CN103065091A - 用恶意软件检测扩充系统还原 - Google Patents
用恶意软件检测扩充系统还原 Download PDFInfo
- Publication number
- CN103065091A CN103065091A CN2012105638645A CN201210563864A CN103065091A CN 103065091 A CN103065091 A CN 103065091A CN 2012105638645 A CN2012105638645 A CN 2012105638645A CN 201210563864 A CN201210563864 A CN 201210563864A CN 103065091 A CN103065091 A CN 103065091A
- Authority
- CN
- China
- Prior art keywords
- malware detection
- malware
- program
- grade
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及用恶意软件检测来扩充系统还原。反恶意软件程序监视系统在系统还原之后的行为来确定恶意代码的隐藏感染在该系统还原之后仍旧存在的可能性。反恶意软件程序通过监视可能表示感染的可能性的条件来观察系统的动态行为,由此使发起反恶意软件检测的需要成为必要。反恶意软件程序可观察还原历史、系统设置、恶意软件感染历史来确定在系统还原之后存在隐藏感染的可能性。
Description
技术领域
本发明涉及用恶意软件检测来扩充系统还原。
背景技术
计算机反恶意软件程序的目标是检测、防止并移除恶意代码以免在计算设备上执行并带来不想要的后果。恶意软件可采取计算机病毒、计算机蠕虫、间谍软件、广告软件、特洛伊木马、根套件(rootkit)等的形式。恶意软件或恶意代码可能添加、删除、或篡改程序片段、文件、存储器位置或引导扇区。
反恶意软件程序可被用来扫描存储设备以寻找可能已经被感染或破坏的文件和存储器位置。反恶意软件程序可在该反恶意软件程序被安装到计算机系统上时扫描文件或只要打开文件就扫描该文件。反恶意软件程序还可被调度来在定期调度的间隔扫描文件或存储器位置。当检测到恶意软件时,可以执行补救来修复文件的被破坏部分,以将被破坏的文件还原到干净状态或者从文件中移除被感染的部分。然而,补救措施可能不够,因为感染源可能在补救后仍存在。
发明内容
提供本发明内容以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本发明内容并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
在还原计算设备中的操作系统的系统还原之后执行反恶意软件检测以便确保系统的完整性免受可能驻留于用户文件中的隐藏感染。反恶意软件程序监视系统的动态行为以发现表示感染可能性的条件,由此使发起恶意软件检测的需要成为必要。指标(indicator)利用在系统操作期间展示的、更可能预测感染的条件。这些条件可包括还原历史、系统的感染历史、对禁用的安全设置的检测等等。应用试探规则来确定当一条件出现时恶意软件检测是否被批准以及可能需要的检测等级。
通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。
附图说明
图1示出用恶意软件检测来扩充系统还原的示例性系统。
图2是示出第一示例性方法的流程图。
图3是示出第二示例性方法的流程图。
图4是示出第三示例性方法的流程图。
图5是示出第四示例性方法的流程图。
图6是示出第五示例性方法的流程图。
图7是示出第六示例性方法的流程图。
图8是示出操作环境的框图。
图9是示出示例性计算设备的框图。
具体实施方式
各实施例涉及一种用反恶意软件检测来扩充系统还原以便确保系统完整性的技术。系统还原经常由用户或系统管理员在广泛的恶意软件感染极度可能时执行并且将操作系统还原到先前状态。可从安装介质或从存储设备的分区中还原操作系统。然而,用户文件(其可能没有被还原)可能被恶意软件感染并且呈现重新感染操作系统文件的风险。
反恶意软件程序可观察系统的动态行为以发现表示感染可能性的条件,由此使发起恶意软件检测的需要成为必要。指标利用在系统操作期间展示的条件以及更可能预测感染的试探规则。注意力现转向对这种系统的更详细的描述。
图1示出示例性系统100的框图,该示例性系统可包括通过网络106通信地耦合的计算设备102和服务器104。虽然图1中示出的系统100具有按照某种拓扑结构的有限数量的元素,但可以理解,系统100可以视给定实现的需要而包括按照替代拓扑结构的更多或更少元素。
计算设备102和服务器104可以是能够执行可编程指令的任何类型的电子设备,这些设备为诸如但不限于:移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手持式计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、因特网服务器、工作站、小型机、大型机、巨型机、网络设备、web设备、分布式计算系统、多处理器系统或其组合。网络106可以是能够利用任何通信协议或按照任何配置来促进计算设备102与服务器104之间的通信的任何类型的通信链接,诸如但不限于:有线网络、无线网络或其组合。应当理解,所示的网络连接是示例性的,并且也可使用在计算设备102和服务器104之间建立通信链接的其他手段。
计算设备102可包括反恶意软件程序108,该反恶意软件程序监视、检测、并尝试防止恶意代码感染计算设备102上的资源。资源可以是文件、程序、注册表、操作系统配置和设置等等。恶意软件或恶意代码可能尝试阻止反恶意软件程序以添加、删除或篡改资源和/或存储区的片段并导致未授权且不想要的后果。恶意软件可以是计算机病毒、计算机蠕虫、间谍软件、广告软件、特洛伊木马、根套件等。反恶意软件程序108还可通过用干净版本来还原被感染的资源来补救感染、从资源中移除感染、或隔离该资源。反恶意软件程序108可以是操作系统、安全应用或其他软件应用的一部分。此外,反恶意软件程序108可以是独立的可执行程序,该程序可驻留于计算设备中或通过web浏览器从远程服务器执行。各实施例不限于这种方式。
反恶意软件程序108可以是计算机程序指令序列,该序列在被处理器执行时致使该处理器根据规定的任务来执行方法和/或操作。反恶意软件程序108可以被实现为程序代码、程序、过程、模块、代码段、程序栈、中间件、固件、方法、例程等。可执行的计算机程序指令可根据用于指示计算机执行特定功能的预定义的计算机语言、方式或句法来实现。这些指令可以使用任何合适的高级、低级、面向对象、可视、编译、和/或解释编程语言来实现。
计算设备102可包括操作系统110,该操作系统管理并控制系统资源,诸如连接到计算设备102的硬件设备以及在其中执行的软件应用。操作系统110可存储系统设置112,该系统设置被用来控制操作系统110所提供的某些特性。系统设置112可控制性能选项(例如,处理器调度、虚拟存储器分页文件大小、存储器使用等)、显示选项(例如,壁纸的类型、图标的位置、窗口的显示、色彩、声音等)、网络设置(例如,浏览器选项、书签、主页URL等)、电子邮件选项(例如,邮件规则、邮箱中的视图、邮件服务器等)等等。
系统设置112可包括保护计算机系统免于不想要的动作和后果的安全设置。例如,安全设置可包括操作系统更新设置、防火墙设置、浏览器设置、恶意软件词典更新设置、用户访问控制设置等等。操作系统更新设置在被启用时允许计算系统102接收对操作系统的更新,诸如安全更新、漏洞修补、隐错(bug)修补等。防火墙设置使防火墙能够监视网络传输以便阻止未授权访问。浏览器设置允许浏览器分析所下载的网页以发现可疑特征、检查公知的恶意软件网站、检查下载的文件以发现恶意软件等等。恶意软件词典设置允许计算设备102控制对恶意软件词典做出更新的方式。用户访问控制设置阻止对关键设置的未授权访问,所述关键设置在被修改时影响计算设备的操作。
操作系统110还可包括感染历史114,该感染历史跟踪计算设备102内的先前的恶意软件感染。感染历史114可指示检测到感染的日期和时间、感染的物理位置、感染的类型等等。
还原程序116可以是将操作系统110或文件还原到先前未受感染的或干净的状态的软件应用。还原程序116可从安装介质(例如CD、DVD、闪存驱动器等)、硬盘驱动器的分区、或位于远程的存储设备还原操作系统文件。还原程序116可将资源或存储区还原到已知没有感染的还原点。还原点可以是在重要事件发生时生成的,或者是根据时间表定期生成的。例如,还原程序116可监视资源以发现修改并在修改被做出之前存储该资源或存储区的副本。还原程序116还可被配置成按照需要记录或存储特定存储区和/或资源。在出现问题的情况下,还原程序116可将该资源和/或存储器还原回用户所选择的还原点。
还原计数器118可被用来确定特定时间帧内已经发生的系统还原的次数。系统还原可由用户或系统管理员在灾难性事件发生后发起或由用户发起。还原程序116将在每次执行系统还原操作时更新还原计数器118。
计算设备102还可包括恶意软件词典122,该恶意软件词典包括用于标识恶意软件的签名124。签名124可以是标识恶意软件程序的基于散列的代码或者其他类型的编码表示。可以创建带有不同签名的熟知恶意软件程序的变种,该变种与熟知的恶意软件程序具有类似的行为。可使用试探规则来确定恶意软件程序的签名124。恶意软件词典122被不断更新以包括新检测到的恶意软件程序及其变种的签名。更新126可由托管受信服务的服务器104提供,该受信服务专用于从各种源或从与计算设备102连接的其他计算系统聚集与恶意软件程序有关的数据。
在若干实施例中,服务器104可托管应用商店,该应用商店向计算设备102提供通过许可安排(licensing arrangement)下载的软件应用。该应用商店可向计算设备提供对先前发现的恶意软件程序的更新126,所述恶意软件程序可能被包含在下载到计算设备102的软件应用中。更新126可包含已知恶意软件程序的签名,所述签名被存储在恶意软件词典122中。
反恶意软件程序108可从计算设备102的各个组件接收数据以便分析该系统的行为。反恶意软件108可利用还原计数器118、系统设置112、以及感染历史114作为该系统的动态行为的指标,其中针对一组试探规则来应用该指标。分析的结果是预测感染的风险等级以及根据所预测的风险等级扫描存储区的需要。
在确定风险的威胁及相关联的风险等级后,反恶意软件程序可发起对存储区130的扫描操作128。存储区130可被用来存储在计算设备102中使用的文件和数据。存储区130可以被实现为半导体存储器设备、计算机可读介质、硬盘驱动器、其任何组合、或者被实现为能够存储数据的任何其他类型的设备。
在各个实施例中,在此描述的系统100可包括具有多个元件、程序、过程、模块的计算机实现的系统。如此处所使用地,这些术语旨在指代与计算机相关的实体,包括硬件、硬件和软件的组合或软件中的任一个。例如,元件可被实现为在处理器上运行的进程、硬盘驱动器、多个(光和/或磁存储介质的)存储驱动器、对象、可执行代码、执行的线程、程序、和/或计算机。作为说明,在服务器上运行的应用和服务器两者都可以是元件。一个或多个元件可以驻留在执行的进程和/或线程内,且元件可以视给定实现所需而位于一个计算机上和/或被分布在两个或更多计算机之间。各实施例不限于这种方式。
系统100的各个元件可经由各条线或箭头所指示的各种类型的通信介质通信地耦合。元件可以协调彼此之间的操作。该协调可以涉及单向或双向信息交换。例如,元件可以传递通过通信介质传递的信号形式的信息。该信息可被实现成分配给各条信号线的信号。在这些分配中,每一消息都是信号。然而,其他实施例可另选地采用数据消息。这些数据消息可以跨各个连接发送。示例性连接包括并行接口、串行接口和总线接口。
注意力现在转向参考各示例性方法对各实施例的操作的讨论。可以理解,除非另外指明,否则代表性的方法不一定要按所呈现的次序或者按任何特定次序来执行。而且,参考这些方法描述的各种活动可按照串行或并行的方式、或串行和并行操作的任何组合执行。视给定的一组设计和性能约束的需要,方法可使用所述实施例或替换实施例的一个或多个硬件元件和/或软件元件来实现。例如,方法可被实现为供逻辑设备(例如,通用或专用计算机)执行的逻辑(例如,计算机程序指令)。
图2示出用于用恶意软件检测来扩充系统还原的示例性方法200的流程图。应理解,方法200可表示由此处所述的一个或多个实施例执行的某些或全部操作,且方法可包括比图2中所述的操作或多或少的操作。
可发起系统还原操作来还原操作系统110文件(框202)。反恶意软件程序108此时可被发起以基于系统的行为来确定所需的扫描等级并按照所确定的最高等级进行扫描(框204)。反恶意软件程序108可在系统还原期间执行或在系统还原完成后执行。扫描等级可包括深度扫描等级和/或用户文件扫描等级。深度扫描等级扫描存储区130中的每个文件和所有存储器位置。用户文件扫描等级扫描存储区130中的用户文件、操作系统文件、以及所有存储器位置。深度扫描等级是比用户文件扫描等级更高的扫描等级,并且因此优先于用户文件扫描等级。
如果反恶意软件程序108检测到存储区130的受感染的文件或区域,则采取适当的补救措施(框206)。补救措施可还原存储区130的文件或区域、移除其受感染的文件或其部分、隔离该文件等等(框206)。
图3是示出用于确定是否可需要扫描的示例性方法204的流程图。应当注意,方法204可表示本文所描述的或在替代配置中的一个或多个实施例所执行的操作中的一些或全部。该方法可包括比在图3中所描述的更多或更少的操作,并且做出每个检测的次序可以与图3中所示的次序不同地执行。而且,在图3中示出的每个框中执行的检查可以与其他检查并行地执行。各实施例不限于这种方式。
反恶意软件程序108可检查还原计数器118的值来确定可能需要的扫描等级(框220)。还原计数器118可被用来反映计算设备102的还原历史。参考图4,在还原计数器118超出阈值的情况下(框230-是),则深度扫描等级可被确定并设置(框232)。该阈值可以是可配置的值,其基于已经执行了太多还原而表示潜在感染风险。如果没有满足阈值(框230-否),则用户文件等级扫描被确定并设置(框234)。在该还原仅还原了系统级文件(诸如操作系统文件)而没有还原感染源可能隐藏于的用户文件的情况下,可能需要对用户文件的扫描。
回头参考图3,反恶意软件程序108可检查某些系统设置来确定是否需要扫描,并且如果需要,则确定所需的扫描等级(框222)。参考图5,反恶意软件程序108可分析某些系统设置,这些系统设置可能被分类为关键或非关键的(框240)。在若干实施例中,安全设置,诸如操作系统更新设置,防火墙设置,浏览器设置,恶意软件词典更新设置,以及用户访问控制设置可被认为是关键设置。如果不是所有关键设置均被启用(框242-否),则反恶意软件程序108确定深度扫描等级被批准(框246)。否则(框242-是),如果被禁用的非关键设置的数量超出阈值数量(框244-是),则深度扫描等级被批准(框246)。否则,当所有关键和非关键设置被启用时(框244-否),该过程返回。
回头参考图3,反恶意软件程序108可检查感染历史114来确定是否需要扫描,并且如果需要,则确定所需的扫描等级(框224)。感染历史114可被存储在与操作系统110相关联的存储器空间中,并且还可被存储在与反恶意软件程序108相关联的存储器空间中。参考图6,反恶意软件程序108可分析感染历史114来确定自从上次感染开始的时间是否超出阈值(框250-是)。如果超出阈值(框250-是),则深度扫描等级被设置(框252)。否则当没有超出阈值时(框250-否),则该过程返回。
回头参考图3,反恶意软件程序108可检查托管应用商店的服务器104以查找与先前从该应用商店获得并被下载到计算设备102的应用相关联的已知恶意软件程序(框226)。参考图7,反恶意软件程序108可查询该应用商店来查明:是否已知任何近期下载的应用包含恶意软件或以其他方式产生不想要的后果(框260)。在已知近期下载的应用包含恶意软件的情况下(框262-是),则反恶意软件程序108可确定深度扫描等级被批准(框264)。否则,如果该应用商店不知晓近期下载的应用中包含恶意软件(框262-否),则该过程返回。
注意力现在转向对示例性操作环境的讨论。图8示出了操作环境300。应理解,操作环境300仅是示例性的而不旨在对各实施例的功能提出任何限制。该实施例可被应用于具有一个或多个客户机302的操作环境300,这些客户机通过通信框架304与一个或多个服务器306通信。操作环境300可以在网络环境、分布式环境、多处理器环境、或能够访问远程或本地存储设备的独立计算设备中配置。
客户机302可被实现为硬件设备、软件模块或其组合。这种硬件设备的示例可包括但不限于计算机(例如,服务器、个人计算机、膝上型计算机等)、蜂窝电话、个人数字助理或任何类型的计算设备等。客户机302还可被实现为具有在单个执行路径中、多个并发的执行路径(例如,线程、进程等)中或以任何其他方式执行的指令的软件模块。
服务器306可被实现为硬件设备、软件模块或其组合。这种硬件设备的示例可包括但不限于计算机(例如,服务器、个人计算机、膝上型计算机等)、蜂窝电话、个人数字助理或任何类型的计算设备等。服务器306还可被实现为具有在单个执行路径中、多个并发的执行路径(例如,线程、进程等)中或以任何其他方式执行的指令的软件模块。
通信框架304促进客户机302和服务器306间的通信。通信框架304可利用任何通信协议具体化任何类型的通信介质,诸如有线或无线网络。每一客户机302可耦合到一个或多个客户机数据存储308,该数据存储308存储在该客户机302本地的信息。每一服务器306可耦合到一个或多个服务器数据存储310,该数据存储310存储在该服务器306本地的信息。
图9示出示例性计算设备102的框图。计算设备102可具有一个或多个处理器404、显示器406、网络接口408、存储区130、以及用户输入接口412。处理器404可以是市场上可购得的任何处理器,且可包括双微处理器和多处理器体系结构。显示器406可以是任何类型的视觉显示单元。网络接口408促进计算设备102与通信架构之间的有线或无线通信。用户输入接口412促进计算设备102与诸如键盘、鼠标等输入设备之间的通信。
该存储区可以由存储器410和存储设备416构成。存储设备416可以是磁存储、易失性存储、非易失性存储、光存储、DVD、CD、软盘驱动器、硬盘驱动器等。存储器410可以是可存储可执行过程、应用和数据的任何计算机可读的存储介质。计算机可读介质不属于传播信号,诸如通过载波发射的调制数据信号。它可以是任何类型的存储器设备(例如,随机存取存储器、只读存储器等)、磁存储、易失性存储、非易失性存储、光存储、DVD、CD、软盘驱动器、硬盘驱动器等。存储器410还可包括一个或多个外部存储设备或位于远程的存储设备。存储器410可包含如下指令和数据:
·反恶意软件程序108;
·操作系统110;
·系统设置112;
·感染历史114;
·还原程序116;
·还原计数器118;
·恶意软件词典122;
·签名124;
·更新126;以及
·各种其它应用和数据414。
尽管用结构特征和/或方法动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。更确切而言,上述具体特征和动作是作为实现权利要求的示例形式公开的。
各实施例可以使用硬件元件、软件元件或两者的组合来实现。硬件元件的示例可包括:设备、组件、处理器、微处理器、电路、电路元件、集成电路、专用集成电路、可编程逻辑器件、数字信号处理器、现场可编程门阵列、存储器单元、逻辑门等。软件元件的示例可以包括软件组件、程序、应用、计算机程序、应用程序、系统程序、机器程序、操作系统软件、中间件、固件、软件模块、例程、子例程、函数、方法、过程、软件接口、应用程序接口、指令集、计算代码、代码段、或其任何组合。判断一实施例是使用硬件元件和/或软件元件来实现可根据给定实现所需的任何数量的因素而变化,这些因素如所需计算速率、功率级、带宽、计算时间、负载平衡、存储器资源、数据总线速度以及其它设计或性能约束。
一些实施例可包括存储指令或逻辑的存储介质。存储介质的示例可包括能够存储电子数据的一种或多种类型的计算机可读存储介质,包括易失性存储器或非易失性存储器、可移动或不可移动存储器、可擦除或不可擦除存储器、可写或可重写存储器等。逻辑的示例可包括各种软件元件,诸如程序、过程、模块、应用、代码段、程序栈、中间件、固件、方法、例程等。例如,在一个实施例中,计算机可读存储介质可以存储可执行的计算机程序指令,这些指令在由处理器执行时使得该处理器执行根据所描述的各实施例的方法和/或操作。可执行的计算机程序指令可根据用于指示计算机执行特定功能的预定义的计算机语言、方式或句法来实现。这些指令可以使用任何合适的高级、低级、面向对象、可视、编译、和/或解释编程语言来实现。
Claims (10)
1.一种计算机实现的方法,包括:
在计算设备中执行至少一次系统还原;
分析多个条件来确定是否需要恶意软件检测;
在确定需要恶意软件检测后确定恶意软件检测的等级;以及
在所确定的等级执行所述恶意软件检测。
2.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括:
如果以前执行的还原操作的次数超出阈值,则设置恶意软件检测的深度扫描等级。
3.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括:
当关键系统设置未被启用时,设置恶意软件检测的深度扫描等级。
4.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括:
当以前的感染的数量超出阈值时,设置恶意软件检测的深度扫描等级。
5.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括:
联系应用商店以获得与以前获得的、被下载到所述计算设备的应用有关的数据;以及
当已知恶意软件程序以前已被下载到所述计算设备时,设置恶意软件检测的深度扫描等级。
6.一种计算机实现的系统,包括:
包括操作系统的存储器;以及
至少一个处理器,被编程为:
还原所述操作系统的一个或多个文件,
分析影响所述系统的操作的多个条件,
基于所述条件的出现来确定恶意软件检测是否被批准;以及
基于所述条件的出现来确定恶意软件检测的等级。
7.如权利要求6所述的系统,其特征在于,所述至少一个处理器被进一步编程以:
利用还原历史来确定恶意软件检测是否被批准。
8.如权利要求6所述的系统,其特征在于,所述至少一个处理器被进一步编程以:
利用与操作系统相关联的关键设置来确定恶意软件检测是否被批准。
9.如权利要求6所述的系统,其特征在于,所述至少一个处理器被进一步编程以:
利用感染历史来确定恶意软件检测是否被批准。
10.如权利要求6所述的系统,其特征在于,所述至少一个处理器被进一步编程以:
利用应用商店提供的信息来确定恶意软件检测是否被批准。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/334,060 | 2011-12-22 | ||
US13/334,060 US9613209B2 (en) | 2011-12-22 | 2011-12-22 | Augmenting system restore with malware detection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103065091A true CN103065091A (zh) | 2013-04-24 |
CN103065091B CN103065091B (zh) | 2016-03-09 |
Family
ID=48107719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210563864.5A Active CN103065091B (zh) | 2011-12-22 | 2012-12-21 | 用恶意软件检测扩充系统还原 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9613209B2 (zh) |
EP (1) | EP2795525B1 (zh) |
CN (1) | CN103065091B (zh) |
WO (1) | WO2013096140A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014198127A1 (en) * | 2013-06-09 | 2014-12-18 | Tencent Technology (Shenzhen) Company Limited | Method,device and storage medium for processing virus |
CN111177704A (zh) * | 2019-08-14 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种捆绑识别方法、装置、设备及介质 |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9313211B1 (en) * | 2012-04-18 | 2016-04-12 | Symantec Corporation | Systems and methods to protect against a vulnerability event |
CN104253714B (zh) * | 2013-06-27 | 2019-02-15 | 腾讯科技(深圳)有限公司 | 监控方法、系统、浏览器及服务器 |
US10027692B2 (en) * | 2016-01-05 | 2018-07-17 | International Business Machines Corporation | Modifying evasive code using correlation analysis |
US10713360B2 (en) | 2016-02-19 | 2020-07-14 | Secureworks Corp. | System and method for detecting and monitoring network communication |
US10333992B2 (en) | 2016-02-19 | 2019-06-25 | Dell Products, Lp | System and method for collection and analysis of endpoint forensic and event data |
US10262135B1 (en) * | 2016-12-13 | 2019-04-16 | Symantec Corporation | Systems and methods for detecting and addressing suspicious file restore activities |
US10325108B2 (en) * | 2016-12-30 | 2019-06-18 | Intel Corporation | Method and apparatus for range based checkpoints in a storage device |
US10437917B2 (en) * | 2017-04-28 | 2019-10-08 | Microsoft Technology Licensing, Llc | Web page nonintrusive content protection on user device |
US11010470B2 (en) * | 2017-12-15 | 2021-05-18 | Microsoft Technology Licensing, Llc | Anti-virus file system cache for operating system remediation |
US10685097B2 (en) * | 2017-12-29 | 2020-06-16 | Intel Corporation | Application based checkpointing control for storage device |
CN109101815B (zh) * | 2018-07-27 | 2023-04-07 | 平安科技(深圳)有限公司 | 一种恶意软件检测方法及相关设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050114411A1 (en) * | 2003-11-24 | 2005-05-26 | International Business Machines Corporation | Safely restoring previously un-backed up data during system restore of a failing system |
CN101038562A (zh) * | 2006-03-15 | 2007-09-19 | 联想(北京)有限公司 | 一种存储装置关键数据备份与恢复系统和方法 |
CN101154253A (zh) * | 2006-09-26 | 2008-04-02 | 北京软通科技有限责任公司 | 计算机安全防护方法及计算机安全防护工具 |
US20090013409A1 (en) * | 2006-07-05 | 2009-01-08 | Michael Wenzinger | Malware automated removal system and method |
US7784098B1 (en) * | 2005-07-14 | 2010-08-24 | Trend Micro, Inc. | Snapshot and restore technique for computer system recovery |
US20110289584A1 (en) * | 2010-05-18 | 2011-11-24 | Computer Associates Think, Inc. | Systems and methods to secure backup images from viruses |
CN102289524A (zh) * | 2011-09-26 | 2011-12-21 | 深圳市万兴软件有限公司 | 一种数据恢复方法及系统 |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050229250A1 (en) * | 2004-02-26 | 2005-10-13 | Ring Sandra E | Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations |
US7624443B2 (en) * | 2004-12-21 | 2009-11-24 | Microsoft Corporation | Method and system for a self-heating device |
US7934229B1 (en) | 2005-12-29 | 2011-04-26 | Symantec Corporation | Generating options for repairing a computer infected with malicious software |
US20080016572A1 (en) | 2006-07-12 | 2008-01-17 | Microsoft Corporation | Malicious software detection via memory analysis |
US9251350B2 (en) | 2007-05-11 | 2016-02-02 | Microsoft Technology Licensing, Llc | Trusted operating environment for malware detection |
US20080301796A1 (en) * | 2007-05-31 | 2008-12-04 | Microsoft Corporation | Adjusting the Levels of Anti-Malware Protection |
WO2009032446A1 (en) | 2007-08-01 | 2009-03-12 | Devicevm, Inc. | Diagnostic virtual appliance |
KR20090050503A (ko) * | 2007-11-16 | 2009-05-20 | 주식회사 르네코 | 홈네트워크 전자기기의 오동작 복구 시스템 및 방법 |
US8930423B1 (en) * | 2008-12-30 | 2015-01-06 | Symantec Corporation | Method and system for restoring encrypted files from a virtual machine image |
WO2010137079A1 (en) * | 2009-05-29 | 2010-12-02 | Hitachi, Ltd. | Management methods of storage system and file system |
US8612398B2 (en) | 2010-03-11 | 2013-12-17 | Microsoft Corporation | Clean store for operating system and software recovery |
-
2011
- 2011-12-22 US US13/334,060 patent/US9613209B2/en active Active
-
2012
- 2012-12-17 WO PCT/US2012/069978 patent/WO2013096140A1/en active Application Filing
- 2012-12-17 EP EP12860785.0A patent/EP2795525B1/en active Active
- 2012-12-21 CN CN201210563864.5A patent/CN103065091B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050114411A1 (en) * | 2003-11-24 | 2005-05-26 | International Business Machines Corporation | Safely restoring previously un-backed up data during system restore of a failing system |
US7784098B1 (en) * | 2005-07-14 | 2010-08-24 | Trend Micro, Inc. | Snapshot and restore technique for computer system recovery |
CN101038562A (zh) * | 2006-03-15 | 2007-09-19 | 联想(北京)有限公司 | 一种存储装置关键数据备份与恢复系统和方法 |
US20090013409A1 (en) * | 2006-07-05 | 2009-01-08 | Michael Wenzinger | Malware automated removal system and method |
CN101154253A (zh) * | 2006-09-26 | 2008-04-02 | 北京软通科技有限责任公司 | 计算机安全防护方法及计算机安全防护工具 |
US20110289584A1 (en) * | 2010-05-18 | 2011-11-24 | Computer Associates Think, Inc. | Systems and methods to secure backup images from viruses |
CN102289524A (zh) * | 2011-09-26 | 2011-12-21 | 深圳市万兴软件有限公司 | 一种数据恢复方法及系统 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2014198127A1 (en) * | 2013-06-09 | 2014-12-18 | Tencent Technology (Shenzhen) Company Limited | Method,device and storage medium for processing virus |
CN104239790A (zh) * | 2013-06-09 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
CN104239790B (zh) * | 2013-06-09 | 2019-11-19 | 腾讯科技(深圳)有限公司 | 病毒处理方法及装置 |
CN111177704A (zh) * | 2019-08-14 | 2020-05-19 | 腾讯科技(深圳)有限公司 | 一种捆绑识别方法、装置、设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
EP2795525B1 (en) | 2018-05-16 |
EP2795525A1 (en) | 2014-10-29 |
US9613209B2 (en) | 2017-04-04 |
CN103065091B (zh) | 2016-03-09 |
US20130167235A1 (en) | 2013-06-27 |
EP2795525A4 (en) | 2015-08-12 |
WO2013096140A1 (en) | 2013-06-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103065091B (zh) | 用恶意软件检测扩充系统还原 | |
US10686809B2 (en) | Data protection in a networked computing environment | |
US10666670B2 (en) | Managing security breaches in a networked computing environment | |
US10701030B2 (en) | Real-time monitoring of web page code | |
AU2014334840B2 (en) | Method and system for dynamic and comprehensive vulnerability management | |
WO2021076377A1 (en) | Networking device configuration value persistence | |
CN112805740B (zh) | 人工智能辅助规则生成 | |
US10291641B2 (en) | Providing application-specific threat metrics | |
US20140137190A1 (en) | Methods and systems for passively detecting security levels in client devices | |
TWI528216B (zh) | 隨選檢測惡意程式之方法、電子裝置、及使用者介面 | |
US20150363185A1 (en) | Updating software based on utilized functions | |
US20220046043A1 (en) | Threat detection and security for edge devices | |
US20190050562A1 (en) | Path-based program lineage inference analysis | |
US20210182392A1 (en) | Method for Detecting and Defeating Ransomware | |
US11503066B2 (en) | Holistic computer system cybersecurity evaluation and scoring | |
Fassl et al. | Comparing User Perceptions of {Anti-Stalkerware} Apps with the Technical Reality | |
US10275596B1 (en) | Activating malicious actions within electronic documents | |
US9589133B2 (en) | Preventing return-oriented programming exploits | |
JP7078562B2 (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150717 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20150717 Address after: Washington State Applicant after: Micro soft technique license Co., Ltd Address before: Washington State Applicant before: Microsoft Corp. |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |