CN1794193A - 自恢复性能设备的方法和系统 - Google Patents
自恢复性能设备的方法和系统 Download PDFInfo
- Publication number
- CN1794193A CN1794193A CNA2005101268009A CN200510126800A CN1794193A CN 1794193 A CN1794193 A CN 1794193A CN A2005101268009 A CNA2005101268009 A CN A2005101268009A CN 200510126800 A CN200510126800 A CN 200510126800A CN 1794193 A CN1794193 A CN 1794193A
- Authority
- CN
- China
- Prior art keywords
- change
- state
- equipment
- user
- disk state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 114
- 208000015181 infectious disease Diseases 0.000 claims abstract description 45
- 230000008859 change Effects 0.000 claims description 55
- 238000012550 audit Methods 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims description 2
- 206010024774 Localised infection Diseases 0.000 claims 1
- 230000008569 process Effects 0.000 description 76
- 230000000694 effects Effects 0.000 description 20
- 241000700605 Viruses Species 0.000 description 18
- 230000009467 reduction Effects 0.000 description 14
- 230000002155 anti-virotic effect Effects 0.000 description 13
- 238000011084 recovery Methods 0.000 description 11
- 238000012545 processing Methods 0.000 description 10
- 238000004321 preservation Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 230000004048 modification Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 6
- 238000011946 reduction process Methods 0.000 description 6
- 238000011109 contamination Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000003716 rejuvenation Effects 0.000 description 3
- 238000009877 rendering Methods 0.000 description 3
- 239000012190 activator Substances 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000008676 import Effects 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000008439 repair process Effects 0.000 description 2
- 230000002441 reversible effect Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000000840 anti-viral effect Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000015556 catabolic process Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99951—File or database maintenance
- Y10S707/99952—Coherency, e.g. same view to multiple users
- Y10S707/99953—Recoverability
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
- Medical Preparation Storing Or Oral Administration Devices (AREA)
- Medicines Containing Material From Animals Or Micro-Organisms (AREA)
Abstract
提供一种自恢复性能设备,其中,在检测到设备上由攻击导致的感染的时间与设备可以被还原至的更早时间点之间的改变,该设备能够至少部分地基于进行了何种改变、改变是善意还是由恶意软件引起的、是否在感染可能发生的时刻之后进行改变以及是否安装了新软件来恢复。
Description
相关申请的交叉引用
本发明涉及同时提交的,名为“COMPUTER SECURITY MANAGEMENT,SUCH AS IN A VIRTUAL MACHINE OR HARDENED OPERATING SYSTEM(诸如在虚拟机或硬化操作系统中的计算机安全管理)”的美国非临时性专利申请(MS#309007.1),该申请转让给与本申请相同的受让人。
技术领域
本发明涉及计算设备,尤其涉及恢复和还原受恶意软件感染的计算设备。
背景技术
现有的反病毒技术被设计成对由诸如病毒或蠕虫等恶意软件攻击而损坏或破坏的文件和数据进行隔离或杀毒,此处一般将恶意软件攻击称为恶意软件。然而,反转损坏需要关于在攻击中使用的恶意软件的知识,诸如由特定病毒造成的损坏的类型和反转损坏的指令。获取这样的知识是一个劳动密集型过程,因为反病毒研究者必须对特定的病毒进行反向工程,并开发反转损坏的指令,即,必须开发标识并移除恶意软件的签名。因此,在获取修复受攻击影响的文件和数据所必需的签名时总是存在延迟。此外,所得的修复可能不能涵盖恶意软件的变种,这需要获取更新的签名。这是尤其是成问题的,因为受到攻击的设备通常是未安装反病毒软件,或使得他们的反病毒预订失效从而没有更新签名的消费者的个人计算机。
恶意软件有时在受攻击的设备中开启“后门”,其它恶意软件可以恶意利用该“后门”来进一步危及该设备的安全。因为不总是可能知道哪种其它恶意软件恶意利用后门并安装其自身,设备可能处于感染的不定状态中,且使用基于签名的移除可能无法容易地修复损坏。
恶意软件也可以将设备留在其中操作系统文件不再完好的状态中。这要求在试图修复剩余的损坏之前替换损坏的操作系统文件的恢复步骤。
在某些情况下,由恶意软件引起的损坏可能是不可修复的。例如,通过文件传染源传播的恶意软件可以用不可逆转的方式损坏可执行数据或用户数据,使得文件受感染或被禁用。恶意软件也可以恶意地删除现有反病毒技术不能还原的文件。
与恶意软件在被检测到之前能够感染大量的设备的速度相连的这些问题,以及能通过绕过现有反病毒防御来渗透进程的恶意软件的流行,向防御恶意软件攻击提出了诸多挑战。
发明内容
本发明的原理可以克服本领域的现有技术的前述问题,本发明的原理针对用于从恶意软件攻击中恢复的方法、系统、计算机程序产品和数据结构。
根据本发明的一个方面,分析设备以确定在检测到由攻击产生的感染的时刻与设备能够被还原至的更早的时间点之间是否做出了任何改变。当没有做出改变时,设备的状态可以被还原至该更早的时间点。当做出了改变时,至少部分地基于该改变是否是在估算感染发生之后进行的,来还原设备的状态。可以基于进行了何种改变、改变是善意的还是由恶意软件引起的、以及是否安装了新软件来进一步还原设备的状态。
根据本发明的一个其它方面,从设备状态的改变中揭露可以指示感染的存在的证据。证据可以由从为设备使用的文件系统维护的变化日志中解析和/或聚集的信息来揭露。证据也可以由检查存储在设备上的归档和活动数据之间的差别来揭露,这些差别包括在不同时间点上设备的磁盘状态之间的差别。证据可以包括指示感染实际或可能发生的时间的证据。指示感染实际或可能发生的时间的证据可以被分析来确定对感染发生的实际时间的估算。
根据本发明的一个其它方面,设备可以被还原至的更早时间点,被称为还原点,可以由在对应的更早时间点上保存的设备的可用磁盘状态来确定。可以通过磁盘状态接口来评估可用的已保存磁盘状态的可信度。磁盘状态接口可以结合一个或多个恶意软件提供者来操作,以评估磁盘状态的可信度,用于从恶意软件攻击中恢复以及其它使用目的。可信度的评估可以包括根据分级方案对磁盘状态分级,分级方案指示了感染的存在或不存在,或者感染的存在与否未知。
根据本发明的又一方面,处理设备来标识自从估算发生感染的时间以来做出的改变。改变可以包括文件和其它数据的添加、修改以及删除,且可以包括善意的或由恶意软件引起的改变。文件和其它数据包括,但不限于,操作系统文件和/或包括注册表项的其它系统数据,以及用户文件和/或其它用户数据。不包括临时性的改变。
根据本发明的另一方面,还处理设备来确定自从还原点以来是否安装了新软件。当没有安装新软件时,设备可以通过将操作系统文件和/或包括注册表项的其它系统数据的状态还原至还原点来至少部分地恢复。
根据本发明的再一方面,可以通过选择性地恢复在估算感染发生的时间之后做出的改变,包括基于用户确认来选择性地恢复改变,来恢复设备。还可以通过基于已保存磁盘状态的可信度从对应于还原点的已保存磁盘状态中选择性地恢复改变来恢复设备。
根据本发明的一个其它方面,可以在用户界面中呈现改变来便于恢复设备,包括向设备用户提示确认恢复哪些改变和/或如何恢复它们,还包括向设备用户呈现可从中恢复改变的已保存磁盘状态的可信度。
附图说明
当结合附图参考以下详细描述时,可以更容易地领会和更好地理解本发明的前述方面和众多伴随的优点,附图中:
图1描述了根据本发明而形成的用于从恶意软件攻击中恢复的示例性系统的概述;
图2描述了根据本发明,示出可在其中使用用于从恶意软件攻击中恢复的系统的典型情形的时间线;
图3描述了根据本发明而形成的图1中所示的示例性系统的其它方面;
图4描述了根据本发明而形成的图1中所示的示例性系统的其它方面;
图5是示出根据本发明而形成的,由通用计算机系统执行的用于从恶意软件攻击中恢复的逻辑的某些方面的流程图;
图6是示出根据本发明而形成的,由通用计算机系统执行的用于从恶意软件攻击中恢复的逻辑的某些其它方面的流程图;
图7是示出根据本发明而形成的,由通用计算机系统执行的用于从恶意软件攻击中恢复的逻辑的某些其它方面的流程图;
图8A-8C是用于实现图1-7中所示的方法和系统的某些方面的示例性用户界面的截图;以及
图9A-9E是用于实现图1-7中所示的方法和系统的某些其它方面的示例性用户界面的截图。
具体实施方式
以下讨论旨在提供适于实现本发明的各种特征的计算系统的简要概括描述。计算系统将在可用于分布式计算环境的个人计算机的通用环境中描述,在分布式计算环境中,补充任务可以由通过通信网络连接的远程计算设备来执行。然而,本领域的技术人员可以理解,本发明可以使用众多其它计算机系统配置来实现。例如,本发明可以使用运行在独立环境中的个人计算机来实现,或使用多处理器系统、小型机、大型机等来实现。除了上述常规计算机系统之外,本领域的技术人员可以认识到,本发明可以在其它类型的计算设备上实现,包括膝上型计算机、图形输入板计算机、个人数字助理(PDA)或者其上安装计算机软件或其它数字内容的任何设备。
为方便起见,适于实现本发明的各种特征的计算系统的众多描述可以包括对用来存储和检索驻留在存储卷上的文件的Windows NT操作系统和文件系统(NTFS)的引用。然而,本领域的技术人员可以认识到,这些引用仅是说明性的,且不用作对本发明的一般应用的限制。例如,本发明可以在其它操作系统和文件系统的环境中实现,诸如Windows操作系统的其它版本中使用的文件分配表(FAT)和OS/2高性能文件系统(HPFS),或者LINUX操作系统及其相关联的文件系统。
本发明的某些方面可以按照由操作系统结合个人计算机来执行或访问的程序来描述。然而,本领域的技术人员可以认识到,这些方面也可以结合各种其它类型的程序模块或数据结构来实现。一般而言,程序模块和数据结构包括例程、子例程、程序、子程序、方法、接口、进程、过程、函数、组件、模式等,它们执行特定的任务或实现特定抽象数据类型。
图1描述了根据本发明而形成的用于从恶意软件攻击中恢复的示例性系统100的概述。如图所示,系统100包括恢复分析器114和恢复进程126以及其它组件,恢复分析器114和恢复进程126一起实现过程来还原设备,并从在较早的时间点使用归档进程134归档的一卷或多卷数据的已保存磁盘状态中恢复数据。在操作中,恢复分析器114分析设备来揭示该设备已被恶意软件攻击的证据。在一个实施例中,恢复分析器114还确定对实际感染时间的估算,以及在估算的感染时间之前的时间点归档的已保存磁盘状态的可用性。恢复进程126使用已保存磁盘状态120来还原在攻击中损坏的设备和/或恢复在攻击中损坏的数据,即恢复设备的性能。
攻击的证据以及对感染时间的估算可以基于从设备上的一个或多个源118中收集的信息,源118包括但不限于,已保存磁盘状态120、活动数据122和由运行在设备上文件系统生成的变化日志124。在一个实施例中,信息由状态改变剖析器/聚集器模块116来剖析和聚集,该模块可以从状态改变和其它系统监察信息中揭示可以指示感染的存在的证据。
例如,在一个实施例中,状态变化日志124可以被实现为Windows NT文件系统(“NTFS”)变化日志。由于文件、目录和其它NTFS对象被添加、删除和修改,NTFS以流的方式输入变化日志记录,设备上的每一卷对应一条记录。每一记录指示变化的类型和改变的对象。特定记录从流开头的偏移量被称为该特定记录的更新序号(USN)。新的记录被追加到流的尾部,之后,文件系统使用该改变的文件或目录的最新的USN值来更新主文件表(“MFT”)项。
在一个实施例中,从中可还原设备和恢复数据的已保存磁盘状态120可以是由诸如Windows卷阴影复制服务(“VSS”)(也被称为阴影副本)的归档进程134自动提供的数据卷的时间点副本。然而,可以理解,可以使用其它手段来保存设备中的磁盘状态,而不背离所附权利要求书的范围,只要磁盘状态对还原设备和/或恢复数据的目的足够可信。例如,在一个实施例中,已保存磁盘状态120可以由自动或按需生成设备上的数据快照的归档进程生成,或者可以从对其保持镜像丛的卷中持久保存的磁盘状态中获取,或者从使用独立存储设备或子系统复制的数据中获取。
在一个实施例中,状态改变剖析器/聚集器模块116剖析变化日志124中的信息或者检查已保存磁盘状态120来揭露可指示实际感染时间的证据。以这种方式,状态改变剖析器/聚集器模块116可以向恢复分析器114提供足够的信息,以使得分析器至少能够确定对实际感染时间的估算,即,确定可能感染时间。应该理解,可以按类似的方式使用除变化日志124和已保存磁盘状态120之外的系统监察信息的其它来源,来揭露证据并确定可能感染时间。例如,也可以使用查明进程创建时间的进程监察日志和来自设备管理控制台输出日志的其它记录的事件,只要被揭露的证据足够充分来以充足的特殊性等级确定可能感染时间。在某些实例中,证据甚至可能足够充分来确定实际感染时间。从而,在随后的描述中,对确定可能感染时间的引用可以被理解为包括确定实际感染时间,(如果揭露了足够充分的证据)。
在一个实施例中,一旦确定了可能感染时间,那么根据本发明,可以启动恢复进程126来从恶意软件攻击中恢复。或者,分析器114可以改为在其中触发事件保证设备的常规杀毒的情形中启动经典反病毒杀毒进程128,这些情形例如,反病毒签名指示恶意软件是相对简单的且杀毒是良好定义的。
在一个典型实施例中,恢复进程126可以被分成两个进程,即执行系统回退来恢复系统文件的系统还原进程130,以及恢复用户文件的用户数据回退进程132。恢复进程126可以启动进程130和132中的一个或两个,以使用在可能感染时间之前保存的磁盘状态来还原设备上的系统和/或选择性地恢复设备上的数据。
在一个实施例中,结合用户界面执行恢复进程126,这将在图4-9中更详细描述。用户界面便于设备的用户确认恢复过程。
包含在恢复分析器114和恢复进程126中的恢复过程的操作可以由一个或多个感染检测器104触发。在一个实施例中,感染检测器104包括行为触发器引擎106和反病毒触发器引擎108中的至少一个。感染检测器104可以适用于使用最小签名和/或其它检测试探110和签名更新112来检测触发恢复过程的操作的事件。例如匹配签名的事件等事件一般向与由已知病毒或其它类型的恶意软件引起的损坏相关的类型的设备发送信号指示可能或实际损坏。然而,事件也可以包括对设备上其它类型的可疑行为或信息的发现,这些行为或信息不是基于签名的,但指示恶意软件存的在。例如,为了减少对反病毒签名定义的依赖,最小签名和/或其它检测试探110可以包括不寻常磁盘或网络活动的出现或可疑数据的存在等等。可选地,或除此之外,可以通过手动触发器102来手动地触发恢复分析器114和恢复进程126的操作。
图2描述了根据本发明的实施例,示出可在其中使用用于从恶意软件攻击中恢复的上述系统100的典型情景200的时间线。如图所示,时间箭头204表示时间的经过,而平行的记录箭头202表示在所表示的时间经过中在变化日志中自动记录所有磁盘改变事件。类似地,平行的存储箭头218表示在所表示的时间经过中出现并可能已保存的时刻“t”的磁盘状态。在图中,突出显示了四个时刻,t还原204A、t感染204B、t检测204C以及t恢复204D。时刻t还原204A表示已保存磁盘状态可用于恢复设备的感染前状态的时刻,如参考标号206所示。时刻t感染204B表示设备实际被病毒、蠕虫或其它类型的恶意软件感染的时刻,如参考标号208所示。时刻t检测204C表示检测到病毒、蠕虫或其它类型的恶意软件的感染的时刻,如参考标号210所示。最后,时刻t恢复204D表示启动恢复的时刻,即设备的磁盘状态是感染的和未感染的状态的混合的时候,如参考标号212所示。
继续参考图2,在处理框220处,系统的分析器114一般通过使用如上参考图1所示的状态改变剖析器/聚集器116的服务来分析设备以确定对实际感染时间t感染204B的估算,即可能感染时间。在某些情况下,系统的分析器114可能能够确定实际感染时间t感染204B,而不仅是估算。在所示情形中,可能感染时间或实际感染时间t感染204B(视具体情况而定)以及例如在时刻t还原204A保存的可用磁盘状态的感染前磁盘状态,被输入至恢复进程126来确定是否能够恢复设备的操作系统和用户数据。在某些情况下,如参考标号214所示,通过使用先前已保存的磁盘状态,系统还原进程130用于将设备还原至它在可能感染时间或实际感染时间t感染204B之前的状态。可选地,或除此之外,如参考标号216所示,通过使用先前已保存的磁盘状态,用户回退进程132用于将磁盘上受感染的文件或其它数据回退至它们在可能感染时间或实际感染时间t感染204B之前的状态。
在典型情形中,可能存在若干已保存的磁盘状态t还原204A,从中,设备的操作系统和用户数据可以使用系统还原进程130和/或用户回退进程132来恢复。然而,不是所有可用的已保存磁盘状态t还原204A都是可信的。例如,在某些设备中,预期到一个或多个系统组件和/或其它第三方应用程序时常依赖于阴影副本,操作系统会通过在定期基础上取得阴影副本来保存磁盘状态。阴影副本一般跨病毒/恶意软件感染以及后继的杀毒的生存周期而持久保存。给定它们的只读性质,阴影副本自身可能被感染,且不是“可清洁的”。
由于受感染的磁盘状态可能长时间地被持久保存在阴影副本中,因此对诸如系统还原130和用户回退进程132等依赖于阴影副本的应用程序而言,获取阴影副本可信度的验证是谨慎的。可信度等级可以取决于使用的类型而不同。例如,当执行系统还原时,阴影副本可以遵循或不遵循比当执行单个文件(例如,用户数据)还原时的更高标准的可信度。从而,在一个实施例中,系统还原130和用户回退进程132可以获取对可从中恢复设备的操作系统和用户数据的一个或多个已保存磁盘状态t还原204A的可信度的验证,这将在下文参考图4更详细描述。
图3描述了根据本发明形成的图1中所示的示例性系统100的其它方面。如图所示,当使用含有示例性系统100的某些或全部组件的回退和恢复系统来配置时,客户机设备300可以被转化为自恢复性能计算机。在一个实施例中,回退恢复分析器114包括可以由感染检测器104或手动触发器102调用来确定客户机设备300是否可以使用恢复进程126来恢复自身性能的应用程序编程接口304。在某些情况下,突然调用分析器的事件,例如恶意软件攻击的检测,可能使得客户机设备300从攻击中恢复的最好方法是使用经典杀毒进程128。这可能是例如当攻击相对简单或是由公知病毒引起时的情况,其后果是被良好定义且可逆转的。在这样的情况下,用于证明恶意软件攻击的签名可以被编码来确保总是使用经典防病毒杀毒进程。
在一个典型的实施例中,客户机设备300从攻击中恢复(且通常在攻击可能被传播到连接至设备300的其它设备之前)的替换和可能更有效的方法可以是使用回退和恢复进程126来取代尝试经典杀毒。使用如分析器114所确定的可能感染时间(或实际感染时间t感染204B,视情况而定),回退恢复进程126使用受恶意软件感染的文件和数据的感染前已保存的磁盘状态306来向用户提供恢复其设备的选项。该选项可以作为系统还原进程130和用户数据回退进程132的一部分向用户提供,这两个进程的每一个都可以使用回退和恢复用户界面310来接收允许对该选项进行选择和确认的用户输入308。用户界面的示例将参考图8A-C和图9A-E来更详细地描述和示出。在一个实施例中,可以作为系统还原进程130和用户数据回退进程132的一部分向用户呈现的选项可取决于可能已经被恶意软件攻击感染的文件和数据的感染前已保存的磁盘状态306的可信度。在一个典型的实施例中,可以如参考图4详细描述的来确定感染前已保存的磁盘状态306的可信度。
图4描述了根据本发明形成的图1中所示的示例性系统的其它方面。如图所示,系统还原进程130和用户数据回退进程132中的任一个或全部可以使用含有磁盘状态接口404等的磁盘状态分级子系统400,来确定是否有包括感染前已保存的磁盘状态306的任何可用的已保存磁盘状态402能够被验证为可信的。一般而言,可信磁盘状态是没有被感染的状态,而不可信磁盘状态是受到感染的状态或者是感染的存在或不存在未知或不能以其它方式确定的状态。在一个典型实施例中,系统还原进程130和/或用户数据回退进程132查询磁盘状态的状况,例如,特定的已保存磁盘状态t还原204A,此处也被称为阴影副本。磁盘状态接口404协助将查询412传送给能够分析诸如磁盘状态t还原204A等磁盘状态的一个或多个反病毒提供者406,以确定针对该反病毒提供者被设计来检测的特定病毒、蠕虫或其它恶意软件的可信性。以这种方式,磁盘状态接口404生成关于对应于已保存磁盘状态t还原204A的还原点是否是较佳的信息。例如,非较佳还原点可能受到在当前攻击之前发生的其它恶意软件攻击的感染,或者可能被诸如间谍软件或广告软件等不受欢迎的软件污染。
在一个实施例中,如果已保存磁盘状态被确定为可信的,那么查询412包括该已保存磁盘状态的预期使用的指示。该预期使用可以包括诸如从磁盘状态还原系统、还原单个文件、备份系统、备份单个文件等的使用。在某些情况下,预期的使用可能影响对已保存磁盘状态是否可信的判断。例如,如上所述,当预期使用是还原系统时,所需的可信度等级可能比当预期使用是还原单个用户文件时更严格。
作为默认动作,如果反病毒提供者406不可用或者不能够确定可信度,那么磁盘状态接口404可以试图独立地确定磁盘状态的总的可信度。一旦确定可信度之后,磁盘状态接口聚集查询412的结果(如果适用),并将结果返回至请求者,例如系统还原进程130或用户数据回退进程132。请求者而后可以确定是否继续已保存磁盘状态的预期使用。
继续参考图4,在一个实施例中,磁盘状态的可信度根据分级方案来分级。例如,如图4所示,对一个或多个可用磁盘状态402的可信度的判断可以导致相应的已分级磁盘状态408。系统还原130或用户数据回退进程132可以使用已分级磁盘状态408,以在如上参考图3所述的用户界面310中向用户提供用于还原其设备或恢复其文件的选项。
在一个实施例中,用于对已保存磁盘状态分级的分级方案可以包括着色方案。例如,着色方案使用特定的颜色来可视地表示特定的可信度等级,例如,红色表示受感染的磁盘状态,黄色表示未知磁盘状态,而绿色表示未受感染的磁盘状态,即“感染前”的磁盘状态。当然,可以理解,着色方案仅是分级方案的一个示例,可以在本发明中使用其它的分级方案,而不背离所附权利要求书的范围。例如,可以使用某些图标或数字代替颜色来表示可信度等级。
在一个实施例中,系统还原130或用户数据回退132进程可以在用户界面130中向用户呈现已保存磁盘状态的可信度等级。使用颜色来指导用户作出关于是否继续从已保存磁盘状态中还原其系统或恢复其文件的决定。例如,当在用户界面310中将可从中执行还原的可用磁盘状态描述为受感染、未知或较不可信时,用户可以决定放弃特定系统还原选项。另一方面,当在用户界面310中将可从中执行恢复的可用磁盘状态示为未知时,用户可以决定冒险执行特定用户数据恢复选项。
应该注意,设备300的其它类型的组件可以为除还原系统或恢复用户数据以外的其它目的来调用磁盘状态接口404。例如,可能存在其它类型的磁盘状态客户机程序410,诸如查看系统或用户数据的以往版本或备份的应用程序或创建备份数据的应用程序,这些应用程序可能对与之交互的磁盘状态可信度感兴趣。
图5是示出根据本发明形成的,由用于从恶意软件攻击中恢复的方法执行的逻辑500的某些方面的流程图。在判定框502处,恢复分析器114确定在检测到恶意软件攻击的时刻t检测和设备能够被还原至的时刻之间是否在设备上存在任何软件安装活动。在大多数情况下,t还原是可能感染时刻t感染之前的时刻,在t还原时刻时可能有可用的已保存磁盘状态。在一个典型实施例中,可以通过检查软件添加和移除历史记录来作出是否存在任何软件安装活动的判断。
在一个典型实施例中,当不存在软件安装活动时,那么处理在判定框504A处继续,在那里恢复分析器114确定在同一时间帧内是否存在任何用户数据活动。在存在用户数据活动但没有软件安装活动的情况下,如参考图6更详细描述的来执行用于恢复设备的方法。否则,在判定框504B处,在那些既存在软件安装和用户数据活动的情况下,如参考图7更详细描述的来执行用于恢复设备的方法。
继续参考图5,在一个实施例中,当既不存在软件安装又不存在用户数据活动时,如处理框506所述,向设备的用户给出选项来执行完全磁盘还原。可以通过使用例如可用的感染前已保存磁盘状态120重写活动数据122来将设备的卷重配置到感染时间t感染之前的给定点上存在的状态,以完成完全磁盘还原。因为完全磁盘还原可能破坏在设备感染之后创建或修改的用户数据,该选项对用户而言不总是可以接受的。
图6是示出根据本发明形成的,由用于从恶意软件攻击中恢复的方法所执行的逻辑600的某些方面的流程图。在处理框602处,在其中曾经存在用户数据活动但没有软件安装活动的那些情况下,设备可以将系统文件状态自动还原至感染之前的状态。例如,最初参考图1描述的系统还原进程130可以用于将系统文件的状态自动还原至t还原的状态。在一个典型的实施例中,t还原可以是可能感染时间t感染之前,受感染系统文件和其它数据有可用的已保存磁盘状态的最后时刻。可以用这种方式还原的系统文件和其它数据一般包括所有的操作系统文件以及系统注册表项。
在判定框604处,在其中用户数据活动包括在感染时间t感染之后对新文件的创建的那些情况下,向用户给出删除这些新文件的选项。例如,在判定框606处,最初参考图1描述的用户数据回退进程132可以使用用户界面进程310。如在处理框610中所述,最初参考图3描述的用户界面进程310用于提示用户在删除新文件之前提供用户确认608。
在判定框612处,在其中用户数据活动包括在感染时间t感染之后对现有文件的修改的那些情况下,设备确定该修改是至少一部分归因于恶意软件攻击,还是仅归因于用户。在处理框614处,该设备可以自动将受恶意软件感染的文件的状态还原至感染前的状态。例如,可以使用最初参考图1描述的用户回退进程132,来将受恶意软件感染的用户文件的状态还原至t还原的状态。在一个典型实施例中,t还原可以是可能感染时间t感染之前,受感染用户文件和其它数据有可用的已保存磁盘状态的最后时刻。
在判定框616处,在其中设备确定修改仅归因于用户的那些情况下,然后向用户给出还原文件的选项。例如,如在处理框620中所述,在判定框616处,用户数据回退进程132可以使用用户界面处理310来提示用户在还原这些用户文件之前提供用户确认618。
一旦受感染的系统和用户文件被自动或选择性地还原,并且设备从恶意软件攻击中恢复之后,处理在终止框622处结束。以这种方式,设备可以能够更迅速地从恶意软件攻击中恢复,而无需不必要地中断用户活动,而使用常规恶意软件杀毒一般可能中断用户活动。
图7是示出根据本发明形成的,由用于从恶意软件中恢复的方法执行的逻辑700的某些方面的流程图。在其中既存在用户数据活动又存在软件安装活动的那些情况下,设备可以依据该活动是由恶意软件引起的还是善意的来选择性地还原某些系统文件的状态。在进行之前,在判定框702处,可以使用用户界面进程310来接收关于安装的软件能否被重新安装的用户确认信息704。在用户确认软件的重新安装是可能的情况下,例如必需的安装盘可用,那么处理可以沿分支至图6的入口点“A”,且设备的系统还原和选择性恢复可以如参考图6所述的来继续。
继续参考图7,在其中用户不希望必须重新安装软件的那些情况下,处理继续确定某些系统文件的状态是否可以用减少对在还原最近可用点t还原之后发生的软件安装活动的影响的方式来恢复。例如,在处理框706处,可以使用系统还原进程130来将在感染时刻t感染已保存的磁盘状态与在首次检测到恶意软件攻击的时刻t检测已保存的磁盘状态进行比较。基于该比较,在判定框708处,系统还原进程130可以确定在该比较中揭露的改变是可能是对文件善意的改变的结果,还是可能是恶意软件引起的。在处理框710处,在改变可能是由恶意软件引起的情况下,系统还原过程130可以仅自动还原某些文件和数据,诸如某些系统文件,但不能还原注册表项。在改变可能是善意的改变的那些情况下,那么系统还原进程130可以将这些文件保持原状。
在一个典型实施例中,一旦通过将受影响的文件还原至在最近可用的还原点t还原时刻上它们所处状态来移除恶意软件引起的改变之后,然后处理可以沿分支至图6的入口点“B”。参考图6,处理在入口点“B”处继续,其中设备的用户数据还原和选择性恢复可以按如前所述的相同方式在判定框604处继续。
图8A-8C是用于实现图1-7中所示的方法和系统的某些方面的示例性用户界面的截图。图8A示出了最初在图3中描述的回退和恢复用户界面310的系统还原部分的示例。在所示示例中,用户界面被命名为“System Rollback and RecoveryWizard(系统回退和恢复向导)”。该窗口将向用户引入至向导样式的用户界面,它将指导用户通过对可能在其计算机上的恶意软件攻击过程中损坏的某些系统文件和其它系统数据的还原进程。在一个典型实施例中,该向导将指导用户通过将文件至少还原到它们在可能感染时间之前的状态的进程。
在所示的示例中,用户被告知将分为两步进行其计算机恢复。首先,如前参考系统还原进程130所述,用户被告知,恢复进程会将操作系统文件和应用程序还原至它们感染前的状态。然后,如前参考用户数据回退进程132所述,用户被告知,还原进程将向用户提供自从攻击以来改变的用户数据文件的详细目录。用户还被告知,恢复进程将向用户提供将归档的版本从例如已保存磁盘状态的备份复制到例如活动数据的主文件夹的机会,这将参考图9A-9E进一步描述。通过与例如“NEXT(下一步)”命令按钮等命令按钮的交互,用户可以步进通过向导来授权和确认其计算机上的所有或被选择的文件和其它数据的恢复。
图8B和8C是向导的其它方面的截图,包括告知用户其计算机上的操作系统可以被还原至的最后可用时刻。在一个典型实施例中,如图9A-9E所示,系统回退恢复向导和对应的系统还原进程130的完成将自动触发用户数据回退进程132和用户数据文件恢复向导的操作。
图9A-9E是用于实现图1-6中所示方法和系统的某些方面的示例性用户界面的截图。图9A示出了图3中首次描述的回退和恢复用户界面310的用户数据回退部分的示例。在所示的示例中,该界面被命名为“User Data File Recovery Wizard(用户数据文件恢复向导)”,并将用户引入至用户界面的向导样式,它将指导用户通过对其计算机上的恶意软件攻击过程中损坏的所有或所选择用户文件或其它数据的还原进程。在一个典型的实施例中,该向导将指导用户通过将文件至少还原至可能感染时间之前它们所处状态的进程。
在图9B和9C中所示的示例性界面的部分中,向用户提供选项按钮,该选项按钮可以用来选择恢复自从可能感染时间t感染以来删除或修改的所有文件的选项,或者恢复被删除或改变的文件中所选择的一个文件的选项。通过与选项和例如“NEXT”命令按钮等命令按钮的交互,用户可以步进通过向导来恢复其计算机上的所有或被选择的文件和其它数据。
图9D是向导的另外方面的截图,包括显示第一窗口,该第一窗口列出可用于恢复自从可能感染时间t感染以来被删除或修改的文件的那些归档文件。还提供了选择界面,以通过将文件从第一窗口复制到临近第一窗口的第二窗口来选择要恢复的附件。在一个典型的实施例中,如图9E中所示,仅在用户能够显示和肯定地确认他们所选择用于恢复的文件之后,用户数据回退进程132和用户数据文件恢复向导的完成才能完成。
尽管示出和描述了本发明的众多实施例,但是可以理解,可在其中进行各种修改,而不背离本发明的精神和范围。例如,在本发明的一个实施例中,用于从恶意软件攻击中恢复的系统100的各种组件的功能可以用进程、程序、接口和储存库的不同结合来实现,且可以跨一个或多个计算设备分布。例如,系统100中诸如感染检测器处理104等某些功能可以在客户机计算设备300订阅的web服务中远程实现,而诸如状态改变剖析器/聚集器116等其它功能可以本地实现。还可以理解,尽管在从由恶意软件攻击引起的感染中恢复的环境中描述了本发明的实施例,但是该方法和系统也可以应用于回复由不受欢迎的软件的存在所引起的污染的后果,诸如由于间谍软件或广告软件引起的性能降级。
Claims (20)
1.一种用于自恢复性能设备的方法,所述方法包括:
揭露指示在第一时间点上设备中感染的存在的证据;
将所述设备的状态还原至更早的时间点来移除所述感染,其中,所述更早的时间点上的状态是足够可信的。
2.如权利要求1所述的方法,其特征在于,揭露指示感染的存在的证据包括揭露指示感染可能发生的时刻的证据。
3.如权利要求1所述的方法,其特征在于,还包括:
检测临近所述第一时间点的设备状态中的改变,其中,揭露指示感染的存在的证据是基于所检测到的改变的。
4.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括从为由所述设备使用的文件系统而维护的变化日志中剖析信息。
5.如权利要求4所述的方法,其特征在于,所述变化日志是Windows NT文件系统变化日志。
6.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括确定所述设备上归档的和活动的数据之间的差别。
7.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括检查保存在所述设备上的磁盘状态。
8.如权利要求7所述的方法,其特征在于,还包括:
确定当在更早的时间点保存在所述设备上的磁盘状态未感染时,在所述更早的时间点上的设备状态是足够可信的。
9.如权利要求8所述的方法,其特征在于,确定在所述更早时间点上的设备状态足够可信包括基于可信度等级对在所述更早时间点保存在所述设备上的磁盘状态分级,当已保存磁盘状态未感染时所述可信度分级等级较高,而当已保存磁盘状态受感染时,所述可信度分级等级较低。
10.如权利要求9所述的方法,其特征在于,所述磁盘状态是由Windows卷快照服务生成的卷阴影副本。
11.一种用于从恶意软件攻击中恢复的方法,所述方法包括:
从变化日志和已保存磁盘状态的至少一个中获取信息;
分析所述信息来揭露指示感染已发生的证据;以及
基于所述信息,定位感染时刻。
12.如权利要求11所述的方法,其特征在于,还包括:
标识自从所述感染时刻以来发生的改变;以及
将所述改变回退至所述感染时刻之前。
13.如权利要求12所述的方法,其特征在于,还包括:
向用户呈现所标识的改变;
在回退改变之前,从用户处接收授权。
14.如权利要求11所述的方法,其特征在于,所述信息是从变化日志和已保存磁盘状态的至少一个中剖析得到的。
15.如权利要求11所述的方法,其特征在于,所述信息是与所述设备相关联的状态改变。
16.如权利要求11所述的方法,其特征在于,所述变化日志是Windows NT文件系统变化日志。
17.如权利要求11所述的方法,其特征在于,所述已保存磁盘状态是由Windows卷快照服务生成的卷阴影副本。
18.一种用于自恢复性能设备的系统,所述系统包括:
恶意软件信息的储存库;
系统监察信息的储存库;
处理器,用于揭露由于恶意软件攻击的感染的证据、标识自从感染的证据以来的改变、以及通过基于所述恶意软件信息和所述系统监察信息中的至少一个来移除所述改变以从恶意软件攻击中恢复。
19.如权利要求18所述的系统,其特征在于,还包括:
用户输入,用于授权来通过移除所述改变以从恶意软件攻击中恢复,其中,所述处理器显示所标识的自从感染的证据以来发生的改变,并在接收到授权移除所述改变的用户输入之后从恶意软件攻击中恢复。
20.如权利要求18所述的系统,其特征在于,所述系统监察信息的储存库包括变化日志和已保存磁盘状态中的至少一个。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/018,412 US7624443B2 (en) | 2004-12-21 | 2004-12-21 | Method and system for a self-heating device |
| US11/018,412 | 2004-12-21 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1794193A true CN1794193A (zh) | 2006-06-28 |
Family
ID=36569934
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005101268009A Pending CN1794193A (zh) | 2004-12-21 | 2005-11-21 | 自恢复性能设备的方法和系统 |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7624443B2 (zh) |
| EP (1) | EP1679631A2 (zh) |
| JP (1) | JP2006178934A (zh) |
| KR (1) | KR20060071306A (zh) |
| CN (1) | CN1794193A (zh) |
| AU (1) | AU2005237166A1 (zh) |
| BR (1) | BRPI0505778A (zh) |
| CA (1) | CA2527475A1 (zh) |
| MX (1) | MXPA05012549A (zh) |
| RU (1) | RU2005135471A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011157039A1 (zh) * | 2010-06-18 | 2011-12-22 | 中兴通讯股份有限公司 | 一种实现系统自恢复的方法及装置 |
| CN101566959B (zh) * | 2008-03-26 | 2013-10-16 | 赛门铁克公司 | 利用卷快照防止在失败的恢复操作中的文件损坏 |
| CN101661399B (zh) * | 2008-08-25 | 2015-01-07 | 通用汽车环球科技运作公司 | 模块化软件移除方法 |
| CN112005233A (zh) * | 2018-03-30 | 2020-11-27 | 微软技术许可有限责任公司 | 基于恶意软件攻击检测的还原点选择 |
| CN113192376A (zh) * | 2021-04-28 | 2021-07-30 | 深圳市思麦云科技有限公司 | 一种基于虚拟现实眼镜vr技术应用于电力行业的系统 |
Families Citing this family (103)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8117659B2 (en) | 2005-12-28 | 2012-02-14 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| US20070067844A1 (en) * | 2005-09-16 | 2007-03-22 | Sana Security | Method and apparatus for removing harmful software |
| US20060242277A1 (en) | 2005-03-31 | 2006-10-26 | Tripwire, Inc. | Automated change approval |
| US8335768B1 (en) * | 2005-05-25 | 2012-12-18 | Emc Corporation | Selecting data in backup data sets for grooming and transferring |
| US7784098B1 (en) * | 2005-07-14 | 2010-08-24 | Trend Micro, Inc. | Snapshot and restore technique for computer system recovery |
| US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| US7779472B1 (en) | 2005-10-11 | 2010-08-17 | Trend Micro, Inc. | Application behavior based malware detection |
| US7657550B2 (en) | 2005-11-28 | 2010-02-02 | Commvault Systems, Inc. | User interfaces and methods for managing data in a metabase |
| US8930496B2 (en) | 2005-12-19 | 2015-01-06 | Commvault Systems, Inc. | Systems and methods of unified reconstruction in storage systems |
| US20200257596A1 (en) | 2005-12-19 | 2020-08-13 | Commvault Systems, Inc. | Systems and methods of unified reconstruction in storage systems |
| US7840958B1 (en) | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
| US8495037B1 (en) * | 2006-02-21 | 2013-07-23 | Symantec Operating Corporation | Efficient isolation of backup versions of data objects affected by malicious software |
| US20070234337A1 (en) * | 2006-03-31 | 2007-10-04 | Prowess Consulting, Llc | System and method for sanitizing a computer program |
| US9547485B2 (en) * | 2006-03-31 | 2017-01-17 | Prowess Consulting, Llc | System and method for deploying a virtual machine |
| KR20070100598A (ko) * | 2006-04-07 | 2007-10-11 | 삼성전자주식회사 | 정보 저장 매체, 재생 방법 및 재생 장치 |
| US8533778B1 (en) * | 2006-06-23 | 2013-09-10 | Mcafee, Inc. | System, method and computer program product for detecting unwanted effects utilizing a virtual machine |
| US7853567B2 (en) | 2006-08-04 | 2010-12-14 | Apple Inc. | Conflict resolution in recovery of electronic data |
| US8166415B2 (en) | 2006-08-04 | 2012-04-24 | Apple Inc. | User interface for backup management |
| US7809688B2 (en) | 2006-08-04 | 2010-10-05 | Apple Inc. | Managing backup of content |
| US9009115B2 (en) * | 2006-08-04 | 2015-04-14 | Apple Inc. | Restoring electronic information |
| US8311988B2 (en) | 2006-08-04 | 2012-11-13 | Apple Inc. | Consistent back up of electronic information |
| US7856424B2 (en) * | 2006-08-04 | 2010-12-21 | Apple Inc. | User interface for backup management |
| US7860839B2 (en) | 2006-08-04 | 2010-12-28 | Apple Inc. | Application-based backup-restore of electronic information |
| US7809687B2 (en) | 2006-08-04 | 2010-10-05 | Apple Inc. | Searching a backup archive |
| US7853566B2 (en) * | 2006-08-04 | 2010-12-14 | Apple Inc. | Navigation of electronic backups |
| US8370853B2 (en) | 2006-08-04 | 2013-02-05 | Apple Inc. | Event notification management |
| JP4895718B2 (ja) * | 2006-08-14 | 2012-03-14 | 株式会社リコー | 画像形成装置、データ復旧方法および記録媒体 |
| US7882077B2 (en) | 2006-10-17 | 2011-02-01 | Commvault Systems, Inc. | Method and system for offline indexing of content and classifying stored data |
| US7962956B1 (en) | 2006-11-08 | 2011-06-14 | Trend Micro Incorporated | Evaluation of incremental backup copies for presence of malicious codes in computer systems |
| US8370442B2 (en) | 2008-08-29 | 2013-02-05 | Commvault Systems, Inc. | Method and system for leveraging identified changes to a mail server |
| JP2008140300A (ja) * | 2006-12-05 | 2008-06-19 | Hitachi Ltd | ストレージシステム及びウィルス感染拡散防止方法並びにウィルス除去支援方法 |
| US20080228771A1 (en) * | 2006-12-22 | 2008-09-18 | Commvault Systems, Inc. | Method and system for searching stored data |
| US20080195676A1 (en) * | 2007-02-14 | 2008-08-14 | Microsoft Corporation | Scanning of backup data for malicious software |
| US20080271025A1 (en) * | 2007-04-24 | 2008-10-30 | Stacksafe, Inc. | System and method for creating an assurance system in a production environment |
| US20080271018A1 (en) * | 2007-04-24 | 2008-10-30 | Andrew Gross | System and Method for Managing an Assurance System |
| US8010900B2 (en) | 2007-06-08 | 2011-08-30 | Apple Inc. | User interface for electronic backup |
| WO2008154448A2 (en) * | 2007-06-08 | 2008-12-18 | Apple Inc. | Application-based backup-restore of electronic information |
| US8725965B2 (en) | 2007-06-08 | 2014-05-13 | Apple Inc. | System setup for electronic backup |
| US8745523B2 (en) | 2007-06-08 | 2014-06-03 | Apple Inc. | Deletion in electronic backups |
| US8307004B2 (en) | 2007-06-08 | 2012-11-06 | Apple Inc. | Manipulating electronic backups |
| US8099392B2 (en) | 2007-06-08 | 2012-01-17 | Apple Inc. | Electronic backup of applications |
| US8468136B2 (en) | 2007-06-08 | 2013-06-18 | Apple Inc. | Efficient data backup |
| US20080307017A1 (en) | 2007-06-08 | 2008-12-11 | Apple Inc. | Searching and Restoring of Backups |
| US8429425B2 (en) | 2007-06-08 | 2013-04-23 | Apple Inc. | Electronic backup and restoration of encrypted data |
| US8671166B2 (en) | 2007-08-09 | 2014-03-11 | Prowess Consulting, Llc | Methods and systems for deploying hardware files to a computer |
| US8352784B2 (en) * | 2007-12-17 | 2013-01-08 | Microsoft Corporation | Device settings restore point |
| US7934262B1 (en) * | 2007-12-26 | 2011-04-26 | Emc (Benelux) B.V., S.A.R.L. | Methods and apparatus for virus detection using journal data |
| US8051111B2 (en) | 2008-01-31 | 2011-11-01 | Prowess Consulting, Llc | Method and system for modularizing windows imaging format |
| US9465937B1 (en) * | 2008-05-30 | 2016-10-11 | Symantec Corporation | Methods and systems for securely managing file-attribute information for files in a file system |
| US9679135B2 (en) * | 2008-06-19 | 2017-06-13 | Bank Of America Corporation | Computing device for secured transactions and virtual monitoring external from the operating system |
| US8220053B1 (en) * | 2008-06-26 | 2012-07-10 | Trend Micro, Inc. | Shadow copy-based malware scanning |
| KR100926098B1 (ko) * | 2008-11-18 | 2009-11-11 | 주식회사 네오플 | 스냅샷 데이터베이스를 이용한 정보 복구 방법 및 장치 |
| US20100312805A1 (en) * | 2009-05-08 | 2010-12-09 | Noonan Iii Donal Charles | System and method for capturing, managing, and distributing computer files |
| WO2011082113A1 (en) | 2009-12-31 | 2011-07-07 | Commvault Systems, Inc. | Asynchronous methods of data classification using change journals and other data structures |
| US8959054B1 (en) * | 2010-03-25 | 2015-02-17 | Emc Corporation | Methods and apparatus for optimal journaling for continuous data replication |
| KR20120027880A (ko) * | 2010-09-13 | 2012-03-22 | 삼성전자주식회사 | 시스템을 복원하는 방법 및 시스템 복원 기능을 갖는 컴퓨팅 장치 |
| US20120124007A1 (en) * | 2010-11-16 | 2012-05-17 | F-Secure Corporation | Disinfection of a file system |
| US8984029B2 (en) | 2011-01-14 | 2015-03-17 | Apple Inc. | File system management |
| US8943026B2 (en) | 2011-01-14 | 2015-01-27 | Apple Inc. | Visual representation of a local backup |
| US8719264B2 (en) | 2011-03-31 | 2014-05-06 | Commvault Systems, Inc. | Creating secondary copies of data based on searches for content |
| US8918878B2 (en) * | 2011-09-13 | 2014-12-23 | F-Secure Corporation | Restoration of file damage caused by malware |
| US20130111018A1 (en) * | 2011-10-28 | 2013-05-02 | International Business Machines Coporation | Passive monitoring of virtual systems using agent-less, offline indexing |
| US8931100B2 (en) * | 2011-12-14 | 2015-01-06 | F-Secure Corporation | Disinfection of a file system |
| US9613209B2 (en) * | 2011-12-22 | 2017-04-04 | Microsoft Technology Licensing, Llc. | Augmenting system restore with malware detection |
| US8683592B1 (en) * | 2011-12-30 | 2014-03-25 | Emc Corporation | Associating network and storage activities for forensic analysis |
| US8825606B1 (en) | 2012-01-12 | 2014-09-02 | Trend Micro Incorporated | Community based restore of computer files |
| US8892523B2 (en) | 2012-06-08 | 2014-11-18 | Commvault Systems, Inc. | Auto summarization of content |
| CN102799500B (zh) * | 2012-06-25 | 2014-04-30 | 腾讯科技(深圳)有限公司 | 系统修复方法及装置 |
| US9971787B2 (en) | 2012-07-23 | 2018-05-15 | Red Hat, Inc. | Unified file and object data storage |
| JP2013061994A (ja) * | 2013-01-07 | 2013-04-04 | Fujitsu Ltd | ウイルス検出プログラム、ウイルス検出方法、監視プログラム、監視方法、及びコンピュータ |
| US8874626B2 (en) * | 2013-02-01 | 2014-10-28 | Red Hat, Inc. | Tracking files and directories related to unsuccessful change operations |
| US9384354B2 (en) | 2013-02-20 | 2016-07-05 | International Business Machines Corporation | Rule matching in the presence of languages with no types or as an adjunct to current analyses for security vulnerability analysis |
| GB2517483B (en) | 2013-08-22 | 2015-07-22 | F Secure Corp | Detecting file encrypting malware |
| US9218494B2 (en) | 2013-10-16 | 2015-12-22 | Citrix Systems, Inc. | Secure client drive mapping and file storage system for mobile device management type security |
| US9122781B2 (en) * | 2013-10-27 | 2015-09-01 | Bank Of America Corporation | Computer application maturity illustration system with recovery exercise date display and analytics |
| US9448907B2 (en) * | 2013-10-27 | 2016-09-20 | Bank Of America Corporation | Computer application maturity illustration system with single point of failure analytics and remediation techniques |
| JP6337498B2 (ja) * | 2014-02-18 | 2018-06-06 | 日本電気株式会社 | 復元装置、復元システム、復元方法、および、プログラム |
| US9323924B1 (en) * | 2014-05-09 | 2016-04-26 | Symantec Corporation | Systems and methods for establishing reputations of files |
| US10831715B2 (en) | 2015-01-30 | 2020-11-10 | Dropbox, Inc. | Selective downloading of shared content items in a constrained synchronization system |
| US9563638B2 (en) | 2015-01-30 | 2017-02-07 | Dropbox, Inc. | Selective downloading of shared content items in a constrained synchronization system |
| US10248705B2 (en) | 2015-01-30 | 2019-04-02 | Dropbox, Inc. | Storage constrained synchronization of shared content items |
| US9361349B1 (en) * | 2015-01-30 | 2016-06-07 | Dropbox, Inc. | Storage constrained synchronization of shared content items |
| US9185164B1 (en) | 2015-01-30 | 2015-11-10 | Dropbox, Inc. | Idle state triggered constrained synchronization of shared content items |
| US9413824B1 (en) | 2015-01-30 | 2016-08-09 | Dropbox, Inc. | Storage constrained synchronization of content items based on predicted user access to shared content items using retention scoring |
| US9813443B1 (en) * | 2015-02-13 | 2017-11-07 | Symantec Corporation | Systems and methods for remediating the effects of malware |
| CN106897311B (zh) * | 2015-12-21 | 2020-08-11 | 财团法人工业技术研究院 | 数据库批次更新方法、数据还原日志产生方法与存储装置 |
| US10049145B2 (en) | 2016-04-25 | 2018-08-14 | Dropbox, Inc. | Storage constrained synchronization engine |
| US10719532B2 (en) | 2016-04-25 | 2020-07-21 | Dropbox, Inc. | Storage constrained synchronization engine |
| US10540516B2 (en) | 2016-10-13 | 2020-01-21 | Commvault Systems, Inc. | Data protection within an unsecured storage environment |
| US10931685B2 (en) | 2016-12-12 | 2021-02-23 | Ut-Battelle, Llc | Malware analysis and recovery |
| US11275834B1 (en) * | 2017-01-12 | 2022-03-15 | Richard Offer | System for analyzing backups for threats and irregularities |
| US10984041B2 (en) | 2017-05-11 | 2021-04-20 | Commvault Systems, Inc. | Natural language processing integrated with database and data storage management |
| US20190251204A1 (en) | 2018-02-14 | 2019-08-15 | Commvault Systems, Inc. | Targeted search of backup data using calendar event data |
| US10642886B2 (en) | 2018-02-14 | 2020-05-05 | Commvault Systems, Inc. | Targeted search of backup data using facial recognition |
| US10783043B2 (en) | 2018-03-16 | 2020-09-22 | EMC IP Holding Company LLC | Automation and optimization of data recovery after a ransomware attack |
| US11308207B2 (en) | 2018-03-30 | 2022-04-19 | Microsoft Technology Licensing, Llc | User verification of malware impacted files |
| US10769278B2 (en) | 2018-03-30 | 2020-09-08 | Microsoft Technology Licensing, Llc | Service identification of ransomware impact at account level |
| US10917416B2 (en) | 2018-03-30 | 2021-02-09 | Microsoft Technology Licensing, Llc | Service identification of ransomware impacted files |
| US11159469B2 (en) | 2018-09-12 | 2021-10-26 | Commvault Systems, Inc. | Using machine learning to modify presentation of mailbox objects |
| US11494417B2 (en) | 2020-08-07 | 2022-11-08 | Commvault Systems, Inc. | Automated email classification in an information management system |
| US11599637B1 (en) * | 2021-07-30 | 2023-03-07 | Cloud Linux Software, Inc. | Systems and methods for blocking malicious script execution |
| US12032689B2 (en) * | 2021-07-30 | 2024-07-09 | Cloud Linux Software Inc. | Systems and methods for preventing zero-day attacks |
| JP2024082318A (ja) * | 2022-12-08 | 2024-06-20 | パナソニックオートモーティブシステムズ株式会社 | セキュリティ方法、および、セキュリティ装置 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH06110718A (ja) * | 1992-09-30 | 1994-04-22 | Toshiba Corp | ウィルス防御方式 |
| US6101500A (en) * | 1998-01-07 | 2000-08-08 | Novell, Inc. | System and method for managing objects in a hierarchical data structure |
| JP3668829B2 (ja) * | 1998-06-03 | 2005-07-06 | トヨタ自動車株式会社 | ナビゲーション装置及び記録媒体 |
| DE69939281D1 (de) * | 1999-03-23 | 2008-09-18 | Sony Deutschland Gmbh | System und Verfahren zum automatischen Verwalten von Geolokalisationsinformation |
| US7114184B2 (en) * | 2001-03-30 | 2006-09-26 | Computer Associates Think, Inc. | System and method for restoring computer systems damaged by a malicious computer program |
| JP2002351723A (ja) * | 2001-05-29 | 2002-12-06 | Tokyo Inst Of Technol | 耐ウィルスコンピュータシステム |
| US7237075B2 (en) * | 2002-01-22 | 2007-06-26 | Columbia Data Products, Inc. | Persistent snapshot methods |
| US7478126B2 (en) * | 2002-04-08 | 2009-01-13 | Sony Corporation | Initializing relationships between devices in a network |
| US7403942B1 (en) * | 2003-02-04 | 2008-07-22 | Seisint, Inc. | Method and system for processing data records |
| US20040158730A1 (en) * | 2003-02-11 | 2004-08-12 | International Business Machines Corporation | Running anti-virus software on a network attached storage device |
| US7577806B2 (en) * | 2003-09-23 | 2009-08-18 | Symantec Operating Corporation | Systems and methods for time dependent data storage and recovery |
| US7581253B2 (en) | 2004-07-20 | 2009-08-25 | Lenovo (Singapore) Pte. Ltd. | Secure storage tracking for anti-virus speed-up |
-
2004
- 2004-12-21 US US11/018,412 patent/US7624443B2/en active Active
-
2005
- 2005-11-01 KR KR1020050103655A patent/KR20060071306A/ko not_active Application Discontinuation
- 2005-11-15 RU RU2005135471/09A patent/RU2005135471A/ru not_active Application Discontinuation
- 2005-11-16 CA CA002527475A patent/CA2527475A1/en not_active Abandoned
- 2005-11-16 JP JP2005332030A patent/JP2006178934A/ja active Pending
- 2005-11-21 MX MXPA05012549A patent/MXPA05012549A/es not_active Application Discontinuation
- 2005-11-21 CN CNA2005101268009A patent/CN1794193A/zh active Pending
- 2005-11-25 AU AU2005237166A patent/AU2005237166A1/en not_active Abandoned
- 2005-12-06 EP EP05111725A patent/EP1679631A2/en not_active Withdrawn
- 2005-12-19 BR BRPI0505778-7A patent/BRPI0505778A/pt not_active IP Right Cessation
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101566959B (zh) * | 2008-03-26 | 2013-10-16 | 赛门铁克公司 | 利用卷快照防止在失败的恢复操作中的文件损坏 |
| CN101661399B (zh) * | 2008-08-25 | 2015-01-07 | 通用汽车环球科技运作公司 | 模块化软件移除方法 |
| WO2011157039A1 (zh) * | 2010-06-18 | 2011-12-22 | 中兴通讯股份有限公司 | 一种实现系统自恢复的方法及装置 |
| CN112005233A (zh) * | 2018-03-30 | 2020-11-27 | 微软技术许可有限责任公司 | 基于恶意软件攻击检测的还原点选择 |
| CN112005233B (zh) * | 2018-03-30 | 2024-04-16 | 微软技术许可有限责任公司 | 基于恶意软件攻击检测的还原点选择 |
| CN113192376A (zh) * | 2021-04-28 | 2021-07-30 | 深圳市思麦云科技有限公司 | 一种基于虚拟现实眼镜vr技术应用于电力行业的系统 |
| CN113192376B (zh) * | 2021-04-28 | 2022-12-06 | 深圳市思麦云科技有限公司 | 一种基于虚拟现实眼镜vr技术应用于电力行业的系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| MXPA05012549A (es) | 2006-06-20 |
| AU2005237166A1 (en) | 2006-07-06 |
| JP2006178934A (ja) | 2006-07-06 |
| CA2527475A1 (en) | 2006-06-21 |
| RU2005135471A (ru) | 2007-05-27 |
| US20060137010A1 (en) | 2006-06-22 |
| KR20060071306A (ko) | 2006-06-26 |
| BRPI0505778A (pt) | 2006-09-19 |
| US7624443B2 (en) | 2009-11-24 |
| EP1679631A2 (en) | 2006-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1794193A (zh) | 自恢复性能设备的方法和系统 | |
| US11681591B2 (en) | System and method of restoring a clean backup after a malware attack | |
| US11244047B2 (en) | Intelligent backup and versioning | |
| US9916447B2 (en) | Active defense method on the basis of cloud security | |
| US8719935B2 (en) | Mitigating false positives in malware detection | |
| US11579985B2 (en) | System and method of preventing malware reoccurrence when restoring a computing device using a backup image | |
| JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
| US20180139218A1 (en) | Reversion of system objects affected by a malware | |
| EP2245572B1 (en) | Detecting rootkits over a storage area network | |
| US20120060220A1 (en) | Systems and methods for computer security employing virtual computer systems | |
| US8667591B1 (en) | Commonality factoring remediation | |
| US20120246724A1 (en) | System and method for detecting and displaying cyber attacks | |
| EP3474174B1 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
| JP2005523539A (ja) | エンタプライズネットワークにおける悪性コードの検知及び対抗 | |
| CN101986324A (zh) | 用于恶意软件检测的事件的异步处理 | |
| US9894085B1 (en) | Systems and methods for categorizing processes as malicious | |
| US20220237285A1 (en) | Cyber immunity system as a biological self-recognition model on operating systems | |
| US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
| US20210349748A1 (en) | Virtual machine restoration for anomaly condition evaluation | |
| EP2306356A2 (en) | Asynchronous processing of events for malware detection | |
| CN1707383A (zh) | 通过进程和系统轨迹分析阻断计算机病毒方法 | |
| CN115086081B (zh) | 一种蜜罐防逃逸方法及系统 | |
| KR100959277B1 (ko) | 커널계층에서 통제리스트를 이용한 mbr공격차단 시스템 및 그 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체 | |
| US20110154493A1 (en) | Methods for inspecting data and devices thereof | |
| US20240126879A1 (en) | Cyber recovery forensic kit -- application-based granularity |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20060628 |