JP6352332B2 - 変更されたデータを復元するシステム及び方法 - Google Patents
変更されたデータを復元するシステム及び方法 Download PDFInfo
- Publication number
- JP6352332B2 JP6352332B2 JP2016093081A JP2016093081A JP6352332B2 JP 6352332 B2 JP6352332 B2 JP 6352332B2 JP 2016093081 A JP2016093081 A JP 2016093081A JP 2016093081 A JP2016093081 A JP 2016093081A JP 6352332 B2 JP6352332 B2 JP 6352332B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- program
- request
- parameters
- storage device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Description
悪意あるプログラムは、他のコンピュータ又はコンピュータネットワークにおける攻撃(DDOS又はブルートフォース等)のために、ユーザデバイスに、いわゆる「ボットネット」を形成する。さらに他の悪意あるプログラムは、押し付けがましい広告を通じて有料コンテンツ、有料購読、プレミアムレート番号へのショートメッセージサービスの送信等をユーザに提供する。
これは、次に、ハードディスクの空き容量、プロセッサ時間、等を含むコンピュータリソースに大きな負荷をもたらす。
アクティビティ追跡モジュールによって、プログラムからのデータを変更する要求を傍受する工程と、
解析モジュールによって、傍受された要求のパラメータを判断する工程と、
解析モジュールによって、傍受された要求における少なくとも1つの判断されたパラメータに基づいて、データのバックアップコピーの要求を生成する工程と、
バックアップモジュールによって、電子データベース内のデータのバックアップコピーを生成し保存する工程と、
を含む。
傍受された要求における、固有のデータ識別子、
データの操作方法、
少なくとも1つのデータ操作の種類、及び、
少なくとも1つのデータ変更パラメータ、のうちの少なくとも1つ、を備える。
データを変更するプログラムのプロセスにおけるプロセスのパラメータを判断する工程と、
判断されたプロセスのパラメータを解析する工程と、
プロセスのパラメータの解析に基づいて、プログラムのプロセスにおける更なる操作をブロックする工程と、を含む。
データを変更するプログラムにおけるプロセスのパラメータの脅威レベルを判断する工程、及び、
脅威レベルに基づいて、プログラムのプロセスの更なる操作をブロックする工程を含む。
解析モジュールにより、以下の少なくとも1つのルールに従って、傍受された要求のパラメータを解析する工程を含み、
そのルールは、
データの種類に基づいて、データをバックアップする必要性(プログラムからの要求が、そのデータの変更を行なうものである場合)に関するルール、
プログラムからの要求が、データのユーザ操作を変更するかどうかに関するルール、
プログラムからの要求が、データに対する有効な操作の種類に基づいて、データを変更するかどうかに関するルール、
及び、そのデータがファイルに書き込まれた場合、データが変更されるかどうかに関するルール、
のうち1つを含む。
アクティビティ追跡モジュールと、
解析モジュールと、
バックアップモジュールと、を含み、
アクティビティ追跡モジュールは、プログラムからのデータを変更する要求を傍受するように構成され、
解析モジュールは、傍受された要求のパラメータを判断し、その傍受された要求における判断された少なくとも1つのパラメータに基づいて、データのバックアップコピーの要求を生成するように構成され、
及び、
バックアップモジュールは、データのバックアップココピーを生成し、電子データベース内のデータのバックアップコピーを保存するように構成される。
この態様によれば、この命令は、
アクティビティ追跡モジュールによって、プログラムからのデータを変更する要求を傍受し、
解析モジュールによって、傍受された要求のパラメータを判断し、
解析モジュールによって、傍受された要求における、少なくとも1つの判断されたパラメータに基づいて、データのバックアップコピーを生成するように要求し、
バックアップモジュールによって、電子データベース内でのデータのバックアップコピーを生成及び保存するように提供されている。
例えば、
(i)固有のデータ識別子(例えば、ファイル記述子又はファイルへのパス、変更されるメモリのアドレス等)、
(ii)データの操作方法(例えば、データの読み出し・上書き・削除等)、
(iii)データ操作の種類(例えば、データによって占有されるメモリ領域をバッファに書き込むこと、ファイルヘッダを読み込むこと等)、
(iv)データ変更パラメータ(例えば、メモリ領域に書き込まれているデータに必要なバッファのサイズ及びコンテンツ、変更されるファイルへの新しいアクセス権等)
であってもよい。
さらに、プロセスのパラメータは、例えば、プロセスを実行しているアプリケーションへのパス、プロセス記述子、及び/又は、プロセスによって実行される操作のログ、であってもよい。
その要求は、以下のルールに従って、要求におけるパラメータを解析した結果に基づいて、プロセスにより変更されることができる。
一実施形態では、傍受された要求のパラメータの解析のために使用されるルールを、以下に示す。
・データ(要求が操作しようとしているデータ)の種類に応じて、データの更なるバックアップコピーが必要であるという判断をするルール。
例えば、(*.exeファイル、*.dllファイルなどの実行可能ファイルの場合のように)データの整合性がオペレーティングシステムの動作にとって重要である場合、
又は、(データベース、Microsoft Office(登録商標)の文書、電子メールファイル、画像、等の場合のように)ユーザにとって重要である場合に、更なるデータのバックアップコピーの必要性を判断する。
・データの操作方法に応じ、その操作をすることによって、データの変更を生じさせることができるかどうかを判断するルール。(例えば、書き込み権限を持つファイルを開く場合)
・データを操作する種類に応じ、操作をすることによって、データの変更を生じさせることができるかどうかを判断するルール(例えば、データバッファをファイルに書き込む)
・書き込まれているデータによって、データの変更が成されるかどうか、又は、データが影響を受けないかどうかについて判断するルール(例えば、ビデオストリームファイルへの追加)
バックアップモジュール140は、検出モジュールからの要求で、バックアップデータベース150からデータ記憶モジュール110にデータを復元するように、さらに構成されている。バックアップデータベース150はまた、バックアップモジュール140によってデータを転送、バックアップモジュール140にデータを提供するように設計されている。
(1)要求されたファイル種類に応じて、解析モジュール130は、更なるプロセスが必要であるかを判断する。つまり、ファイルの整合性が、(例えば、実行ファイル“*.exe”, “*.dll”等)オペレーティングシステムの動作にとって重要であるかどうか、又は、(データベース、Microsoft Officeの文書、電子メールファイル、写真等のように)ユーザにとって重要であるかどうか、によって更なるプロセスの必要性を判断するルール。
(2)ファイル実行の方法に応じて、解析モジュール130は、その動作が変更を生じさせるものであるかどうかと判断するルール(例えば、新しいものを生成するのではなく、既存のファイルのオープン)。
(3)ファイルを操作する種類に応じて、解析モジュール130は、ファイルを操作すると、その変更が生じるかどうかを判断するルール(例えば、読み取り専用で開けるファイルであるが、書き込みのためのファイルを開く)
(4)書き込まれているデータに応じて、解析モジュール130は、(例えば、ストリーミングビデオファイルにデータを追加することにより)変更を生じさせるものであるかどうか、又はデータが影響を受けないかどうかについて判断するルール。
暗号化プログラムのプロセスにおけるアクティブなファイルの追跡は、暗号化プログラムのプロセスが検出モジュール160によってブロックされるまで続くだろう。
この態様で、バックアップモジュール140は、検出モジュール160からの要求を受信し、バックアップデータベース150からデータ記憶モジュール110に、暗号化プログラムによって変更された文書を復元する。この結果、一態様では、暗号化プログラムによって変更された文書のいずれも損傷しない。
インジェクタプログラムが、変更を行うようにInternet Explorerのメモリ領域へのアクセスを要求すると共に、データ記憶モジュール110(オペレーティングシステムのメモリマネージャーである)にアクセスする場合、WinAPIの関数"::VirtualAllocEx”及び”::WriteProcessMemory”のコールを実行する。
アクティビティ追跡モジュール120は、これらの要求を傍受し、その要求のパラメータを判断する。すなわち、メモリ領域はアクセスされ、それは、メモリ等で実行するために準備するように操作する。
そのように判断されたパラメータは、アクティビティ追跡モジュール120によって解析モジュール130へ送信される。
アクティビティ追跡モジュール120は、また、インジェクタプログラムのプロセスパラメータ(プロセス識別子、プロセスによって実行される操作のログ等)を傍受し、これらを検出モジュール160に送る。
例えば、
・どのアプリケーションが、要求されたメモリ領域に属しているのか(例えば、本実施例ではInternet Explorer)
・メモリでの動作方法(例えば、"MEM_COMMIT"、"MEM_RESERVE"、"PAGE_EXECUTE_READWRITEフラグを送信することにより、メモリへの書き込みを要求)
・メモリ変更パラメータ(例えば、書き込みが発生するメモリアドレス、書き込みが行われるメモリアドレス、書き込みされるだろうデータサイズ等)
・プロセスの種類に応じて、メモリへのアクセスが要求され、解析モジュール130は、更なる処理に対する必要性とファイルの整合性がオペレーティングシステムの動作(例えば、オペレーティングシステムのアプリケーション等)にとって重要であるかどうかを判断するルール。
・メモリでの動作方法に応じて、解析モジュール130は、その動作がデータの変更をもたらすかどうかを判断するルール。
・メモリでの操作の種類に応じて、解析モジュール130は、メモリでの動作がその変更をもたらすかどうかを判断するルール。
・書き込まれているデータに応じて、解析モジュール130は、プロセスのメモリ内のデータの変更をもたらすかどうか、又は、データが影響を受けないかどうかを判断するルール。
バックアップモジュール140は、解析モジュール130からの要求を受信し、インジェクタプログラムによって変更されたInternet Explorerプロセスのメモリ領域を、データ記憶モジュール110からバックアップデータベース150へバックアップコピーする。
脅威レベルは、変更されたプロセスのメモリ領域におけるコンテンツの回復不能な損失の可能性を解析することによって算出される。
プロセスが、他のプロセスのメモリ領域への書き込み操作をするので、これらのアクションは、Internet Explorerのプロセスのデータに対する脅威を構成するものとし、検出モジュール160によって認識される。さらに、プロセス(外部プロセスへの書き込みのための多くの要求)で実行された操作の受信ログの解析結果によれば、解析されているプロセスを起動しているインジェクタプログラムが悪意あり、ユーザデータに対して潜在的な損傷を運ぶことを示している。
一般的に示されるように、その方法は、データを変更する要求を傍受し(工程210)、傍受された要求のパラメータを判断し(工程220)、データのバックアップコピーを実行し(工程230)、プロセスパラメータを判断し(工程240)、プロセスパラメータを解析し(工程250)、プロセス操作をブロックし(工程260)、及び変更されたデータを復元する(工程270)ことを含む。
すなわち、
復号化できない状態でのデータの暗号化(例えば、必要な復号鍵を取得が不可能である為)、
データの上書き(すなわち、古いデータを回復することができない状態で古いデータに対して新たなデータの書き込む)、
及び、データの削除などである。
身代金要求型プログラムが、WinAPI関数の"::MoveFile"と"::SetNamedSecurityInfo"のコールで構成される要求であって、処理された画像ファイルに対する変更の要求を送信する場合、その要求は工程210で傍受される。
要求が傍受された後、工程220で、要求のパラメータが判断される。この例では、要求のパラメータは、新旧のファイルパス、ファイル種類(構造体"ECURITY_INFORMATION")、セキュリティの情報(構造体" SECURITY_INFORMATION")等である。要求がファイルのパラメータ変更を目的としているので、工程230において、バックアップデータベース150への変更されたパラメータのバックアップコピーが行われる。次に、工程240において、身代金要求型プログラムによって実行されるプロセスにおける、パラメータ、プロセス識別子、プロセスによって実行される操作のログ等が判断される。工程250において、身代金要求型プログラムによって実行されるプロセスのパラメータが解析される。そのプロセスは、工程250で実行される検出モジュール160の観点から信頼(例えば、信頼できるデジタル署名によって署名されたファイルシステム等)されていないので、プロセスによって実行される操作(一時的なものも含め、異なるフォルダ内での画像ファイルに対する変更を行う多くの要求等)の受信したログの解析結果によれば、解析されているプロセスを起動している身代金要求型プログラムが、悪意があり、ユーザのファイルに対して潜在的な損失を運ぶことを示している。(すなわち、上述したアクションは、悪意あるプログラムの特性であり、信頼できるアプリケーションのものではない)
身代金要求型プログラムが悪意あるものとして認識された後、工程260で、身代金要求型プログラムの操作はブロックされる。身代金要求型プログラムのファイルが悪意あるプログラムによる引き続き繰り返されるコールを避けるために、プロセスは停止され、メモリから削除され、隔離して配置される。
このあと、工程270で、身代金要求型プログラムによって変更されたファイル属性とアクセス権が復元される。プロセスの結果として、身代金要求型プログラムによって変更された画像ファイルのいずれも損傷していない。
ユーザは、入力デバイス(キーボード40、マウス42)で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス(図示せず)として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法(例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB))を用いて接続できる。モニター47又は他の種類の表示デバイスもまた、ビデオアダプタ48などのインターフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンター等の他の周辺出力デバイス(図示せず)を搭載することができる。
Claims (20)
- 変更されたデータを復元するための方法であって、前記方法は、
コンピュータのプロセッサにより、データ記憶装置に保存されたデータを変更するプログラムからの要求を、前記プログラムが前記データを変更する前に傍受する工程と、
前記プロセッサにより、変更される前記データに関係する傍受された要求のパラメータを判断する工程と、
前記判断されたパラメータに基づいて基準を算出する工程と、
変更される前記データの整合性が前記コンピュータのオペレーティングシステムにとって重要であることを示すルールであり、且つ前記データ記憶装置の操作方法と前記データ記憶装置でのデータ操作の種類が前記データの変更をもたらすかどうかを示すルールに基づいて、前記算出された基準を分析する工程と、
前記ルールが満たされると、前記プロセッサにより、前記データのバックアップコピーの要求を生成する工程と、
前記プログラムが前記データ記憶装置の前記データを変更する前に、前記プロセッサにより、前記生成された要求に応じて前記データをバックアップコピーする工程と、
前記プロセッサにより、バックアップデータ記憶装置に前記バックアップコピーを保存する工程と、を含む、変更されたデータを復元するための方法。 - 前記傍受された要求のパラメータは、
前記傍受された要求における固有のデータ識別子、
変更される前記データに関する前記データ記憶装置の前記操作方法、
前記データ操作の前記種類、及び、
少なくとも1つのデータ変更パラメータ、
のうちの少なくとも1つを含む、請求項1に記載の方法。 - 前記データを変更する前記傍受されたプログラムによって実行されたプロセスのパラメータを判断する工程と、
前記判断されたプロセスのパラメータを解析する工程と、
前記プロセスのパラメータの解析に基づいて、前記プログラムによって実行された前記プロセスにおける更なる操作をブロックする工程と、をさらに含む、
請求項1に記載の方法。 - 前記データが、悪意あるプログラムのプロセスによって変更されるどうかを判断する工程と、
前記データが前記悪意あるプログラムのプロセスによって変更された場合、前記悪意あるプログラムにおけるプロセスの更なる操作がブロックされた後、前記データのバックアップコピーを用いて、前記データを復元する工程と、
を含む、請求項3に記載の方法。 - 前記判断されたプロセスのパラメータの解析は、前記データを変更する前記プログラムにおける前記プロセスのパラメータの脅威レベルを判断する工程と、
前記脅威レベルに基づいて、前記プログラムのプロセスの更なる操作をブロックする工程と、をさらに備える、
請求項3に記載の方法。 - 前記プログラムにおける前記プロセスの更なる操作をブロックする工程は、前記コンピュータのメモリから前記プロセスを削除する工程、
前記プロセスの実行を停止する工程、及び、
前記プロセス実行中のファイルを隔離して配置する工程
の、うち少なくとも1つを含む、
請求項3に記載の方法。 - 前記プロセッサにより、以下の少なくとも1つのルールに従って、前記傍受された要求のパラメータを解析する工程をさらに含み、
前記ルールは、
前記データの種類に基づいて、前記データをバックアップする必要性に関するルール、
前記プログラムからの要求が、前記データのユーザ操作を変更するかどうか関するルール、
前記プログラムからの要求が、前記データに対する有効な操作の種類に基づいて、前記データを変更するかどうか関するルール、及び、
前記データがファイルに書き込まれた場合、前記データが変更されるかどうか関するルール、
のうち1つを含む、
請求項3に記載の方法。 - 変更されたデータを復元するシステムであって、前記システムは、
データ記憶装置と、
ハードウェアプロセッサと、を含み、
前記ハードウェアプロセッサは、
前記データ記憶装置に保存されたデータを変更するプログラムからの要求を、前記プログラムが前記データを変更する前に傍受し、
変更される前記データに関係する前記傍受された要求のパラメータを判断し、
前記判断されたパラメータに基づいて基準を算出し、
変更される前記データの整合性がコンピュータのオペレーティングシステムにとって重要であることを示すルールであり、且つ前記データ記憶装置の操作方法と前記データ記憶装置でのデータ操作の種類が前記データの変更をもたらすかどうかを示すルールに基づいて、前記算出された基準を分析する工程と、
前記ルールが満たされると、前記データのバックアップコピーをする要求を生成し、
前記プログラムが前記データ記憶装置の前記データを変更する前に、前記生成された要求に応じて前記データのバックアップコピーを生成し、
バックアップデータ記憶装置にバックアップコピーを保存する
ように構成される、システム。 - 前記傍受された要求のパラメータは、
前記傍受された要求における固有のデータ識別子、
変更される前記データに関する前記データ記憶装置の前記操作方法、
前記データの操作の前記種類、及び、
少なくとも1つのデータ変更パラメータ、
のうち少なくとも1つを含む、請求項8に記載のシステム。 - 前記プロセッサは、
前記データを変更する前記傍受されたプログラムによって実行されたプロセスのパラメータを判断し、
前記判断されたプロセスのパラメータを解析し、
前記プロセスのパラメータの解析に基づいて、前記プログラムによって実行された前記プロセスにおける更なる操作をブロックするようにさらに構成される、
請求項8に記載のシステム。 - 前記プロセッサは、
前記データが、悪意あるプログラムの前記プロセスによって変更されるかどうか、
前記データが、前記悪意あるプログラムのプロセスによって変更された場合、前記悪意あるプログラムのプロセスにおける更なる操作がブロックされた後、前記データのバックアップコピーを用いて、前記データを復元する、
請求項10に記載のシステム。 - 前記プロセッサは、
前記データを変更する前記傍受されたプログラムにおける前記プロセスのプロセスパラメータの脅威レベルを判断し、
前記脅威レベルに基づいて、前記悪意あるプログラムのプロセスにおける更なる操作をブロックするように、さらに構成される、
請求項10に記載のシステム。 - 前記プロセッサは、
前記プロセッサを含むコンピュータのメモリから前記プロセスを削除する工程、
前記プロセスの実行を停止する工程、及び、
前記プロセス実行中のファイルを隔離して配置する工程、
のうち少なくとも1つによって、前記傍受されたプログラムにおける前記プロセスの更なる操作をブロックするようにさらに構成される、
請求項10に記載のシステム。 - 以下の少なくとも1つを含むルールに従って、前記傍受された要求のパラメータを解析する工程をさらに含み、
前記ルールは、
前記データの種類に基づいて、前記データをバックアップする必要性に関するルール、
前記プログラムからの要求が、前記データのユーザ操作を変更するかどうかに関するルール、
前記プログラムからの要求が、前記データに対する有効な操作の種類に基づいて、前記データを変更するかどうかに関するルール、及び、
前記データがファイルに書き込まれた場合、前記データが変更されるかどうかに関するルール、
の少なくとも1つを含む、請求項10に記載のシステム。 - 変更されたデータを復元するためのコンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体であって、
コンピュータのハードウェアプロセッサにより、データ記憶装置に保存されたデータを変更するプログラムからの要求を、前記プログラムが前記データを変更する前に傍受する命令と、
変更される前記データに関係する前記傍受された要求のパラメータを判断する命令と、
前記判断されたパラメータに基づいて基準を算出する命令と、
変更される前記データの整合性が前記コンピュータのオペレーティングシステムにとって重要であることを示すルールであり、且つ前記データ記憶装置の操作方法と前記データ記憶装置でのデータ操作の種類が前記データの変更をもたらすかどうかを示すルールに基づいて、前記算出された基準を分析する命令と、
前記ルールが満たされると、前記データのバックアップコピーを生成する要求を生成する命令と、
前記プログラムが前記データ記憶装置の前記データを変更する前に、前記生成された要求に応じて前記データのバックアップコピーを生成する命令、及び、
バックアップデータ記憶装置にバックアップコピーを保存する命令を含む、
コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。 - 前記傍受された要求のパラメータは、
前記傍受された要求における固有のデータ識別子、
変更される前記データに関する前記データ記憶装置の前記操作方法、
前記データ操作の前記種類、及び、
少なくとも1つのデータ変更パラメータ、
のうち少なくとも1つを含む、
請求項15に記載の、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。 - 前記データを変更する前記プログラムによって実行されたプロセスのパラメータを判断する命令と、
前記判断されたプロセスのパラメータを解析する命令と、
前記プロセスのパラメータの解析に基づいて、前記プログラムによって実行された前記プロセスにおける更なる操作をブロックする命令と、
を含む、
請求項15に記載の、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。 - 前記データが悪意あるプログラムのプロセスによって、変更されたるどうかを判断する命令と、
前記データが前記悪意あるプログラムのプロセスによって変更された場合、前記悪意
あるプログラムのプロセスの更なる操作がブロックされた後、前記データのバックアップコピーを用いて、前記データを復元する命令と、をさらに含む、
請求項17に記載の、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。 - 前記判断されたプロセスのパラメータを解析するための前記命令は、
前記データを変更する前記傍受されたプログラムにおける前記プロセスのプロセスパラメータの脅威レベルを判断する命令と、
前記脅威レベルに基づいて、前記プログラムのプロセスの更なる操作をブロックする命令と、を含む、
請求項17に記載の、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。 - 前記傍受されたプログラムのプロセスにおける更なる操作をブロックする命令は、
前記プログラムを受信するコンピュータのメモリから前記プロセスを削除する命令、
前記プロセスの実行を停止する命令、及び
前記プロセス実行しているファイルを隔離して配置する命令、
の少なくとも1つを含む、
請求項17に記載の、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/744,570 US9588848B2 (en) | 2015-06-19 | 2015-06-19 | System and method of restoring modified data |
US14/744,570 | 2015-06-19 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2017010531A JP2017010531A (ja) | 2017-01-12 |
JP6352332B2 true JP6352332B2 (ja) | 2018-07-04 |
Family
ID=53716364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016093081A Active JP6352332B2 (ja) | 2015-06-19 | 2016-05-06 | 変更されたデータを復元するシステム及び方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9588848B2 (ja) |
EP (1) | EP3107024B1 (ja) |
JP (1) | JP6352332B2 (ja) |
CN (1) | CN106257481B (ja) |
Families Citing this family (42)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10021120B1 (en) * | 2015-11-09 | 2018-07-10 | 8X8, Inc. | Delayed replication for protection of replicated databases |
JP6219550B1 (ja) * | 2017-05-19 | 2017-10-25 | 三井物産セキュアディレクション株式会社 | プログラム、情報処理装置、及び情報処理方法 |
US10264002B2 (en) | 2016-07-14 | 2019-04-16 | Mitsui Bussan Secure Directions, Inc. | Program, information processing device, and information processing method |
US10715533B2 (en) | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10210330B1 (en) * | 2016-09-13 | 2019-02-19 | Symantec Corporation | Systems and methods for detecting malicious processes that encrypt files |
WO2018111271A1 (en) * | 2016-12-15 | 2018-06-21 | Hewlett-Packard Development Company, L.P. | Ransomware attack monitoring |
US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
US10516688B2 (en) | 2017-01-23 | 2019-12-24 | Microsoft Technology Licensing, Llc | Ransomware resilient cloud services |
CN107256358A (zh) * | 2017-07-04 | 2017-10-17 | 北京工业大学 | 工业组态监控软件执行过程动态保护方法 |
CN107563192B (zh) * | 2017-08-10 | 2020-02-07 | 北京神州绿盟信息安全科技股份有限公司 | 一种勒索软件的防护方法、装置、电子设备及存储介质 |
US11216559B1 (en) * | 2017-09-13 | 2022-01-04 | NortonLifeLock Inc. | Systems and methods for automatically recovering from malware attacks |
US20190102543A1 (en) * | 2017-09-29 | 2019-04-04 | AVAST Software s.r.o. | Observation and classification of device events |
US11281495B2 (en) * | 2017-10-26 | 2022-03-22 | Advanced Micro Devices, Inc. | Trusted memory zone |
US11010470B2 (en) * | 2017-12-15 | 2021-05-18 | Microsoft Technology Licensing, Llc | Anti-virus file system cache for operating system remediation |
US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
US11308209B2 (en) | 2019-01-18 | 2022-04-19 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11063907B2 (en) | 2019-01-18 | 2021-07-13 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11212304B2 (en) | 2019-01-18 | 2021-12-28 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US10891200B2 (en) * | 2019-01-18 | 2021-01-12 | Colbalt Iron, Inc. | Data protection automatic optimization system and method |
US10893090B2 (en) | 2019-02-14 | 2021-01-12 | International Business Machines Corporation | Monitoring a process on an IoT device |
JP7287125B2 (ja) * | 2019-06-03 | 2023-06-06 | コニカミノルタ株式会社 | 情報処理装置、ファイル不具合対処方法、およびコンピュータプログラム |
CN110196813B (zh) * | 2019-06-06 | 2023-05-02 | 北京百度网讯科技有限公司 | 接口测试方法、装置、设备和介质 |
US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
US11645162B2 (en) * | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
US11341236B2 (en) * | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
US20210216631A1 (en) * | 2019-11-22 | 2021-07-15 | Pure Storage, Inc. | Filesystem Property Based Determination of a Possible Ransomware Attack Against a Storage System |
US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
US11657155B2 (en) * | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
US20210383010A1 (en) * | 2019-11-22 | 2021-12-09 | Pure Storage, Inc. | Measurement Interval Anomaly Detection-based Generation of Snapshots |
CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
CN112948181A (zh) * | 2021-03-22 | 2021-06-11 | 深圳闪回科技有限公司 | 一套数据修改备份恢复系统 |
CN113094660A (zh) * | 2021-04-02 | 2021-07-09 | 上海中通吉网络技术有限公司 | 接口调用的方法、装置及设备、存储介质 |
US20230229761A1 (en) * | 2021-04-20 | 2023-07-20 | Assured Information Security, Inc. | Prevention and remediation of malware based on selective presentation of files to processes |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030159070A1 (en) * | 2001-05-28 | 2003-08-21 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
JP4733323B2 (ja) * | 2001-09-17 | 2011-07-27 | 株式会社アール・アイ | データ一括保護システム |
US8095511B2 (en) * | 2003-06-30 | 2012-01-10 | Microsoft Corporation | Database data recovery system and method |
JP2005293272A (ja) * | 2004-03-31 | 2005-10-20 | Fujitsu Ltd | データ管理システム、データ管理方法、データ管理プログラム、およびファイル管理プログラム |
JP4624829B2 (ja) | 2004-05-28 | 2011-02-02 | 富士通株式会社 | データバックアップシステム及び方法 |
JP2008507777A (ja) * | 2004-07-23 | 2008-03-13 | イーエムシー コーポレイション | データレプリカのリモート記憶 |
JP4729890B2 (ja) * | 2004-09-07 | 2011-07-20 | 富士ゼロックス株式会社 | ファイル管理装置 |
US7716743B2 (en) | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
US20070180525A1 (en) * | 2006-01-30 | 2007-08-02 | Bagnall Robert J | Security system and method |
US8528087B2 (en) * | 2006-04-27 | 2013-09-03 | Robot Genius, Inc. | Methods for combating malicious software |
US7472420B1 (en) * | 2008-04-23 | 2008-12-30 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware components |
US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
US9015430B2 (en) | 2010-03-02 | 2015-04-21 | Symantec Corporation | Copy on write storage conservation systems and methods |
CN101924762B (zh) * | 2010-08-18 | 2013-02-27 | 北京奇虎科技有限公司 | 一种基于云安全的主动防御方法 |
US8590041B2 (en) * | 2011-11-28 | 2013-11-19 | Mcafee, Inc. | Application sandboxing using a dynamic optimization framework |
CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
US9069955B2 (en) | 2013-04-30 | 2015-06-30 | International Business Machines Corporation | File system level data protection during potential security breach |
-
2015
- 2015-06-19 US US14/744,570 patent/US9588848B2/en active Active
- 2015-07-16 EP EP15177156.5A patent/EP3107024B1/en active Active
-
2016
- 2016-02-29 CN CN201610112970.XA patent/CN106257481B/zh active Active
- 2016-05-06 JP JP2016093081A patent/JP6352332B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
EP3107024A1 (en) | 2016-12-21 |
EP3107024B1 (en) | 2017-07-05 |
CN106257481B (zh) | 2019-03-05 |
CN106257481A (zh) | 2016-12-28 |
US20160371152A1 (en) | 2016-12-22 |
JP2017010531A (ja) | 2017-01-12 |
US9588848B2 (en) | 2017-03-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6352332B2 (ja) | 変更されたデータを復元するシステム及び方法 | |
US11611586B2 (en) | Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots | |
US9852289B1 (en) | Systems and methods for protecting files from malicious encryption attempts | |
US10291634B2 (en) | System and method for determining summary events of an attack | |
US11947667B2 (en) | Preventing ransomware from encrypting files on a target machine | |
US10193918B1 (en) | Behavior-based ransomware detection using decoy files | |
US20160180087A1 (en) | Systems and methods for malware detection and remediation | |
US8918878B2 (en) | Restoration of file damage caused by malware | |
US11782790B2 (en) | Methods and systems for recognizing unintended file system changes | |
US10079835B1 (en) | Systems and methods for data loss prevention of unidentifiable and unsupported object types | |
US20180173876A1 (en) | Deceiving attackers in endpoint systems | |
Kara | A basic malware analysis method | |
AU2017204194B2 (en) | Inoculator and antibody for computer security | |
JP2023534502A (ja) | 高度なランサムウェア検出 | |
US11113391B2 (en) | Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium | |
RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
US20200218832A1 (en) | Automatic Initiation of Execution Analysis | |
WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关系统 | |
KR20180004462A (ko) | 키 백업을 사용한 랜섬웨어 방지 시스템 및 방법 | |
US20240126882A1 (en) | Instructions to process files in virtual machines | |
RU2583709C2 (ru) | Система и способ устранения последствий заражения виртуальных машин | |
US10095530B1 (en) | Transferring control of potentially malicious bit sets to secure micro-virtual machine |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170725 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170808 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171108 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180313 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180518 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180529 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180606 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6352332 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |