CN106257481A - 用于恢复修改的数据的系统和方法 - Google Patents
用于恢复修改的数据的系统和方法 Download PDFInfo
- Publication number
- CN106257481A CN106257481A CN201610112970.XA CN201610112970A CN106257481A CN 106257481 A CN106257481 A CN 106257481A CN 201610112970 A CN201610112970 A CN 201610112970A CN 106257481 A CN106257481 A CN 106257481A
- Authority
- CN
- China
- Prior art keywords
- data
- request
- parameter
- program
- described data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Retry When Errors Occur (AREA)
Abstract
本发明涉及用于恢复修改的数据的系统和方法。示例性方法包括:通过活动跟踪模块拦截来自程序的用于修改数据的请求;通过分析模块确定所拦截的请求的参数;通过分析模块基于确定的所拦截的请求的参数中的至少一个参数生成用于生成数据的备份拷贝的请求;以及,通过备份模块,生成数据的备份拷贝且将该数据的备份拷贝存储在电子数据库中。
Description
技术领域
本发明总体涉及抗病毒技术领域,更具体地,涉及恢复修改的数据的系统和方法。
背景技术
近年来计算机技术的迅速发展和各种计算设备(例如,个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛流行,对于在各种活动范围中使用这些设备以及对于将这些设备用于大量任务(例如,从个人相片的处理和存储到银行转账和电子文件流转)已经产生巨大的刺激。结合计算设备的数量以及在这些设备上运行的软件的数量的增长,恶意程序的数量也已经以明显的速率增长。
目前,存在大量的不同类型的恶意应用程序,其中绝大多数的恶意应用程序被设计成有利于它们的设计者。一些恶意应用程序从用户的设备中窃取个人且机密的数据,包括例如登录名和密码、银行信息、电子文件等。其他恶意程序形成所谓的来自用户设备的用于对其他计算机或计算机网络进行攻击(诸如DDOS或强力攻击)的“僵尸网络”。还有其它的恶意程序向用户提供通过侵入广告的付费内容、付费订购、向收费服务号码发送短消息服务等。
一个特别麻烦的恶意程序种类是敲诈或勒索软件。一旦这些类型的程序被安装在用户设备上,它们干扰设备的功能,例如通过阻断数据输入设备、损坏数据、限制访问接口元件等干扰设备的功能。然后,该程序要求付费以消除它们运行的不利后果。最危险的勒索程序为加密器,其恶意活动包括损坏对于用户有价值的数据(例如,数据库、Microsoft文件、相片、视频剪辑等)。通过对文件进行程序加密、重命名或隐藏而发生数据的损坏。
由于不仅数据的机密性、而且数据的完整性通常代表了重大价值,因此保护数据是重要的任务。一种用于处理勒索威胁的方法是对用户设备上的恶意应用程序及其后来的停用进行及时检测以及定期创建数据的备份副本,及时检测能够保护数据免受未授权的修改,定期创建数据的备份副本使得能够甚至在未授权的数据修改的情况下恢复数据。
尽管上述方法非常适于跟踪文件活动、用户数据的备份存储、以及阻断恶意软件的工作的任务,但是这些方法不能够保护有效的用户数据免受恶意软件的修改,因为它们不能够有效地对备份数据拷贝做出决定(即,在已经启动数据修改之前的足够的时间内),或者在成功地备份拷贝能够被修改的数据的情况下,这些方法不能够获得来自修改进程的对于该数据的威胁等级。这进一步导致对计算机资源的巨大负载,包括空闲的硬盘空间、处理器时间等。
发明内容
因此,在此描述的方法和系统提供了一种有效的且高效的恢复修改的数据的方式。
根据一个方面,一种方法包括通过活动跟踪模块拦截来自程序的用于修改数据的请求;通过分析模块确定所拦截的请求的参数;通过所述分析模块,基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;和通过备份模块生成所述数据的备份拷贝且将所述数据的备份拷贝存储在电子数据库中。
根据另一方面,所拦截的请求的参数包括:所拦截的请求的唯一数据标识符、操作所述数据的方法、用于对所述数据进行的操作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。
根据另一方面,所述方法包括:确定修改所述数据的程序的进程的进程参数;分析所确定的进程参数;和基于对进程参数的分析,阻断所述程序的进程的进一步操作。
根据另一方面,所述方法还包括:确定所述数据是否已经被恶意程序的进程修改;以及,如果所述数据已经被恶意程序的进程修改,则在已经阻断所述恶意程序的进程的进一步操作之后使用所述数据的备份拷贝来恢复所述数据。
根据另一方面,分析所确定的进程参数包括:确定用于修改所述数据的程序的进程的进程参数的威胁等级,和基于所述威胁等级阻断所述程序的进程的进一步操作。
根据另一方面,阻断所述程序的进程的进一步操作包括:从设备的存储器中删除所述进程、停止执行所述进程、和隔离运行所述进程的文件中的至少一者。
根据另一方面,所述方法还包括:通过分析模块根据规则分析所拦截的请求的参数,所述规则包括以下规则中的至少一者:基于所述数据的类型(来自程序的请求用于修改这种类型的数据)备份所述数据的需求;来自所述程序的请求是否将修改所述数据的用户操作;来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修改所述数据;和当所述数据被写入文件时所述数据是否将被修改。
根据一个方面,公开了用于恢复修改数据的系统。根据该方面,所述系统包括活动跟踪模块,其被配置成拦截来自程序的用于修改数据的请求;分析模块,其被配置成确定所拦截的请求的参数并且基于所确定的所拦截的请求的参数中的至少一个参数生成用于生成所述数据的备份拷贝的请求;和,备份模块,其被配置成生成所述数据的备份拷贝并且将所述数据的备份拷贝存储在电子数据库中。
上述示例性方面的简要概括用于对本发明提供基本的了解。该概括不是全部的构想方面的广泛概述,且既不意图确定所有方面的关键或者重要的要素也不意图勾画本发明的任何方面或全部方面的范围。其唯一目的在于以简化的形成呈现出一个或多个方面,作为用于下面所进行的本发明的更为详尽的描述的前奏。为了完成上述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性提出的特征。
附图说明
合并到且构成本说明书的一部分的附图,阐述了本发明的一个或多个示例性方面,并且与详细描述一起用于解释这些方面的原理和实现方式。
图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。
图2示出根据示例性方面的恢复修改的数据的示例性方法的流程图。
图3示出能够实施所公开的系统和方法的通用计算机系统、个人计算机或服务器的示例。
具体实施方式
在本文中,在用于恢复修改的数据的系统、方法和计算机程序产品的上下文中,描述了示例性方面。本领域的普通技术人员将意识到下面的描述仅仅是说明性的且不意图以任何方式进行限制。对于受益于本发明的本领域技术人员将易于想象到其它方面。现在,将详细地提及如在附图中所示的示例性方面的实现。尽可能在整个附图和下面的描述中,相同的附图标记将用于指相同的类似的项目。
图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。如图所示,用于恢复修改数据的系统包括数据存储模块110、活动跟踪模块120、分析模块130、备份模块140、备份数据库150和检测模块160。
在一个示例性方面,数据存储模块110被配置成从进程接收数据、存储所述数据、且根据进程的需求提供数据。例如,数据存储模块110可为用于操作文件系统的文件管理器和/或用于操作主存储器的内存管理器。由数据存储模块110提供的数据可为文件和/或存储区。
在一个示例性方面,活动跟踪模块120被配置成拦截来自进程的对数据存储模块110的、可修改在数据存储模块110中存储的数据的请求,确定所述进程的参数,和将这些参数发送给检测模块160。活动跟踪模块还可确定所拦截的请求的参数且将这些参数发送给分析模块130。
在一个示例性方面,拦截来自进程的对数据存储模块110的请求,可通过更换目前函数的地址、直接改变函数(例如,通过拼接(splice),内核模式拦截对函数主体的修改)、或者通过直接更换应用程序/系统的整个部件,经由对应用程序接口(“API”)函数调用的拦截而发生。
在一个示例性方面,进程对数据存储模块110的请求可包括,例如操作系统的API函数(诸如用于Microsoft的WinAPI函数)和/或操作系统内核的函数。所拦截的请求的参数可为,例如(i)唯一数据标识符(例如,文件描述符或者到达文件的路径、被修改的存储器的地址等);(ii)操作数据的方法(例如,数据的读取、覆盖、删除等);(iii)操作数据的类型(例如将缓冲区写入到数据占据的存储区内、读取文件标题等);和(iv)数据修改参数(例如被写入到存储区内的缓冲区的大小和内容、对于被修改的文件的新的访问权利等)。而且,进程参数可为例如到达运行该进程的应用程序的途径;进程描述符;和/或被该进程执行的操作的日志。
在一个示例性方面,分析模块130被配置成:例如基于根据某些规则对这些请求的参数进行分析的结果,创建用于将可被所述进程修改的数据备份拷贝到备份数据库150的请求且将该请求发送给备份模块140。在一个示例性方面,用于分析所拦截的请求的参数的规则可为:
●根据所述请求打算操作的数据的类型确定进一步备份拷贝数据的需求的规则,(例如,如果数据完整性对于操作系统的工作是重要的(如在可执行文件*.exe、*.dll等的情况下)或者对于用户是重要的(如在数据库、Microsoft文档、电子邮件文件、图像等的情况下));
●根据操作数据的方法确定所述操作是否可导致数据修改的规则(例如打开具有写权限的文件);
●根据针对数据的操作类型确定操作是否可导致数据修改的规则(例如将数据缓冲区写到文件中);和
●对于被写入的数据确定数据的修改是否将被实施或者数据是否将不受到影响的规则(例如,附加到视频流文件)。
在一个示例性方面,备份模块140被配置成:响应于所述分析模块130的请求,执行将来自数据存储模块110的数据备份拷贝到备份数据库150。备份模块140还被配置成针对检测模块160的请求,将来自备份数据库150的数据恢复到数据存储模块110。备份数据库150还被设计成保存通过所述备份模块140传送的数据且将该数据提供给备份模块140。
在一个示例性方面,检测模块160被配置成分析从活动跟踪模块120接收的进程参数,以借助规则确定该进程对于被该进程修改的数据的完整性的威胁等级。检测模块160被配置成:基于所执行的分析的结果,形成用于将被进程修改的数据从备份数据库150恢复到数据存储模块110的请求,并且将该请求发送给备份模块140,以及基于所执行的分析的结果阻断所述进程的工作。
在一个示例性方面,用于确定所述进程对被修改的数据的完整性的威胁等级的规则可以是不可恢复地损失被进程修改的数据的可能性,且更具体地,不能够进行解密的数据的加密(例如,由于不能够获得必需的解密密钥);数据覆盖(即,对于旧数据写入新的数据,而不能够恢复旧数据)、数据的删除等。该进程能够通过从存储器删除所述进程、停止进程的执行、使运行该进程的文件隔离等而被阻断。
为了进一步描述示例性系统和方法,提供下面的示例以描述在Microsoft文档(例如,“*.docx”、“*.xlsx”等)已经通过加密器程序被加密后,恢复用于Microsoft文档的被修改的数据的系统的操作。如上文所述,加密器程序是加密用户的文件(诸如数据库、Microsoft文档、相片、视频等)且向用户提供报价以使用付费的解密器程序解密它们的恶意软件。
在一个示例性方面,加密器程序针对Microsoft文件搜索受感染的计算机的硬盘,之后对Microsoft文件进行加密且重命名它们(例如,该程序将扩展名*.docx修改为*.docx_crypted(加密的),以此后找到并解密仅仅先前加密的文件)。当加密器程序利用获得访问Microsoft文档文件以进行改变的请求而访问数据存储模块110(数据存储模块110可为操作系统的文件管理器)时,加密器程序执行WinAPI函数“::创建文件”、“::写入文件”和“::移动文件”的调用。在示例性方面,活动跟踪模块120拦截这些请求且确定它们的参数,即被访问的文件的唯一标识符、它正准备对文件执行的操作等。活动跟踪模块120将所接收到的信息发送给分析模块130。活动跟踪模块120也拦截加密器程序的进程的参数,诸如进程标识符、被所述进程执行的操作的日志等,且将所拦截的参数发送给所述检测模块160。
在一个示例性方面,分析模块130基于所拦截的请求的参数计算下面的准则,例如该请求希望操作的“*.docx”文件的类型(Microsoft文档的文件之一);操作文件的方法(例如,用于通过发送标签“OPEN_EXISTING(打开_现有的)”而打开现有的文件的请求);操作文件的类型(例如,用于通过发送标签“GENERIC_WRITE(通用的_写入)”而写入文件的请求);文件修改参数(例如,用新的数据覆盖整个文件);和新的文件名(即,与旧的文件名不同)。
在一个示例性方面,基于一个或多个以下的准则,分析模块130接下来基于确定用于执行数据的备份拷贝的需求的规则而执行所计算的准则的分析:(1)根据所请求的文件的类型,分析模块130确定用于其进一步处理的需求且确定文件的完整性对于操作系统的工作是否重要(例如,可执行文件“*.exe”、“*.dll”等)或者确定文件的完整性对于用户是否重要(数据库、Microsoft Office文档、电子邮件文件、相片等);(2)根据操作文件的方法,分析模块130确定操作文件是否能够引起文件修改(例如,打开现有的文件,但是创建新的文件);(3)根据针对文件进行操作的类型,分析模块130确定操作文件是否将导致文件修改(例如,打开用于写入的文件,但是打开只读文件);和(4)根据被写入的数据,分析模块130确定这是否将引起数据修改或者数据是否不会受到影响(例如,通过将数据添加到流式视频文件)。
根据一个方面,如果所述规则中的至少一个规则已经被所计算的准则所触发(例如,根据文件类型或者对于该文件的操作类型,即,在目前示例中这意味着加密器程序将写入到Microsoft文档),则分析模块130形成用于将Microsoft文档备份拷贝到备份数据库150的请求且将该请求发送给备份模块140。
反过来,已经从分析模块130接收到该请求的备份模块140,执行将通过加密器程序修改的Microsoft文档从数据存储模块110备份拷贝到备份数据库150。
在又一方面,加密器程序的进程的文件活动的跟踪不在此时结束。而是当加密器程序访问新的Microsoft文档以改变它时,活动跟踪模块120将加密器程序的进程的请求的新参数发送给分析模块130并且所述分析模块130将形成用于备份拷贝被修改的Microsoft文档的请求且将该请求发送给备份模块140。加密器程序的进程的文件活动的跟踪可持续直到加密器程序的进程被检测模块160所阻断。
在这方面,基于从活动跟踪模块120所接收的、修改Microsoft文档的加密器程序的进程参数(例如,到达用于运行所述进程的应用程序的路径、进程描述符、被所述进程执行的操作的日志),检测模块160确定该进程对于文档的完整性的威胁等级。在一个示例性方面,通过分析被修改的文档的内容的不可恢复的损失的可能性来计算威胁等级。例如,文件可被不可恢复地删除或重命名,文件的属性和权限可被修改,文件的内容可被加密,且由于缺乏对应的密钥在用户的计算机上不存在解密的可能性等。由于从检测模块160的角度来看不受信任的进程(例如,被受信任的数字签名所签名的系统文件等),正在执行写入文件和重命名文件的操作,故这些动作被检测模块160当作是表示对于文档数据的威胁。另外,在一个示例性方面,接收到的被所述进程执行的操作的日志的分析结果(例如,用于写入和重命名不同文件夹、包括临时文件夹中的文档的许多请求)表明运行被分析的进程的加密器程序是恶意的且对用户的文件造成了潜在的损失。
在检测模块160已经对所分析的被进程修改的Microsoft文档的内容的不可恢复的损失的可能性做出裁定后,检测模块160阻断该进程的操作(例如,它可从存储器中删除该进程、停止进程的执行、隔离所述进程等),形成用于将被所阻断的进程修改的文档从备份数据库150恢复到数据存储模块110的请求,且将该请求发送给备份模块140。在这方面,接收来自检测模块160的请求的备份模块140,将被加密器程序修改的文档从备份数据库150恢复到数据存储模块110。结果,在一个示例性方面,被加密器程序修改的文档都没有被损坏。
恢复修改的数据的系统和方法的另一示例为在Internet(因特网 )进程已经被注入器程序修改后恢复Internet进程。注入器程序是恶意软件,其将它的数据(例如,用于替换原始资源的执行代码或者资源,诸如图像)插入到在系统中工作的进程的存储区中。
在该示例中,注入器程序搜索Internet进程,之后注入器程序将其数据以广告横幅图像的形式注入到所发现的进程的存储器内,并用这些数据替代Internet浏览器中显示的原始图像(例如,包含在被显示的页面中的诸如图标或图像的图形界面元素)。当注入器程序访问作为操作系统的内存管理器的数据存储模块110时,通过用于访问Internet的存储区以进行改变的请求,它执行WinAPI函数“::VirtualAllocEx”和“::WriteProcessMemory”的调用。活动跟踪模块120拦截这些请求且确定它们的参数,即,哪个存储区正在被访问、它准备在存储器上执行哪些操作等。所确定的参数通过活动跟踪模块120被发送给分析模块130。活动跟踪模块120还拦截注入器程序的进程参数,诸如进程标识符、被进程执行的操作的日志等,且将这些进程参数发送给检测模块160。
在一个示例性方面,基于所拦截的从活动跟踪模块120接收的进程对数据存储模块110的请求的参数,分析模块130计算下面的准则,例如:
●被请求的存储区属于哪个应用程序(例如,在本示例中,Internet);
●操作存储器的方法(例如,用于通过发送标签“MEM_COMMIT”、“MEM_RESERVE”、“PAGE_EXECUTE_READWRITE”而写入到存储器的请求);和
●存储器修改参数(例如,将发生写入的存储器地址、从其将进行写入的存储器地址、将被写入的数据大小等)。
在一个示例性方面,分析模块130然后可基于确定用于执行备份数据拷贝的需求的规则而执行所计算的准则的分析:
●根据请求访问其存储器的进程的类型,分析模块130确定用于其进一步处理的需求以及文件的完整性对于操作系统的工作是否重要(例如,操作系统的应用程序等);
●根据操作存储器的方法,分析模块130确定所述操作是否可导致数据的修改;
●根据操作存储器的类型,分析模块130确定操作存储器是否将导致其修改;
●根据正在被写入的数据,分析模块130确定这是否将导致该进程的存储器中的数据的修改,或者数据是否将不受影响。
如果至少一个规则已经被所计算的准则触发(例如,根据进程的类型或者针对该进程的操作类型,即在本示例中这意味着注入器程序将写入到Internet进程的存储器),则分析模块130形成用于将Internet Explorer进程的所选定的存储区备份拷贝到备份数据库150的请求且将该请求发送给备份模块140。已经接收到来自分析模块130的请求的备份模块140,执行将被注入器程序修改的Internet进程的存储区从数据存储模块110备份拷贝到备份数据库150。
在一个示例性方面,基于从活动跟踪模块120接收到的、修改Internet的存储区的注入器程序的进程参数(例如到达用于运行进程的应用程序的路径、进程描述符、被进程执行的操作的日志等),检测模块160确定进程对于存在于被该进程修改的存储区内的数据的完整性的威胁等级。威胁等级通过分析被进程修改的存储区的内容的不可恢复的损失的可能性来计算。由于所述进程执行对另一进程的存储区进行写入的操作,故此类动作被检测模块160识别成构成对于Internet Explorer进程的数据的威胁。另外,所接收到的被进程(许多用于写入外来进程的请求)执行的操作的日志的分析结果表明,运行所分析的进程的注入器程序是恶意的且对用户数据带来潜在损坏。
在检测模块160已经对所分析的被进程修改的区域中存在的数据的不可恢复的损失的可能性做出裁定后,检测模块160阻断该进程的操作(例如,它从存储器中删除进程、停止进程的执行、隔离进程等),形成用于将被阻断的进程修改的进程的数据从备份数据库150恢复到数据存储模块110的请求且将该请求发送至备份模块140。
在这方面,接收来自检测模块160的请求的备份模块140,将被注入器程序修改的数据从备份数据库150恢复到数据存储模块110。结果,被注入器程序修改的Internet进程文档没有被损坏。
图2示出了根据示例性方面的恢复修改数据的示例性方法的流程图。如总体所示,所述方法包括拦截修改数据的请求(步骤210)、确定所拦截的请求的参数(步骤220)、执行数据的备份拷贝(步骤230)、确定进程参数(步骤240)、分析进程参数(步骤250)、阻断进程的操作(步骤260)、和恢复被修改的数据(步骤270)。
更具体地,根据示例性方面,在步骤210,活动跟踪模块120拦截至少一个来自进程的数据修改的请求。如上所述,例如,其修改请求已经被拦截的数据可是文件和/或存储器地址。另外,进程的数据修改请求可为:例如操作系统的API函数、尤其是用于Microsoft的WinAPI函数和/或操作系统内核函数。
在步骤220,分析模块130确定所拦截的请求的参数。根据示例性方面,所拦截的请求的参数可例如为唯一数据标识符、操作数据的方法、对数据进行操作的类型和数据修改的参数。
接下来,在步骤230,作为对于所拦截的请求确定的参数的分析的结果,备份模块140将数据备份拷贝到备份数据库150。所拦截的请求的参数的分析通过确定数据修改的可能性来进行(例如,打开具有写入权限的文件、调用删除文件的函数等)。
在步骤240,分析模块130确定发送用于修改数据的请求的进程的参数。该进程参数可为例如到达运行该进程的应用程序的路径、进程描述符、通过该进程执行的操作的日志。
接下来,在步骤250,使用规则分析进程的参数,以确定进程对于被该进程修改的数据的完整性的威胁等级。在一个方面,步骤210到步骤250可被重复,至少直到进程的操作在步骤260被阻断。
在一个示例性方面,用于确定进程对于被修改的数据的完整性的威胁等级的规则可测试被所述进程修改的数据的不可恢复的损失的可能性,即,例如在数据不能够被解密的情况下的数据加密(例如,由于不能够获得所需的解密密钥)、数据覆盖(即,写入新的数据替代旧的数据,而不能够恢复旧的数据)、以及删除数据。
在步骤260,基于在步骤250中执行的分析的结果,可阻断进程的操作。在一个示例性方面,进程的操作可例如通过从存储器中删除进程、停止进程的执行、以及隔离运行进程的文件来阻断。最后,在步骤270,被进程修改的数据从备份数据库150中恢复。
接下来,提供了一种用于基于上文概括的原理来恢复修改数据的方法,例如在图像文件(例如,“*.jpeg”、“*.GIFf”等)的名称已经被重命名且对文件的访问权限已经被勒索程序改变后,使用这些图像文件的恢复来恢复修改数据。如上所述,勒索程序是恶意软件,其通过重命名文件、改变在文件系统中的位置、改变访问权限等来限制访问文件,诸如图像、视频以及其他,并且恶意软件通过向特定的程序付费而向用户提供用于恢复被更改的文件的机会。
根据示例,勒索程序在感染的计算机的硬盘上搜索图像文件,在搜索后,其改变图像文件在文件系统中的位置、还改变访问权限,从而使得不具有管理者权限的用户不能够访问文件。在步骤210,当勒索程序发送用于修改被处理的图像文件的请求时,包括调用WinAPI函数“::MoveFile”和“::SetNamedSecurityInfo”,所述请求被拦截。在该请求已经被拦截后,在步骤220,确定请求的参数。在该示例中,请求参数为文件的旧路径和新路径、文件类型(结构“SE_OBJECT_TYPE”)、安全性信息(结构“SECURITY_INFORMATION”)等。由于请求目的在于改变文件的参数,因此在步骤230,将被改变的参数备份拷贝到备份数据库150。接下来,在步骤240,确定被勒索程序运行的进程的参数,诸如进程标识符、被进程执行的操作的日志等。在步骤250,分析被勒索程序运行的进程的参数。由于从检测模块160的角度来看不受信任的进程执行步骤250(例如,被受信任的数字签名所签名的系统文件等),所接收到的被进程执行的操作的日志的分析结果,诸如许多用于改变在不同的文件夹中的图像文件(包括临时图像文件)的请求,表明运行被分析的进程的勒索程序是恶意的且对用户的文件造成潜在的损失(即,上文所述的动作的特征在于恶意程序且不是受信任的应用程序)。在勒索程序已经被识别为恶意的之后,在步骤260,阻断勒索程序的操作。为此,进程被停止且从存储器中删除,此后,勒索程序的文件被隔离以避免随后的恶意程序的反复调用。在这之后,在步骤270,恢复被勒索程序改变的文件属性和访问权限。作为进程的结果,被勒索程序更改的图像文件都没有被损坏。
图3示出了可在其上实现所公开的系统和方法的通用计算机系统(其可以是个人计算机或服务器)的示例。该计算机系统20包括中央处理单元21、系统存储器22和连接各种系统组件的系统总线23,各种系统组件包括与中央处理单元21关联的存储器。系统总线23像从现有技术已知的任何总线结构一样来实现,依次包括总线存储器或总线存储器控制器、外围总线和本地总线,系统总线23能够与任何其它的总线架构交互。系统存储器包括只读存储器(ROM)24和随机存取存储器(random-access memory,RAM)25。基本输入/输出系统(basicinput/output system,BIOS)26包括确保在个人计算机20的元件之间的信息传输的基本过程,例如在使用ROM 24加载操作系统时的那些基本过程。
个人计算机20依次包括用于数据的读取和写入的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、DVD-ROM和其它的光学信息介质)上读取和写入的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34而连接到系统总线23。驱动器和对应的计算机信息介质为用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现方式,但是应当理解的是,可以采用能够存储计算机可读形式的数据的其它类型的计算机信息介质56(固态驱动器、闪存卡、数字盘、RAM等等),计算机信息介质56经由控制器55连接到系统总线23。
计算机20具有文件系统36,其中存储所记录的操作系统35,并且还具有额外的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20中。可以使用其它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这种输入设备通常通过串行端口46插入到计算机系统20中,串行端口46则连接到系统总线,但是它们可以以其它的方式连接,例如借助并行端口、游戏端口或通用串行总线(universal serial bus,USB)进行连接。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器47,个人计算机可以还装备有其它的外围输出设备(未示出),例如扬声器、打印机等等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接在网络环境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述个人计算机20的性质时(如图3所示)大多数或全部上述元件。其它的设备也可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(local-area computer network,LAN)50(诸如有线网络和/或无线网络)和广域计算机网络(wide-area computer network,WAN)。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或其它的用于提供与广域计算机网络(例如因特网)的通信的模块。调制解调器54是内部设备或外部设备,通过串行端口46连接到系统总线23。应当注意的是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过技术通信模块(诸如蓝牙)建立一个计算机到另一个计算机的连接的其它方式。
在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则上述方法可以被存储为在非易失性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,所述任何其它介质可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文所使用的术语“模块”指的是现实世界的设备、组件、或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的组件的布置、或硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组,该指令组在被执行时将微处理器系统转换成专用设备。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分可以在通用计算机(例如上文在图3中更详细描述的通用计算机)的处理器上执行,以及在某些情况下,模块的全部可以在通用计算机的处理器上执行。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所列举的任何特定的实现方式。
为了清楚起见,本文没有公开各个方面的所有常用特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者不同。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域的技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的更多的修改是可行的,而不脱离本文所公开的发明构思。
Claims (14)
1.一种用于恢复修改的数据的方法,所述方法包括:
通过硬件处理器拦截来自程序的用于修改数据的请求;
通过所述硬件处理器确定所拦截的请求的参数;
通过所述硬件处理器,基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;
通过所述硬件处理器生成所述数据的备份拷贝;和
通过所述硬件处理器将所述备份拷贝存储在备份数据存储器中。
2.根据权利要求1所述的方法,其中,所述所拦截的请求的参数包括所拦截的请求的唯一数据标识符、操作所述数据的方法、对所述数据进行的操作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。
3.根据权利要求1所述的方法,还包括:
确定修改所述数据的所述程序的进程的参数;
分析所确定的进程参数;和
基于对所述进程参数的分析,阻断所述程序的所述进程的进一步操作。
4.根据权利要求3所述的方法,还包括:
确定所述数据是否已经被恶意程序的进程修改;和
如果所述数据已经被所述恶意程序的进程修改,则在已经阻断所述恶意程序的进程的进一步操作之后使用所述数据的所述备份拷贝来恢复所述数据。
5.根据权利要求3所述的方法,其中,所述分析所确定的进程参数包括:确定修改所述数据的所述程序的所述进程的参数的威胁等级和基于所述威胁等级阻断所述程序的所述进程的进一步操作。
6.根据权利要求3所述的方法,其中,所述阻断所述程序的所述进程的进一步操作包括从设备的存储器中删除所述进程、停止所述进程的执行、和隔离运行所述进程的文件中的至少一者。
7.根据权利要求3所述的方法,还包括:
通过所述硬件处理器根据规则分析所述所拦截的请求的参数,所述规则包括以下规则中的至少一者:
基于所述数据的类型备份所述数据的需求;
来自所述程序的请求是否将修改所述数据的用户操作;
来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修改所述数据;和
当所述数据被写入文件时所述数据是否将被修改。
8.一种用于恢复修改的数据的系统,所述系统包括:
硬件处理器,所述硬件处理器被配置成:
拦截来自程序的用于修改数据的请求;
确定所拦截的请求的参数;
基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;
生成所述数据的备份拷贝;和
将所述备份拷贝存储在备份数据存储器中。
9.根据权利要求8所述的系统,其中,所述所拦截的请求的参数包括所拦截的请求的唯一数据标识符、操作所述数据的方法、用于对所述数据进行的操作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。
10.根据权利要求8所述的系统,其中,所述硬件处理器还被配置成:
确定修改所述数据的所述程序的进程的参数;
分析所确定的进程参数;和
基于对所述进程参数的分析,阻断所述程序的所述进程的进一步操作。
11.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:
确定所述数据是否已经被恶意程序的进程修改;和
如果所述数据已经被所述恶意程序的进程修改,则在已经阻断所述恶意程序的进程的进一步操作之后使用所述数据的所述备份拷贝来恢复所述数据。
12.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:
确定修改所述数据的所述程序的所述进程的进程参数的威胁等级;和
基于所述威胁等级阻断所述程序的所述进程的进一步操作。
13.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:通过从设备的存储器中删除所述进程、停止所述进程的执行、和隔离运行所述进程的文件中的至少一者阻断所述程序的所述进程的进一步操作。
14.根据权利要求10所述的系统,其中,根据规则分析所述所拦截的请求的参数,所述规则包括以下规则中的至少一者:
基于所述数据的类型备份所述数据的需求;
来自所述程序的请求是否将修改所述数据的用户操作;
来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修改所述数据;和
当所述数据被写入文件时所述数据是否将被修改。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/744,570 US9588848B2 (en) | 2015-06-19 | 2015-06-19 | System and method of restoring modified data |
US14/744,570 | 2015-06-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106257481A true CN106257481A (zh) | 2016-12-28 |
CN106257481B CN106257481B (zh) | 2019-03-05 |
Family
ID=53716364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610112970.XA Active CN106257481B (zh) | 2015-06-19 | 2016-02-29 | 用于恢复修改的数据的系统和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9588848B2 (zh) |
EP (1) | EP3107024B1 (zh) |
JP (1) | JP6352332B2 (zh) |
CN (1) | CN106257481B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
CN107563192A (zh) * | 2017-08-10 | 2018-01-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10021120B1 (en) * | 2015-11-09 | 2018-07-10 | 8X8, Inc. | Delayed replication for protection of replicated databases |
US10264002B2 (en) | 2016-07-14 | 2019-04-16 | Mitsui Bussan Secure Directions, Inc. | Program, information processing device, and information processing method |
JP6219550B1 (ja) * | 2017-05-19 | 2017-10-25 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
US10715533B2 (en) | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10210330B1 (en) * | 2016-09-13 | 2019-02-19 | Symantec Corporation | Systems and methods for detecting malicious processes that encrypt files |
WO2018111271A1 (en) * | 2016-12-15 | 2018-06-21 | Hewlett-Packard Development Company, L.P. | Ransomware attack monitoring |
US10516688B2 (en) | 2017-01-23 | 2019-12-24 | Microsoft Technology Licensing, Llc | Ransomware resilient cloud services |
US10628585B2 (en) * | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
US11216559B1 (en) * | 2017-09-13 | 2022-01-04 | NortonLifeLock Inc. | Systems and methods for automatically recovering from malware attacks |
US20190102543A1 (en) * | 2017-09-29 | 2019-04-04 | AVAST Software s.r.o. | Observation and classification of device events |
US11281495B2 (en) * | 2017-10-26 | 2022-03-22 | Advanced Micro Devices, Inc. | Trusted memory zone |
US11010470B2 (en) | 2017-12-15 | 2021-05-18 | Microsoft Technology Licensing, Llc | Anti-virus file system cache for operating system remediation |
US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
US10891200B2 (en) * | 2019-01-18 | 2021-01-12 | Colbalt Iron, Inc. | Data protection automatic optimization system and method |
US11063907B2 (en) | 2019-01-18 | 2021-07-13 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11212304B2 (en) | 2019-01-18 | 2021-12-28 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11308209B2 (en) | 2019-01-18 | 2022-04-19 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US10893090B2 (en) | 2019-02-14 | 2021-01-12 | International Business Machines Corporation | Monitoring a process on an IoT device |
JP7287125B2 (ja) * | 2019-06-03 | 2023-06-06 | コニカミノルタ株式会社 | 情報処理装置、ファイル不具合対処方法、およびコンピュータプログラム |
CN110196813B (zh) * | 2019-06-06 | 2023-05-02 | 北京百度网讯科技有限公司 | 接口测试方法、装置、设备和介质 |
US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
US11341236B2 (en) * | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
US20210383010A1 (en) * | 2019-11-22 | 2021-12-09 | Pure Storage, Inc. | Measurement Interval Anomaly Detection-based Generation of Snapshots |
US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
US20210216631A1 (en) * | 2019-11-22 | 2021-07-15 | Pure Storage, Inc. | Filesystem Property Based Determination of a Possible Ransomware Attack Against a Storage System |
US11645162B2 (en) * | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
US11657155B2 (en) * | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
CN112948181A (zh) * | 2021-03-22 | 2021-06-11 | 深圳闪回科技有限公司 | 一套数据修改备份恢复系统 |
CN113094660A (zh) * | 2021-04-02 | 2021-07-09 | 上海中通吉网络技术有限公司 | 接口调用的方法、装置及设备、存储介质 |
WO2022225508A1 (en) * | 2021-04-20 | 2022-10-27 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
US20140325616A1 (en) * | 2013-04-30 | 2014-10-30 | International Business Machines Corporation | File system level data protection during potential security breach |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030159070A1 (en) * | 2001-05-28 | 2003-08-21 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
JP4733323B2 (ja) * | 2001-09-17 | 2011-07-27 | 株式会社アール・アイ | データ一括保護システム |
US8095511B2 (en) * | 2003-06-30 | 2012-01-10 | Microsoft Corporation | Database data recovery system and method |
JP2005293272A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Ltd | データ管理システム、データ管理方法、データ管理プログラム、およびファイル管理プログラム |
JP4624829B2 (ja) | 2004-05-28 | 2011-02-02 | 富士通株式会社 | データバックアップシステム及び方法 |
US7779296B2 (en) * | 2004-07-23 | 2010-08-17 | Emc Corporation | Storing data replicas remotely |
JP4729890B2 (ja) * | 2004-09-07 | 2011-07-20 | 富士ゼロックス株式会社 | ファイル管理装置 |
US7716743B2 (en) | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
US20070180525A1 (en) * | 2006-01-30 | 2007-08-02 | Bagnall Robert J | Security system and method |
US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
US9015430B2 (en) | 2010-03-02 | 2015-04-21 | Symantec Corporation | Copy on write storage conservation systems and methods |
CN103078864B (zh) * | 2010-08-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御文件修复方法 |
US8590041B2 (en) * | 2011-11-28 | 2013-11-19 | Mcafee, Inc. | Application sandboxing using a dynamic optimization framework |
RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
-
2015
- 2015-06-19 US US14/744,570 patent/US9588848B2/en active Active
- 2015-07-16 EP EP15177156.5A patent/EP3107024B1/en active Active
-
2016
- 2016-02-29 CN CN201610112970.XA patent/CN106257481B/zh active Active
- 2016-05-06 JP JP2016093081A patent/JP6352332B2/ja active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
US20140325616A1 (en) * | 2013-04-30 | 2014-10-30 | International Business Machines Corporation | File system level data protection during potential security breach |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
CN107563192A (zh) * | 2017-08-10 | 2018-01-09 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
CN107563192B (zh) * | 2017-08-10 | 2020-02-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
JP6352332B2 (ja) | 2018-07-04 |
EP3107024A1 (en) | 2016-12-21 |
CN106257481B (zh) | 2019-03-05 |
US9588848B2 (en) | 2017-03-07 |
EP3107024B1 (en) | 2017-07-05 |
JP2017010531A (ja) | 2017-01-12 |
US20160371152A1 (en) | 2016-12-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106257481A (zh) | 用于恢复修改的数据的系统和方法 | |
CN109074452B (zh) | 用于生成绊网文件的系统和方法 | |
Volety et al. | Cracking Bitcoin wallets: I want what you have in the wallets | |
US8046592B2 (en) | Method and apparatus for securing the privacy of sensitive information in a data-handling system | |
US9348984B2 (en) | Method and system for protecting confidential information | |
CN109478220A (zh) | 对云驱动器文件夹上勒索软件攻击的补救 | |
US8392706B2 (en) | Method and system for searching for, and collecting, electronically-stored information | |
US9338012B1 (en) | Systems and methods for identifying code signing certificate misuse | |
US20080235791A1 (en) | System and Method for Distributed Module Authentication | |
Wei et al. | Android privacy | |
Ami et al. | Ransomware prevention using application authentication-based file access control | |
Villalba et al. | Ransomware automatic data acquisition tool | |
Bajpai et al. | Know thy ransomware response: a detailed framework for devising effective ransomware response strategies | |
RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
Sharma et al. | Ransomware detection, prevention and protection in IoT devices using ML techniques based on dynamic analysis approach | |
Kumari | Big data: Challenges and solutions | |
US20220188445A1 (en) | Secure smart containers for controlling access to data | |
Fernández-Fuentes et al. | Recovering from Memory the Encryption Keys Used by Ransomware Targeting Windows and Linux Systems | |
Kharraz | Techniques and Solutions for Addressing Ransomware Attacks | |
CN105975860A (zh) | 一种信任文件管理方法、装置及设备 | |
Galloway | Application Whitelisting as a Malicious Code Protection Control | |
Gutierrez et al. | Reactive redundancy for data destruction protection (R2D2) | |
Medvinsky et al. | From social engineering to quantum threats: safeguarding user wallets with FailSafe | |
TWI780655B (zh) | 能分隔應用程式程序之資料處理系統及資料處理方法 | |
Amoah | Examining Strategies Cybersecurity Specialists Need to Implement to Mitigate Cloud Data Security Vulnerabilities during Usage |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |