attivitä digitale sospetta; e generando backup successivi dei metadati avanzati specifici dell'informatica forense.
CH01317/19A 2019-09-25 2019-10-16 Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense. CH716656A2 (it)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US16/582,497 US11601443B2 (en) 2019-09-25 2019-09-25 System and method for generating and storing forensics-specific metadata

Publications (1)

Publication Number Publication Date
CH716656A2 true CH716656A2 (it) 2021-03-31

Family

ID=68281085

Family Applications (1)

Application Number Title Priority Date Filing Date
CH01317/19A CH716656A2 (it) 2019-09-25 2019-10-16 Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense.

Country Status (3)

Country Link
US (1) US11601443B2 (it)
EP (1) EP3798883A1 (it)
CH (1) CH716656A2 (it)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11601443B2 (en) * 2019-09-25 2023-03-07 Acronis International Gmbh System and method for generating and storing forensics-specific metadata
DE102021110768B3 (de) 2021-04-27 2022-06-23 Wincor Nixdorf International Gmbh Forensik-Modul und eingebettetes System
US11792212B2 (en) 2021-06-29 2023-10-17 Acronis International Gmbh IOC management infrastructure
CN113556252B (zh) * 2021-07-23 2023-06-06 中信银行股份有限公司 一种网络设备基线配置检查与修复的方法和系统

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9280667B1 (en) * 2000-08-25 2016-03-08 Tripwire, Inc. Persistent host determination
US7034738B1 (en) * 2003-12-05 2006-04-25 Itt Manufacturing Enterprises, Inc. Method of radar pattern recognition by sorting signals into data clusters
US8959058B1 (en) * 2004-09-02 2015-02-17 Symantec Corporation Linking dynamic computer data protection to an external state
US20070169199A1 (en) * 2005-09-09 2007-07-19 Forum Systems, Inc. Web service vulnerability metadata exchange system
US8533818B1 (en) * 2006-06-30 2013-09-10 Symantec Corporation Profiling backup activity
WO2011075025A1 (en) * 2009-12-18 2011-06-23 St. Jude Medical Ab Cardiac stimulating device
US9467464B2 (en) * 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
US9307344B2 (en) * 2013-04-17 2016-04-05 Systech Corporation Gateway device for machine-to-machine communication with dual cellular interfaces
US9405904B1 (en) * 2013-12-23 2016-08-02 Symantec Corporation Systems and methods for providing security for synchronized files
US9571517B2 (en) * 2014-11-11 2017-02-14 Goldman, Sachs & Co. Synthetic cyber-risk model for vulnerability determination
US10032033B2 (en) * 2015-11-12 2018-07-24 Symantec Corporation Systems and methods for protecting backed-up data from ransomware attacks
US20170248118A1 (en) * 2016-02-26 2017-08-31 Henry Ivers Novel Applications of the New Wind Power Formula, Novel Movements of Sails, and Novel Sail Turbines, plus Novel Propulsion Systems
US10764310B2 (en) * 2016-03-25 2020-09-01 Cisco Technology, Inc. Distributed feedback loops from threat intelligence feeds to distributed machine learning systems
US10810088B1 (en) * 2016-05-13 2020-10-20 NortonLifeLock Inc. System and method of dynamic backup policy generation
US10609066B1 (en) * 2016-11-23 2020-03-31 EMC IP Holding Company LLC Automated detection and remediation of ransomware attacks involving a storage device of a computer network
US10516688B2 (en) * 2017-01-23 2019-12-24 Microsoft Technology Licensing, Llc Ransomware resilient cloud services
US10346610B1 (en) * 2017-01-31 2019-07-09 EMC IP Holding Company LLC Data protection object store
US11537713B2 (en) * 2017-08-02 2022-12-27 Crashplan Group Llc Ransomware attack onset detection
US10776213B2 (en) * 2017-08-31 2020-09-15 Cohesity, Inc. Restoring a database using a fully hydrated backup
US10438000B1 (en) * 2017-09-22 2019-10-08 Symantec Corporation Using recognized backup images for recovery after a ransomware attack
US10635810B2 (en) * 2018-01-31 2020-04-28 Jungle Disk, L.L.C. Probabilistic anti-encrypting malware protections for cloud-based file systems
US20190236274A1 (en) * 2018-01-31 2019-08-01 EMC IP Holding Company LLC Detection of and recovery from ransomware in backup data
US10769032B2 (en) * 2018-03-16 2020-09-08 EMC IP Holding Company LLC Automation and optimization of data recovery after a ransomware attack
US11080147B2 (en) * 2018-05-16 2021-08-03 International Business Machines Corporation Adjusting backup data in response to an abnormality detection
US10922411B2 (en) * 2018-06-20 2021-02-16 Malwarebytes Inc. Intelligent event collection for cloud-based malware detection
US11316900B1 (en) * 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11204998B2 (en) * 2018-08-07 2021-12-21 Mcafee, Llc Detection and mitigation of fileless security threats
US11063907B2 (en) * 2019-01-18 2021-07-13 Cobalt Iron, Inc. Data protection automatic optimization system and method
US11347881B2 (en) * 2020-04-06 2022-05-31 Datto, Inc. Methods and systems for detecting ransomware attack in incremental backup
US11341234B1 (en) * 2019-06-05 2022-05-24 EMC IP Holding Company LLC System for securely recovering backup and data protection infrastructure
US11477232B2 (en) * 2019-07-08 2022-10-18 Acronis International Gmbh Method and system for antivirus scanning of backup data at a centralized storage
US20210044604A1 (en) * 2019-08-07 2021-02-11 Rubrik, Inc. Anomaly and ransomware detection
US11522889B2 (en) * 2019-08-07 2022-12-06 Rubrik, Inc. Anomaly and ransomware detection
US11601443B2 (en) * 2019-09-25 2023-03-07 Acronis International Gmbh System and method for generating and storing forensics-specific metadata
US20210203185A1 (en) * 2019-12-31 2021-07-01 Emera Technologies LLC Power distribution systems and methods
US11372811B1 (en) * 2020-03-31 2022-06-28 Amazon Technologies, Inc. Optimizing disk volume scanning using snapshot metadata

Also Published As

Publication number Publication date
US11601443B2 (en) 2023-03-07
EP3798883A1 (en) 2021-03-31
US20210092135A1 (en) 2021-03-25

Similar Documents

Publication Publication Date Title
CH716656A2 (it) Sistema e metodo di generazione e archivazione di metadati specifici dell'informatica forense.
US8219983B1 (en) Systems and methods for providing guidance on the potential impact of application and operating-system changes on a computing system
US9652616B1 (en) Techniques for classifying non-process threats
US9396082B2 (en) Systems and methods of analyzing a software component
US8931102B2 (en) Testing web applications for file upload vulnerabilities
US9178904B1 (en) Systems and methods for detecting malicious browser-based scripts
US9201769B2 (en) Progressive black-box testing of computer software applications
CH716436A2 (it) Sistema e metodo di controllo di parti di archivo alla ricerca di malware.
US9330184B2 (en) Methods and systems for machine learning to discover application compatibility status
US11275835B2 (en) Method of speeding up a full antivirus scan of files on a mobile device
US20130111018A1 (en) Passive monitoring of virtual systems using agent-less, offline indexing
JP2019008376A (ja) ファイル管理装置及びファイル管理方法
CH717425B1 (it) Sistema e metodo per il ripristino selettivo di un sistema informatico a uno stato operativo.
JPWO2018070404A1 (ja) マルウェア解析装置、マルウェア解析方法、及び、マルウェア解析プログラムが格納された記録媒体
CN103092718A (zh) 测试数据备份系统及方法
JP7451476B2 (ja) 根本原因解析のために経時的にフォレンジックスナップショットを相互参照するためのシステムおよび方法
US20180198817A1 (en) Persistent cross-site scripting vulnerability detection
US9946853B1 (en) Techniques for application code obfuscation
US10970415B2 (en) Sensitive data redaction in memory dump
EP2942728B1 (en) Systems and methods of analyzing a software component
JP7404223B2 (ja) 不正なメモリダンプ改変を防ぐシステムおよび方法
CH716699B1 (it) Metodo per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.
EP3077903B1 (en) Methods and systems for machine learning to discover application compatibility status
Halsey et al. Microsoft Sysinternals Suite
CH718428A2 (it) Sistema e metodo di ispezione di sezioni di archivi per il rilevamento di malware tramite file di tipo sparse vuoti

Legal Events

Date Code Title Description
PK Correction

Free format text: MODIFICA DEL REGISTRO ESAME RELATIVE AL CONTENUTO