CN101231683A - 用于计算机系统的安全数据处理方法 - Google Patents
用于计算机系统的安全数据处理方法 Download PDFInfo
- Publication number
- CN101231683A CN101231683A CN200710306265.4A CN200710306265A CN101231683A CN 101231683 A CN101231683 A CN 101231683A CN 200710306265 A CN200710306265 A CN 200710306265A CN 101231683 A CN101231683 A CN 101231683A
- Authority
- CN
- China
- Prior art keywords
- operating system
- file
- user
- virtual
- secure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种在具有对用户不可见的高级或协同工作的安全操作系统的计算机系统中进行安全数据的处理方法。安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的虚拟机(VM),在所述虚拟机上能够执行对用户而言可见的和可用的用户操作系统,所述虚拟机具有至少一个带有用户操作系统的文件系统的虚拟海量存储器,或者所述安全操作系统被封装在第一个虚拟机中,而在第二虚拟机中执行对用户而言可见和可用的、而且配备有带有文件系统的至少一个虚拟海量存储器的用户操作系统。安全操作系统不能被用户或计算机程序应用所操纵,尤其是不能被有害的文件所操纵。用户操作系统的文件系统被读入并提供给在安全操作系统上执行的分析进程。用户操作系统对虚拟海量存储器中的数据块的读取访问被截取并被传递给分析进程,所述分析进程将数据块分配到一个文件并确定属于该文件的所有数据块。分析进程控制在安全操作系统上执行的测试进程以检测有害文件。
Description
本发明涉及一种在计算机系统上进行安全数据处理的方法。由已知的用户操作系统操作的计算机系统正在越来越多地受到malware病毒的攻击。诸如计算机病毒、蠕虫病毒和木马病毒的malware通常不被用户所注意地驻留在操作系统中并控制操作系统。例如,取决于malware病毒的类型,能够偷取秘密数据,并破坏文件。Malware病毒能够通过电子邮件、下载数据或外部海量存储设备,例如USB记忆棒,进入到计算机系统中。Malware病毒在受到攻击的计算机中产生附加文件或作为附加程序代码附在已存在的文件上。当这样的经过修改的文件被检索到时,malware病毒变得活跃,并且例如通过破坏其它文件实现自身复制。在计算机系统中安装反病毒程序作为应对措施。然而,这种保护软件会被技术上经验丰富的用户关闭,不过特别是通过适当的malware病毒自身关闭,保护软件可能会被操纵和绕过,从而使计算机暴露在malware病毒的攻击之下或由于malware病毒而失去保护。
从实践中可以得知,在高级操作系统中提供了虚拟机,在该虚拟机上用户操作系统作为计算机程序应用被执行。当高级操作系统借助不能够访问受保护的存储区域的用户操作系统来保护的时候,用户操作系统自身的保护通过常规的反病毒程序来实现仍然是不够的。
此外,从专利文献EP880743B1中可知,为修复已被病毒感染的计算机文件,在用户操作系统中插入虚拟机作为封装的计算机应用程序。被病毒感染的计算机文件在虚拟机上执行,由此病毒被激活。通过为用户操作系统无危险地激活病毒,病毒能够被解码,随后从主文件中被删除。
本发明的目的在于提供一种在具有用户操作系统的计算机系统上进行数据处理期间,免受malware病毒攻击、增强系统安全的方法。
根据本发明,通过一种用于在具有高级的或协同工作的安全操作系统的计算机系统上安全处理数据的方法能够实现上述目的,对于用户而言该安全操作系统是不可见的。其中,该安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的的虚拟机(VM),在所述虚拟机上能够执行对用户而言可见的和可用的用户操作系统,所述虚拟机中有至少一个虚拟海量存储器,该存储器中存有用户操作系统的文件系统,或者其中所述安全操作系统被封装在第一个虚拟机中,在第二虚拟机中执行配备有在其中存有文件系统的至少一个海量存储器、并且对于用户可见的和可用的用户操作系统,其中所述安全操作系统不能被用户或计算机应用程序所操纵,尤其是不能被malware病毒所操纵,其中用户操作系统的文件系统被读入并提供给在安全操作系统上执行的分析进程,其中用户操作系统对虚拟海量存储器中的数据块的读取访问被截取并被传递给分析进程,所述分析进程将数据块分配给一个文件并确定属于该文件的所有数据块,并且其中所述分析进程控制在安全操作系统(扫描引擎)中执行的测试进程以检测有害文件。
在这里及后面的描述中,有害文件指的是malware病毒和/或被malware病毒修改的文件和/或由malware病毒产生的文件。关于第二虚拟机的具体实例,本发明假设新技术允许包括反病毒服务本身的安全操作系统在第二虚拟机中被具体化(externalised),并从第二虚拟机访问在第一虚拟机中的用户操作系统的虚拟硬盘。
根据本发明,分析进程和测试进程作为反病毒系统的组成部分从用户操作系统中被具体化到独立于用户操作系统的、不可见和不可访问的安全操作系统(安全外壳)中。用户操作系统能够像通常一样被操作。用户操作系统和安全操作系统的选择在本发明的范围之内不受限。例如,Windows操作系统在世界范围内通用并被用户所熟知,它适合于作为用户操作系统,由此根据本发明的方法通过在用户操作系统中实现的安全设备以抵御malware病毒和有害文件的攻击,能够保证较高的安全程度。当启动系统时,安全外壳先于用户操作系统被启动,随后用户操作系统像通常一样被启动,然而根据本发明,分析进程、测试进程和其他可选提供的安全服务都是在安金操作系统中隐藏执行的并防止被篡改。通过在虚拟机上执行用户操作系统,由在通常不同种类的基础结构中多个用户操作系统的管理更加均匀化,并被明显简化。Unix或Linux操作系统特别适合作为安全操作系统,因为这些操作系统能够根据各自的需求被配置,从安全技术的观点来看这种配置方式有着更少的弱点,并能够更好地小型化和强化,以应对来自malware病毒的可能的攻击。
根据本发明的用于安全数据处理的方法通常是在安全操作系统中实现的综合安全环境的组成部分。安全环境中的其它服务例如可以是硬盘加密、虚拟硬盘的备份、用于诸如USB设备的访问限制、对来自用户操作系统和到用户操作系统的网络通信的限制,其中用户操作系统也可以受到来自于安全操作系统操作的保护。这些服务的配置与本发明所述方法相结合,通常是通过中央管理系统实现的。
在本发明所述方法的一个优选实例的范围内,提供了创建数据结构,该数据结构将虚拟海量存储器的扇区与位于其中的文件链接起来,因此在引导到一个文件的所有文件块的扇区方向中能够实现有效的分配。另外,为每个文件提供了一个状态变量。通过将文件链接到一个已分配的状态变量,能够避免在用户操作系统对虚拟海量存储器中的数据块进行读取访问期间必须总是检查所请求的文件以发现可能被损坏的状态。借助于该数据结构,在虚拟海量存储器中已经由测试进程检测有害文件并且已经被识别为无害的文件被赋予第一状态变量(clean),而尚未被检查的文件或已经被用户操作系统修改的文件被赋予第二状态变量(dirty)。如果分析进程确定对虚拟海量存储器的一个赋予了状态变量clean的文件进行访问,那么其可以被提供给用户操作系统而不需要被重新测试,由此可以实现与对所有请求的文件进行无差别检查相比显著增加的数据吞吐量。由于只有被赋予了状态变量dirty的文件需要通过测试进程(扫描引擎)对可能的损坏状态进行检查,仅有的微小的时间延迟几乎不会被用户察觉到,以这种方式本发明所述方法的效率得以提高。总的来说,作为高数据吞吐量的结果,在用户操作系统和安全操作系统之间的同步问题能够在很大程度上被避免。这在本发明所涉及的在用户操作系统的读取访问(常驻扫描)期间为检查有害文件而读取数据的范围之内。合理的是,根据本发明的方法的范围内没有提供对于病毒的数据流的检查。
当被识别为有害文件的文件通过测试进程被定位时,有各种各样的处理选择方式,这些处理选择方式可以根据计算机系统操作者的安全原则来选择。应该注意到,有害的、被病毒感染的文件不能够被简单地删除,因为在这种情况下认为用户操作系统所含有的文件系统与虚拟硬盘上提供的实际数据结构不一定相一致。删除会导致将数据块错误地分配给各个文件,这会引发错误或用户操作系统的完全崩溃。因此在根据本发明的方法的范围内,通常不会删除有害文件,而是对其进行改写操作,从而使其不可用,因此用户操作系统对这样的文件的读取访问被拒绝。在本发明的范围内,也可以采用将有害文件复制到安全操作系统的安全存储区域中的方式,使得由malware病毒所发起的攻击可以被存档和分析。对于用户操作系统的每一次写访问,相关的扇区被记录并被传递给分析进程,在分析进程中给相关的文件赋予状态变量dirty。
除了所述的读取访问(常驻扫描)的监控外,由安全操作系统创建的虚拟硬盘或它的映像可以被检查,以发现来自malware病毒的可能的攻击(全扫描)。虚拟硬盘可以在用户操作系统的下载期间或用户操作系统的运行期间产生。在用户操作系统运行期间对虚拟硬盘的完全检查是不利的,因为数据结构作为写访问的结果将被持续改变,因而可能会出现同步问题。应该注意到,在已知的用户操作系统中,通常将准备就绪的文件,特别是系统文件,在相当长的时间内保存在高速缓冲存储器中,并且以长时间间隔仅对虚拟海量存储器进行写操作。
在根据本发明的方法的另一个具有优点的改进中,虚拟硬盘由用户操作系统的未激活状态下的测试进程进行检查。有利的是,在用户操作系统下载期间生成映像,因为如果没有发现有害文件,则当重新启动用户操作系统时,可以有很高的确定性认为虚拟海量存储器中没有有害文件。缺点是用户操作系统在虚拟硬盘被检查的期间不能被使用。
在本发明所述方法的另一个作为替代的改进中,在用户操作系统运行期间由测试进程检查虚拟硬盘的映像。例如,在用户操作系统运行期间或用户操作系统先前的下载期间,所述映像已经被创建。随后,该映像在用户操作系统运行期间被检查,而没有实质上相反的影响,尤其是由于所述检查能够以比计算机系统的处理器加载更低的优先级被执行,所以当有足够的预留容量可用时,只执行检查。如果上述操作在映像不包含有害文件的检查期间被建立,那么整个映像可以被赋予状态变量clean。特别是,也可以使更老的备份映像准备就绪,在对实际映像进行检查之后,如果实际映像没有感染病毒,所述备用映像被删除,并由实际映像来替代。应该注意到,在检查期间用户操作系统所访问的备份映像、实际映像和虚拟海量存储器整体上需要大量的存储器需求。
如果在虚拟硬盘检查期间发现了有害文件,则会触发适当的警告以通知计算机系统的用户或管理员。为了消除malware病毒,较旧的、状态变量为clean的虚拟硬盘映像可以被恢复,受病毒感染的文件可以被删除或复制到安全操作系统的安全存储区域中,在所述安全存储区域中状态变量为clean的映像作为干净的备份被保存。应该注意到,当备份随后被回放时,已删除的文件最初是不可用的。此外,虚拟硬盘可以被修复,由此在硬盘上的或在虚拟硬盘的映像上的有害文件由相应的未被损害的文件所替代,尤其是由来自较旧的映像或来自参考映像的文件所替代。可选的是,在虚拟硬盘上的或在虚拟硬盘的映像上的有害文件能够通过改写使其首先变得不可用,在这种情况下,相应的未被损害的文件随后由用户或管理员手动添加。
本发明基于下述发现,即从用户操作系统(特别是Windows)中删除所有核心安全组件并在受到保护免于操纵的安全操作系统中实现所述核心安全组件是有利的。用户与安全操作系统之间断开连接是通过虚拟层来实现的。这意味着用户操作系统被置于虚拟计算机上,而不是置于真实的硬件上,并且所述用户操作系统通过安全操作系统的功能受到保护和监控。安全操作本身通过综合的措施被适当地保护以防止非授权访问。本发明的主题具体来说就是所谓“虚拟常驻扫描”。在Windows下,用常设的病毒检查代替常用的桌面病毒扫描器,所述常设病毒检查受到保护以防止malware病毒的攻击,并在安全操作系统中对于最终用户不可见地被执行。在这种情况下,虚拟机和安全组件必须有效地协同工作,彼此之间保持同步。在本发明的范围内,病毒扫描器在NTFS文件系统之上不再作为Windows应用程序被定位,而是作为逻辑上位于NTFS文件系统和虚拟硬盘之间的安全操作系统的应用程序而受到保护。为了使病毒扫描仍能够被有效地执行,虚拟机传递有关虚拟硬盘的已受病毒感染的读取扇区的附加信息。同样在本发明的范围内,使用了智能高速缓冲方法来判断能够识别文件的病毒感染所需的最小的数据块。在积极查找的情况下,用于进一步处理病毒感染文件的各种策略都是可行的。
在下文中将参考附图用一个例子来解释本发明。在图中:
图1示出了用于执行根据本发明的方法的计算机系统的完整结构的示意图,
图2示出了根据本发明的方法的基本操作模式,
图3示出了根据本发明的读取访问监控的体系结构,
图4是用于执行根据本发明的方法的方框图。
图1示出了用于执行本发明的方法的计算机系统的总体完整体系结构。计算机系统包括带有网络连接12、USB接口14和串行接口16的硬件10。安全操作系统S在计算机系统上运行,所述安全操作系统通过虚拟机管理器VMM提供了作为计算机应用程序的虚拟机VM以及虚拟接口22,24,26,其中用户操作系统N,例如Windows操作系统,在虚拟机VM上执行。用户操作系统N被封装,从而使得安全操作系统S不能通过用户操作系统N来操纵。用于安全操作系统S和各种安全服务的外部控制的管理代理服务器30在安全操作系统上执行。安全服务包括分析进程32、用于检测有害文件的测试进程34和用于创建虚拟机VM的虚拟海量存储器38的映像的服务36。
图2示出了根据本发明的方法的一个具体实施例,其中Windows操作系统作为用户操作系统N在虚拟机VM上被执行。如往常一样,不同的数据处理应用程序40,42在用户操作系统N中由用户执行。用户操作系统N对NTFS文件系统50的读取访问通过其自身的具有NTFS文件系统驱动程序52的Windows内核程序进行。这些读取访问被虚拟机管理器VMM所截取,并被传递给分析进程32,所述分析进程32在对用户操作系统N中使用扇区信息54的文件进行读取访问的范围内分配所需要的数据块,并确定属于该文件的所有数据块。分析进程32控制测试进程34(扫描引擎)用于检测有害文件,其中所请求的文件的检查根据需要被触发。如果被请求的文件没有感染病毒,那么所述虚拟机管理器VMM就使能对虚拟海量存储器38的访问。
图3示出了读取进程控制体系结构。在虚拟机VM上执行的用户操作系统N的读取进程被虚拟机管理器VMM所截取,并被传递给分析进程32。使用数据结构56将虚拟海量存储器38的数据块与位于其中的文件链接起来,并将这些文件与状态变量链接起来,判断所请求的文件是否要通过测试进程34(扫描引擎)进行险查。在数据结构56中,状态值clean或dirty针对每个文件被保持,其中分配有状态值clean的文件不通过测试进程34进行险查,而其中分析进程32允许通过虚拟机管理器VMM对读取访问进行授权。如果文件的状态值为dirty,则该文件由测试进程34(扫描引擎)进行检查。如果文件没有被破坏,那么所分配的状态值就设置为clean并允许对该文件进行读取访问。如果被检测的文件已经被malware病毒操纵,该文件将被改写,分析进程32拒绝用户操作系统N的读取访问。
图4是示出在对用户操作系统N的读取访问进行临控期间,根据本发明的方法顺序的方框图。用户操作系统N对虚拟海量存储器中的数据块的读取请求100被截取,并且确定110属于该数据块的文件和属于该文件的所有其他数据块。然后检查120分配给该文件的状态值。如果该文件被分配了状态值“clean”,则允许读取访问200,并处理用户操作系统N对读取访问的下一个请求100。如果该文件的状态值为“dirty”,则扫描引擎扫描130该文件的所有文件块。如果在步骤140没有发现病毒,则将该文件的状态值设置为“clean”150,随后允许读取访问200。如果确定该文件是有害的,那么所分配的数据块被改写,其中可以可选地预先提供该文件在安全操作系统的第一存储区域中的复制153。在对文件的数据块进行改写160之后,将所分配的状态值设置为“clean”170,并向用户或管理员发出警告消息180。最后,在处理用户操作系统N对读取访问的下一个请求100之前,最终拒绝该读取访问210。
Claims (10)
1.一种在具有对用户不可见的高级或协同工作的安全操作系统的计算机系统上进行安全数据处理的方法,
其中所述安全操作系统作为计算机应用程序提供了带有虚拟计算机硬件的虚拟机(VM),在所述虚拟机上可执行对用户而言可见的和可用的用户操作系统,并且所述虚拟机具有至少一个带有用户操作系统的文件系统的虚拟海量存储器,或者其中所述安全操作系统被封装在第一虚拟机中,而在第二虚拟机中执行对用户而言可见的和可用的、而且配备有带有文件系统的至少一个虚拟海量存储器的用户操作系统,
其中所述安全操作系统不能被用户或计算机应用程序所操纵,尤其是不能被malware病毒所操纵,
其中所述用户操作系统的文件系统被读入并提供给在所述安全操作系统上执行的分析进程,
其中所述用户操作系统对虚拟海量存储器中的数据块(扇区)的读取访问被截取并被传递给分析进程,所述分析进程将该数据块分配给一个文件并确定属于该文件的所有数据块,并且
其中所述分析进程控制在所述安全操作系统(扫描引擎)上执行的测试进程以检测有害文件。
2.如权利要求1所述的方法,其中创建一个数据结构,所述数据结构将虚拟海量存储器的扇区与位于其中的文件链接起来,并将每个文件与一个状态变量链接起来。
3.如权利要求2所述的方法,其中在虚拟海量存储器中的已经由测试进程进行检查以检测有害文件并且已经被识别为无害的文件被赋予第一状态变量(clean),而尚未被检查的文件或已经被用户操作系统修改过的文件被赋予第二状态变量(dirty)。
4.如权利要求1至3任一项所述的方法,其中被测试进程识别为有害文件的文件被复制到安全操作系统的安全存储区域中。
5.如权利要求1至4任一项所述的方法,其中被测试进程识别为有害文件的文件被改写,从而使其变得不可用,并且其中用户操作系统对该文件的读取访问被拒绝。
6.如权利要求1至5任一项所述的方法,其中所述安全操作系统创建虚拟硬盘的映像(存储器映像)。
7.如权利要求6所述的方法,其中虚拟硬盘在用户操作系统未被激活的状态下由测试进程进行检查。
8.如权利要求6所述的方法,其中虚拟硬盘的映像在用户操作系统运行期间由检测进程进行检查。
9.如权利要求7或8所述的方法,其中虚拟硬盘的有害文件或虚拟硬盘的映像的有害文件由相应的未被损坏的文件所替代。
10.如权利要求7或8所述的方法,其中虚拟硬盘的有害文件或虚拟硬盘的映像的有害文件首先通过改写使其变得不可用,随后由相应的未被损坏的文件手动替代。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP06025684A EP1933248A1 (de) | 2006-12-12 | 2006-12-12 | Verfahren zur sicheren Datenverarbeitung auf einem Computersystem |
EP06025684.9 | 2006-12-12 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101231683A true CN101231683A (zh) | 2008-07-30 |
Family
ID=38161932
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200710306265.4A Pending CN101231683A (zh) | 2006-12-12 | 2007-12-12 | 用于计算机系统的安全数据处理方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20080178290A1 (zh) |
EP (1) | EP1933248A1 (zh) |
JP (1) | JP2008152776A (zh) |
CN (1) | CN101231683A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102004886A (zh) * | 2010-11-15 | 2011-04-06 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据防泄漏方法 |
CN101645119B (zh) * | 2008-08-07 | 2012-05-23 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
CN104298918A (zh) * | 2014-09-12 | 2015-01-21 | 北京云巢动脉科技有限公司 | 一种在虚拟机中基于数据块的病毒扫描方法和系统 |
CN104766006A (zh) * | 2015-03-18 | 2015-07-08 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
CN105144187A (zh) * | 2013-02-10 | 2015-12-09 | 配拨股份有限公司 | 提供预测的安全产品以及评分现有安全产品的方法与产品 |
US10152591B2 (en) | 2013-02-10 | 2018-12-11 | Paypal, Inc. | Protecting against malware variants using reconstructed code of malware |
CN110192195A (zh) * | 2017-01-25 | 2019-08-30 | 微软技术许可有限责任公司 | 通过任何数据通道的安全数据访问 |
Families Citing this family (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9100319B2 (en) | 2007-08-10 | 2015-08-04 | Fortinet, Inc. | Context-aware pattern matching accelerator |
US7797748B2 (en) * | 2007-12-12 | 2010-09-14 | Vmware, Inc. | On-access anti-virus mechanism for virtual machine architecture |
JP5166169B2 (ja) * | 2008-08-27 | 2013-03-21 | 株式会社日立製作所 | ハイパバイザを有する計算機システム |
US8132168B2 (en) * | 2008-12-23 | 2012-03-06 | Citrix Systems, Inc. | Systems and methods for optimizing a process of determining a location of data identified by a virtual hard drive address |
US9177145B2 (en) * | 2009-03-24 | 2015-11-03 | Sophos Limited | Modified file tracking on virtual machines |
JPWO2010140222A1 (ja) * | 2009-06-02 | 2012-11-15 | 富士通株式会社 | 情報処理システム、管理装置および情報処理方法 |
US8640241B2 (en) * | 2009-11-16 | 2014-01-28 | Quatum Corporation | Data identification system |
US9069596B2 (en) * | 2009-11-17 | 2015-06-30 | International Business Machines Corporation | Hypervisor file system |
US9529689B2 (en) | 2009-11-30 | 2016-12-27 | Red Hat, Inc. | Monitoring cloud computing environments |
JP5140062B2 (ja) * | 2009-12-11 | 2013-02-06 | 株式会社日立製作所 | 仮想化環境におけるセキュリティ管理方法、仮想サーバ管理システム、および管理サーバ |
US8499304B2 (en) * | 2009-12-15 | 2013-07-30 | At&T Mobility Ii Llc | Multiple mode mobile device |
US8667191B2 (en) * | 2010-01-15 | 2014-03-04 | Kingston Technology Corporation | Managing and indentifying multiple memory storage devices |
JP5573216B2 (ja) * | 2010-02-17 | 2014-08-20 | 富士通株式会社 | ファイル検疫装置およびファイル検疫方法 |
US9015706B2 (en) * | 2010-07-08 | 2015-04-21 | Symantec Corporation | Techniques for interaction with a guest virtual machine |
CN101964035A (zh) * | 2010-10-11 | 2011-02-02 | 深圳创维-Rgb电子有限公司 | 一种Linux操作系统文件安全系统及电子设备 |
US8839245B1 (en) * | 2012-06-18 | 2014-09-16 | Bromium, Inc. | Transferring files using a virtualized application |
CN102855431B (zh) * | 2011-06-27 | 2015-08-05 | 奇智软件(北京)有限公司 | 一种文件解锁、粉碎的方法及装置 |
CN102855433B (zh) * | 2011-06-27 | 2016-03-30 | 北京奇虎科技有限公司 | 一种文件解锁的方法及装置 |
JP5494727B2 (ja) * | 2012-05-25 | 2014-05-21 | 横河電機株式会社 | 通信装置 |
US11023088B2 (en) | 2012-06-18 | 2021-06-01 | Hewlett-Packard Development Company, L.P. | Composing the display of a virtualized web browser |
EP3074908A1 (fr) * | 2013-11-27 | 2016-10-05 | Occterra | Procede de virtualisation d'un poste de travail |
US9600664B1 (en) * | 2014-09-03 | 2017-03-21 | Amazon Technologies, Inc. | Monitoring execution environments for approved configurations |
JP2014225302A (ja) * | 2014-09-08 | 2014-12-04 | 富士通株式会社 | ウイルス検出プログラム、ウイルス検出方法、及びコンピュータ |
US10042947B2 (en) * | 2014-10-30 | 2018-08-07 | Sunasic Technologies, Inc. | Read-only method and system for operating portable devices |
US9858418B2 (en) * | 2015-05-29 | 2018-01-02 | International Business Machines Corporation | Reducing delays associated with restoring quarantined files |
US11636021B2 (en) * | 2017-05-09 | 2023-04-25 | Vmware, Inc. | Preserving system integrity using file manifests |
US10976959B2 (en) * | 2018-07-23 | 2021-04-13 | EMC IP Holding Company LLC | Method and system for accessing virtual machine state while virtual machine restoration is underway |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6067410A (en) * | 1996-02-09 | 2000-05-23 | Symantec Corporation | Emulation repair system |
JP2001067216A (ja) * | 1999-08-30 | 2001-03-16 | Hiroshi Yoshida | コンピュータ・ウイルス防衛除去の為の論理方式及び同システム |
JP2002023964A (ja) * | 2000-07-10 | 2002-01-25 | Rikogaku Shinkokai | コンピュータ・システムにおける記録媒体に記憶された情報の制御方法 |
US7340774B2 (en) * | 2001-10-15 | 2008-03-04 | Mcafee, Inc. | Malware scanning as a low priority task |
JP2004013607A (ja) * | 2002-06-07 | 2004-01-15 | Hitachi Ltd | ファイル監視装置 |
US7587765B2 (en) * | 2003-12-23 | 2009-09-08 | International Business Machines Corporation | Automatic virus fix |
US20050273858A1 (en) * | 2004-06-07 | 2005-12-08 | Erez Zadok | Stackable file systems and methods thereof |
JP4050253B2 (ja) * | 2004-06-22 | 2008-02-20 | 株式会社ラック | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム |
US7908653B2 (en) * | 2004-06-29 | 2011-03-15 | Intel Corporation | Method of improving computer security through sandboxing |
GB0418066D0 (en) * | 2004-08-13 | 2004-09-15 | Ibm | A prioritization system |
KR101201118B1 (ko) * | 2004-11-08 | 2012-11-13 | 마이크로소프트 코포레이션 | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 |
US7765544B2 (en) * | 2004-12-17 | 2010-07-27 | Intel Corporation | Method, apparatus and system for improving security in a virtual machine host |
US7409719B2 (en) * | 2004-12-21 | 2008-08-05 | Microsoft Corporation | Computer security management, such as in a virtual machine or hardened operating system |
JP2006195702A (ja) * | 2005-01-13 | 2006-07-27 | Hitachi Ltd | データ処理システム及び方法 |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
US20070234337A1 (en) * | 2006-03-31 | 2007-10-04 | Prowess Consulting, Llc | System and method for sanitizing a computer program |
-
2006
- 2006-12-12 EP EP06025684A patent/EP1933248A1/de not_active Ceased
-
2007
- 2007-12-11 JP JP2007319388A patent/JP2008152776A/ja active Pending
- 2007-12-11 US US12/001,471 patent/US20080178290A1/en not_active Abandoned
- 2007-12-12 CN CN200710306265.4A patent/CN101231683A/zh active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101645119B (zh) * | 2008-08-07 | 2012-05-23 | 中国科学院软件研究所 | 一种基于虚拟硬件环境的恶意代码自动分析方法及系统 |
CN102004886A (zh) * | 2010-11-15 | 2011-04-06 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据防泄漏方法 |
CN102004886B (zh) * | 2010-11-15 | 2012-07-25 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据防泄漏方法 |
US10152591B2 (en) | 2013-02-10 | 2018-12-11 | Paypal, Inc. | Protecting against malware variants using reconstructed code of malware |
CN105144187A (zh) * | 2013-02-10 | 2015-12-09 | 配拨股份有限公司 | 提供预测的安全产品以及评分现有安全产品的方法与产品 |
US9838406B2 (en) | 2013-02-10 | 2017-12-05 | Paypal, Inc. | Method and product for providing a predictive security product and evaluating existing security products |
US10110619B2 (en) | 2013-02-10 | 2018-10-23 | Paypal, Inc. | Method and product for providing a predictive security product and evaluating existing security products |
CN105144187B (zh) * | 2013-02-10 | 2019-01-22 | 配拨股份有限公司 | 提供预测的安全产品以及评分现有安全产品的方法与产品 |
CN104298918B (zh) * | 2014-09-12 | 2018-08-21 | 北京云巢动脉科技有限公司 | 一种在虚拟机中基于数据块的病毒扫描方法和系统 |
CN104298918A (zh) * | 2014-09-12 | 2015-01-21 | 北京云巢动脉科技有限公司 | 一种在虚拟机中基于数据块的病毒扫描方法和系统 |
CN104766006A (zh) * | 2015-03-18 | 2015-07-08 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
CN104766006B (zh) * | 2015-03-18 | 2019-03-12 | 百度在线网络技术(北京)有限公司 | 一种确定危险文件所对应的行为信息的方法和装置 |
CN110192195A (zh) * | 2017-01-25 | 2019-08-30 | 微软技术许可有限责任公司 | 通过任何数据通道的安全数据访问 |
CN110192195B (zh) * | 2017-01-25 | 2023-10-24 | 微软技术许可有限责任公司 | 用于安全数据访问的系统、方法和计算机存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP2008152776A (ja) | 2008-07-03 |
EP1933248A1 (de) | 2008-06-18 |
US20080178290A1 (en) | 2008-07-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101231683A (zh) | 用于计算机系统的安全数据处理方法 | |
USRE44131E1 (en) | Storage device having function for coping with computer virus | |
US7346781B2 (en) | Initiating execution of a computer program from an encrypted version of a computer program | |
US10956184B2 (en) | On-demand disposable virtual work system | |
TWI387923B (zh) | 用於在一例如虛擬機器或固化作業系統內管理電腦安全的方法及系統 | |
KR100368947B1 (ko) | 실행 모듈 및 이에 연관된 보호 서비스 제공자 모듈의 무결성 검사 | |
US9317686B1 (en) | File backup to combat ransomware | |
US8239947B1 (en) | Method using kernel mode assistance for the detection and removal of threats which are actively preventing detection and removal from a running system | |
US7665139B1 (en) | Method and apparatus to detect and prevent malicious changes to tokens | |
Shukla et al. | Poster: Locally virtualized environment for mitigating ransomware threat | |
US20080244747A1 (en) | Network context triggers for activating virtualized computer applications | |
KR101054981B1 (ko) | 프로그램의 콘텍스트를 보안적으로 저장하는 컴퓨터 구현 방법, 정보 처리 시스템 및 컴퓨터 판독 가능한 기록 매체 | |
US9275238B2 (en) | Method and apparatus for data security reading | |
US8495741B1 (en) | Remediating malware infections through obfuscation | |
CN109074450A (zh) | 威胁防御技术 | |
Vokorokos et al. | Application security through sandbox virtualization | |
EP3627368A1 (en) | Auxiliary memory having independent recovery area, and device applied with same | |
CN109446799B (zh) | 内存数据保护方法、安全组件和计算机设备及存储介质 | |
US9330266B2 (en) | Safe data storage method and device | |
TWI607338B (zh) | 儲存裝置及其資料保護方法與資料保護系統 | |
Yalew et al. | Hail to the Thief: Protecting data from mobile ransomware with ransomsafedroid | |
US20100332744A1 (en) | Data recovery and overwrite independent of operating system | |
CN106844006B (zh) | 基于虚拟化环境下的数据防护方法及系统 | |
US11216566B1 (en) | System and method for encryption of ephemeral storage | |
CN111177716B (zh) | 一种内存中可执行文件获取方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080730 |