RU2015121371A - Система и способ восстановления модифицированных данных - Google Patents
Система и способ восстановления модифицированных данных Download PDFInfo
- Publication number
- RU2015121371A RU2015121371A RU2015121371A RU2015121371A RU2015121371A RU 2015121371 A RU2015121371 A RU 2015121371A RU 2015121371 A RU2015121371 A RU 2015121371A RU 2015121371 A RU2015121371 A RU 2015121371A RU 2015121371 A RU2015121371 A RU 2015121371A
- Authority
- RU
- Russia
- Prior art keywords
- data
- parameters
- analysis
- request
- tool
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3065—Monitoring arrangements determined by the means or processing involved in reporting the monitored data
- G06F11/3072—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
- G06F11/3079—Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by reporting only the changes of the monitored data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/16—Protection against loss of memory contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Bioethics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
1. Система восстановления модифицированных данных, которая содержит:а) средство отслеживания активности, предназначенное для:- перехвата запросов от процесса на модификацию данных;- определения параметров процесса, запрос которого был перехвачен;- определения параметров перехваченных запросов;- передачи определенных параметров процесса средству обнаружения и параметров перехваченных запросов средству анализа;б) средство анализа, предназначенное для:- формирования и передачи средству резервирования запроса на резервное копирование в базу данных резервирования модифицируемых процессом данных на основании результатов анализа параметров перехваченных запросов при помощи правил;в) средство обнаружения, предназначенное для:- анализа полученных от средства отслеживания активности параметров процесса для определения уровня угрозы процесса целостности модифицируемых им данных;- формирования и передачи средству резервирования запроса на восстановление из базы данных резервирования модифицированных процессом данных на основании результатов проведенного анализа;- блокировки работы процесса на основании результатов проведенного анализа;г) средство резервирования, предназначенное для:- резервного копирования данных в базу данных резервирования по запросу средства анализа;- восстановления из базы данных резервирования скопированных ранее данных по запросу средства анализа;д) базу данных резервирования, предназначенная для хранения копируемых средством резервирования данных.2. Система по п. 1, в которой в качестве модифицируемых данных, выступают, по меньшей мере:- файлы;- области памяти.3. Система по п. 1, в которой в
Claims (14)
1. Система восстановления модифицированных данных, которая содержит:
а) средство отслеживания активности, предназначенное для:
- перехвата запросов от процесса на модификацию данных;
- определения параметров процесса, запрос которого был перехвачен;
- определения параметров перехваченных запросов;
- передачи определенных параметров процесса средству обнаружения и параметров перехваченных запросов средству анализа;
б) средство анализа, предназначенное для:
- формирования и передачи средству резервирования запроса на резервное копирование в базу данных резервирования модифицируемых процессом данных на основании результатов анализа параметров перехваченных запросов при помощи правил;
в) средство обнаружения, предназначенное для:
- анализа полученных от средства отслеживания активности параметров процесса для определения уровня угрозы процесса целостности модифицируемых им данных;
- формирования и передачи средству резервирования запроса на восстановление из базы данных резервирования модифицированных процессом данных на основании результатов проведенного анализа;
- блокировки работы процесса на основании результатов проведенного анализа;
г) средство резервирования, предназначенное для:
- резервного копирования данных в базу данных резервирования по запросу средства анализа;
- восстановления из базы данных резервирования скопированных ранее данных по запросу средства анализа;
д) базу данных резервирования, предназначенная для хранения копируемых средством резервирования данных.
2. Система по п. 1, в которой в качестве модифицируемых данных, выступают, по меньшей мере:
- файлы;
- области памяти.
3. Система по п. 1, в которой в качестве запроса на модификацию данных выступает по меньшей мере API-функция операционной системы.
4. Система по п. 1, в которой в качестве параметров процесса выступают по меньшей мере:
- путь к приложению, запустившему процесс;
- описатель процесса;
- журнал операций, выполняемых процессом.
5. Система по п. 1, в которой в качестве параметров перехваченных запросов выступают по меньшей мере:
- уникальный идентификатор данных;
- способ работы с данными;
- тип операций с данными;
- параметры модификации данных.
6. Система по п. 1, в которой уровень угрозы процесса целостности модифицируемых им данных вычисляется по меньшей мере через анализ возможности безвозвратной потери модифицируемых процессом данных.
7. Система по п. 1, в которой блокировка работы процесса осуществляется по меньшей мере:
- удаления процесса из памяти;
- остановка выполнения процесса.
8. Способ восстановления модифицированных данных, в котором:
а) перехватывают от процесса по меньшей мере один запрос на модификацию данных;
б) определяют параметры перехваченного запроса;
в) выполняют резервное копирование данных в базу данных резервирования на основании определенных параметров перехваченных запросов;
г) определяют параметры процесса, запрос которого был перехвачен;
д) анализируют параметры процесса с целью определения уровня угрозы процесса для целостности модифицируемых им данных;
е) блокируют работу процесса на основании результатов анализа параметров процесса, определяющего уровень угрозы процесса для целостности модифицируемых им данных.
ж) выполняют этапы а) - д) по меньшей мере до тех пор, пока работа процесса не будет заблокирована;
з) выполняют восстановление из базы данных резервирования скопированных ранее данных.
9. Способ по п. 8, в котором в качестве модифицируемых данных, выступают, по меньшей мере:
- файлы;
- области памяти.
10. Способ по п. 8, в котором в качестве запроса на модификацию данных выступает по меньшей мере API-функция операционной системы.
11. Способ по п. 8, в котором в качестве параметров процесса выступают по меньшей мере:
- путь к приложению, запустившему процесс;
- описатель процесса;
- журнал операций, выполняемых процессом.
12. Способ по п. 8, в котором в качестве параметров перехваченных запросов выступают по меньшей мере:
- уникальный идентификатор данных;
- способ работы с данными;
- тип операций с данными;
- параметры модификации данных.
13. Способ по п. 8, в котором уровень угрозы процесса целостности модифицируемых им данных вычисляется по меньшей мере через анализ возможности безвозвратной потери модифицируемых процессом данных.
14. Способ по п. 8, в котором блокировка работы процесса осуществляется по меньшей мере:
- удаления процесса из памяти;
- остановка выполнения процесса.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015121371A RU2622630C2 (ru) | 2015-06-05 | 2015-06-05 | Система и способ восстановления модифицированных данных |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015121371A RU2622630C2 (ru) | 2015-06-05 | 2015-06-05 | Система и способ восстановления модифицированных данных |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2015121371A true RU2015121371A (ru) | 2016-12-20 |
| RU2622630C2 RU2622630C2 (ru) | 2017-06-16 |
Family
ID=57759208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2015121371A RU2622630C2 (ru) | 2015-06-05 | 2015-06-05 | Система и способ восстановления модифицированных данных |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2622630C2 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108519883A (zh) * | 2018-03-26 | 2018-09-11 | 平安普惠企业管理有限公司 | 参数修改方法、装置、终端设备及存储介质 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2747474C2 (ru) * | 2019-03-29 | 2021-05-05 | Акционерное общество "Лаборатория Касперского" | Способ асинхронного выбора совместимых продуктов |
| RU2770570C2 (ru) * | 2020-08-24 | 2022-04-18 | Акционерное общество "Лаборатория Касперского" | Система и способ определения процесса, связанного с вредоносным программным обеспечением, шифрующим файлы компьютерной системы |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4624829B2 (ja) * | 2004-05-28 | 2011-02-02 | 富士通株式会社 | データバックアップシステム及び方法 |
| US8117659B2 (en) * | 2005-12-28 | 2012-02-14 | Microsoft Corporation | Malicious code infection cause-and-effect analysis |
| US7716743B2 (en) * | 2005-01-14 | 2010-05-11 | Microsoft Corporation | Privacy friendly malware quarantines |
| US7913113B2 (en) * | 2007-03-23 | 2011-03-22 | Microsoft Corporation | Self-managed processing device |
| US8918878B2 (en) * | 2011-09-13 | 2014-12-23 | F-Secure Corporation | Restoration of file damage caused by malware |
| US8868979B1 (en) * | 2011-11-21 | 2014-10-21 | Trend Micro, Inc. | Host disaster recovery system |
| GB2517483B (en) * | 2013-08-22 | 2015-07-22 | F Secure Corp | Detecting file encrypting malware |
-
2015
- 2015-06-05 RU RU2015121371A patent/RU2622630C2/ru active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108519883A (zh) * | 2018-03-26 | 2018-09-11 | 平安普惠企业管理有限公司 | 参数修改方法、装置、终端设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2622630C2 (ru) | 2017-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323453B2 (en) | Data processing method, device, access control system, and storage media | |
| JP2017532649A5 (ru) | ||
| EA201990251A1 (ru) | Система распределенной обработки транзакций и аутентификации | |
| RU2017105879A (ru) | Алгоритмы интеллектуального анализа данных, адаптированные для доверенной исполнительной среды | |
| US8739287B1 (en) | Determining a security status of potentially malicious files | |
| RU2019126645A (ru) | Распечатывание данных с запечатывающим анклавом | |
| RU2013136976A (ru) | Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости | |
| TW202107312A (zh) | 資料處理方法、設備及儲存媒介 | |
| RU2013119285A (ru) | Система и способ оценки вредоносности кода, исполняемого в адресном пространстве доверенного процесса | |
| JP2018514028A5 (ru) | ||
| RU2017103901A (ru) | Устройство обнаружения радиомаяка | |
| RU2018126207A (ru) | Двукратная самодиагностика памяти для защиты множества сетевых конечных точек | |
| RU2015141551A (ru) | Способ обнаружения работы вредоносной программы, запущенной с клиента, на сервере | |
| JP2017528023A5 (ru) | ||
| RU2017122957A (ru) | Система и способ автоматического обнаружения устройства, управления устройством и удаленной помощи | |
| RU2015121371A (ru) | Система и способ восстановления модифицированных данных | |
| US10063519B1 (en) | Automatically optimizing web application firewall rule sets | |
| RU2013154735A (ru) | Способ упреждающего сканирования на наличие вредоносного программного обеспечения | |
| RU2014115456A (ru) | Система и способ распределения задач антивирусной проверки между виртуальными машинами в виртуальной сети | |
| CN107733725B (zh) | 一种安全预警方法、装置、设备及存储介质 | |
| US20160057164A1 (en) | Device for quantifying vulnerability of system and method therefor | |
| RU2018118828A (ru) | Системы и способы обнаружения вредоносных программ с алгоритмом генерации доменов (dga) | |
| US20180109559A1 (en) | Detecting device masquerading in application programming interface (API) transactions | |
| BR112017023840A2 (pt) | método, computador de entidade de validação, e, dispositivo móvel. | |
| US9692783B2 (en) | Method and apparatus for reporting a virus |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| HE9A | Changing address for correspondence with an applicant |