CH716699A2 - Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi. - Google Patents

Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi. Download PDF

Info

Publication number
CH716699A2
CH716699A2 CH01070/20A CH10702020A CH716699A2 CH 716699 A2 CH716699 A2 CH 716699A2 CH 01070/20 A CH01070/20 A CH 01070/20A CH 10702020 A CH10702020 A CH 10702020A CH 716699 A2 CH716699 A2 CH 716699A2
Authority
CH
Switzerland
Prior art keywords
digital
suspicious
command
objects
artifact
Prior art date
Application number
CH01070/20A
Other languages
English (en)
Other versions
CH716699B1 (it
Inventor
Strogov Vladimir
Ishanov Oleg
Dod Alexey
Beloussov Serguei
Protasov Stanislav
Original Assignee
Acronis Int Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Acronis Int Gmbh filed Critical Acronis Int Gmbh
Publication of CH716699A2 publication Critical patent/CH716699A2/it
Publication of CH716699B1 publication Critical patent/CH716699B1/it

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Retry When Errors Occur (AREA)

Abstract

L'invenzione riguarda un metodo e un sistema (100) per prevenire azioni anti-forensi. Il metodo identifica un oggetto sospetto da una pluralità di oggetti su un dispositivo informatico (102) monitora azioni eseguite dall'oggetto sospetto. Il metodo intercetta un primo comando da parte dell'oggetto sospetto, volto creare e/o modificare un artefatto digitale sul dispositivo informatico e, successivamente all'intercettazione del primo comando, intercetta un secondo comando da parte dell' oggetto sospetto, volto a eliminare almeno un oggetto sospetto e l'artefatto digitale. In risposta all'intercettazione sia del primo comando volto a creare e/o modificare l'artefatto digitale che del secondo comando volto a eliminare almeno l'oggetto sospetto e l'artefatto digitale, il metodo blocca il secondo comando e salva l'oggetto sospetto e l'artefatto digitale in un archivio digitale (116). Il sistema è adatto a eseguire il metodo sopra descritto. [Fig. 1]

Description

CAMPO DELLA TECNOLOGIA
[0001] La presente divulgazione si riferisce al campo della sicurezza dei dati e, più specificamente, a sistemi e metodi per la prevenzione di azioni da parte di oggetti sospetti in grado di vanificare le indagini di scienza digitale forense.
ANTEFATTO
[0002] Dato oggi che si fa sempre più affidamento all'informatica digitale, è aumentato parallelamente il numero di crimini informatici quali hackeraggio, furto di dati e attacchi malware. Di conseguenza, i metodi di cyber-sicurezza hanno spostato l'attenzione sul tracciamento di software dannosi per l'analisi dopo il verificarsi di un attacco. Alcuni software dannosi avanzati, tuttavia, non solo danneggiano, sottraggono dati, decodificano file ecc., ma rimuovono anche tutte le tracce della loro presenza da un sistema informatico. Una volta perpetrati i propri atti malevoli, i software dannosi possono autodistruggersi e impedire che le proprie attività vengano rintracciate, rendendo estremamente difficili se non impossibili i successivi tentativi di indagine digitale.
[0003] I metodi di contro-azione convenzionali, che utilizzano programmi anti-rootkit, non sono abbastanza specializzati da tener debitamente conto della natura avanzata di tali software dannosi. I programmi anti-rootkit sono in grado di rilevare specifici software dannosi ma non sono progettati per salvare informazioni riguardo all'attività dei rootkit e dei relativi artefatti. A tal fine è necessaria una soluzione specializzata che possa prevenire la distruzione, la cancellazione e l'occultamento di tracce di attività di software dannosi.
COMPENDIO
[0004] Per ovviare a queste lacune, la presente divulgazione descrive metodi e sistemi per prevenire azioni da parte di oggetti sospetti in grado di vanificare le indagini di scienza digitale forense.
[0005] In un esempio, il metodo può identificare un oggetto sospetto a partire da una pluralità di oggetti su un dispositivo informatico e monitorare azioni eseguite dall'oggetto sospetto, in cui le azioni comprendono comandi e richieste derivanti dall'oggetto sospetto. Il metodo può intercettare un primo comando da parte di un oggetto sospetto, volto creare e/o modificare un artefatto digitale sul dispositivo informatico e, successivamente all'intercettazione del primo comando, intercettare un secondo comando da parte di un oggetto sospetto, volto a eliminare almeno un oggetto sospetto e l'artefatto digitale. In risposta all'intercettazione sia del primo comando volto a creare e/o modificare l'artefatto digitale che del secondo comando volto a eliminare almeno un oggetto sospetto e l'artefatto digitale, il metodo può bloccare il secondo comando e può salvare l'oggetto sospetto e l'artefatto digitale in un archivio digitale.
[0006] In alcuni esempi, il metodo può salvare contenuti dell'archivio digitale tramite un backup del sistema e dei dati dell'utente sul dispositivo informatico.
[0007] In alcuni esempi, il metodo può salvare le rispettive posizioni dell'oggetto sospetto e dell'artefatto digitale nell'archivio digitale.
[0008] In alcuni esempi, il metodo può salvare una registrazione di tutte le azioni monitorate dell'oggetto sospetto nell'archivio digitale.
[0009] In alcuni esempi, il metodo può identificare l'oggetto sospetto dalla pluralità di oggetti sul dispositivo informatico: estraendo, per ciascun rispettivo oggetto della pluralità di oggetti, una firma digitale del rispettivo oggetto, determinando se la firma digitale del rispettivo oggetto corrisponde a un'eventuale firma digitale affidabile in un elenco di firme digitali consentite e, in risposta alla determinazione di assenza di corrispondenze, identificare il rispettivo oggetto come l'oggetto sospetto.
[0010] In alcuni esempi, in cui è identificata una pluralità di oggetti sospetti, il metodo può monitorare la pluralità di oggetti sospetti per un periodo di tempo di soglia, in cui la pluralità di oggetti sospetti comprende l'oggetto sospetto. Il metodo può inoltre identificare un sottoinsieme di oggetti sospetti che non hanno eseguito, nel corso del periodo di tempo di soglia, azioni che degradano le prestazioni del dispositivo informatico o compromettono la privacy dell'utente sul dispositivo informatico. Il metodo può determinare che il sottoinsieme degli oggetti sospetti non contiene oggetti sospetti e può cessare di monitorare il sottoinsieme.
[0011] In alcuni esempi, il metodo può rilevare che l'artefatto digitale ha creato e/o modificato un altro artefatto digitale sul dispositivo informatico. In risposta all'intercettazione di un terzo comando da parte di un artefatto digitale e dell'altro artefatto digitale per eliminare l'oggetto sospetto, il metodo può bloccare il terzo comando e salvare l'oggetto sospetto, l'artefatto digitale e l'altro artefatto digitale nell'archivio digitale.
[0012] Va notato che i metodi sopra descritti possono essere implementati in un sistema comprendente un elaboratore hardware. In alternativa, i metodi possono essere implementati utilizzando istruzioni eseguibili da computer di un supporto non transitorio leggibile dal computer.
[0013] Il suddetto compendio semplificato di forme di realizzazione a titolo esemplificativo serve a fornire una conoscenza di base della presente divulgazione. Detto compendio non è una panoramica esaustiva di tutte le forme di realizzazione contemplate e non è destinato a identificare elementi chiave o fondamentali di tutte le forme di realizzazione, né a delineare il campo di applicazione di una o di tutte le forme di realizzazione della presente divulgazione. Il suo unico scopo è presentare una o più forme di realizzazione in forma semplificata in vista di una descrizione più dettagliata della divulgazione che segue. Per raggiungere tale obiettivo, la forma o le forme di realizzazione di cui alla presente divulgazione includono le caratteristiche descritte e indicate a titolo esemplificativo nelle rivendicazioni.
BREVE DESCRIZIONE DEI DISEGNI
[0014] I disegni accompagnatori, che sono integrati e costituiscono parte integrante delle presenti specifiche, illustrano uno o più aspetti esemplificativi della presente divulgazione e, insieme alla descrizione dettagliata, servono a spiegare i rispettivi principi e le rispettive implementazioni.
[0015] La FIG. 1 è un diagramma a blocchi illustrante un esempio di un sistema per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.
[0016] La FIG. 2 è un diagramma a blocchi illustrante un esempio di un metodo per il monitoraggio di attività da parte di oggetti sospetti.
[0017] La FIG. 3 illustra un diagramma di flusso di un metodo esemplificativo per bloccare un tentativo di eliminare un oggetto sospetto e/o il relativo artefatto.
[0018] La FIG. 4 presenta un esempio di un sistema informatico a uso generale, su cui possono essere implementate forme di realizzazione della presente divulgazione.
DESCRIZIONE DETTAGLIATA
[0019] Nel presente documento sono descritti aspetti esemplificativi nel contesto di un sistema, metodo e prodotto per programma informatico al fine di generare e salvare metadati forensi specifici. Agli esperti del settore risulta chiaro che la seguente descrizione è puramente illustrativa e non è destinata a essere in alcun modo limitativa. Altri aspetti si suggeriranno prontamente agli esperti del settore che trarranno beneficio dalla presente divulgazione. A questo punto verrà fatto riferimento in dettaglio alle implementazioni degli aspetti esemplificativi illustrati nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati nella misura possibile attraverso i disegni e la successiva descrizione in riferimento agli stessi elementi o a elementi simili.
[0020] La FIG. 1 è un diagramma a blocchi illustrante un sistema 100 per prevenire azioni anti-forensi da parte di oggetti sospetti. Il sistema 100 include il dispositivo informatico 102, che può comprendere un personal computer, server ecc. che include un'unità di elaborazione centrale („CPU“) e una memoria che comprende il software necessario per eseguire varie attività (ad es. software del sistema operativo (OS), software applicativo ecc). I dati per il dispositivo informatico 102 possono essere memorizzati nella memoria del dispositivo stesso, nonché su altri dispositivi esterni quali server di backup 104, compact disc, unità flash drive, disco ottico e simili.
[0021] Nella presente divulgazione, i dati di backup 106 provenienti dalla memoria del dispositivo informatico 102 vengono trasmessi a un server di backup 104 tramite la rete 108. La rete 108 può essere Internet, una rete di telefonia mobile, una rete di dati (ad esempio rete 4G o LTE), Bluetooth o qualsiasi combinazione delle stesse. Ad esempio, un server di backup 104 può far parte di un ambiente informatico in Cloud tramite Internet oppure può far parte di una rete di area locale (LAN) con il dispositivo informatico 102. Le linee che collegano il server di backup 104 e il dispositivo informatico 102 alla rete 108 rappresentano percorsi di comunicazione che possono includere qualsiasi combinazione di connessioni di spazio libero (ad es. per segnali wireless) e connessioni fisiche (ad es. cavi in fibra ottica).
[0022] Va notato che può esservi più di un server di backup 104, ma solo uno è illustrato nella FIG. 1 per evitare di complicare eccessivamente il disegno. Ad esempio, il server di backup 104 può rappresentare una pluralità di server in un cluster Cloud distribuito. Il server di backup 104 può comprendere qualsiasi numero di componenti fisici (ad es. come illustrato nella FIG. 4). Ad esempio, il server di backup 104 può comprendere elaboratori, dispositivi fisici di archiviazione in blocchi (ad es. Hard Disk Drives (HDDs), Solid State Drives (SSDs), flash drives, SMR disc ecc.) o memoria (ad es., Random Access Memory (RAM)), componenti dell'interfaccia I/O ecc.
[0023] I dati di backup 106 possono essere qualsiasi tipo di dati, inclusi dati dell'utente, applicazioni, file di sistema, preferenze, documenti, media ecc. Il dispositivo informatico 102 può inviare dati di backup 106 per l'archiviazione nel server di backup 104 in conformità con la pianificazione del backup che indica i dati specifici da includere nei dati di backup 106 e la frequenza con cui i dati devono essere sottoposti a backup. Ad esempio, il dispositivo informatico 102 può generare una copia di un file di dati esistente nella memoria del dispositivo informatico 102 e trasmettere la copia come dati di backup 106 al server di backup 104 ogni due ore. I dati di backup 106 possono essere selezionati da un utente del dispositivo informatico 102 e la frequenza della pianificazione del backup può essere inoltre selezionata da un utente.
[0024] Il modulo di prevenzione anti-forense 110 può far parte di un software IDS (sistema di rilevamento di intrusioni). Il modulo di prevenzione anti-forense 110, come illustrato nella FIG. 1 è un software client-end ma può anche essere suddiviso in un thick client e thin client rispettivamente tra server di backup 104 e dispositivo informatico 102. In alcuni esempi, il modulo di prevenzione anti-forense 110 può essere suddiviso in almeno tre componenti: identificativo dell'oggetto 112, analizzatore di attività 114 e archivio digitale 116. L'identificativo dell'oggetto 112 può essere configurato per identificare oggetti sospetti dalla pluralità di oggetti nel dispositivo informatico 102. Un oggetto può essere qualsiasi applicazione, processo, thread, file, struttura di dati o file eseguibile di tipo PE sul dispositivo informatico 102. L'identificatore dell'oggetto 112 può recuperare un elenco di tutti gli oggetti e identificare gli oggetti sospetti nell'elenco. Ad esempio, l'identificatore dell'oggetto 112 può recuperare un elenco di tutti gli oggetti su un dispositivo informatico 102 (ad esempio enumerando processi e thread, scansionando file e applicazioni ecc.) in una scansione iniziale. In alcuni esempi, successivamente alla scansione iniziale, in cui viene creato un nuovo oggetto sul dispositivo informatico 102 o viene modificato un oggetto esistente, l'identificativo dell'oggetto 112 può valutare/rivalutare il carattere sospetto dell'oggetto nuovo/modificato. In alcuni esempi, per valutare il carattere sospetto, l'identificativo dell'oggetto 112 può confrontare l'elenco recuperato di oggetti con un elenco di elementi consentiti comprendente oggetti che siano affidabili. Gli oggetti che non sono presenti nell'elenco degli elementi consentiti sono ritenuti sospetti dall'identificativo dell'oggetto 112.
[0025] Tra gli oggetti che possono essere sottoposti a osservazione a causa della loro natura sospetta vi sono file eseguibili e vari tipi di library dinamiche che possono essere inserite in processi affidabili (ad es. quelle presenti nell'elenco degli elementi consentiti) utilizzando un codice dannoso di terzi, programmi, script ecc. L'identificativo dell'oggetto 112 può inoltre determinare se un oggetto possiede una firma digitale affidabile per determinarne il carattere sospetto. La mancanza di una firma digitale affidabile può indicare all'identificativo dell'oggetto 112 che l'oggetto in questione è un oggetto sospetto. L'identificativo dell'oggetto 112 può analizzare il comportamento sospetto di un oggetto (ad es. l'iniezione di librerie dinamiche in altri processi ritenuti affidabili), nonché nell'attività di rete (ad es. elementi di download/upload insoliti e destinazioni).
[0026] L'analizzatore di attività 114 può essere configurato per monitorare azioni eseguite dall'oggetto sospetto. Consideriamo un esempio in cui l'oggetto sospetto è un file eseguibile che genera un altro file. In questo scenario, l'azione è la generazione di un altro file. L'altro file è un artefatto digitale dell'oggetto sospetto. Un artefatto digitale (denominato anche artefatto) può essere qualsiasi applicazione, processo, thread, file o struttura di dati che vengano creati/modificati direttamente o indirettamente da un oggetto sospetto. In questo esempio, dato che viene creato un altro file tramite l'azione intrapresa dall'oggetto sospetto, l'altro file viene identificato come un artefatto digitale dall'analizzatore di attività 114. In un altro esempio, se il file eseguibile ha modificato un file esistente sul dispositivo informatico 102, l'analizzatore di attività 114 può identificare il file modificato come artefatto digitale. In entrambi gli esempi, l'oggetto sospetto sta creando/modificando direttamente un artefatto digitale. Nel caso della creazione/modifica indiretta, l'oggetto sospetto può inserire il codice in un oggetto affidabile (rendendolo un artefatto digitale) e l'oggetto con il codice inserito può modificare/creare un oggetto supplementare, considerato anch'esso un artefatto digitale. Mentre l'oggetto sospetto non ha creato/modificato l'oggetto supplementare direttamente poiché è stato creato/modificato da un oggetto su cui ha influito direttamente l'oggetto sospetto, l'oggetto supplementare è considerato un artefatto digitale. Pertanto, un artefatto digitale indirettamente interessato può essere qualsiasi artefatto digitale interessato da azione conseguente dell'oggetto sospetto, anche se l'oggetto sospetto non mirava espressamente all'artefatto digitale. Pertanto, in alcuni esempi, l'analizzatore di attività 114 può anche monitorare azioni che coinvolgono l'oggetto sospetto (ma non direttamente eseguite dall'oggetto sospetto).
[0027] L'analizzatore di attività 114 può rilevare nello specifico azioni di creazione o modifica intercettando comandi da parte di oggetti sospetti. Una volta che l'analizzatore di attività 114 ha identificato l'oggetto sospetto e l'artefatto digitale, l'analizzatore di attività 114 determina se eventuali comandi successivi da parte dell'oggetto sospetto o di un artefatto digitale comportino l'eliminazione dell'oggetto sospetto stesso o dell'artefatto digitale creato/modificato. Dato che l'oggetto sospetto è identificato come sospetto e il comando comporta l'eliminazione di un oggetto sospetto (auto-distruzione) o almeno un artefatto digitale dell'oggetto sospetto, l'analizzatore di attività 114 può contrassegnare l'oggetto sospetto come malware che sta cerando di rimuovere tracce di se stesso. Il modulo di prevenzione anti-forense 110 può pertanto bloccare il comando di eliminazione.
[0028] Considerare un esempio di attacchi malware a danno del dispositivo informatico 102. Il malware può avere caratteristiche simili a „Flame,“ un malware informatico modulare scoperto nel 2012. Le caratteristiche possono includere la capacità di registrare audio, scattare istantanee, monitorare l'attività della tastiera, tracciare attività della rete ecc. Il malware può utilizzare una varietà di metodi di crittografia e può salvare informazioni strutturate acquisite in un database SQLite. Esattamente come „flame“ identifica il software antivirus installato su un dispositivo target e adatta il proprio comportamento per aggirare la sicurezza del software antivirus (ad es. modificando le estensioni del nome del file), il malware può tentare di ingannare i sistemi di sicurezza sul dispositivo informatico 102. Inoltre, il malware può avere una funzione „termina“, analoga a „flame“, che elimina tutte le tracce dei rispettivi file e operazioni dal sistema.
[0029] Dato che il software antivirus può non avere una definizione per tale malware (dato che può essere una novità), sarà inefficace nel rilevamento. „Flame“ è un programma delle dimensioni di circa 20 MB. Quando viene eseguita una scansione di oggetti da parte dell'identificativo dell'oggetto 112, il programma malware verrà rilevato come un oggetto. In alcuni esempi, dato che l'oggetto non è presente in un elenco di elementi consentiti, sarà trattato come un oggetto sospetto dal modulo di prevenzione anti-forense 110. Gli screenshot copiati, audio e altre informazioni rintracciate dal malware sono identificati come artefatti digitali dall'analizzatore 114. Inoltre, il tentativo del malware di „terminare“ le copie acquisite in modo tale che il malware non possa essere rintracciato sul dispositivo informatico 102 è ritenuto un comando di eliminazione. In risposta all'intercettazione del comando Terminare, il modulo di prevenzione anti-forense 110 può bloccare il comando impedendone l'esecuzione dato che il malware è considerato un oggetto sospetto.
[0030] Va notato che diversi oggetti possono essere caratterizzati come oggetti sospetti, anche se sono in ultima analisi oggetti innocui. In alcuni esempi, per ridurre la quantità di risorse destinate a monitorare una pluralità di oggetti sospetti che siano innocui, l'identificativo dell'oggetto 112 può ritenere che un oggetto sospetto identificato in precedenza non sia più un oggetto sospetto dopo che è trascorso un periodo di tempo di soglia, nel corso del quale l'oggetto non ha interagito con altri oggetti sul dispositivo informatico 102, l'oggetto non ha eseguito azioni dannose che degradano le prestazioni del dispositivo informatico 102 (ad es. utilizzando più di una soglia di potenza della CPU, RAM, archiviazione ecc. per un periodo di tempo superiore al tempo predeterminato) o l'oggetto non ha compromesso la privacy dell'utente sul dispositivo informatico 102 (ad es. monitorando, salvando e inviando dati altrove).
[0031] Il modulo di prevenzione anti-forense 110 può inoltre archiviare l'oggetto sospetto e l'artefatto digitale o gli artefatti digitali (formanti insieme dati anti-forensi 118) nell'archivio digitale 116. L'archivio digitale 116 può essere configurato come un archivio isolato (ad es. una quarantena) che impedisce all'oggetto sospetto di effettuare ulteriori comandi. In alcuni esempi, il modulo di prevenzione anti-forense 110 può generare dati anti-forensi 118. I dati anti-forensi 118 sono dati di backup che includono i contenuti dell'archivio digitale 116 (ad es. l'oggetto sospetto e l'artefatto digitale) nonché informazioni quali (1) le rispettive ubicazioni dell'oggetto sospetto e l'artefatto digitale nella memoria del dispositivo informatico 102 e (2) tutte le azioni monitorate dell'oggetto sospetto come rintracciate dall'analizzatore di attività 114. In alcuni esempi, le informazioni sopra elencate vengono archiviate nell'archivio digitale 116 insieme all'oggetto sospetto e all'artefatto digitale.
[0032] In alcuni esempi, il modulo di prevenzione anti-forense 110 può inoltre crittografare l'oggetto sospetto e l'artefatto digitale (ad es. utilizzando algoritmi quali Advanced Encryption Standard (AES), Rivest-Shamir-Adleman (RSA) ecc.) prima di collocarli nell'archivio digitale 116. Ciò impedisce a un'applicazione di terzi di accedere in qualche modo all'oggetto sospetto o all'artefatto digitale e rimuovere le tracce. In un esempio in cui l'oggetto e gli artefatti sono firmati da una chiave pubblica, la chiave privata può essere memorizzata su un dispositivo che non sia il dispositivo informatico 102 per migliorare la sicurezza.
[0033] In alcuni esempi, i dati anti-forensi 118 vengono salvati con i dati di backup 106 nel server di backup 104. Ad esempio, quando i dati di backup 106 vengono caricati periodicamente, i dati anti-forensi 118 vengono sottoposti anch'essi a backup. Ciò consente al tecnico forense che conduce un'indagine forense di ricreare lo stato del dispositivo informatico 102 e analizzare gli effetti dell'oggetto sospetto e dell'artefatto digitale a condizione delle rispettive posizioni nella memoria del dispositivo informatico 102 (prima di essere messo in quarantena nell'archivio digitale 116). Lo stato del dispositivo informatico 102 può rappresentare un'immagine completamente restaurata del volume del dispositivo informatico 102 e i metadati relativi al crimine informatico o attacco di virus, inclusa l'ora dell'evento, le fonti di azioni dannose, la riproduzione di dati danneggiati o infetti.
[0034] La FIG. 2 è un diagramma a blocchi illustrante un metodo 200 per il monitoraggio dell'attività da parte di oggetti sospetti. La fonte di malware 202 può essere l'origine del file .exe sospetto 204. Supponiamo che l'identificativo dell'oggetto 112 abbia già identificato il file .exe sospetto 204 come un oggetto sospetto. Il file .exe sospetto 204 può creare e/o modificare una pluralità di artefatti (ad es. artefatto 1, 2, .. N). L'analizzatore di attività 114 può intercettare tentativi di creare/modificare e successivamente eliminare eventuali artefatti o file .exe sospetti 204.
[0035] L'analizzatore di attività 114 può contenere due filtri, precisamente, il filtro per il file system 206 e il filtro di registro 208. In alcuni esempi, il filtro per il file system 206 scansiona nuovi artefatti nella memoria del dispositivo informatico 102 e rileva la rimozione di artefatti dalla memoria. Ad esempio, quando viene creato un file utilizzando il New Technology File System (NTFS), viene aggiunto un registro relativo al file al Master File Table (MFT). L'MFT è un database in cui vengono archiviate informazioni relative a tutti i file e le directory su un volume NTFS. Il filtro per il file system 206 può monitorare modifiche nell'MFT per rilevare l'aggiunta e la rimozione di artefatti digitali.
[0036] Il filtro di registro 208 può essere configurato per monitorare modifiche al registro del dispositivo informatico 102. Prima che un'applicazione possa aggiungere dati al registro di un sistema, l'applicazione deve creare o aprire una chiave. In un sistema operativo Windows, l'applicazione può utilizzare funzioni quali RegOpenKeyEx o RegCreateKeyEx per eseguire tale attività. Il filtro di registro 208 può monitorare una riga di comando per queste funzioni, così come vengono eseguite da un oggetto sospetto. L'oggetto sospetto può utilizzare la funzione RegSetValueEx per associare un valore e i rispettivi dati alla chiave aperta/creata. Quando si intercettano comandi, l'analizzatore di attività 114 può monitorare (tramite il filtro di registro 208) per questa combinazione di funzioni. Come illustrato nella FIG. 2, ogni artefatto possiede un file e un valore di registro che l'analizzatore di attività 114 può tracciare. Successivamente alla creazione/modifica di un file identificato come artefatto digitale, l'analizzatore dell'attività 114 effettua il monitoraggio di tentativi di eliminare il file o il file .exe sospetto 204. Ad esempio, il filtro di registro 208 può monitorare un tentativo di eseguire la funzione RegDeleteKey o RegDeleteValue. La prima di queste funzioni viene utilizzata per eliminare una chiave dal registro e la seconda di queste funzioni viene utilizzata per eliminare un valore da una chiave. Per impedire un tentativo di nascondere tracce delle proprie azioni, l'analizzatore di attività 114 può impedire l'esecuzione delle funzioni.
[0037] L'analizzatore di attività 114 può inoltre mettere in quarantena il file .exe sospetto 204 e gli artefatti 1, 2, ... N nell'archivio digitale 116. L'archivio digitale 116 può comprendere il filtro di archivio 210 che è destinato a fornire un modo efficiente per memorizzare gli oggetti e gli artefatti raccolti, incluse le informazioni relative allo stato del volume (ad es. una mappa del volume) per comprendere dove erano inizialmente localizzati gli oggetti e gli arefatti (ad es. indirizzi fisici su un volume sul dispositivo informatico 102).
[0038] La FIG. 3 illustra un diagramma di flusso del metodo 300 per bloccare un tentativo di eliminare un oggetto sospetto e/o il relativo artefatto. All'operazione 302, l'identificativo dell'oggetto 112 identifica un oggetto sospetto da una pluralità di oggetti nel dispositivo informatico 102. Ad esempio, per ciascun rispettivo oggetto della pluralità di oggetti, l'identificativo dell'oggetto 112 può estrarre una firma digitale del rispettivo oggetto e può determinare se la firma digitale del rispettivo oggetto corrisponde all'eventuale firma digitale affidabile in un elenco di firme digitali consentite. In risposta alla determinazione che non esiste alcuna corrispondenza, l'identificativo dell'oggetto 112 può identificare il rispettivo oggetto come un oggetto sospetto.
[0039] All'operazione 304, l'analizzatore di attività 114 effettua il monitoraggio delle azioni eseguite dall'oggetto sospetto (ad es. utilizzando il filtro per il file system 206 e il filtro di registro 208). All'operazione 306, l'analizzatore di attività 114 intercetta un primo comando da parte dell'oggetto sospetto per creare e/o modificare un artefatto digitale sul dispositivo informatico 102.
[0040] All'operazione 308, l'analizzatore di attività 114 intercetta un secondo comando dall'oggetto sospetto. All'operazione 310, l'analizzatore di attività 114 determina se il secondo comando è di eliminare l'artefatto digitale creato/modificato. In risposta alla determinazione che il secondo comando non è di eliminare l'artefatto digitale creato/modificato, il metodo 300 procede all'operazione 312, dove l'analizzatore di attività 114 determina se il secondo comando è di eliminare l'oggetto sospetto stesso.
[0041] In risposta alla determinazione che il secondo comando non è di eliminare l'oggetto sospetto, il metodo 300 ritorna all'operazione 304, dove l'analizzatore di attività 114 continua a monitorare azioni eseguite dall'oggetto sospetto. Tuttavia, se all'operazione 310, l'analizzatore di attività 114 determina che il secondo comando è di eliminare l'artefatto digitale creato/modificato, o se all'operazione 312 l'analizzatore di attività 114 determina che il secondo comando è di eliminare l'oggetto sospetto, il metodo 300 procede all'operazione 314. Qui, il modulo di prevenzione anti-forense 110 blocca il secondo comando. All'operazione 316, il modulo di prevenzione anti-forense 110 memorizza l'oggetto sospetto e l'artefatto digitale nell'archivio digitale 116.
[0042] La FIG. 4 è un diagramma a blocchi illustrante un sistema informatico 20 su cui possono essere implementate forme di realizzazione di sistemi e metodi per la prevenzione anti-forense. Il sistema informatico 20 può rappresentare il dispositivo informatico 102 e/o il server di backup 104 e può essere sotto forma di dispositivi informatici multipli o sotto forma di un unico dispositivo informatico, ad esempio un computer desktop, un notebook, un laptop, un dispositivo informatico mobile, uno smartphone, un tablet, un server, un mainframe, un dispositivo incorporato e altre forme di dispositivi informatici.
[0043] Come illustrato, il sistema informatico 20 include un'unità di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 che collega i vari componenti del sistema, inclusa la memoria associata all'unità di elaborazione centrale 21. Il bus di sistema 23 può comprendere una memoria bus o un controller della memoria bus, un bus periferico e un bus locale che è in grado di interagire con qualsiasi altra architettura bus. Esempi dei bus possono includere PCI, ISA, PCI-Express, HyperTransport™, InfiniBand™, Serial ATA, I<2>C e altre interconnessioni idonee. L'unità di elaborazione centrale 21 (denominata anche elaboratore) può includere uno o più insiemi di elaboratori dotati di core singoli o multipli. Il elaboratore 21 può eseguire uno o più codici eseguibili da computer, implementando le tecniche della presente divulgazione. Ad esempio, eventuali metodi 200-300 eseguiti tramite modulo di prevenzione anti-forense 110 (ad es. tramite i rispettivi componenti quali identificativo dell'oggetto 112) possono essere eseguiti dal elaboratore 21. La memoria di sistema 22 può essere qualsiasi memoria per l'archiviazione dei dati utilizzati e/o programmi informatici che sono eseguibili dal elaboratore 21. La memoria di sistema 22 può includere memoria volatile come una memoria ad accesso casuale (RAM) 25 e memoria non volatile come la memoria di sola lettura (ROM) 24, memoria flash ecc. o qualsiasi combinazione delle medesime. Il sistema di ingresso/uscita di base (BIOS) 26 può archiviare le procedure di base per il trasferimento di informazioni tra elementi del sistema informatico 20, come quelle al momento del caricamento del sistema operativo con l'utilizzo della ROM 24.
[0044] Il sistema informatico 20 può includere uno o più dispositivi di archiviazione come uno o più dispositivi di archiviazione amovibili 27, uno o più dispositivi di archiviazione non amovibili 28, o una combinazione dei medesimi. Uno o più dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un esempio, i dispositivi di archiviazione e i corrispondenti supporti di archiviazione leggibili da computer sono moduli indipendenti dall'alimentazione elettrica per la memorizzazione di istruzioni del computer, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 possono utilizzare una varietà di supporti di archiviazione leggibili da computer. Esempi di supporti di archiviazione leggibili da computer includono memoria della macchina, come cache, SRAM, DRAM, zero capacitor RAM, twin transistor RAM, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altra tecnologia di memorizzazione come unità a stato solido (SSD) o unità flash; cassette magnetiche, nastro magnetico e archiviazione su disco magnetico come unità di disco rigido o floppy disc; archivio ottico come in compact disc (CD-ROM) o dischi versatili digitali (DVDs); e qualsiasi altro supporto che possa essere utilizzato per archiviare i dati desiderati e a cui sia possibile accedere tramite il sistema informatico 20.
[0045] La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 e i dispositivi di archiviazione non rimovibili 28 del sistema informatico 20 possono essere utilizzati per archiviare un sistema operativo 35, ulteriori applicazioni del programma 37, altri moduli del programma 38 e dati del programma 39. Il sistema informatico 20 può includere un'interfaccia periferica 46 per la comunicazione dei dati da dispositivi di input 40, come tastiera, mouse, stilo, controller di game, dispositivo di immissione vocale, dispositivo di ingresso touch o altri dispositivi periferici, come una stampante o uno scanner tramite una o più porte I/O, come una porta seriale, una porta parallela, un bus seriale universale (USB) o altra interfaccia periferica. Un dispositivo di visualizzazione 47 come uno o più monitor, proiettori o display integrati, possono essere collegati al bus del sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 può essere dotato di altri dispositivi di uscita periferici (non illustrati), quali altoparlanti e altri dispositivi audiovisivi.
[0046] Il sistema informatico 20 può operare in un ambiente di rete, utilizzando un collegamento di rete a uno o più computer remoti 49. Il computer remoto (o i computer remoti) 49 possono essere postazioni di lavoro o server informatici locali, comprendenti la maggior parte o tutti i suddetti elementi nel descrivere la natura di un sistema informatico 20. Altri dispositivi possono inoltre essere presenti nella rete informatica, quali ad esempio, non in modo esaustivo, router, stazioni di rete, dispositivi peer o altri nodi di rete. Il sistema informatico 20 può includere una o più interfacce di rete 51 o adattatori di rete per la comunicazione con i computer remoti 49 tramite una o più reti quali una rete informatica a raggio locale (LAN) 50, una rete informatica ad ampio raggio (WAN), un intranet e Internet. Esempi dell'interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
[0047] Forme di realizzazione della presente divulgazione possono essere un sistema, un metodo e/o un prodotto di programma informatico. Il prodotto di programma informatico può includere un supporto (o più supporti) di archiviazione leggibile da computer, dotato di istruzioni di programma leggibili da computer sul medesimo che porta un elaboratore a eseguire aspetti della presente divulgazione.
[0048] Il supporto di archiviazione leggibile da computer può essere un dispositivo tangibile che può conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un elaboratore di un dispositivo di calcolo, come un sistema informatico 20. Il supporto di archiviazione leggibile dal computer può essere un dispositivo di archiviazione elettronico, un dispositivo di archiviazione magnetico, un dispositivo di archiviazione ottico, un dispositivo di archiviazione elettromagnetico, un dispositivo di archiviazione a semiconduttori oppure qualsiasi combinazione idonea dei medesimi. A titolo esemplificativo, tale supporto di archiviazione leggibile da computer può comprendere una memoria ad accesso casuale (RAM), una memoria di sola lettura (ROM), un EEPROM, una memoria di sola lettura a disco compatto portatile (CD-ROM), un disco digitale versatile (DVD), una memoria flash, un disco rigido, un dischetto per computer portatile, un memory stick o perfino un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in una scanalatura su cui siano registrate istruzioni. Secondo il presente utilizzo, il supporto di archiviazione leggibile dal computer non deve essere inteso come segnali transitori in sé, ad esempio onde radio o altre onde elettromagnetiche a propagazione libera, onde elettromagnetiche propagantisi attraverso una guida d'onda o supporti di trasmissione o segnali elettrici trasmessi via cavo.
[0049] Le istruzioni di programma leggibili da computer qui descritte possono essere scaricate nei rispettivi dispositivi di calcolo da un supporto di memorizzazione leggibile da computer o un computer esterno o un dispositivo di archiviazione esterno tramite una rete, ad esempio Internet, una rete di area locale, una rete ad ampio raggio e/o una rete wireless. La rete può comprendere cavi di trasmissione in rame, fibre ottiche di trasmissione, trasmissione wireless, router, firewall, interruttori, computer gateway e/o server perimetrali. Un'interfaccia di rete in ogni dispositivo di calcolo riceve istruzioni di programma leggibili da computer a partire dalla rete e inoltra le istruzioni di programma leggibili da computer per l'archiviazione in un supporto di archiviazione leggibile da computer all'interno del rispettivo dispositivo di calcolo.
[0050] Le istruzioni di programma leggibili da computer per l'esecuzione di operazioni della presente divulgazione possono essere istruzioni di assemblaggio, architettura dell'insieme delle istruzioni (ISA), istruzioni macchina, istruzioni dipendenti dalla macchina, microcodice, istruzioni firmware, dati sull'impostazione dello stato o un codice sorgente o codice oggetto scritto in qualsiasi combinazione di una o più linguaggi di programmazione, incluso un linguaggio di programmazione orientato all'oggetto e linguaggi di programmazione procedurali convenzionali. Le istruzioni di programma leggibili da computer possono eseguire interamente sul computer dell'utente, in parte sul computer dell'utente sotto forma di pacchetto software stand-alone, in parte sul computer dell'utente e in parte su un computer remoto o interamente sul computer o server remoto. In quest'ultimo scenario, il computer remoto può essere collegato al computer dell'utente tramite qualsiasi tipo di rete, ivi inclusa una LAN o WAN, oppure il collegamento può essere effettuato verso un computer esterno (ad esempio tramite Internet). In alcune forme di realizzazione, la circuitistica elettronica, ivi inclusi, ad esempio, il circuito logico programmabile, gate array programmabili in campo (FPGA) o array logici programmabili (PLA), può eseguire istruzioni leggibili da computer utilizzando informazioni di stato delle istruzioni di programma leggibili da computer per personalizzare il circuito elettronico al fine di eseguire aspetti della presente divulgazione.
[0051] In vari aspetti, i sistemi e i metodi descritti nella presente divulgazione possono essere indirizzati in termini di moduli. Il termine „modulo“ qui utilizzato si riferisce a un dispositivo del mondo reale, un componente o una disposizione di componenti implementati tramite hardware, ad esempio da un circuito integrato specifico per l'applicazione (ASIC) o FPGA, ad esempio, o come combinazione di hardware e software, ad esempio da un sistema a microprocessore e un insieme di istruzioni per implementare la funzionalità del modulo, che (durante l'esecuzione) trasforma il sistema di microprocessore in un dispositivo per scopi specifici. Un modulo può inoltre essere implementato come una combinazione dei due, con determinate funzioni facilitate dal solo hardware e altre funzioni facilitate da una combinazione di hardware e software. In determinate implementazioni, almeno una porzione, e in alcuni casi tutte le porzioni, di un modulo possono essere eseguite sul elaboratore di un sistema informatico. Di conseguenza, ogni modulo può essere realizzato in una varietà di configurazioni idonee e non dovrebbe essere limitato ad alcuna implementazione particolare qui esemplificata.
[0052] Ai fini della chiarezza, non vengono qui divulgate tutte le funzionalità di routine degli aspetti. Sarebbe apprezzato che, nello sviluppo di qualsiasi implementazione effettiva della presente divulgazione, venissero prese numerose decisioni per specifiche implementazioni al fine di ottenere gli obiettivi specifici dello sviluppatore e tali obiettivi specifici varieranno per diverse implementazioni e diversi sviluppatori. Resta inteso che tale sforzo di sviluppo può essere complesso e richiedere tempo ma sarebbe tuttavia un'attività ingegneristica di routine per gli esperti del settore che usufruiscano di questa divulgazione.
[0053] Inoltre, resta inteso che la fraseologia o la terminologia utilizzate in questo contesto sono puramente descrittive e non limitative, per cui la terminologia o fraseologia di cui alle presenti specifiche deve essere interpretata dagli esperti del settore alla luce degli insegnamenti e delle linee guida qui presentate, in combinazione alle conoscenze degli esperti nel rispettivo o nei rispettivi campi. Inoltre, qualunque termine riportato nelle specifiche o nelle rivendicazioni non è da intendersi come attribuibile a un significato insolito o speciale, salvo esplicitamente indicato come tale.
[0054] I vari aspetti qui divulgati comprendono equivalenti noti presenti e futuri ai moduli noti, qui riferiti a titolo illustrativo. Inoltre, sebbene siano stati illustrati e descritti aspetti e applicazioni, risulta evidente agli esperti del settore che hanno il beneficio di consultare la presente divulgazione, che sono possibili molte più modifiche rispetto a quelle citate in precedenza, senza discostarsi dai concetti inventivi qui divulgati.

Claims (14)

1. Un metodo per prevenire azioni anti-forensi, il metodo comprendente: identificare un oggetto sospetto da una pluralità di oggetti su un dispositivo informatico; monitorare azioni eseguite dall'oggetto sospetto, in cui le azioni comprendono comandi e richieste provenienti dall'oggetto sospetto; intercettare un primo comando da parte dell'oggetto sospetto per creare e/o modificare un artefatto digitale sul dispositivo informatico; successivamente all'intercettazione del primo comando, intercettare un secondo comando da parte dell'oggetto sospetto per eliminare almeno un oggetto sospetto e l'artefatto digitale; in risposta all'intercettazione sia del primo comando per creare e/o modificare l'artefatto digitale e il secondo comando per eliminare almeno un oggetto sospetto e l'artefatto digitale: bloccare il secondo comando; e salvare l'oggetto sospetto e l'artefatto digitale in un archivio digitale.
2. Il metodo secondo la rivendicazione 1, comprendente inoltre: salvare contenuti dell'archivio digitale con un backup del sistema e dei dati dell'utente sul dispositivo informatico.
3. Il metodo secondo la rivendicazione 1, comprendente inoltre: salvare rispettive posizioni dell'oggetto sospetto e dell'artefatto digitale nell'archivio digitale.
4. Il metodo secondo la rivendicazione 1, comprendente inoltre: salvare una registrazione di tutte le azioni monitorate dell'oggetto sospetto nell'archivio digitale.
5. Il metodo secondo la rivendicazione 1, in cui l'identificazione dell'oggetto sospetto dalla pluralità di oggetti sul dispositivo informatico comprende: per ogni rispettivo oggetto della pluralità di oggetti: estrarre una firma digitale del rispettivo oggetto; determinare se la firma digitale del rispettivo oggetto corrisponde all'eventuale firma digitale affidabile in un elenco di firme digitali consentite; e in risposta alla determinazione che non esiste alcuna corrispondenza, identificare il rispettivo oggetto come l'oggetto sospetto.
6. Il metodo di cui alla rivendicazione 1, in cui viene identificata una pluralità di oggetti sospetti, comprendente inoltre: il monitoraggio della pluralità di oggetti sospetti per il periodo di tempo di soglia, in cui la pluralità di oggetti sospetti comprende l'oggetto sospetto; identificare un sottoinsieme di oggetti sospetti che non hanno eseguito, nel corso del periodo di tempo di soglia, azioni che degradano le prestazioni del dispositivo informatico o compromettono la privacy dell'utente sul dispositivo informatico; determinare che il sottoinsieme degli oggetti sospetti non contiene oggetti sospetti; e cessare il monitoraggio del sottoinsieme.
7. Il metodo secondo la rivendicazione 1, comprendente inoltre: rilevare che l'artefatto digitale ha creato e/o modificato un altro artefatto digitale sul dispositivo informatico; in risposta all'intercettazione di un terzo comando da parte di un artefatto digitale e dell'altro artefatto digitale eliminare l'oggetto sospetto: bloccare il secondo comando; e salvare l'oggetto sospetto, l'artefatto digitale e l'altro artefatto digitale nell'archivio digitale.
8. Un sistema per prevenire azioni anti-forensi, il sistema comprendente: un elaboratore hardware configurato per: identificare un oggetto sospetto da una pluralità di oggetti su un dispositivo informatico; monitorare azioni eseguite dall'oggetto sospetto, in cui le azioni comprendono comandi e richieste provenienti dall'oggetto sospetto; intercettare un primo comando da parte dell'oggetto sospetto per creare e/o modificare un artefatto digitale sul dispositivo informatico; successivamente all'intercettazione del primo comando, intercettare un secondo comando da parte dell'oggetto sospetto per eliminare almeno un oggetto sospetto e l'artefatto digitale; in risposta all'intercettazione sia del primo comando per creare e/o modificare l'artefatto digitale e il secondo comando per eliminare almeno un oggetto sospetto e l'artefatto digitale: bloccare il secondo comando; e salvare l'oggetto sospetto e l'artefatto digitale in un archivio digitale.
9. Il sistema secondo la rivendicazione 8, in cui il elaboratore hardware è configurato inoltre per: salvare contenuti dell'archivio digitale con un backup del sistema e dei dati dell'utente sul dispositivo informatico.
10. Il sistema secondo la rivendicazione 8, in cui il elaboratore hardware è configurato inoltre per: salvare rispettive posizioni dell'oggetto sospetto e dell'artefatto digitale nell'archivio digitale.
11. Il sistema secondo la rivendicazione 8, in cui il elaboratore hardware è configurato inoltre per: salvare una registrazione di tutte le azioni monitorate dell'oggetto sospetto nell'archivio digitale.
12. Il sistema secondo la rivendicazione 8, in cui il elaboratore hardware è configurato inoltre per identificare l'oggetto sospetto dalla pluralità di oggetti sul dispositivo informatico tramite: per ogni rispettivo oggetto della pluralità di oggetti: estrarre una firma digitale del rispettivo oggetto; determinare il fatto che la firma digitale del rispettivo oggetto corrisponda all'eventuale firma digitale affidabile in un elenco di firme digitali consentite; e in risposta alla determinazione che non esiste alcuna corrispondenza, identificare il rispettivo oggetto come l'oggetto sospetto.
13. Il sistema secondo la rivendicazione 8, in cui viene identificata una pluralità di oggetti sospetti e in cui il elaboratore hardware è configurato inoltre per: monitorare la pluralità di oggetti sospetti per il periodo di tempo di soglia, in cui la pluralità di oggetti sospetti comprende l'oggetto sospetto; identificare un sottoinsieme di oggetti sospetti che non hanno eseguito, nel corso del periodo di tempo di soglia, azioni che degradano le prestazioni del dispositivo informatico o compromettono la privacy dell'utente sul dispositivo informatico; determinare che il sottoinsieme degli oggetti sospetti non contiene oggetti sospetti; e cessare il monitoraggio del sottoinsieme.
14. Il sistema secondo la rivendicazione 8, in cui il elaboratore hardware è configurato inoltre per: rilevare che l'artefatto digitale ha creato e/o modificato un altro artefatto digitale sul dispositivo informatico; in risposta all'intercettazione di un terzo comando da parte di un artefatto digitale e dell'altro artefatto digitale eliminare l'oggetto sospetto: bloccare il terzo comando; e salvare l'oggetto sospetto, l'artefatto digitale e l'altro artefatto digitale nell'archivio digitale.
CH001070/2020A 2019-10-01 2020-08-31 Metodo per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi. CH716699B1 (it)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US201962908742P 2019-10-01 2019-10-01
US17/005,478 US11636204B2 (en) 2019-10-01 2020-08-28 Systems and methods for countering removal of digital forensics information by malicious software

Publications (2)

Publication Number Publication Date
CH716699A2 true CH716699A2 (it) 2021-04-15
CH716699B1 CH716699B1 (it) 2024-03-15

Family

ID=72292453

Family Applications (1)

Application Number Title Priority Date Filing Date
CH001070/2020A CH716699B1 (it) 2019-10-01 2020-08-31 Metodo per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.

Country Status (5)

Country Link
US (1) US11636204B2 (it)
EP (1) EP3800567B1 (it)
JP (1) JP7353251B2 (it)
CH (1) CH716699B1 (it)
ES (1) ES2946359T3 (it)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114095249A (zh) * 2021-11-18 2022-02-25 安天科技集团股份有限公司 一种恶意攻击的防御方法、装置、电子设备及存储介质

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011145945A (ja) 2010-01-15 2011-07-28 Panasonic Corp マルウェア検出装置及びマルウェア検出方法
US10574630B2 (en) 2011-02-15 2020-02-25 Webroot Inc. Methods and apparatus for malware threat research
US9043903B2 (en) 2012-06-08 2015-05-26 Crowdstrike, Inc. Kernel-level security agent
US9448859B2 (en) * 2013-09-17 2016-09-20 Qualcomm Incorporated Exploiting hot application programming interfaces (APIs) and action patterns for efficient storage of API logs on mobile devices for behavioral analysis
RU2606559C1 (ru) 2015-10-22 2017-01-10 Акционерное общество "Лаборатория Касперского" Система и способ оптимизации антивирусной проверки файлов
TWI656453B (zh) 2016-11-22 2019-04-11 財團法人資訊工業策進會 檢測系統及檢測方法
JP2019008503A (ja) 2017-06-23 2019-01-17 杉中 順子 情報処理監視装置、情報処理監視方法、プログラム、記録媒体及び情報処理装置
US10616411B1 (en) * 2017-08-21 2020-04-07 Wells Fargo Bank, N.A. System and method for intelligent call interception and fraud detecting audio assistant
WO2019160427A1 (en) * 2018-02-13 2019-08-22 Craig Rowland Computer investigation method and system
US11113388B2 (en) * 2018-07-31 2021-09-07 National Technology & Engineering Solutions Of Sandia, Llc Cloud forensics and incident response platform

Also Published As

Publication number Publication date
JP2021064358A (ja) 2021-04-22
JP7353251B2 (ja) 2023-09-29
EP3800567A1 (en) 2021-04-07
ES2946359T3 (es) 2023-07-17
US11636204B2 (en) 2023-04-25
CH716699B1 (it) 2024-03-15
US20210097182A1 (en) 2021-04-01
EP3800567B1 (en) 2023-03-01

Similar Documents

Publication Publication Date Title
US11244047B2 (en) Intelligent backup and versioning
Case et al. Memory forensics: The path forward
US9256739B1 (en) Systems and methods for using event-correlation graphs to generate remediation procedures
JP6196393B2 (ja) プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法
US9202057B2 (en) Systems and methods for identifying private keys that have been compromised
US10176329B2 (en) Systems and methods for detecting unknown vulnerabilities in computing processes
EP3410335A1 (en) Automated code lockdown to reduce attack surface for software
US11263295B2 (en) Systems and methods for intrusion detection and prevention using software patching and honeypots
US9065849B1 (en) Systems and methods for determining trustworthiness of software programs
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US9894085B1 (en) Systems and methods for categorizing processes as malicious
RU2667052C2 (ru) Обнаружение вредоносного программного обеспечения с перекрестным обзором
US11477232B2 (en) Method and system for antivirus scanning of backup data at a centralized storage
US9652615B1 (en) Systems and methods for analyzing suspected malware
US10262131B2 (en) Systems and methods for obtaining information about security threats on endpoint devices
US9489513B1 (en) Systems and methods for securing computing devices against imposter processes
US9519780B1 (en) Systems and methods for identifying malware
CH716699A2 (it) Sistemi e metodi per contrastare la rimozione di informazioni di scienza digitale forense da parte di software dannosi.
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
US9659176B1 (en) Systems and methods for generating repair scripts that facilitate remediation of malware side-effects
CN110659478A (zh) 在隔离的环境中检测阻止分析的恶意文件的方法
US10546125B1 (en) Systems and methods for detecting malware using static analysis
US20210019409A1 (en) System and method for identifying system files to be checked for malware using a remote service
JP7404223B2 (ja) 不正なメモリダンプ改変を防ぐシステムおよび方法
Hovmark et al. Towards Extending Probabilistic Attack Graphs with Forensic Evidence: An investigation of property list files in macOS

Legal Events

Date Code Title Description
PK Correction

Free format text: MODIFICA DEL REGISTRO ESAME RELATIVE AL CONTENUTO