DE60214147T2 - System und methode zum wiederherstellen eines computersystems welches durch ein bösartiges computerprogramm beschädigt worden ist - Google Patents

System und methode zum wiederherstellen eines computersystems welches durch ein bösartiges computerprogramm beschädigt worden ist Download PDF

Info

Publication number
DE60214147T2
DE60214147T2 DE60214147T DE60214147T DE60214147T2 DE 60214147 T2 DE60214147 T2 DE 60214147T2 DE 60214147 T DE60214147 T DE 60214147T DE 60214147 T DE60214147 T DE 60214147T DE 60214147 T2 DE60214147 T2 DE 60214147T2
Authority
DE
Germany
Prior art keywords
file
computer system
malicious code
command
code
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60214147T
Other languages
English (en)
Other versions
DE60214147D1 (de
Inventor
Taras Malivanchuk
Moshe Darzi
Ofer Rotschield
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Google LLC
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Publication of DE60214147D1 publication Critical patent/DE60214147D1/de
Application granted granted Critical
Publication of DE60214147T2 publication Critical patent/DE60214147T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Description

  • TECHNISCHES GEBIET
  • Die vorliegende Erfindung bezieht sich auf die Erkennung und Entfernung von Computerprogrammen. Insbesondere bezieht sich die vorliegende Erfindung auf die Wiederherstellung von Computersystemen, die durch ein bösartiges Computerprogramm beschädigt worden sind.
  • BESCHREIBUNG DES ALLGEMEINEN STANDES DER TECHNIK
  • Computerviren sind heutzutage ein großes Problem für alle, die mit Computern zu tun haben. Allgemein gesagt ist ein Computervirus ein Programm (oder eine Codeeinheit wie zum Beispiel Anweisungen, auf die der Computer anspricht, ein Codeblock, ein Codeelement oder ein Codesegment), welches sich an andere Programme und/oder Objekte anhängen, sich replizieren und/oder unbefugte oder bösartige Handlungen auf einem Computersystem ausführen kann. Obwohl sich die vorliegende Erfindung auf Computerviren bezieht, könnte sie ebenso gut für jeden bösartigen Codetyp benutzt werden, der fähig ist, ein oder mehrere Teile der Ressourcen eines Computers zu modifizieren. Eine Lösung zur Wiederherstellung eines von einem Computervirus betroffenen Systems könnte darin bestehen ihn zu entfernen. Hierzu würde zum Beispiel das Deaktivieren des Virus in einem infizierten Objekt, wie zum Beispiel in einer Datei, in einem Speicherbereich oder im Bootsektor einer Speichermediums gehören. Neuerdings ist jedoch bekannt geworden, dass Computerviren abgesehen davon, dass sie Objekte infizieren, diese auch manipulieren, indem sie zum Beispiel Dateien löschen oder umbenennen, das Systemregister und die Initialisierungsdateien manipulieren, und/oder unerwünschte Dienste und Prozesse erstellen.
  • Es wurden Computerviren angetroffen, die eine vorhandene Datei im Computersystem umbenennen und/oder sie durch eine andere Datei ersetzen, die bewirkt, dass der Computer in unerwünschter Weise funktioniert. Außerdem könnte ein Virus vorhandene Systemkonfigurationsdateien modifizieren, wäh rend er sich in das Computersystem eingräbt. Ein Computervirus, der beides tut, ist zum Beispiel der „Happy99.Worm" Virus. Dieser spezielle Virustyp besteht in einer Anlage zu einer Emailnachricht und bewirkt, dass der infizierte Computer eine Kopie des Virus an ausgehende Emailnachrichten anhängt. Außerdem könnte dieser Virustyp eine oder mehrere verborgene Dateien auf die Festplatte des Computers platzieren und/oder Änderungen an der Windows-Registerdatei vornehmen. Zum Beispiel benennt der „Happy99.Worm" Virus die Datei „Wsock32.dll" in „Wsock32.ska" um und ersetzt die Originaldatei „Wsock32.dll" durch seine eigene Dateiversion. Der „Happy99.Worm" Virus erstellt ferner mehrere andere Dateien im Computersystem einschließlich „Ska.exe" und fügt eine Zeile zur Windows-Registerdatei hinzu, die den Computer anweist, beim Hochfahren die Datei „Ska.exe" auszuführen.
  • Symantic Corporation „Happy99.Worm Removal Tool" Internet Article [Online] vom 29. Februar 2000 XP002201936 bezieht sich auf die Beseitigung des Happy99.Worm.
  • Wenn der Viruscode einfach deaktiviert oder beseitigt wird, ohne die Dateien usw. korrekt umzubenennen und/oder die unerwünschten Dienste oder Prozesse zu entfernen, erfolgt keine wirksame Wiederherstellung des Computersystems. Das heißt, das Wiederherstellen eines Objekts, an welches sich der Virus angeheftet hat, ist nicht immer ausreichend, besonders dann, wenn vom Computervirus eine Anzahl von anderen Objekten erstellt oder modifiziert wurde.
  • Da jeder Virus verschiedene Teile eines Computersystems angreifen kann, sind besondere Behandlungen und eine Reihe von betriebssystemspezifischen Operationen erforderlich, die auf einer beliebigen Anzahl von Objekten auszuführen sind. Es besteht daher die Notwendigkeit, einen Weg zur vollständigen Wiederherstellung eines infizierten Computer systems zu finden, welches alle angegriffenen Objekte wiederherstellt.
  • ZUSAMMENFASSUNG
  • Gemäß der vorliegenden Erfindung wird ein Verfahren zur Wiederherstellung eines Computersystems nach Anspruch 1 und ein programmiertes Computersystem nach Anspruch 8 bereitgestellt.
  • Die vorliegende Erfindung bezieht sich auf ein Verfahren zur Wiederherstellung eines von einem bösartigen Code modifizierten Computersystems und umfasst das Scannen des Computersystems auf den bösartigen Code, das Identifizieren des bösartigen Codes, das Abrufen, aus einer Datendatei, von Information, die sich auf den bösartigen Code bezieht, einschließlich mindestens eines Befehls, mit dem das Computersystem im Wesentlichen auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte, und das Ausführen des mindestens einen Befehls, mit dem das Computersystem im Wesentlichen auf den Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte. Der Schritt des Ausführens mindestens eines Befehls kann ferner das Lesen, Schreiben und Löschen von Daten beinhalten.
  • Die vorliegende Erfindung bezieht sich ferner auf ein Speichermedium, enthaltend computerausführbaren Code zur Wiederherstellung eines durch bösartigen Code modifizierten Computersystems, umfassend Code zum Scannen des Computersystems auf den bösartigen Code, Code zum Identifizieren des bösartigen Codes, Code zum Abrufen von Information aus einer Datendatei, die sich auf den bösartigen Code bezieht einschließlich mindestens eines Befehls, mit dem das Computersystem auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte, und Code zum Ausführen mindestens eines Befehls, mit dem das Computersystem im Wesentlichen auf einen Zustand wiederher gestellt wird, der vor der Modifikation durch den bösartigen Code existierte.
  • Die vorliegende Erfindung bezieht sich ferner auf ein Computerdatensignal, welches in einem Übertragungsmedium enthalten ist und computerausführbare Anweisungen zur Wiederherstellung eines durch einen bösartigen Code modifizierten Computersystems enthält, umfassend einen Datensignalabschnitt zum Scannen des Computersystems auf den bösartigen Code, einen Datensignalabschnitt zum Identifizieren des bösartigen Codes, einen Datensignalabschnitt zum Abrufen von Information aus einer Datendatei, die sich auf den bösartigen Code bezieht, einschließlich mindestens eines Befehls, mit dem das Computersystem auf einen Zustand wiederherstellt wird, der vor der Modifikation durch den bösartigen Code existierte, und einen Datensignalabschnitt zum Ausführen mindestens eines Befehls, mit dem das Computersystem im Wesentlichen auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Ein besseres Verständnis der vorliegenden Erfindung sowie viele der damit verbundenen Vorteile wird durch Bezugnahme auf die folgende ausführliche Beschreibung im Zusammenhang mit den beigefügten Zeichnungen erzielt, in denen:
  • 1 ein beispielhaftes Computersystem darstellt, auf welches ein System und ein Verfahren zur Wiederherstellung des durch bösartigen Code beschädigten Computersystems gemäß einer erfindungsgemäßen Ausführungsform angewendet werden kann;
  • 2 ein Ablaufdiagramm eines Prozesses zur Wiederherstellung des durch bösartigen Code beschädigten Computersystems gemäß einer erfindungsgemäßen Ausführungsform darstellt;
  • 3A eine Datenbank mit virusspezifischen Befehlsdatendateien darstellt; und
  • 3B Befehle aus einer der Wiederherstellungs-Datendateien gemäß einer erfindungsgemäßen Ausführungsform darstellt.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der Beschreibung der in den Zeichnungen veranschaulichten erfindungsgemäßen Ausführungsform wurde zum Zwecke der Klarheit eine spezifische Terminologie verwendet. Es ist jedoch nicht beabsichtigt, die vorliegende Erfindung auf die so ausgewählte spezifische Terminologie zu beschränken, und es versteht sich, dass jedes spezifische Element alle technischen Äquivalente, die in ähnlicher Weise funktionieren, beinhaltet.
  • In 1 ist ein Blockdiagramm eines beispielhaften Computersystems 102 dargestellt, auf welches das erfindungsgemäße Wiederherstellungssystem und Verfahren angewendet werden kann. Computersystem 102 kann ein Standard-PC, ein Laptop, ein Mainframe usw. sein, auf dem Software zur Erkennung von Computerviren laufen kann. Auf dem Computersystem 102 muss ferner erfindungsgemäße Software zur Wiederherstellung des Computersystems 102 auf einen Zustand laufen können, wie er vor der Einführung eines Virus in das System existierte. Wie dargestellt, kann Computersystem 102 eine Zentraleinheit (CPU) 2, einen Speicher 4, einen Taktschaltkreis 6, eine Druckerschnittstelle 8, eine Anzeigeeinheit 10, einen LAN-Datenübertragungscontroller 12, eine LAN-Schnittstelle 14, einen Netzwerkcontroller 16, einen internen Bus 18 und ein oder mehrere Eingabegeräte 20 wie zum Beispiel eine Tastatur und eine Maus beinhalten. Es ist natürlich möglich, dass ein Computersystem 102 nicht jede dargestellte Komponente beinhaltet und/oder zusätzliche nicht dargestellte Komponenten beinhaltet.
  • Die CPU 2 steuert den Betrieb von System 102 und ist fähig, die im Speicher 4 gespeicherten Anwendungen zu verwenden. Der Speicher 4 könnte zum Beispiel RAM, ROM, entfernbares CDRM, DVD usw. enthalten. Der Speicher 4 könnte ferner verschiedene Typen von Daten speichern, die zur Ausführung der Anwendungen benötigt werden, sowie einen Arbeitsbereich aufweisen, der zur Benutzung durch die CPU 2 reserviert ist. Der Taktschaltkreis 6 könnte einen Schaltkreis zur Erzeugung von Information zum Anzeigen der aktuellen Zeit enthalten und könnte so programmiert sein, dass er eine vorherbestimmte oder festgesetzte Zeitspanne abzählt.
  • Die LAN-Schnittstelle 14 gestattet die Kommunikation zwischen einem (nicht dargestellten) Netzwerk, welches ein LAN sein könnte, und dem LAN-Datenübertragungscontroller 12. Der LAN-Datenübertragungscontroller 12 benutzt eine vorherbestimmte Folge von Protokollen zum Austauschen von Information und Daten mit den anderen Geräten im Netzwerk. Computersystem 102 könnte ferner fähig sein, mit anderen Netzwerken über einen (nicht dargestellten) Router zu kommunizieren. Computersystem 102 könnte ferner fähig sein, mit anderen Geräten über ein öffentliches Telefonnetz (PSTN) mittels Netzwerkcontroller 16 zu kommunizieren. Computersystem 102 können ferner Zugang zu einem WAN (Weitbereichsnetzwerk) und zum Internet zum Beispiel haben. Der interne Bus 18, der aus einer Mehrzahl von Bussen bestehen könnte, gestattet die Kommunikation zwischen jeder der daran angeschlossenen Komponenten.
  • Computersystem 102 ist fähig, einen oder mehrere Abschnitte von Speicher 4 unter Einsatz eines oder mehrerer Scanningprogrammtypen auf Computerviren zu scannen, die auf die Erkennung und Identifizierung von Computerviren eingerichtet sind. Zum Beispiel könnten die Scanningprogramme die bekannte Signatur eines Virus erkennen oder Heuristik-Logik zum Erkennen von Viren verwenden.
  • Das erfindungsgemäße Verfahren und System könnten als eigentlicher Computerausführer Code eingebettet sein, der an einem in Kommunikation mit dem Computersystem 102 stehenden entfernten Ort gespeichert und ausgeführt werden kann, um dieses entfernt zu reparieren/wiederherzustellen. Das hier beschriebene Verfahren und System sind in der Lage, Computersysteme wiederherzustellen, die von einem Computervirus beschädigt wurden. Gemäß einer Ausführungsform hat das Computersystem 102 Zugang auf eine Mehrzahl von virusspezifischen Wiederherstellungsbefehl-Datendateien (siehe 3A). Wie in 3B dargestellt, enthält jede Wiederherstellungsbefehl-Datendatei Befehle oder Systemreparieranweisungen, die zur Wiederherstellung eines von dem spezifischen Virus beschädigten infizierten Computersystems dienen. Da manche Viren verschiedene Betriebssysteme auf unterschiedliche Weise angreifen können, könnten diese Befehle gemäß betriebssystem-spezifischer Anforderungen aufgegliedert sein. Mit den Befehlen können Dateinamen, Systemregistereinstellungen und/oder andere Betriebssystemeigenschaften, von denen bekannt ist, dass sie von bestimmten Computerviren geändert oder beschädigt wurden, wiederhergestellt werden.
  • Zu Beispielen von Befehlen, die in den Wiederherstellungsbefehl-Datendateien gespeichert und vom System benutzt werden können, gehören die folgenden: Dateien kopieren, löschen und umbenennen; Windows-Registrierschlüssel lesen, schreiben, erstellen und löschen; INI-Dateien manipulieren; aktive Prozesse im Systemspeicher identifizieren und beenden; externe Programme starten; Kettenvariablen manipulieren; Zahlenvariablen manipulieren; den Fluss der Reparaturanweisungen (abhängig von Laufzeit-Eingabeparametern) steuern; den Fluss der Reparaturanweisungen (abhängig vom Zielbetriebssystem) steuern. Selbstverständlich können auch wie erforderlich, abhängig von den am System durch den betreffenden Virus vorgenommene Änderungen, andere Befehle vorgesehen werden. Unter Einsatz eines oder mehrerer der oben aufgeführten Befehle ist es möglich, die von Computerviren beschädigten Systeme wiederherzustellen.
  • Bezugnehmend auf 2 scannt das Computersystem 102 unter Einsatz eines oder mehrerer der Scanningprogramme mindestens einen Abschnitt von Speicher 4 auf Viren (Schritt S1). Dann wird bestimmt, ob ein Virus gefunden wurde (Schritt S2). Wenn kein Virus gefunden wurde (Nein, Schritt S2), wird der Prozess beendet (Schritt S5). Wenn ein Virus gefunden und identifiziert wurde (Ja, Schritt S2), wird bestimmt, ob eine Systemreparaturoption ausgewählt wurde (Schritt S3). Dies könnte zum Beispiel in Form einer grafischen Benutzeroberfläche (GUI) erfolgen, die vor Beginn des Scannprozesses den Benutzer auffordert auszuwählen, ob die Systemreparaturmerkmale der vorliegenden Erfindung angewendet werden sollen, falls ein Virus erkannt wird. Wenn die Systemreparaturoption nicht ausgewählt wurde (Nein, Schritt S3), wird der Prozess beendet (Schritt S5). Wenn die Systemreparaturoption ausgewählt wurde (Ja, Schritt S3), wird die dem identifizierten Virus entsprechende Wiederherstellungsbefehl-Datendatei aufgerufen. Die Wiederherstellungsbefehl-Datendatei enthält die Systemreparaturanweisungen zur Wiederherstellung des Systems auf den Zustand, wie er vor der Infektion durch den betreffenden Virus existierte. Nun werden die Befehle oder Systemreparaturanweisungen in der Wiederherstellungsbefehl-Datendatei abgerufen und verarbeitet (Schritt S4). Die Wiederherstellungsbefehl-Datendatei könnte die Namen der von dem betreffenden Virus angegriffenen Dateien und die Anweisungen enthalten, die zur Wiederherstellung des Computersystems erforderlich sind. Nach Ausführung der Befehle oder Systemreparaturanweisungen wird der abgeschlossene Prozess beendet (Schritt S5).
  • Wenn beispielsweise der „Happy99.Worm" Virus vorhanden und identifiziert ist (Ja, Schritt S2) und die Systemreparatur option ausgewählt wurde (Ja, Schritt S3), wird eine Wiederherstellungsbefehl-Datendatei, die dem „Happy99.Worm" entspricht und die die Systemreparaturanweisungen zur Beseitigung des „Happy99.Worm" Virus enthält, abgerufen. Nun werden die Anweisungen ausgeführt (Schritt S4), um den Computer wieder in den normalen Betriebszustand zurückzuversetzen. Zum Beispiel könnte das vorhandene Verfahren und System den Befehl „Datei löschen" ausführen, um die neu erstellten Dateien „Wsock32.ska" und „Ska.exe" sowie andere von dem Virus erstellten Dateien zu löschen. Ferner könnte das Verfahren und System einen Befehl „Datei umbenennen" ausführen, um die Datei „Wsock32.ska" auf den ursprünglichen Namen „Wsock32.dll" zurückzusetzen. Schließlich könnte das Verfahren und System die Befehle „ReadRegKey" und „DeleteRegKey" benutzen um alle Schlüssel und Werte zu lesen und zu löschen, die durch den Virus zur Windows-Registerdatei hinzugefügt wurden. Diese Befehle oder Reparaturanweisungen könnten in der Wiederherstellungsbefehl-Datendatei aufgeführt sein, wie zum Beispiel in Form von Programmiercode.
  • Um Dateien wiederherzustellen, die von einem Computervirus manipuliert oder beschädigt wurden, könnte eine Wiederherstellungsbefehl-Datendatei auch die Dateisystembefehle „Datei löschen", „Datei umbenennen" und/oder „Datei kopieren" zum Manipulieren von Dateien enthalten, die sich im Computersystem befinden. Außerdem könnte ein „Shell" Befehl vorgesehen sein, über den ein System-Shell-Befehl ausgeführt werden könnte. Diese Befehle könnten je nach Benutzung einen oder mehrere Dateinamen als Eingabeparameter benutzen und im Falle eines Ausfalls eine Fehlerbedingung zurückgeben. Für den Fall, dass eine zu manipulierende Datei gerade vom System benutzt wird und nicht aufgerufen werden kann, gibt das Dateisystem keine Fehlerbedingung zurück; stattdessen warnt der Befehl das Computersystem, dass der Computer neu gestartet werden muss, um die Datei freizugeben. Nach Freigabe der Datei führt das Verfahren und System den Dateisystembefehl aus, dessen Ausführung vorher versucht wurde.
  • Computerviren können unerwünschte Prozesse und/oder Dienste starten, die auf einem Computersystem laufen. Somit könnte eine Wiederherstellungsbefehl-Datendatei auch Manipulierbefehle zum Stoppen von Prozessen und Diensten enthalten, die gerade auf einem Computersystem laufen. Zum Beispiel könnte ein „Kill Process" Befehl zum Stoppen eines aktuell auf dem Computersystem laufenden Prozesses verwendet werden, und es könnte ein „Kill Service" Befehl zum Stoppen eines Dienstes und Entfernen desselben aus der Windows-Registerdatei verwendet werden.
  • Computerviren können auch in Betriebssystemdateien einschließlich Windows-Register- und/oder Initialisierungsdateien eindringen. Das Windows-Register ist eine aus zwei Dateien bestehende Datenbank, die zur Speicherung von Einstellungen und Optionen für Windows verwendet wird, und die Informationen und Einstellungen für die gesamte Hardware, Software, die Benutzer und die Benutzereinstellungen des Computers enthält. Das Window-Register weist eine hierarchische Struktur auf, wobei die Hauptzweige Subzweige, genannt „Schlüssel", enthalten, die „Werte" speichern, die die tatsächliche, im Register gespeicherte Information enthalten. Andere Computerviren können in das Windows-Register und/oder die Initialisierungsdatein eindringen. Zum Beispiel könnte während der Installation der „Happy99.Worm" Virus zum Windows-Register einen Schlüssel mit einem entsprechenden Wert hinzufügen, wobei der Wert der Name einer nach dem Systemstart auszuführenden Datei ist, die somit bei jedem Computerstart den dem Benutzer unbekannten Virus aktiviert. Wenn demnach ein von einem derartigen Virus beschädigtes Computersystem wiederherzustellen ist, könnte die Wiederherstellungsbefehl-Datendatei auch die Fähigkeit beinhalten, Werte zu lesen, zu schreiben und zu löschen, die in Windows-Dateien, wie Windows-Regis ter- und/oder Initialisierungs (IN) Dateien, wie „System.ini", enthalten sind. Die benutzten Windows-Register-Manipulierbefehle könnten „ReadRegKey", „WriteRegKey" und „DelRegKey" beinhalten, währen die INI-Datei-Manipulierbefehle „ReadINIKey" und „WriteINIKey" beinhalten könnten. Die Befehlsnamen, Eingabeparameter und Funktionen sind wie folgt:
    ReadRegKey (Variable, Schlüssel, Wert) liest Daten im Wertfeld eines Schlüssels in eine Variable ein WriteRegKey (Schlüssel, Wert, Variable) schreibt Daten aus einer Variablen in ein Wertfeld eines Schlüssels. Wenn der Schlüssel oder der Wert nicht existieren, werden sie erstellt; DeleteRegKey (Schlüssel, Wert) löscht das Wertfeld eines angegebenen Schlüssels, oder wenn der Wertparameter leer bleibt, den ganzen Schlüssel; ReadINIKey (Variable, INI-Dateiname, Abschnitt, Schlüssel) liest Daten in einem Abschnittsfeld des Schlüssels, der sich innerhalb einer angegebenen INI-Datei befinden; und WriteINIKey (INI Dateiname, Abschnitt, Schlüssel, Variable) schreibt Daten aus einer Variablen in ein Abschnittsfeld eines Schlüssels, der sich innerhalb einer angegebenen INI-Datei befindet. Wenn die Variable auf ,NULL' gesetzt ist, wird der Schlüssel entfernt.
  • In den obigen Befehlen könnte während der ,Lese' und ,Schreib' Befehle eine Fehlerbedingung erscheinen für den Fall, dass ein Schreibausfall eingetreten ist. Wenn ein Befehl nach der Ausführung einen Fehler zurückgibt, wie einen Fehler, der anzeigt, dass das Kopieren auf eine nicht-existierende Datei oder das Lesen eines nicht existierenden Windows-Registerschlüssels fehlgeschlagen ist, könnte das vorliegende Verfahren oder System entweder den Fehler ignorieren oder den Reparaturprozess stoppen. Wenn zum Beispiel ein OnErrorAbort-Befehl aufgenommen wurde, wird der Reparaturprozess nach Eintreten des ersten Fehlers abgebrochen, während ein OnErrorContinue-Befehl bewirkt, dass der Reparaturprozess nach Eintreten eines oder mehrerer Fehler fortgesetzt wird. Das vorliegende Verfahren und System sind als Standard auf OnErrorContinue eingestellt, so dass der Reparaturprozess selbst im Fall eines oder mehrerer Fehler fortgesetzt wird.
  • Eine Wiederherstellungsbefehl-Datendatei könnte auch Kettenmanipulierfehler zum Manipulieren von Kettenvariablen enthalten für den Fall, dass sie von einem Virus geändert wurden. Zu Beispielen solcher Befehle gehört ein StrCpy-Befehl, der den Wert einer Source-String, eines Makros oder einer Konstanten in eine Destination-String kopiert. Ein StrCat-Befehl könnte den Source-String-, Makro- oder Konstantenwert zu einer Destination-String verketten.
  • Die Wiederherstellungsbefehl-Datendateien könnten in einem Datenspeicher in Speicher 4 und/oder auf anderen Speichermedien gespeichert werden, die für Computersystem 102 zugänglich sind. Zum Beispiel könnten die Wiederherstellungsbefehl-Datendateien in einem separaten, über ein lokales Netzwerk oder das Internet angeschlossenen Speichersystem gespeichert werden, wo sie direkt aufrufbar sind oder periodisch aktualisiert werden können. Ein Beispiel des Inhalts einer Wiederherstellungsbefehl-Datendatei, die zur Wiederherstellung nach dem Einfangen des „Happy99.Worm" Virus verwendet werden können, ist in 3B dargestellt. Der Codeabschnitt zwischen „VirusStart" und „VirusEnd" dient zum Erkennen des Virus und zum Reparieren der infizierten Datei. Dieser Codeabschnitt könnte in der Wiederherstellungsbefehl-Datendatei vorgesehen oder nicht vorgesehen sein. Der Codeabschnitt zwischen „SysCureStart" und „SysCureEnd" dient zum Reparieren des Computersystems mit Hilfe der hier beschriebenen Techniken.
  • Nachdem das Computersystem den Virus identifiziert und die entsprechende Wiederherstellungsbefehl-Datendatei aufgeru fen hat, liest das Computersystem die Liste der Befehle zu seiner Wiederherstellung aus der Datendatei. Wie in 3B dargestellt, starten bzw. beenden die SysCureStart- und SysCureEnd-Markierungen Befehlsblöcke innerhalb der Datendateien. Entsprechend dieses Beispiels führt das Computersystem zuerst DelRegKey zusammen mit Schlüssel- und Wertparametern aus, die aus der Datendatei abgerufen wurden. Die Schlüssel- und Wertparameter sind virusspezifisch und sind in diesem Fall „HK LOCAL MACHINE\Software\Microsoft\Windows\Run" bzw. „Virus". Wenn sie durch den Virus in die Windows-Registerdatei eingesetzt werden, bewirkt diese Schlüssel- und Wertkombination, dass das Computersystem die Datei „Virus" beim Start ausführt. Dementsprechend, nachdem dieser Wert vom Computersystem mittels des vorliegenden Systems und Verfahrens aus dem Windows-Register gelöscht wurde, versucht das Computersystem nicht länger, diese Datei beim Start auszuführen.
  • Obwohl nun das Computersystem nicht mehr versucht, die Virusdatei beim Start auszuführen, residiert trotzdem noch eine ausführbare Virusdatei im System und muss gelöscht werden. Dementsprechend enthält die Wiederherstellungsbefehl-Datendatei auch einen ReadRegKey-Befehl zusammen mit Zielvariablen-, Schlüssel- und Wertparametern, um den in dem angegebenen Wertfeld gefundenen Wert in eine erste Variable zu laden, wo er gespeichert wird. Dieser Wert ist der Name der ausführbaren Datei, deren Ausführung „Happy99.Worm" für den Systemstart bestimmt hatte, zum Beispiel „Ska.exe". Das Computersystem führt nun den Strcat-Befehl aus, um diese Variable mit dem Pfadnamen des Systemverzeichnisses, der von System zu System variiert und somit durch das Systemmakro „%SysDir%" symbolisiert wird, zu einer zweiten Variablen zu verketten, die jetzt den Systempfad gefolgt vom ausführbaren Virusdateinamen enthält. Nun führt das Computersystem DelFile aus, wobei die zweite Variable als Parameter verwendet und die ausführbare Datei gelöscht wird. Diese Technik gestattet dem Computersystem den Virus unabhängig vom tatsächlichen Namen der ausführbaren Datei zu löschen.
  • Eine Betriebssystem-Variable könnte dazu verwendet werden, das Betriebssystem (OS) zu identifizieren, innerhalb dessen die im Folgenden aufgelisteten Befehle ausgeführt werden könnten, und könnte auf Windows 95, Windows 98, Windows NT, Windows 2000 oder Alle eingestellt sein. Wenn es eine für ein Betriebssystem spezifischen Befehl gibt, könnte dieser Befehl in einem Unterabschnitt der von diesem Betriebssystem identifizierten Wiederherstellungsbefehl-Datendatei aufgelistet sein. Wenn es einen Befehl gibt, der von allen Betriebssystemen verwendet werden kann, könnte dieser Befehl in einem allgemeinen Abschnitt oder einem Unterabschnitt aufgelistet sein und für alle Betriebssystem ausgeführt werden. In 3B zeigt die Betriebssystemvariable „Win9x" an, dass die innerhalb des Codeabschnitts aufgelisteten Befehle auf Computersystemen ausgeführt werden können, auf denen die Windows 95, 98, ME Betriebssysteme laufen. Das vorliegende System und Verfahren könnte das Betriebssystem mit Hilfe einer Systemanwendungsprogrammschnittstelle (API) bestimmen. Nachdem das Betriebssystem bestimmt wurde, könnte diese Information gespeichert und beim Ausführen von Befehlen in der Wiederherstellungsbefehl-Datendatei zur bedingten Verzweigung verwendet werden.
  • Die Wiederherstellungsbefehl-Datendateien könnten auch andere Befehlstypen enthalten. Zum Beispiel, wenn Dateien oder Daten, die nicht ohne Weiteres verfügbar sind, repariert oder ersetzt werden müssen, könnte Code in den Wiederherstellungsbefehl-Datendateien vorgesehen werden, der den Benutzer auffordert, eine Systemdisk mit den entsprechenden Dateien oder Daten einzulegen. Es könnte Code zum Abrufen von Dateien oder Daten von einer Systemdisk und zum Ersetzen der beschädigten oder fehlenden Dateien im Computersystem vorgesehen werden. Die Wiederherstellungsbefehl- Datendateien könnten auch Code zum Starten eines Internet Browsers durch das Computersystem und zum Zugang zu einer bekannten Website mit den entsprechenden Dateien oder Daten zur Wiederherstellung des Computersystems enthalten. In den Wiederherstellungsbefehl-Datendateien könnte Code vorgesehen sein, mit dem der Benutzer aufgefordert wird, die entsprechenden Dateien oder Daten herunterzuladen, oder mit dem die Dateien oder Daten automatisch von der Website heruntergeladen werden, und mit dem die fehlenden oder beschädigten Dateien oder Daten im Computersystem wiederhergestellt werden.
  • Die vorliegende Offenbarung kann zweckmäßigerweise unter Einsatz eines oder mehrerer konventioneller digitaler Allzweck-Computer und/oder Server implementiert werden, die gemäß den Lehren der vorliegenden Spezifikation programmiert wurden. Entsprechende Software-Codierung kann ohne Weitere von ausgebildeten Programmierern aufgrund der Lehren der vorliegenden Erfindung erstellt werden. Die vorliegende Erfindung kann ferner durch Implementierung von anwendungsspezifischen integrierten Schaltkreisen oder durch Zusammenschalten eines entsprechenden Netzwerks konventioneller Komponentenschaltkreise implementiert werden.
  • Aufgrund der obigen Lehren sind zahlreiche weitere Modifikationen und Variationen der vorliegenden Erfindung möglich. Es versteht sich daher, dass die vorliegende Erfindung innerhalb des Geltungsbereichs der beigefügten Ansprüche auch in anderer Weise als der hier beschriebenen praktiziert werden kann.

Claims (12)

  1. Verfahren zum Wiederherstellen eines Computersystems, welches durch bösartigen Code modifiziert wurde, umfassend: Scannen (S1) des Computersystems auf den bösartigen Code; Identifizieren (S2) des bösartigen Codes: Abrufen (S4), aus einer Datendatei, von Information, die sich auf den bösartigen Code bezieht, einschließlich mindestens eines Befehls, mit dem das Computersystem im Wesentlichen auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte; und Ausführen (S4) des mindestens einen Befehls, mit dem Computersystem im Wesentlichen auf den Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte, wobei das Wiederherstellen des Computersystems folgende Schritte beinhaltet: a) Modifizieren einer Betriebssystemdatei, an der der bösartige Code zuvor eine unerlaubte Änderung vorgenommen hatte, wobei die Betriebssystemdatei eine Registrierdatei oder eine Initialisierungsdatei ist; b) Beseitigen eines Prozesses unter Einsatz eines von der Datendatei zurückgegebenen Kill-Befehls oder eines Dienstes unter Einsatz eines von der Datendatei zurückgegebenen Kill-Befehls; und c) Löschen einer ausführbaren infizierten Datei.
  2. Verfahren nach Anspruch 1, wobei der Schritt des Ausführens des mindestens einen Befehls das Lesen, Schreiben und Löschen der Daten beinhaltet.
  3. Verfahren nach Anspruch 1, wobei der Schritt des Ausführens des mindestens einen Befehls mindestens das Umbenennen und Löschen einer Datei beinhaltet.
  4. Verfahren nach Anspruch 1, wobei der bösartige Code mindestens eine Datei modifiziert und das Verfahren umfasst: Lesen eines Namens einer in der modifizierten Datei enthaltenen zweiten Datei; und Modifizieren der zweiten Datei.
  5. Verfahren nach Anspruch 1, wobei die Datendatei eine Mehrzahl von Datendateien umfasst, die jeweils für einen bestimmten bösartigen Codetyp vorgesehen sind, wobei jede Datendatei mindestens einen Befehl enthält, mit dem das Computersystem auf einen Zustand wiederhergestellt werden kann, der vor der Modifikation durch den betreffenden bösartigen Codetyp existierte.
  6. Speichermedium, enthaltend computerausführbaren Code zur Wiederherstellung eines durch bösartigen Code modifizierten Computersystems, umfassend Code, der darauf eingerichtet ist, beim Ausführen das Verfahren nach einem der Ansprüche 1 bis 5 durchzuführen.
  7. Computerdatensignal, welches in einem Übertragungsmedium enthalten ist und computerausführbare Anweisungen enthält, die darauf eingerichtet sind, das Verfahren nach einem der Ansprüche 1 bis 5 durchzuführen.
  8. Programmiertes Computersystem einschließlich eines Programms zum Wiederherstellen eines durch bösartigen Code modifizierten Computersystems, umfassend: Mittel zum Scannen (S1) des Computersystems auf bösartigen Code; Mittel zum Identifizieren (S2) des bösartigen Codes; Mittel zum Abrufen (S4), aus einer Datendatei, von Information, die sich auf den bösartigen Code bezieht einschließlich mindestens eines Befehls, mit dem das Computersystem auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte; und Mittel zum Ausführen (S4) mindestens eines Befehls, mit dem das Computersystem im Wesentlichen auf einen Zustand wiederhergestellt wird, der vor der Modifikation durch den bösartigen Code existierte, wobei das Mittel zum Wiederherstellen des Computersystems umfasst: a) Mittel zum Modifizieren einer Betriebssystemdatei, an der der bösartige Code zuvor eine unerlaubte Änderung vorgenommen hatte, wobei die Betriebssystemdatei eine Registrierdatei oder eine Initialisierungsdatei ist; b) Mittel zum Beseitigen eines Prozesses unter Einsatz eines von der Datendatei zurückgegebenen Kill-Befehls oder eines Dienstes unter Einsatz eines von der Datendatei zurückgegebenen Kill-Befehls; und c) Mittel zum Löschen einer ausführbaren infizierten Datei.
  9. Programmiertes Computersystem nach Anspruch 8, wobei die Mittel zur Ausführung mindestens eines Befehls Mittel zur Durchführung mindestens des Lesens, Schreibens und Löschens von Daten enthalten.
  10. Programmiertes Computersystem nach Anspruch 8, wobei die Mittel zur Ausführung mindestens eines Befehls Mittel zur Durchführung mindestens des Umbenennens und Löschens einer Datei enthalten.
  11. Programmiertes Computersystem nach Anspruch 8, wobei der bösartige Code mindestens eine Datei modifiziert, und das System ferner umfasst: Mittel zum Lesen eines Namens einer in der modifizierten Datei enthaltenen zweiten Datei; und Mittel zum Modifizieren der zweiten Datei.
  12. Programmiertes Computersystem nach Anspruch 8, wobei die Datendatei eine Mehrzahl von Datendateien umfasst, die jeweils für einen bestimmten bösartigen Codetyp vorgesehen sind, wobei jede Datendatei mindestens einen Befehl enthält, mit dem das Computersystem auf einen Zustand wiederherstellt werden kann, der vor der Modifikation durch den betreffenden bösartigen Code existierte.
DE60214147T 2001-03-30 2002-03-26 System und methode zum wiederherstellen eines computersystems welches durch ein bösartiges computerprogramm beschädigt worden ist Expired - Lifetime DE60214147T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US823673 1992-01-21
US09/823,673 US7114184B2 (en) 2001-03-30 2001-03-30 System and method for restoring computer systems damaged by a malicious computer program
PCT/US2002/009414 WO2002079956A1 (en) 2001-03-30 2002-03-26 System and method for restoring computer systems damaged by a malicious computer program

Publications (2)

Publication Number Publication Date
DE60214147D1 DE60214147D1 (de) 2006-10-05
DE60214147T2 true DE60214147T2 (de) 2007-07-26

Family

ID=25239383

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60214147T Expired - Lifetime DE60214147T2 (de) 2001-03-30 2002-03-26 System und methode zum wiederherstellen eines computersystems welches durch ein bösartiges computerprogramm beschädigt worden ist

Country Status (13)

Country Link
US (1) US7114184B2 (de)
EP (1) EP1374017B1 (de)
JP (1) JP2004533041A (de)
KR (1) KR20030085071A (de)
CN (1) CN1498363A (de)
AT (1) ATE337581T1 (de)
AU (1) AU2002250453B2 (de)
BR (1) BR0207678A (de)
CA (1) CA2442947A1 (de)
DE (1) DE60214147T2 (de)
IL (2) IL157542A0 (de)
WO (1) WO2002079956A1 (de)
ZA (1) ZA200306411B (de)

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7188368B2 (en) * 2001-05-25 2007-03-06 Lenovo (Singapore) Pte. Ltd. Method and apparatus for repairing damage to a computer system using a system rollback mechanism
GB0117721D0 (en) * 2001-07-20 2001-09-12 Surfcontrol Plc Database and method of generating same
CA2356017C (en) * 2001-08-29 2010-09-21 Ibm Canada Limited-Ibm Canada Limitee User interface for phased data entry
KR20040021744A (ko) * 2002-09-04 2004-03-11 삼성전자주식회사 휴대용 전화기의 정보 및 데이터 처리 방법
US8069480B1 (en) * 2002-09-30 2011-11-29 Mcafee, Inc. Method and system for defining a safe storage area for use in recovering a computer system
JP2004361994A (ja) * 2003-05-30 2004-12-24 Toshiba Corp データ管理装置、データ管理方法及びプログラム
KR20050053401A (ko) * 2003-12-02 2005-06-08 주식회사 하우리 컴퓨터 바이러스 방역방법과 그 프로그램을 기록한 기록매체
US20050229250A1 (en) * 2004-02-26 2005-10-13 Ring Sandra E Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations
EP1745660B1 (de) * 2004-04-30 2012-01-11 Research In Motion Limited System und verfahren zur abwicklung von wiederherstellungsoperationen auf mobilen einrichtungen
US8707251B2 (en) * 2004-06-07 2014-04-22 International Business Machines Corporation Buffered viewing of electronic documents
GB2416879B (en) 2004-08-07 2007-04-04 Surfcontrol Plc Device resource access filtering system and method
GB2418108B (en) 2004-09-09 2007-06-27 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
GB2418037B (en) 2004-09-09 2007-02-28 Surfcontrol Plc System, method and apparatus for use in monitoring or controlling internet access
US20060130144A1 (en) * 2004-12-14 2006-06-15 Delta Insights, Llc Protecting computing systems from unauthorized programs
US7673341B2 (en) * 2004-12-15 2010-03-02 Microsoft Corporation System and method of efficiently identifying and removing active malware from a computer
CN101084552A (zh) * 2004-12-21 2007-12-05 皇家飞利浦电子股份有限公司 一种光盘数据纠错方法及装置
US7624443B2 (en) * 2004-12-21 2009-11-24 Microsoft Corporation Method and system for a self-heating device
US7882561B2 (en) 2005-01-31 2011-02-01 Microsoft Corporation System and method of caching decisions on when to scan for malware
US20060179484A1 (en) * 2005-02-09 2006-08-10 Scrimsher John P Remediating effects of an undesired application
US7836504B2 (en) * 2005-03-01 2010-11-16 Microsoft Corporation On-access scan of memory for malware
US7636943B2 (en) * 2005-06-13 2009-12-22 Aladdin Knowledge Systems Ltd. Method and system for detecting blocking and removing spyware
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
KR100745639B1 (ko) * 2005-08-11 2007-08-02 주식회사 웨어플러스 파일 시스템 및 레지스트리를 보호하는 방법 및 그 장치
US8572371B2 (en) 2005-10-05 2013-10-29 Ca, Inc. Discovery of kernel rootkits with memory scan
CN100465978C (zh) * 2005-11-16 2009-03-04 白杰 被病毒程序破坏的数据恢复方法、装置及病毒清除方法
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
US7934229B1 (en) * 2005-12-29 2011-04-26 Symantec Corporation Generating options for repairing a computer infected with malicious software
JP4877921B2 (ja) * 2006-01-25 2012-02-15 株式会社日立製作所 ストレージシステム、記憶制御装置及び記憶制御装置のリカバリポイント検出方法
US7757290B2 (en) * 2006-01-30 2010-07-13 Microsoft Corporation Bypassing software services to detect malware
US20070289019A1 (en) * 2006-04-21 2007-12-13 David Lowrey Methodology, system and computer readable medium for detecting and managing malware threats
US9122719B2 (en) * 2006-04-28 2015-09-01 Bmc Software, Inc. Database application federation
US8615800B2 (en) 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8020206B2 (en) 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
JP4895718B2 (ja) * 2006-08-14 2012-03-14 株式会社リコー 画像形成装置、データ復旧方法および記録媒体
US9654495B2 (en) 2006-12-01 2017-05-16 Websense, Llc System and method of analyzing web addresses
GB2445764A (en) 2007-01-22 2008-07-23 Surfcontrol Plc Resource access filtering system and database structure for use therewith
US20080195676A1 (en) * 2007-02-14 2008-08-14 Microsoft Corporation Scanning of backup data for malicious software
US8015174B2 (en) 2007-02-28 2011-09-06 Websense, Inc. System and method of controlling access to the internet
US8495741B1 (en) * 2007-03-30 2013-07-23 Symantec Corporation Remediating malware infections through obfuscation
US8006078B2 (en) 2007-04-13 2011-08-23 Samsung Electronics Co., Ltd. Central processing unit having branch instruction verification unit for secure program execution
GB0709527D0 (en) 2007-05-18 2007-06-27 Surfcontrol Plc Electronic messaging system, message processing apparatus and message processing method
US8473461B1 (en) * 2008-05-27 2013-06-25 Symantec Corporation File infection removal by differential copy
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
EP2318955A1 (de) 2008-06-30 2011-05-11 Websense, Inc. System und verfahren zur dynamischen und echtzeit-kategorisierung von webseiten
KR20100023494A (ko) * 2008-08-22 2010-03-04 엘지전자 주식회사 단말기 및 그 바이러스 보호 방법
US7591019B1 (en) 2009-04-01 2009-09-15 Kaspersky Lab, Zao Method and system for optimization of anti-virus scan
WO2010138466A1 (en) 2009-05-26 2010-12-02 Wabsense, Inc. Systems and methods for efficeint detection of fingerprinted data and information
US8370648B1 (en) * 2010-03-15 2013-02-05 Emc International Company Writing and reading encrypted data using time-based encryption keys
KR101760778B1 (ko) * 2011-01-17 2017-07-26 에스프린팅솔루션 주식회사 컴퓨터시스템 및 그 프로그램 업데이트 방법
US8181247B1 (en) * 2011-08-29 2012-05-15 Kaspersky Lab Zao System and method for protecting a computer system from the activity of malicious objects
CN102629310A (zh) * 2012-02-29 2012-08-08 卡巴斯基实验室封闭式股份公司 用于保护计算机系统免遭恶意对象活动侵害的系统和方法
CN103577751B (zh) * 2012-07-25 2015-06-10 腾讯科技(深圳)有限公司 文件扫描方法和装置
CN103778114B (zh) * 2012-10-17 2016-03-09 腾讯科技(深圳)有限公司 文件修复系统和方法
US9117054B2 (en) 2012-12-21 2015-08-25 Websense, Inc. Method and aparatus for presence based resource management
FR3003365B1 (fr) * 2013-03-12 2015-04-10 Airbus Operations Sas Procede et dispositif de gestion de mises a jour logicielles d'un ensemble d'equipements d'un systeme tel qu'un systeme d'un aeronef
CN103679024B (zh) * 2013-11-19 2015-03-25 百度在线网络技术(北京)有限公司 病毒的处理方法及设备
RU2618947C2 (ru) * 2015-06-30 2017-05-11 Закрытое акционерное общество "Лаборатория Касперского" Способ предотвращения работы программ, содержащих нежелательный для пользователя функционал
KR101710928B1 (ko) 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
US10063589B2 (en) 2016-04-20 2018-08-28 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Microcheckpointing as security breach detection measure
US20170310700A1 (en) * 2016-04-20 2017-10-26 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. System failure event-based approach to addressing security breaches
US20200344249A1 (en) * 2019-03-27 2020-10-29 Schlumberger Technology Corporation Automated incident response process and automated actions
US11966477B2 (en) * 2022-01-11 2024-04-23 Musarubra Us Llc Methods and apparatus for generic process chain entity mapping

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4975950A (en) * 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US5408642A (en) * 1991-05-24 1995-04-18 Symantec Corporation Method for recovery of a computer program infected by a computer virus
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
JP4162099B2 (ja) * 1995-06-02 2008-10-08 富士通株式会社 ウィルス感染に対処する機能を持つ装置及びその記憶装置
US6067410A (en) 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5657445A (en) * 1996-01-26 1997-08-12 Dell Usa, L.P. Apparatus and method for limiting access to mass storage devices in a computer system
US5822517A (en) * 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US6108799A (en) * 1997-11-21 2000-08-22 International Business Machines Corporation Automated sample creation of polymorphic and non-polymorphic marcro viruses
KR19990060338A (ko) * 1997-12-31 1999-07-26 윤종용 하드 디스크 드라이브의 바이러스에 의한 손상 데이터복구방법
US6263348B1 (en) * 1998-07-01 2001-07-17 Serena Software International, Inc. Method and apparatus for identifying the existence of differences between two files
US6401210B1 (en) * 1998-09-23 2002-06-04 Intel Corporation Method of managing computer virus infected files
US6535998B1 (en) * 1999-07-26 2003-03-18 Microsoft Corporation System recovery by restoring hardware state on non-identical systems
WO2002021274A1 (en) * 2000-05-19 2002-03-14 Self Repairing Computers, Inc. A computer with switchable components
US20020178375A1 (en) * 2001-01-31 2002-11-28 Harris Corporation Method and system for protecting against malicious mobile code

Also Published As

Publication number Publication date
JP2004533041A (ja) 2004-10-28
BR0207678A (pt) 2004-03-09
DE60214147D1 (de) 2006-10-05
ATE337581T1 (de) 2006-09-15
US20020144129A1 (en) 2002-10-03
CA2442947A1 (en) 2002-10-10
US7114184B2 (en) 2006-09-26
CN1498363A (zh) 2004-05-19
EP1374017A1 (de) 2004-01-02
IL157542A (en) 2007-12-03
EP1374017B1 (de) 2006-08-23
IL157542A0 (en) 2004-03-28
KR20030085071A (ko) 2003-11-01
ZA200306411B (en) 2004-08-18
AU2002250453B2 (en) 2008-08-21
WO2002079956A1 (en) 2002-10-10

Similar Documents

Publication Publication Date Title
DE60214147T2 (de) System und methode zum wiederherstellen eines computersystems welches durch ein bösartiges computerprogramm beschädigt worden ist
JP5444368B2 (ja) アプリケーション復元ポイント
DE60025043T2 (de) Vorrichtung und verfahren mit verwendung von anwendungabhängigkeitsinformation für eine sicherungskopieherstellung in einem computersystem
EP1933248A1 (de) Verfahren zur sicheren Datenverarbeitung auf einem Computersystem
US7577949B2 (en) Installation source management
AU2002250453A1 (en) System and method for restoring computer systems damaged by a malicious computer program
DE102007015385A1 (de) Verfahren und Vorrichtung zur Wiedergewinnung von Speicherplatz in Speichern
DE10225664A1 (de) System und Verfahren zum Prüfen von Systemabrufereignissen mit Systemabrufumhüllungen
DE112012000526T5 (de) Malware - Erkennung
DE102019111068A1 (de) Datenspeichersystem mit LUN-Archivierung in die Cloud unter Verwendung einer Volume-to-Object(Volumen-zu-Objekt)-Umsetzung
DE112017000190T5 (de) Durchgehende Verschlüsselung und Backup in Datenschutzumgebungen
DE112008004014T5 (de) Analysieren von Serverkopien von Clientdateien
DE112018002954T5 (de) Bereitstellen eines konfigurationsabhängigen arbeitsablaufs
EP3239883A1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE10112751B4 (de) Gerät und Verfahren zum Einstellen einer Umgebung eines Client in einem Client/Server-System und Programm-Aufzeichnungsmedium dafür
DE102004025264A1 (de) Datenverarbeitungseinrichtung und Verfahren zur Wiederherstellung eines Betriebszustandes
US20100125556A1 (en) Restoring application upgrades using an application restore point
DE112012006736T5 (de) Empfangen eines Update-Moduls durch Zugreifen auf eine Netzwerkstelle
DE102019135079A1 (de) Installation von firmware-bundles abbrechen
DE60016866T2 (de) Verfahren und vorrichtung zur behandlung von datenverfälschung und gemeinsam genutzte platten im kontext von datensicherung, -benützung und wiederherstellung
DE112019005311T5 (de) Serverlose lösung zur optimierung von objektversionierung
DE10152530A1 (de) Arbeitsablauffreundliche Firmware-Aktualisierungen für Netzwerkvorrichtungen
DE202013103358U1 (de) Selektive Einschätzung der Schädlichkeit von im Adressraum eines vertrauenswürdigen Prozesses ausgeführtem Software-Code
DE10297001B4 (de) Informations-Reproduktionssystem mit verbesserter Fehlererkennung und Rekonstruktion
EP3072080B1 (de) Verfahren und vorrichtung zum manipulationsschutz einer recheneinrichtung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
R082 Change of representative

Ref document number: 1374017

Country of ref document: EP

Representative=s name: FELIX RUMMLER, DE

R081 Change of applicant/patentee

Ref document number: 1374017

Country of ref document: EP

Owner name: GOOGLE INC., US

Free format text: FORMER OWNER: COMPUTER ASSOCIATES THINK, INC., ISLANDIA, US

Effective date: 20120829

R082 Change of representative

Ref document number: 1374017

Country of ref document: EP

Representative=s name: FELIX RUMMLER, DE

Effective date: 20120829