TWI691860B - 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 - Google Patents

用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 Download PDF

Info

Publication number
TWI691860B
TWI691860B TW107137386A TW107137386A TWI691860B TW I691860 B TWI691860 B TW I691860B TW 107137386 A TW107137386 A TW 107137386A TW 107137386 A TW107137386 A TW 107137386A TW I691860 B TWI691860 B TW I691860B
Authority
TW
Taiwan
Prior art keywords
file
attribute
specific
specific file
backup
Prior art date
Application number
TW107137386A
Other languages
English (en)
Other versions
TW202016785A (zh
Inventor
立志 林
莊般若
黃莉婷
王子夏
卓傳育
闕志克
Original Assignee
財團法人工業技術研究院
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 財團法人工業技術研究院 filed Critical 財團法人工業技術研究院
Priority to TW107137386A priority Critical patent/TWI691860B/zh
Priority to CN201811344705.XA priority patent/CN111090857B/zh
Priority to US16/356,880 priority patent/US11113391B2/en
Application granted granted Critical
Publication of TWI691860B publication Critical patent/TWI691860B/zh
Publication of TW202016785A publication Critical patent/TW202016785A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/80Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一種用於防禦惡意軟體攻擊電腦系統之檔案的方法,包括以下步驟。確認一輸入/輸出(I/O)請求所對應之一特定檔案的檔案型態是否為一需備份的檔案型態,需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者。當特定檔案的檔案型態為需備份的檔案型態時,檢查特定檔案的一檔案內容標籤結構中的一已完成備份標籤。當已完成備份標籤顯示特定檔案尚未完成備份時,對特定檔案進行一備份程序。

Description

用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
本揭露是有關於一種用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體。
隨著社群網路(Social Network)與雲端服務(Cloud Services)的普及應用,國人仰賴網路資源並享受其便利性的同時,也將自身的隱私曝露於未經保護的網路環境中。個人隱私與個人財務資訊等高度潛在價值的資料開始誘使大批犯罪者進行竊取與攻擊,例如殭屍網路(Botnet)、勒索軟體(Ransomware)、隱私資料竊取、分散式阻斷攻擊(Distributed Denial of Service, DDoS)與進階持續性滲透攻擊(Advanced Persistent Threat, APT)等攻擊行為係與日俱增。其中勒索軟體透過電子郵件、網頁瀏覽與系統漏洞快速散佈,將受感染主機內使用者之重要資料加密以索取高昂贖金,如今已對網路世界造成重大災情。因此,如何能夠正確並較有效地偵測惡意軟體的攻擊行為,並且對於電腦系統中的文件、資料或是檔案等重要資料進行保護,以降低電腦系統因為被惡意軟體攻擊時,造成檔案被刪除、修改內容、更名、加密而無法使用等影響與危害,實是現今亟待解決的問題。
根據本揭露之一實施例,提出一種用於防禦惡意軟體攻擊電腦系統之檔案的方法,包括以下步驟。確認一輸入/輸出(I/O)請求所對應之一特定檔案的檔案型態是否為一需備份的檔案型態,需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者。當特定檔案的檔案型態為需備份的檔案型態時,檢查特定檔案的一檔案內容標籤結構中的一已完成備份標籤。當已完成備份標籤顯示特定檔案尚未完成備份時,對特定檔案進行一備份程序。
根據本揭露之另一實施例,提出一種用於防禦惡意軟體攻擊電腦系統之檔案的電腦系統,此電腦系統包括一儲存裝置及一處理器。儲存裝置用以儲存一特定檔案,一I/O請求係對應至特定檔案。處理器執行儲存於該儲存裝置中的多個指令,以確認I/O請求所對應之特定檔案的檔案型態是否為一需備份的檔案型態,需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者,當特定檔案的檔案型態為需備份的檔案型態時,檢查特定檔案的一檔案內容標籤結構中的一已完成備份標籤,當已完成備份標籤顯示特定檔案尚未完成備份時,對特定檔案進行一備份程序。
根據本揭露之再一實施例,提出一種非暫態電腦可讀取儲存媒體,非暫態電腦可讀取儲存媒體儲存多個指令,多個指令可供一處理器執行,以使包括處理器的一電腦系統執行上述之用於防禦惡意軟體攻擊電腦系統之檔案的方法。
為了對本揭露之上述及其他方面有更佳的瞭解,下文特舉實施例,並配合所附圖式詳細說明如下:
本揭露係提供一種用於防禦惡意軟體攻擊電腦系統之檔案的方法,包括以下步驟。確認一輸入/輸出(Input/Output, I/O)請求(Request)所對應之一特定檔案的檔案型態是否為一需備份的檔案型態,此需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者。當此特定檔案的檔案型態為需備份的檔案型態時,檢查此特定檔案的一檔案內容(File Context)標籤結構(Tag Structure)中的一「已完成備份標籤(Backup Already Tag)」。當此「已完成備份標籤」顯示此特定檔案尚未完成備份時,對此特定檔案進行一備份程序。「檔案內容」讓驅動程式可以存放“自定義資料結構”附加在檔案開啟期間,檔案內容建立於系統接收到「開啟檔案(FileOpen)」後,而釋放於系統接收到「關閉檔案(FileClose)」時。此「已完成備份標籤」為本揭露所自定義的資料結構之一。
於確認此I/O請求所對應之此特定檔案的檔案型態是否為此需備份的檔案型態之前,此方法更可包括確認此特定檔案的檔案大小是否大於0,若是,則執行確認此I/O請求所對應之此特定檔案的檔案型態是否為需備份的檔案型態之步驟;若否,則於此I/O請求之型態為一建立檔案之I/O請求的情況下,建立一新檔案。
於檢查此特定檔案的此檔案內容標籤結構中的此「已完成備份標籤」之後,此方法更包括檢查此特定檔案之此I/O請求的一I/O屬性,以判斷此I/O屬性是否為對於此特定檔案為安全之屬性,若否,則啟動備份程序。其中,當此I/O屬性為建立檔案屬性、寫入檔案屬性、及設定檔案資訊屬性三者之一時,此I/O屬性為針對此特定檔案為非安全之屬性。
而於檢查此特定檔案的此檔案內容標籤結構中的此「已完成備份標籤」之後,此方法更可包括檢查此特定檔案之此I/O請求的一I/O屬性,並於判斷此I/O屬性是否為對此特定檔案為非安全之屬性之後,檢查此特定檔案的一延伸檔案屬性(Extended File Attributes, EA)。當此延伸檔案屬性顯示前一次修改此特定檔案之一先前程序係與此I/O請求所對應的一目前程序係為不同時,則啟動備份程序。「延伸檔案屬性」讓程式可以存放元數據 (或稱中介資料)(Metadata)在檔案中,允許程式將檔案與未被檔案系統所解釋的檔案相關資料(也就是元數據)關聯起來,譬如說:名稱、主題、範疇、註解、關鍵字等等。
於檢查此特定檔案之此I/O請求的此I/O屬性之後,此方法更可包括判斷此特定檔案是否為一誘餌檔案,若是,則發出此特定檔案可能受到病毒攻擊之一警示訊息。
上述之方法更可包括檢查於此特定檔案產生異動時,是否有使用者之輸入,若否,則啟動備份程序。上述之方法更可判斷執行備份程序的檔案備份數量是否大於一特徵臨界值,若是,則發出此特定檔案可能受到病毒攻擊之一警示訊息。茲將上述方法進一步說明如下。
為降低電腦系統遭受惡意軟體的攻擊,本揭露利用作業系統開始即啟動(Launch at Startup)的功能,將驅動程式利用位於硬體底層的核心模式(Kernel Mode)來執行,以維護電腦系統的權限控制。
視窗(Windows)作業系統提供了一種過濾器管理單元(Filter Manager)的架構(Framework)。過濾器管理單元隨著視窗作業系統而安裝,且當有微過濾器驅動程式(Driver)被載入時才會致動。
請參照第1圖,其繪示本實施例所使用之於核心模式下之系統的架構圖之一例。於核心模式下之系統100具有一I/O管理單元(I/O Manager)102、過濾器管理單元(Filter Manager)104、檔案系統驅動器(File System Driver)106、第一微過濾器108、第二微過濾器110、第三微過濾器112、及儲存驅動器堆疊(Storage Driver Stack)114。第一微過濾器108、第二微過濾器110、第三微過濾器112例如可由驅動程式來實現。
I/O管理單元(I/O Manager)102用以接收一I/O請求(Request) R。第一微過濾器108、第二微過濾器110、第三微過濾器112藉由向過濾器管理單元104註冊欲監控之I/O動作(I/O operation)類型,選擇所需過濾的I/O動作類型,例如開啟檔案、讀取、寫入。第一微過濾器108、第二微過濾器110、第三微過濾器112並間接地依附於檔案系統堆疊(File System Stack)。亦即,各硬體裝置於核心層有其驅動程式堆疊,過濾器管理單元104係實際依附於檔案系統之驅動程式堆疊,而第一微過濾器108、第二微過濾器110、第三微過濾器112則是透過過濾器管理單元104間接依附於檔案系統之驅動程式堆疊。在使用者模式(User Mode)中,當有I/O請求R(例如是檔案輸入/輸出的使用者請求(User Request for File I/O))時,即進入核心模式(Kernel Mode),並由I/O管理單元102將I/O請求R所對應的I/O請求封包(I/O Request Packet, IRP)傳送至過濾器管理單元104。其中,上述之「使用者請求」係指所有根據作業系統分層概念中,來自「使用者層」(或稱「應用層」)的所有程式的I/O請求。再由過濾器管理單元104將I/O請求封包分配給第一微過濾器108、第二微過濾器110、第三微過濾器112。其中,第一微過濾器10係對檔案系統的I/O動作進行監控、第二微過濾器110係對檔案系統的I/O動作進行防毒、第三微過濾器112係對檔案系統的I/O動作進行複製。
微過濾器被賦予一特定的順序,此順序係由所謂的海拔 (Altitude)之值所決定。微過濾器的海拔係過濾器管理單元104用以決定呼叫微過濾器處理I/O請求的順序。例如假設第一微過濾器108具有海拔365000、第二微過濾器110具有海拔325000、及第三微過濾器112具有海拔305000。假定這三個微過濾器均向過濾器管理單元104註冊相同的I/O動作,過濾器管理單元104將依據三個微過濾器的海拔由高至低(以第一至第三微過濾器的順序)依序呼叫微過濾器來進行 預動作回傳歷程(Preoperation Callback Routines),並將I/O請求轉送至下一個較低海拔之值的微過濾器。而當過濾器管理單元104接收到I/O請求已完成的訊息時,則依據微過濾器的海拔之值反向地(例如以第三至第一微過濾器的順序)呼叫微過濾器,以進行 後動作回傳歷程(Postoperation Callback Routines)。亦即,海拔之值愈低的微過濾器對於I/O請求愈具有決定性的權限。本揭露即是在電腦系統的核心模式中自行設計並安裝載入如第三過濾器112具有低海拔之值的微過濾器以提供防禦惡意軟體攻擊電腦系統之檔案的方法。然本揭露並不限於只能使用低海拔之值的微過濾器,亦可使用其他海拔之值的微過濾器。
上述之海拔值可視為微過濾器向作業系統(例如是微軟(Microsoft)作業系統)申請海拔值時,將根據由作業系統的定義的分層來分派海拔值,也方便申請者根據需求在申請時自行提出海拔值以供作業系統審核。其中,越低的海拔值越屬於最終修改者,其修改的內容將經手越少的微過濾器之個數,所以越適合做對硬體裝置的保護。越高的海拔值越能接收來自應用層的I/O,越能夠反饋應用層的I/O,適合處理監控使用者行為。若以Microsoft作業系統為例,上述之高低不同的海拔值例如分別對應至監控層(Monitor layer)、防毒層(Anti-Virus layer)、備份層(Replication layer)。低海拔值係對應至備份層的層級。
藉由上述之微過濾器的架構,可在核心模式中緊繫住(Hook)所有對於檔案之儲存裝置的I/O請求,並擁有以驅動程式控制其他硬體裝置的功能。利用微過濾器以終止有疑慮的程序(Process),例如是用以防止病毒入侵,以及利用微過濾器掃描儲存裝置(例如是硬碟)中的所有檔案,並將需要被隔離的元件進行隔離(Detach)。
請參照第2圖,其繪示乃第1圖之系統架構所使用的電腦系統的方塊圖。電腦系統200至少包括一處理器202、儲存裝置204、及輸入裝置206。儲存裝置204及輸入裝置206與處理器202電性連接,並由處理器202所控制。第1圖之I/O管理單元102、過濾器管理單元104、檔案系統驅動器106、第一微過濾器108、第二微過濾器110、第三微過濾器112及儲存驅動器堆疊114例如是透過處理器202執行相關軟體或程式的指令來達成。而儲存裝置204用以儲存至少一檔案以及完成處理器202所傳遞欲執行的指令。儲存裝置204例如是硬碟、記憶體、記憶卡、USB儲存裝置等。輸入裝置206例如是鍵盤或滑鼠,以供使用者操作以控制電腦系統200或對儲存裝置204中所儲存的至少一檔案進行操作。
請參照第3圖,其繪示依照本揭露之一實施例,在電腦系統的核心模式中,利用微過濾器進行預動作回傳歷程,以用於防禦惡意軟體攻擊電腦系統之檔案的方法之流程圖。第3圖所示之方法主要是藉由進行檔案備份來達到防禦惡意軟體攻擊電腦系統之檔案之目的。
當電腦系統200有I/O請求R(例如是檔案輸入/輸出的使用者請求)產生時,電腦系統200即進入核心模式。在核心模式下之過濾器管理單元104將呼叫本揭露之如第三微過濾器112之海拔微過濾器,由本揭露之如第三微過濾器112之海拔微過濾器執行第3圖所示的步驟以進行預動作回傳。
於I/O請求R產生時,進入步驟302,確認I/O請求R所對應之特定檔案的檔案大小(Check File Size)是否大於0,若是,則進入步驟306。若否,則進入步驟304,判斷I/O請求R之型態是否為建立檔案(IRP_MJ_CREATE)。I/O請求R所對應之特定檔案係指I/O請求R所指示之欲寫入或讀取的特定檔案。於步驟304判斷為否的情況下(亦即於檔案大小為0且I/O請求之型態不為建立檔案之I/O請求),則代表不需進行檔案備份,而進入步驟316,直接釋放I/O請求R。於步驟304判斷為是的情況下,亦即若檔案大小為0且I/O請求之型態為建立檔案之I/O請求時,則進入步驟305,釋放I/O請求R(亦即允許I/O請求R通過系統100)。
釋放後的I/O請求R將會於步驟307中被執行,例如I/O請求R係經由過濾器管理單元104、檔案系統驅動器106、儲存驅動器堆疊114而傳送至儲存裝置204且被執行,並且由處理器202於後續動作中(例如是於後動作回傳歷程(Postoperation Callback Routines)中)監控由儲存裝置204返還之I/O請求R是否指示成功建立新檔案,如步驟309所示。而於步驟309中,若成功建立新檔案,則將進一步於步驟311中,設立新檔案的延伸檔案屬性(Extended File Attributes, EA),並於延伸檔案屬性中設置當下發送此I/O請求R之程序為建立者(Creator Process)之元數據。
於步驟306中,確認I/O請求R所對應之特定檔案的檔案型態是否為需備份的檔案型態(Check File Type),需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者。若是,則進入步驟308;若否,則進入步驟316,釋放I/O請求R,釋放後的I/O請求R將會於步驟318中被執行。確認特定檔案的檔案型態是否為需備份的檔案型態例如可藉由確認檔案型態是否為預設的目標檔案型態(Target File Type)來進行確認。目標檔案型態例如是常受惡意軟體所攻擊的檔案型態或是常受惡意軟體所異動的檔案型態。目標檔案型態可以用列表(List)的方式,表列出多個常受惡意軟體所攻擊的檔案型態與常受惡意軟體所異動的檔案型態。例如,可以利用檔案的副檔名,來判斷此檔案型態是否為常受惡意軟體所攻擊的檔案型態,或是常受惡意軟體所異動的檔案型態。以勒索軟體而言,勒索軟體常對副檔名為doc、txt、xls、mpg、mp4、jpg、bmp、pdf等之檔案,進行修改內容、更名、加密等。可將doc、txt、xls、mpg、mp4、jpg、bmp、pdf等副檔名所對應的檔案類型,設定為目標檔案型態。若特定檔案的檔案型態屬於目標檔案型態的話,則將此特定檔案視為需備份的檔案型態。倘若特定檔案的檔案型態不屬於目標檔案型態的話,則不需進行檔案備份而允許此I/O請求R之執行,而可進入步驟316與318,來進行對應之I/O操作。
而於步驟308,檢查此特定檔案的一檔案內容(File Context)標籤結構。當於步驟306中判斷出特定檔案的檔案型態為需備份的檔案型態時,則於步驟308檢查特定檔案的檔案內容標籤結構中的一「已完成備份標籤(Backup_Already Tag)」,並且判斷此「已完成備份標籤」是否顯示為否(False)。若顯示為否(亦即是步驟308判斷的結果為「是」的情況),則代表此特定檔案尚未完成備份,而可進入步驟310。若步驟308的判斷為否的話,則進入步驟316。
其中,檔案內容標籤結構是微過濾器依需求針對被開啟的檔案而做的隨檔記錄,檔案內容標籤結構係於檔案關閉後消除。此檔案內容標籤結構存在於檔案被開啟期間內,是根據微過濾器程式開發者自訂義之結構(Structure)以標籤(Tag)型式存在。例如記錄檔案大小為100MB(百萬位元組),而其中有多少位元組被更改或刪除等。當檔案內容標籤結構記錄了此特定檔案屬於已完成備份之檔案的話,則不需進行備份,直接進入步驟316釋放此I/O請求R。倘若不存在檔案內容標籤結構,則此特定檔案屬於新開啟的檔案,則對此特定檔案設定(Set)檔案內容標籤結構,例如對檔案內容標籤結構中的「檔案大小標籤」及「已完成備份標籤」進行設定,其中「已完成備份標籤」例如預設為否(False)。設置「已完成備份標籤」係可避免在同一檔案開啟期間,有多個I/O操作觸動備份機制,而造成多個差異不大之備份檔案產生。
倘若前述之內容標籤結構已存在或設置完成,且「已完成備份標籤」為否(False),則進入步驟310,檢查此特定檔案之I/O請求R的一I/O屬性,以判斷此I/O屬性是否為對於此特定檔案為安全之屬性。若是,則進入步驟316,若否,則進入步驟312。此I/O屬性記錄於I/O請求R之封包的表頭(Header)中,例如是以旗標的方式來呈現。例如,當此I/O屬性中,係為屬於無惡意疑慮的I/O操作時(亦即非以下陳述之三種需啟動備份之旗標),則此I/O屬性為對於此特定檔案為安全之屬性,而不需啟動備份,且可允許硬體元件進行I/O操作。倘若此I/O屬性包括以下三種需啟動備份之旗標時,則代表此I/O屬性係為對於此特定檔案為不安全之屬性,則須進一步進入步驟312來檢查檔案的延伸檔案屬性(Extended File Attributes, EA)。
上述之三種需啟動備份之旗標為建立檔案(Create)屬性、寫入檔案(Write)屬性、設定檔案資訊(Set Information)屬性。建立檔案屬性例如是檔案屬於覆寫(Overwrite)屬性、條件覆寫(Overwrite_If)屬性、取代(Supersede)屬性時,為需啟動備份之旗標。其中,覆寫屬性例如是當檔案已存在,另以所提供之檔案(Given File)進行覆寫。若檔案不存在,則不進行動作。條件覆寫屬性例如是當檔案已存在,另以所提供之檔案(given file)進行覆寫。若檔案不存在,則以所提供之檔案建立新檔案。亦即,不論檔案是否存在,都會進行覆寫或建立檔案。取代屬性例如是當檔案已存在,另以所提供之檔案進行置換(Replace)。若檔案不存在,則以所提供之檔案建立新檔案。
寫入檔案(Write)屬性係為當內容標籤結構中記錄之起始位元組偏移(Byte Offset)標籤小於檔案大小(File Size)標籤時,為需啟動備份之旗標。設定檔案資訊屬性為當使用者對檔案進行刪除、更名、或置換時,此屬於設定檔案資訊,為需啟動備份之旗標。
於步驟312中,檢查此特定檔案的一延伸檔案屬性(Extended File Attributes, EA)。當此延伸檔案屬性顯示前一次修改此特定檔案之一先前程序係與I/O請求R所對應的一目前程序係為不同時,則啟動備份程序並進入步驟314。若否,則進入步驟316。
檔案的延伸檔案屬性係用以減少硬體的備份負擔。在檔案結構定義之中,原本就存在一屬於檔案系統可以利用的空區域,用以讓應用程式對檔案填入元數據(Metadata)。以視窗作業系統的瀏覽器(Explore)應用程式為例,即可在檔案之中加入標題(Title)、主旨(Subject)、標籤(Tags)、分類(Categories)、註解(Comments)等之元數據。本揭露則在檔案的延伸檔案屬性中加入新設定值,例如,「建立者程序」(Creator Process)之元數據,用以記錄建立此檔案的程序。亦可在延伸檔案屬性資料中設定「前次修改者程序」(Last Modifier Process)之元數據,用以代表前次修改此檔案的程序。當延伸檔案屬性的「前次修改者程序」之元數據顯示前一次修改此特定檔案之先前程序係與I/O請求R所對應的目前程序係為相同時,則不需進行備份而可直接進入步驟316。當延伸檔案屬性的「建立者程序」之元數據顯示此特定檔案之檔案建立者係與I/O請求R所對應的目前程序係為相同時,亦不需進行備份而可直接進入步驟316。倘若在元數據中不存在「前次修改者程序」之元數據時,則對此特定檔案進行設定,以目前要對此特定檔案進行修改的程序設定為延伸檔案屬性的「前次修改者程序」之元數據之內容。
於步驟314中,將執行檔案備份。之後,則進入步驟316,允許I/O請求R通過,以讓I/O請求R所對應之I/O操作可由對應之硬體來執行。此以本揭露之如第三微過濾器112之低海拔驅動程式實現送予步驟424檔案已備份之訊息後,將I/O請求R之預動作回傳給過濾器管理單元104,然後儲存裝置204接受並執行I/O請求R。
此外,備份檔案所放置的備份卷宗(Backup Folder)本身是受到保護的,不能被執行會啟動備份機制的操作(例如,因拷貝備份檔案以進行檔案還原不影響檔案內容,屬被允許的操作)。因此,於一實施例中,若有任何I/O請求使得必須對備份檔案進行備份之動作的話,則將拒絕執行此I/O請求。
請參照第4A圖及第4B圖,其繪示依照本揭露之另一實施例之用於防禦惡意軟體攻擊電腦系統之檔案的方法之流程圖。第4A圖及第4B圖所示之方法可進行檔案備份並偵測惡意軟體,第4A圖及第4B圖係參照第3圖以進行檔案備份,並加入偵測惡意軟體之步驟。其中,第4A圖及第4B圖的步驟402至418係與第3圖之步驟302至318相同,於此不予贅述。然而,於步驟410之檢查此特定檔案之I/O請求R的一I/O屬性,以判斷此I/O屬性是否為對於此特定檔案為安全之屬性時,當檢查出此特定檔案之I/O屬性非為安全之屬性而為需啟動備份之旗標時,可進一步進入步驟420,判斷此特定檔案是否為誘餌(Decoy)檔案。若是,則進入步驟422,發出此特定檔案可能受到病毒攻擊之一警示訊息,以對使用者發出提醒。若否,則進入步驟412,回到前述檢查檔案的延伸檔案屬性之步驟。誘餌檔案係為埋入於電腦檔案系統中的檔案,且處於隱蔽且不常更動的資料夾位置,並且設置為隱藏。其中,如果設置越多的分散於檔案系統中的誘餌檔案,則可以提升偵測出異常狀況的速率,但同時也提高誘餌檔案被使用者誤刪,而錯誤地發出警示訊息的可能。
另外,在步驟414由本揭露之如第三微過濾器112之具有低海拔的驅動程式送出已備份檔案之訊息之後,亦可執行步驟424至436,以進一步檢測是否有惡意軟體被執行。於步驟424,檢查於此特定檔案產生異動時,程式是否有接收使用者之輸入。若否,則進入步驟430,保留備份檔案,並繼續進行惡意行為偵測判斷。若是,則進入步驟426。於步驟424中,係藉由偵測此檔案備份訊息之原發送I/O請求之程序,以比對監測輸入裝置206之數據,判斷是否是因為使用者的輸入所造成的檔案異動並因此啟動備份程序。例如判斷此程序是否有來自滑鼠或鍵盤的輸入。若有來自於來自滑鼠或鍵盤之使用者的輸入,則進入步驟426以偵測此程序是否被終止。若否,則回到步驟424,若是,則進入步驟428。於步驟426中,倘若程序未終止,則在保留備份檔案後繼續等待步驟414完成以執行步驟424,以持續偵測備份機制被啟動時,程式是否有來自於使用者的輸入的檢查流程。於步驟426中,倘若程序終止時所有該程式所造成備份皆來自使用者造成,則於程式終止時交予步驟428刪除備份檔案。其中,於步驟430之保留備份檔案之步驟中,由於備份動作已於步驟414中完成,故步驟430係為保留備份檔案之步驟。並於每次收到步驟414之已備份之訊息時,同時執行步驟424與進行步驟432與步驟434之判斷。
其中,於步驟424中,係以程式為基準來對備份檔案做區分。如果同一程式於步驟424中有一備份變動,然此程式並無接收來自使用者之輸入,則整組此程式造成的備份都將於步驟430中進行備份保留,以於後續之步驟434中參考特徵臨界值(惡意臨限值)進行判斷。例如,始終來自文書作業軟體Word的修改皆有使用者之輸入,然而,其中有一個被更動的檔案並無使用者介入,則此被更動的檔案有可能是來自於文書作業軟體Word的巨集型態之勒索軟體的攻擊。如此,於文書作業軟體Word之此次軟體啟動之後所有的檔案備份都將全部於步驟434中參考特徵臨界值(惡意臨限值)來進行判斷,判斷是否有惡意軟體之攻擊。
當於步驟424之後之步驟430之備份保留時,若偵測出同一程式有任何一次產生檔案備份之程序並無來自於使用者的輸入,卻仍有檔案產生變動之進行的話,則此檔案異動即可能是由惡意軟體所造成。亦即,更動此特定檔案的程序將有可能是惡意軟體。該程式所造成的所有無論有無使用者輸入造成之備份檔案都將保留備份,保留之後的動作將分別以步驟432與步驟434同時進行。
於步驟432中,判斷可疑程序在無使用者輸入所造成之備份數量尚未達一特徵臨限值(例如是惡意臨界值),則判斷備份檔案保留天數是否大於N天,其中N為使用者設定的保留天數。若是,則進入步驟428,刪除備份檔案。若否,則持續保存備份檔案並回到步驟424等待來自步驟414之備份成功之訊息。
於步驟434中,判斷執行備份程序的檔案備份數量是否大於一特徵臨界值(惡意臨界值)。若是,則進入步驟436,發出此特定檔案可能受到病毒攻擊之一警示訊息。於步驟434中,若到達特徵臨界值(惡意臨界值),則可判斷其為惡意軟體所為。其中,特徵臨界值之大小的設定,例如可以考量以下特徵來進行計數並設定加權評估,以判斷是否為惡意軟體所為。
第一、依據研究指出,在單一程序中被修改的檔案型態的種類愈多,即愈有可能是受到惡意軟體攻擊的情況。
第二、依據存於元數據中所記載的修改時間久遠來加權計數判斷,倘若舊檔案被修改,則比新檔案被修改還要可能屬於受到惡意軟體之攻擊。
第三、依據造成的備份檔案的數量來判斷,大量檔案被修改的情況,將比少量檔案被修改的情況更可能屬於受到惡意軟體攻擊的情況。
第四、依據使用者輸入比對資訊,若有大量之無使用者輸入所產生之備份檔案的情況,將比少量之無使用者輸入所產生之備份檔案的情況更可能屬於受到惡意軟體攻擊的情況。
也就是說,例如可以使用以下五個特徵所對應的特徵臨界值,來進行判斷。此五個特徵係為產生備份之檔案類型( File Types)的數量、產生備份之舊檔案(Old Files)的數量、產生備份之備份檔案的數量( Backup Files Amount),有使用者輸入( User’s Inputs)之備份檔案的數量、是否為誘餌檔案(Decoys)。這些特徵都是在產生備份檔案時可以提取的特徵。並可針對前四個特徵分別給予不同的權重值,來進行計算,得到一個加權後計算值,以與特徵臨界值進行比較,來判斷是否有受到惡意軟體攻擊。而此特定檔案是否為誘餌檔案則是可以獨立地被使用,以判斷是否有受到惡意軟體之攻擊。
本揭露更提出一種用於防禦惡意軟體攻擊電腦系統之檔案的電腦系統,包括一儲存裝置與一處理器。儲存裝置用以儲存一特定檔案,一I/O請求係對應至特定檔案。處理器則是執行儲存於該儲存裝置中的多個指令,用以確認I/O請求所對應之特定檔案的檔案型態是否為一需備份的檔案型態,需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者,當特定檔案的檔案型態為需備份的檔案型態時,檢查特定檔案的一檔案內容標籤結構中的一「已完成備份標籤」,當「已完成備份標籤」顯示特定檔案尚未完成備份時,對特定檔案進行一備份程序。處理器更可用以執行第3圖或第4A圖及第4B圖所示之步驟。
本揭露更提出一種非暫態電腦可讀取儲存媒體。此非暫態電腦可讀取儲存媒體儲存多個指令,此多個指令可供處理器202執行,以使包括處理器202的電腦系統200執行如第3圖或第4A圖及第4B圖所示之用於防禦惡意軟體攻擊電腦系統之檔案的方法。
本揭露利用電腦系統的核心模式來對檔案資料的I/O請求進行檔案備份並偵測是否有屬於惡意軟體攻擊的異常行為出現,以發出警示訊息。對於使用者常使用的文書編輯檔案如副檔名為doc檔案、txt檔案、xls檔案,及影音檔案如mpg檔案、mp4檔案,及圖片、照片檔案如jpg檔案、bmp檔案等,當發現檔案之資料被修改、更名、刪除、加密等異動時,判斷檔案之異動範圍、是否已完成備份、檔案之I/O屬性及延伸檔案屬性是否屬於需進行備份之檔案、以及是否屬於使用者的正常行為,進而監控並分析檔案之異動行為是否起因於惡意軟體之攻擊,以維護電腦系統於惡意攻擊中,仍可藉由適時地系統自動進行備份,以確保檔案、資料等重要資料不被破壞。並且能夠偵測出惡意軟體的攻擊行為的發生,進而發出警示訊息,以讓使用者儘速得知電腦系統可能已經被惡意軟體攻擊的情形,而得以快速採取適當的回應動作。
綜上所述,雖然本揭露已以實施例揭露如上,然其並非用以限定本揭露。本揭露所屬技術領域中具有通常知識者,在不脫離本揭露之精神和範圍內,當可作各種之更動與潤飾。因此,本揭露之保護範圍當視後附之申請專利範圍所界定者為準。
102:I/O管理單元 104:過濾器管理單元 106:檔案系統驅動器 108:第一微過濾器 110:第二微過濾器 112:第三微過濾器 114:儲存驅動器堆疊 202:處理器 204:儲存裝置 206:輸入裝置 302~318、402~436:流程步驟
第1圖繪示本實施例所使用之於核心模式下之系統的架構圖之一例。 第2圖繪示乃第1圖之系統架構所使用的電腦系統的方塊圖。 第3圖繪示依照本揭露之一實施例,在電腦系統的核心模式中,用於防禦惡意軟體攻擊電腦系統之檔案的方法之流程圖。 第4A圖及第4B圖繪示依照本揭露之另一實施例之用於防禦惡意軟體攻擊電腦系統之檔案的方法之流程圖。
302~318:流程步驟

Claims (19)

  1. 一種用於防禦惡意軟體攻擊電腦系統之檔案的方法,包括: 確認一輸入/輸出(I/O)請求所對應之一特定檔案的檔案型態是否為一需備份的檔案型態,該需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者; 當該特定檔案的檔案型態為該需備份的檔案型態時,檢查該特定檔案的一檔案內容標籤結構中的一已完成備份標籤; 當該已完成備份標籤顯示該特定檔案尚未完成備份時,對該特定檔案進行一備份程序。
  2. 如申請專利範圍第1項所述之方法,該方法更包括: 確認該特定檔案的檔案大小是否大於0,若是,則執行確認該I/O請求所對應之該特定檔案的檔案型態是否為該需備份的檔案型態之步驟,若否,則於該I/O請求之型態為一建立檔案之I/O請求的情況下,建立一新檔案; 其中,若成功建立該新檔案,則設立該新檔案的一延伸檔案屬性,並於該延伸檔案屬性中設置當下發送該I/O請求之一程序為一建立者之元數據。
  3. 如申請專利範圍第1項所述之方法,於檢查該特定檔案的該檔案內容標籤結構中的該已完成備份標籤時,該方法更包括: 檢查該特定檔案之該I/O請求的一I/O屬性,以判斷該I/O屬性是否為對於該特定檔案為安全之屬性,若否,則啟動備份程序。
  4. 如申請專利範圍第3項所述之方法,於檢查該特定檔案之該I/O請求的該I/O屬性之後,該方法更包括: 判斷該特定檔案是否為一誘餌檔案,若是,則發出該特定檔案可能受到病毒攻擊之一警示訊息。
  5. 如申請專利範圍第3項所述之方法,其中,當該I/O屬性為建立檔案屬性、寫入檔案屬性、及設定檔案資訊屬性三者之一時,該I/O屬性為對於該特定檔案為非安全之屬性。
  6. 如申請專利範圍第1項所述之方法,於檢查該特定檔案的該檔案內容標籤結構中的該已完成備份標籤之後,該方法更包括: 檢查該特定檔案之該I/O請求的一I/O屬性,並於判斷該I/O屬性是否為對該特定檔案為非安全之屬性之後,檢查該特定檔案的一延伸檔案屬性;以及 當該延伸檔案屬性顯示前一次修改該特定檔案之一先前程序係與該I/O請求所對應的一目前程序係為不同時,則啟動備份程序。
  7. 如申請專利範圍第6項所述之方法,其中,該延伸檔案屬性包括一前次修改者程序之元數據,用以代表前一次修改該特定檔案之該先前程序; 其中,倘若在該延伸檔案屬性中不存在該前次修改者程序之元數據時,則對該特定檔案進行設定,以目前要對該特定檔案進行修改的程序設定為該延伸檔案屬性的該前次修改者程序之元數據之內容。
  8. 如申請專利範圍第1項所述之方法,更包括: 檢查於該特定檔案產生異動時,程式是否有接收使用者之輸入,若否,則保留備份檔案。
  9. 如申請專利範圍第1項所述之方法,更包括: 判斷執行備份程序的檔案備份數量是否大於一特徵臨界值,若是,則發出該特定檔案可能受到病毒攻擊之一警示訊息。
  10. 一種用於防禦惡意軟體攻擊電腦系統之檔案的電腦系統,包括: 一儲存裝置,用以儲存一特定檔案,一I/O請求係對應至該特定檔案;以及 一處理器執行儲存於該儲存裝置中的多個指令,用以確認該I/O請求所對應之該特定檔案的檔案型態是否為一需備份的檔案型態,該需備份的檔案型態係屬於易受惡意軟體攻擊之多個預設的檔案型態之一者,當該特定檔案的檔案型態為需備份的檔案型態時,檢查該特定檔案的一檔案內容標籤結構中的一已完成備份標籤,當該已完成備份標籤顯示該特定檔案尚未完成備份時,對該特定檔案進行一備份程序。
  11. 如申請專利範圍第10項所述之電腦系統,其中,該處理器更用以確認該特定檔案的檔案大小是否大於0,若是,則確認該I/O請求所對應之該特定檔案的檔案型態是否為該需備份的檔案型態,若否,則於該I/O請求之型態為一建立檔案之I/O請求的情況下,建立一新檔案; 其中,若成功建立該新檔案,則該處理器更用以設立該新檔案的一延伸檔案屬性,並於該延伸檔案屬性中設置當下發送該I/O請求之一程序為一建立者之元數據。
  12. 如申請專利範圍第10項所述之電腦系統,其中,該處理器更用以於檢查該特定檔案的該檔案內容標籤結構中的該已完成備份標籤之後,檢查該特定檔案之該I/O請求的一I/O屬性,以判斷該I/O屬性是否為對於該特定檔案為安全之屬性; 其中,當該I/O屬性是否為對於該特定檔案為非安全之屬性時,該處理器更用以啟動備份程序。
  13. 如申請專利範圍第12項所述之電腦系統,其中,該處理器更用以於檢查該特定檔案之該I/O請求的該I/O屬性之後,判斷該特定檔案是否為一誘餌檔案; 其中,當該特定檔案是否為該誘餌檔案時,該處理器更用以發出該特定檔案可能受到病毒攻擊之一警示訊息。
  14. 如申請專利範圍第12項所述之電腦系統,其中,當該I/O屬性為建立檔案屬性、寫入檔案屬性、及設定檔案資訊屬性三者之一時,該I/O屬性為對於該特定檔案為非安全之屬性。
  15. 如申請專利範圍第10項所述之電腦系統,其中,該處理器更用以於檢查該特定檔案的該檔案內容標籤結構中的該已完成備份標籤之後,檢查該特定檔案之該I/O請求的一I/O屬性,並於判斷該I/O屬性是否為對該特定檔案為非安全之屬性之後,檢查該特定檔案的一延伸檔案屬性,並當該延伸檔案屬性顯示前一次修改該特定檔案之一先前程序係與該I/O請求所對應的一目前程序係為不同時,啟動備份程序。
  16. 如申請專利範圍第15項所述之電腦系統,其中,該延伸檔案屬性包括一前次修改者程序之元數據,用以代表前一次修改該特定檔案之該先前程序; 其中,倘若在該延伸檔案屬性中不存在該前次修改者程序之元數據時,則該處理器更用以對該特定檔案進行設定,以目前要對該特定檔案進行修改的程序設定為該延伸檔案屬性的該前次修改者程序之元數據之內容。
  17. 如申請專利範圍第10項所述之電腦系統,其中,該處理器更用以檢查於該特定檔案產生異動時,程式是否有接收使用者之輸入,若沒有接收使用者之輸入,則保留備份檔案。
  18. 如申請專利範圍第10項所述之電腦系統,其中,該處理器更用以判斷執行備份程序的檔案備份數量是否大於一特徵臨界值,若是,則發出該特定檔案可能受到病毒攻擊之一警示訊息。
  19. 一種非暫態電腦可讀取儲存媒體,該非暫態電腦可讀取儲存媒體儲存多個指令,該多個指令可供一處理器執行,以使包括該處理器的一電腦系統執行如申請專利範圍第1至9項中任一項所述之用於防禦惡意軟體攻擊電腦系統之檔案的方法。
TW107137386A 2018-10-23 2018-10-23 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體 TWI691860B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107137386A TWI691860B (zh) 2018-10-23 2018-10-23 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
CN201811344705.XA CN111090857B (zh) 2018-10-23 2018-11-13 防御恶意软件攻击文件的方法、计算机系统以及记录介质
US16/356,880 US11113391B2 (en) 2018-10-23 2019-03-18 Method and computer system for preventing malicious software from attacking files of the computer system and corresponding non-transitory computer readable storage medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107137386A TWI691860B (zh) 2018-10-23 2018-10-23 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體

Publications (2)

Publication Number Publication Date
TWI691860B true TWI691860B (zh) 2020-04-21
TW202016785A TW202016785A (zh) 2020-05-01

Family

ID=70279222

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107137386A TWI691860B (zh) 2018-10-23 2018-10-23 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體

Country Status (3)

Country Link
US (1) US11113391B2 (zh)
CN (1) CN111090857B (zh)
TW (1) TWI691860B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10824719B1 (en) * 2017-08-01 2020-11-03 Rodney E. Otts Anti-malware computer systems and method
TWI691860B (zh) * 2018-10-23 2020-04-21 財團法人工業技術研究院 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
US11347849B2 (en) * 2020-04-03 2022-05-31 International Business Machines Corporation Ransomware detection and prevention

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231682A (zh) * 2007-01-26 2008-07-30 李贵林 计算机信息安全的方法
TW201118642A (en) * 2009-11-24 2011-06-01 Videace Technology Co Computer system for rapid scanning or treatment of malicious software and method thereof
TW201814577A (zh) * 2016-10-06 2018-04-16 網擎資訊軟體股份有限公司 用於防止計算機系統中數據惡意更改的方法和系統
US20180146009A1 (en) * 2016-11-18 2018-05-24 Brad Austin Primm Computer network security system for protecting against malicious software

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814554B1 (en) * 2003-11-06 2010-10-12 Gary Dean Ragner Dynamic associative storage security for long-term memory storage devices
US7328217B2 (en) * 2003-11-26 2008-02-05 Symantec Operating Corporation System and method for detecting and storing file identity change information within a file system
CN1315048C (zh) * 2004-07-06 2007-05-09 天津百维软件科技有限公司 一种节省存储空间的多台计算机系统共享备份方法
US20070078914A1 (en) * 2005-09-30 2007-04-05 International Business Machines Corporation Method, apparatus and program storage device for providing a centralized policy based preallocation in a distributed file system
US8055613B1 (en) * 2008-04-29 2011-11-08 Netapp, Inc. Method and apparatus for efficiently detecting and logging file system changes
US8548944B2 (en) * 2010-07-15 2013-10-01 Delphix Corp. De-duplication based backup of file systems
US9317686B1 (en) 2013-07-16 2016-04-19 Trend Micro Inc. File backup to combat ransomware
CN103824031B (zh) * 2014-02-28 2016-09-14 江苏敏捷科技股份有限公司 使用电子文件安全标签保证电子文件安全的方法及系统
GB2532199B (en) * 2014-11-05 2018-10-03 F Secure Corp Determining malware status of file
US10311234B2 (en) 2015-06-26 2019-06-04 Quick Heal Technologies Private Limited Anti-ransomware
US10083299B2 (en) * 2015-12-16 2018-09-25 Carbonite, Inc. Systems and methods for automatic snapshotting of backups based on malicious modification detection
US10867040B2 (en) * 2016-10-17 2020-12-15 Datto, Inc. Systems and methods for detecting ransomware infection
CN106484570B (zh) * 2016-10-28 2019-02-26 福建平实科技有限公司 一种针对防御勒索软件文件数据的备份保护方法和系统
EP3568791B1 (en) * 2017-01-11 2021-10-20 Morphisec Information Security 2014 Ltd. Early runtime detection and prevention of ransomware
CN106951781A (zh) 2017-03-22 2017-07-14 福建平实科技有限公司 勒索软件防御方法和装置
CN107506642A (zh) 2017-08-10 2017-12-22 四川长虹电器股份有限公司 防止文件被恶意操作行为损坏的方法与系统
CN107391315A (zh) * 2017-08-15 2017-11-24 北京北信源软件股份有限公司 一种备份系统文件的方法及装置
US11055417B2 (en) * 2018-04-17 2021-07-06 Oracle International Corporation High granularity application and data security in cloud environments
TWI691860B (zh) * 2018-10-23 2020-04-21 財團法人工業技術研究院 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101231682A (zh) * 2007-01-26 2008-07-30 李贵林 计算机信息安全的方法
TW201118642A (en) * 2009-11-24 2011-06-01 Videace Technology Co Computer system for rapid scanning or treatment of malicious software and method thereof
TW201814577A (zh) * 2016-10-06 2018-04-16 網擎資訊軟體股份有限公司 用於防止計算機系統中數據惡意更改的方法和系統
US20180146009A1 (en) * 2016-11-18 2018-05-24 Brad Austin Primm Computer network security system for protecting against malicious software

Also Published As

Publication number Publication date
CN111090857B (zh) 2022-05-31
US20200125723A1 (en) 2020-04-23
TW202016785A (zh) 2020-05-01
US11113391B2 (en) 2021-09-07
CN111090857A (zh) 2020-05-01

Similar Documents

Publication Publication Date Title
JP6352332B2 (ja) 変更されたデータを復元するシステム及び方法
US11295021B2 (en) Using a threat model to monitor host execution in a virtualized environment
US9306956B2 (en) File system level data protection during potential security breach
US10102374B1 (en) Method of remediating a program and system thereof by undoing operations
EP3420488B1 (en) Retention and accessibility of data characterizing events on an endpoint computer
EP3616115B1 (en) Endpoint detection and response system event characterization data transfer
US11720671B2 (en) Preventing ransomware from encrypting files on a target machine
US7784098B1 (en) Snapshot and restore technique for computer system recovery
US11227053B2 (en) Malware management using I/O correlation coefficients
US20110239306A1 (en) Data leak protection application
EP4095724B1 (en) Method of remediating operations performed by a program and system thereof
US10783041B2 (en) Backup and recovery of data files using hard links
TWI691860B (zh) 用於防禦惡意軟體攻擊電腦系統之檔案的方法與電腦系統以及對應之非暫態電腦可讀取儲存媒體
US9659182B1 (en) Systems and methods for protecting data files
RU2622630C2 (ru) Система и способ восстановления модифицированных данных
KR20030090568A (ko) 단말기 내의 자원 보호 시스템 및 방법
CN112187787A (zh) 基于知识图谱的数字营销广告页防篡改方法、装置及设备
US10534910B1 (en) Using threat model to monitor host execution