RU2016115995A - Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве - Google Patents
Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве Download PDFInfo
- Publication number
- RU2016115995A RU2016115995A RU2016115995A RU2016115995A RU2016115995A RU 2016115995 A RU2016115995 A RU 2016115995A RU 2016115995 A RU2016115995 A RU 2016115995A RU 2016115995 A RU2016115995 A RU 2016115995A RU 2016115995 A RU2016115995 A RU 2016115995A
- Authority
- RU
- Russia
- Prior art keywords
- inactive
- file
- files
- critical
- malicious
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/16—Protection against loss of memory contents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/4401—Bootstrapping
- G06F9/4406—Loading of operating system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Quality & Reliability (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Stored Programmes (AREA)
Claims (20)
1. Система устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом заявленная система содержит:
а) средство перечисления ОС, предназначенное для поиска по крайней мере одной установленной на компьютере неактивной ОС, определения идентификаторов логических дисков для каждой установленной неактивной ОС и передачи информации о каждой неактивной ОС и определенных идентификаторах логических дисков, соответствующих каждой неактивной ОС средству поиска файлов;
б) средство поиска файлов, предназначенное для проведения антивирусной проверки файлов по крайней мере одной неактивной ОС и передачи информации о выявленном и удаленном вредоносном файле, а также информации о неактивной ОС, над файлами которой производилась антивирусная проверка, и идентификаторах логических дисков соответствующие упомянутой неактивной ОС средству очистки неактивной ОС;
в) базу данных, связанную со средство очистки неактивной ОС и средство контроля критических файлов, предназначенную для хранения по крайней мере списка критических файлов ОС, безопасных резервных копий критических файлов, содержащиеся в списке критических файлов ОС;
г) средство очистки неактивной ОС, предназначенное для:
- сопоставления идентификаторов логических дисков, относящиеся к проверенной неактивной ОС, с идентификаторами логических дисков, относящиеся к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки;
- поиска и удаления данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, согласно сопоставленным идентификаторам логических дисков, где во время поиска производится проверка и анализ по крайней мере системного реестра проверенной неактивной ОС, объектов автозапуска и ярлыков из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлов являются данные, которые содержат в себе наличие полного пути к месторасположения удаленного вредоносного файла;
- передачи информации об удаленном вредоносном файле и неактивной ОС и идентификаторах логических дисков соответствующие упомянутой неактивной ОС средству контроля критических файлов;
д) средство контроля критических файлов, предназначенное для проверки удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании полученной информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС,
- при этом, когда вредоносный файл является критическим файлом для неактивной ОС, средство контроля критических файлов производит установку безопасной версии указанного файла в месторасположения удаленного вредоносного файла.
2. Реализуемый компьютером способ устранения последствий удаления вредоносного файла во время проведения антивирусной проверки файлов операционной системы, которая установлена и не запущена на компьютере, т.е. неактивной операционной системы (ОС), при этом указанных способ содержит этапы, на которых:
а) получают с помощью средства очищения неактивной ОС информацию о проведенной антивирусной проверке неактивной ОС, идентификаторах логических дисков соответствующие упомянутой неактивной ОС и по крайней мере об одном удаленном вредоносном файле, при этом информация об упомянутом вредоносном файле содержит по крайней мере имя и месторасположения файла;
б) сопоставляют с помощью средства очищения неактивной ОС идентификаторы логических дисков, относящиеся к проверенной неактивной ОС, с идентификаторами логических дисков, относящиеся к активной ОС, где под активной ОС понимается ОС, которая запущена в момент проведения указанной проверки;
в) производят с помощью средства очищения неактивной ОС поиск и удаления данных, которые связаны с удаленным вредоносным файлом, на логических дисках, используемых проверенной неактивной ОС, согласно сопоставленным идентификаторам логических дисков, где во время поиска проверяют и анализируют по крайней мере системный реестр проверенной неактивной ОС, объекты автозапуска и ярлыки из папки «рабочий стол», при этом упомянутыми связанными данными с удаленным вредоносным файлов являются данные, которые содержат в себе наличие полного пути к месторасположения удаленного вредоносного файла;
г) производят с помощью средства контроля критических файлов проверку удаленного вредоносного файла на критичность по отношению к проверенной неактивной ОС на основании информации о неактивной ОС и удаленном вредоносном файле с помощью поиска информации о критичности вредоносного файла в списке критических файлов ОС;
- при этом, когда вредоносный файл является критическим файлом для неактивной ОС, производят установку безопасной версии указанного файла в месторасположения удаленного вредоносного файла.
3. Способ по п. 2, в котором информация о упомянутом вредоносном файле дополнительно содержит хэш-сумму файла, тип файла и классификацию вредоносности файла.
4. Способ по п. 2, в котором объектами автозапуска являются как файлы, так и ссылки.
5. Способ по п. 2, в котором на шаге в) данными является по крайней мере файлы и ссылки.
6. Способ по п. 5, в котором ссылки являются как внешними, такие как ярлык на рабочем столе, так и внутренними, такие как информационная строка в программном коде файла или реестра неактивной ОС.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016115995A RU2639666C2 (ru) | 2016-04-25 | 2016-04-25 | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016115995A RU2639666C2 (ru) | 2016-04-25 | 2016-04-25 | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2016115995A true RU2016115995A (ru) | 2017-10-30 |
| RU2639666C2 RU2639666C2 (ru) | 2017-12-21 |
Family
ID=60264147
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2016115995A RU2639666C2 (ru) | 2016-04-25 | 2016-04-25 | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве |
Country Status (1)
| Country | Link |
|---|---|
| RU (1) | RU2639666C2 (ru) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851831A (zh) * | 2019-11-12 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4257909B2 (ja) * | 2002-02-27 | 2009-04-30 | サイエンスパーク株式会社 | 電子計算機のファイルシステムドライバの制御プログラム及びプログラムの記録媒体 |
| JP4639075B2 (ja) * | 2004-12-02 | 2011-02-23 | 株式会社日立製作所 | 可搬記憶媒体に対する論理ディスク仮想化機能を有するディスクシステム |
| FI119664B (fi) * | 2004-12-08 | 2009-01-30 | Open Invention Network Llc | Menetelmä elektronisissa laitteissa oleviin tiedostoihin pääsemiseksi |
| TW200700982A (en) * | 2005-06-21 | 2007-01-01 | Farstone Tech Inc | Computer protection system and method thereof |
| US7756834B2 (en) * | 2005-11-03 | 2010-07-13 | I365 Inc. | Malware and spyware attack recovery system and method |
| US7853999B2 (en) * | 2007-05-11 | 2010-12-14 | Microsoft Corporation | Trusted operating environment for malware detection |
| US9424017B2 (en) * | 2008-08-29 | 2016-08-23 | Red Hat, Inc. | Live operating system installation for Universal Serial Bus devices |
| RU2486588C1 (ru) * | 2012-03-14 | 2013-06-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ эффективного лечения компьютера от вредоносных программ и последствий их работы |
-
2016
- 2016-04-25 RU RU2016115995A patent/RU2639666C2/ru active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110851831A (zh) * | 2019-11-12 | 2020-02-28 | 腾讯科技(深圳)有限公司 | 病毒处理方法、装置、计算机设备及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2639666C2 (ru) | 2017-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11681591B2 (en) | System and method of restoring a clean backup after a malware attack | |
| US10210332B2 (en) | Identifying an evasive malicious object based on a behavior delta | |
| US9294486B1 (en) | Malware detection and analysis | |
| US8495037B1 (en) | Efficient isolation of backup versions of data objects affected by malicious software | |
| JP5963008B2 (ja) | コンピュータシステムの分析方法および装置 | |
| JP6644001B2 (ja) | ウイルス処理方法、装置、システム、機器及びコンピュータ記憶媒体 | |
| US8190868B2 (en) | Malware management through kernel detection | |
| US20120124007A1 (en) | Disinfection of a file system | |
| EP1751649B1 (en) | Systems and method for computer security | |
| US11775636B1 (en) | Systems and methods of detecting malicious powershell scripts | |
| CN107203717B (zh) | 在虚拟机上执行文件的防病毒扫描的系统和方法 | |
| US9792436B1 (en) | Techniques for remediating an infected file | |
| US8448243B1 (en) | Systems and methods for detecting unknown malware in an executable file | |
| US9003533B1 (en) | Systems and methods for detecting malware | |
| US9122872B1 (en) | System and method for treatment of malware using antivirus driver | |
| RU2016115995A (ru) | Удаление следов вредоносной активности из операционной системы, которая в настоящий момент не загружена на компьютерном устройстве | |
| RU2583712C2 (ru) | Система и способ обнаружения вредоносных файлов определенного типа | |
| JP6404771B2 (ja) | ログ判定装置、ログ判定方法、およびログ判定プログラム | |
| RU2638735C2 (ru) | Система и способ оптимизации антивирусной проверки неактивных операционных систем | |
| TWI499930B (zh) | 一種檔案掃描裝置及其方法 | |
| KR101116772B1 (ko) | 파일 시스템 검사 장치 및 방법, 이 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체 | |
| Zhang et al. | MBMAS: a system for malware behavior monitor and analysis | |
| EP2230616B1 (en) | System and method for detecting multi-component malware | |
| Acosta | Using the longest common substring on dynamic traces of malware to automatically identify common behaviors | |
| Doonan et al. | Volatility: Plugins |