太阳城集团

  • / 16
  • 下载费用:30 金币  

用于恢复修改的数据的系统和方法.pdf

摘要
申请专利号:

CN201610112970.X

申请日:

2016.02.29

公开号:

CN106257481A

公开日:

2016.12.28

当前法律状态:

授权

有效性:

有权

法律详情: 授权|||实质审查的生效IPC(主分类):G06F 21/56申请日:20160229|||公开
IPC分类号: G06F21/56(2013.01)I 主分类号: G06F21/56
申请人: 卡巴斯基实验室股份制公司
发明人: 尤里·G·帕尔辛; 亚历山大·A·罗曼恩科; 尤里·G·斯洛博佳纽克
地址: 俄罗斯莫斯科
优先权: 2015.06.19 US 14/744,570
专利代理机构: 北京同达信恒知识产权代理有限公司 11291 代理人: 黄志华;何月华
PDF完整版下载: PDF下载
法律状态
申请(专利)号:

CN201610112970.X

授权太阳城集团号:

||||||

法律状态太阳城集团日:

2019.03.05|||2017.01.25|||2016.12.28

法律状态类型:

太阳城集团授权|||实质审查的生效|||公开

摘要

本发明涉及用于恢复修改的数据的系统和方法。示例性方法包括:通过活动跟踪模块拦截来自程序的用于修改数据的请求;通过分析模块确定所拦截的请求的参数;通过分析模块基于确定的所拦截的请求的参数中的至少一个参数生成用于生成数据的备份拷贝的请求;以及,通过备份模块,生成数据的备份拷贝且将该数据的备份拷贝存储在电子数据库中。

权利要求书

1.一种用于恢复修改的数据的方法,所述方法包括:
通过硬件处理器拦截来自程序的用于修改数据的请求;
通过所述硬件处理器确定所拦截的请求的参数;
通过所述硬件处理器,基于所确定的所拦截的请求的参数中的至少一个参
数,生成用于生成所述数据的备份拷贝的请求;
通过所述硬件处理器生成所述数据的备份拷贝;和
通过所述硬件处理器将所述备份拷贝存储在备份数据存储器中。
2.根据权利要求1所述的方法,其中,所述所拦截的请求的参数包括所拦
截的请求的唯一数据标识符、操作所述数据的方法、对所述数据进行的操作中
的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。
3.根据权利要求1所述的方法,还包括:
确定修改所述数据的所述程序的进程的参数;
分析所确定的进程参数;和
基于对所述进程参数的分析,阻断所述程序的所述进程的进一步操作。
4.根据权利要求3所述的方法,还包括:
确定所述数据是否已经被恶意程序的进程修改;和
如果所述数据已经被所述恶意程序的进程修改,则在已经阻断所述恶意程
序的进程的进一步操作之后使用所述数据的所述备份拷贝来恢复所述数据。
5.根据权利要求3所述的方法,其中,所述分析所确定的进程参数包括:
确定修改所述数据的所述程序的所述进程的参数的威胁等级和基于所述威胁等
级阻断所述程序的所述进程的进一步操作。
6.根据权利要求3所述的方法,其中,所述阻断所述程序的所述进程的进
一步操作包括从设备的存储器中删除所述进程、停止所述进程的执行、和隔离
运行所述进程的文件中的至少一者。
7.根据权利要求3所述的方法,还包括:
通过所述硬件处理器根据规则分析所述所拦截的请求的参数,所述规则包
括以下规则中的至少一者:
基于所述数据的类型备份所述数据的需求;
来自所述程序的请求是否将修改所述数据的用户操作;
来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修
改所述数据;和
当所述数据被写入文件时所述数据是否将被修改。
8.一种用于恢复修改的数据的系统,所述系统包括:
硬件处理器,所述硬件处理器被配置成:
拦截来自程序的用于修改数据的请求;
确定所拦截的请求的参数;
基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成
所述数据的备份拷贝的请求;
生成所述数据的备份拷贝;和
将所述备份拷贝存储在备份数据存储器中。
9.根据权利要求8所述的系统,其中,所述所拦截的请求的参数包括所拦
截的请求的唯一数据标识符、操作所述数据的方法、用于对所述数据进行的操
作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。
10.根据权利要求8所述的系统,其中,所述硬件处理器还被配置成:
确定修改所述数据的所述程序的进程的参数;
分析所确定的进程参数;和
基于对所述进程参数的分析,阻断所述程序的所述进程的进一步操作。
11.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:
确定所述数据是否已经被恶意程序的进程修改;和
如果所述数据已经被所述恶意程序的进程修改,则在已经阻断所述恶意程
序的进程的进一步操作之后使用所述数据的所述备份拷贝来恢复所述数据。
12.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:
确定修改所述数据的所述程序的所述进程的进程参数的威胁等级;和
基于所述威胁等级阻断所述程序的所述进程的进一步操作。
13.根据权利要求10所述的系统,其中,所述硬件处理器还被配置成:通
过从设备的存储器中删除所述进程、停止所述进程的执行、和隔离运行所述进
程的文件中的至少一者阻断所述程序的所述进程的进一步操作。
14.根据权利要求10所述的系统,其中,根据规则分析所述所拦截的请求
的参数,所述规则包括以下规则中的至少一者:
基于所述数据的类型备份所述数据的需求;
来自所述程序的请求是否将修改所述数据的用户操作;
来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修
改所述数据;和
当所述数据被写入文件时所述数据是否将被修改。

说明书

用于恢复修改的数据的系统和方法

技术领域

本发明总体涉及抗病毒技术领域,更具体地,涉及恢复修改的数据的系统
和方法。

背景技术

近年来计算机技术的迅速发展和各种计算设备(例如,个人计算机、笔记
本电脑、平板电脑、智能手机等)的广泛流行,对于在各种活动范围中使用这
些设备以及对于将这些设备用于大量任务(例如,从个人相片的处理和存储到
银行转账和电子文件流转)已经产生巨大的刺激。结合计算设备的数量以及在
这些设备上运行的软件的数量的增长,恶意程序的数量也已经以明显的速率增
长。

目前,存在大量的不同类型的恶意应用程序,其中绝大多数的恶意应用程
序被设计成有利于它们的设计者。一些恶意应用程序从用户的设备中窃取个人
且机密的数据,包括例如登录名和密码、银行太阳城集团、电子文件等。其他恶意程
序形成所谓的来自用户设备的用于对其他计算机或计算机网络进行攻击(诸如
DDOS或强力攻击)的“僵尸网络”。还有其它的恶意程序向用户提供通过侵入
广告的付费内容、付费订购、向收费服务号码发送短消息服务等。

一个特别麻烦的恶意程序种类是敲诈或勒索软件。一旦这些类型的程序被
安装在用户设备上,它们干扰设备的功能,例如通过阻断数据输入设备、损坏
数据、限制访问接口元件等干扰设备的功能。然后,该程序要求付费以消除它
们运行的不利后果。最危险的勒索程序为加密器,其恶意活动包括损坏对于用
户有价值的数据(例如,数据库、Microsoft文件、相片、视频剪辑等)。
通过对文件进行程序加密、重命名或隐藏而发生数据的损坏。

由于不仅数据的机密性、而且数据的完整性通常代表了重大价值,因此保
护数据是重要的任务。一种用于处理勒索威胁的方法是对用户设备上的恶意应
用程序及其后来的停用进行及时检测以及定期创建数据的备份副本,及时检测
能够保护数据免受未授权的修改,定期创建数据的备份副本使得能够甚至在未
授权的数据修改的情况下恢复数据。

尽管上述方法非常适于跟踪文件活动、用户数据的备份存储、以及阻断恶
意软件的工作的任务,但是这些方法不能够保护有效的用户数据免受恶意软件
的修改,因为它们不能够有效地对备份数据拷贝做出决定(即,在已经启动数
据修改之前的足够的太阳城集团内),或者在成功地备份拷贝能够被修改的数据的情况
下,这些方法不能够获得来自修改进程的对于该数据的威胁等级。这进一步导
致对计算机资源的巨大负载,包括空闲的硬盘空间、处理器太阳城集团等。

发明内容

因此,在此描述的方法和系统提供了一种有效的且高效的恢复修改的数据
的方式。

根据一个方面,一种方法包括通过活动跟踪模块拦截来自程序的用于修改
数据的请求;通过分析模块确定所拦截的请求的参数;通过所述分析模块,基
于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的
备份拷贝的请求;和通过备份模块生成所述数据的备份拷贝且将所述数据的备
份拷贝存储在电子数据库中。

根据另一方面,所拦截的请求的参数包括:所拦截的请求的唯一数据标识
符、操作所述数据的方法、用于对所述数据进行的操作中的至少一种类型的操
作、以及至少一个数据修改参数中的至少一者。

根据另一方面,所述方法包括:确定修改所述数据的程序的进程的进程参
数;分析所确定的进程参数;和基于对进程参数的分析,阻断所述程序的进程
的进一步操作。

根据另一方面,所述方法还包括:确定所述数据是否已经被恶意程序的进
程修改;以及,如果所述数据已经被恶意程序的进程修改,则在已经阻断所述
恶意程序的进程的进一步操作之后使用所述数据的备份拷贝来恢复所述数据。

根据另一方面,分析所确定的进程参数包括:确定用于修改所述数据的程
序的进程的进程参数的威胁等级,和基于所述威胁等级阻断所述程序的进程的
进一步操作。

根据另一方面,阻断所述程序的进程的进一步操作包括:从设备的存储器
中删除所述进程、停止执行所述进程、和隔离运行所述进程的文件中的至少一
者。

根据另一方面,所述方法还包括:通过分析模块根据规则分析所拦截的请
求的参数,所述规则包括以下规则中的至少一者:基于所述数据的类型(来自
程序的请求用于修改这种类型的数据)备份所述数据的需求;来自所述程序的
请求是否将修改所述数据的用户操作;来自所述程序的请求是否将基于能够用
于所述数据的操作的类型而修改所述数据;和当所述数据被写入文件时所述数
据是否将被修改。

根据一个方面,公开了用于恢复修改数据的系统。根据该方面,所述系统
包括活动跟踪模块,其被配置成拦截来自程序的用于修改数据的请求;分析模
块,其被配置成确定所拦截的请求的参数并且基于所确定的所拦截的请求的参
数中的至少一个参数生成用于生成所述数据的备份拷贝的请求;和,备份模块,
其被配置成生成所述数据的备份拷贝并且将所述数据的备份拷贝存储在电子数
据库中。

上述示例性方面的简要概括用于对本发明提供基本的了解。该概括不是全
部的构想方面的广泛概述,且既不意图确定所有方面的关键或者重要的要素也
不意图勾画本发明的任何方面或全部方面的范围。其唯一目的在于以简化的形
成呈现出一个或多个方面,作为用于下面所进行的本发明的更为详尽的描述的
前奏。为了完成上述内容,本发明的一个或多个方面包括在权利要求中所描述
的且示例性提出的特征。

附图说明

合并到且构成本说明书的一部分的附图,阐述了本发明的一个或多个示例
性方面,并且与详细描述一起用于解释这些方面的原理和实现方式。

图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。

图2示出根据示例性方面的恢复修改的数据的示例性方法的流程图。

图3示出能够实施所公开的系统和方法的通用计算机系统、个人计算机或
服务器的示例。

具体实施方式

在本文中,在用于恢复修改的数据的系统、方法和计算机程序产品的上下
文中,描述了示例性方面。本领域的普通技术人员将意识到下面的描述仅仅是
说明性的且不意图以任何方式进行限制。对于受益于本发明的本领域技术人员
将易于想象到其它方面。现在,将详细地提及如在附图中所示的示例性方面的
实现。尽可能在整个附图和下面的描述中,相同的附图标记将用于指相同的类
似的项目。

图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。如
图所示,用于恢复修改数据的系统包括数据存储模块110、活动跟踪模块120、
分析模块130、备份模块140、备份数据库150和检测模块160。

在一个示例性方面,数据存储模块110被配置成从进程接收数据、存储所
述数据、且根据进程的需求提供数据。例如,数据存储模块110可为用于操作
文件系统的文件管理器和/或用于操作主存储器的内存管理器。由数据存储模块
110提供的数据可为文件和/或存储区。

在一个示例性方面,活动跟踪模块120被配置成拦截来自进程的对数据存
储模块110的、可修改在数据存储模块110中存储的数据的请求,确定所述进
程的参数,和将这些参数发送给检测模块160。活动跟踪模块还可确定所拦截的
请求的参数且将这些参数发送给分析模块130。

在一个示例性方面,拦截来自进程的对数据存储模块110的请求,可通过
更换目前函数的地址、直接改变函数(例如,通过拼接(splice),内核模式拦截
对函数主体的修改)、或者通过直接更换应用程序/系统的整个部件,经由对应用
程序接口(“API”)函数调用的拦截而发生。

在一个示例性方面,进程对数据存储模块110的请求可包括,例如操作系
统的API函数(诸如用于Microsoft的WinAPI函数)和/或操作系统内
核的函数。所拦截的请求的参数可为,例如(i)唯一数据标识符(例如,文件
描述符或者到达文件的路径、被修改的存储器的地址等);(ii)操作数据的方法
(例如,数据的读取、覆盖、删除等);(iii)操作数据的类型(例如将缓冲区写
入到数据占据的存储区内、读取文件标题等);和(iv)数据修改参数(例如被
写入到存储区内的缓冲区的大小和内容、对于被修改的文件的新的访问权利
等)。而且,进程参数可为例如到达运行该进程的应用程序的途径;进程描述符;
和/或被该进程执行的操作的日志。

在一个示例性方面,分析模块130被配置成:例如基于根据某些规则对这
些请求的参数进行分析的结果,创建用于将可被所述进程修改的数据备份拷贝
到备份数据库150的请求且将该请求发送给备份模块140。在一个示例性方面,
用于分析所拦截的请求的参数的规则可为:

●根据所述请求打算操作的数据的类型确定进一步备份拷贝数据的需求的
规则,(例如,如果数据完整性对于操作系统的工作是重要的(如在可执行文件
*.exe、*.dll等的情况下)或者对于用户是重要的(如在数据库、Microsoft
文档、电子邮件文件、图像等的情况下));

●根据操作数据的方法确定所述操作是否可导致数据修改的规则(例如打
开具有写权限的文件);

●根据针对数据的操作类型确定操作是否可导致数据修改的规则(例如将
数据缓冲区写到文件中);和

●对于被写入的数据确定数据的修改是否将被实施或者数据是否将不受到
影响的规则(例如,附加到视频流文件)。

在一个示例性方面,备份模块140被配置成:响应于所述分析模块130的
请求,执行将来自数据存储模块110的数据备份拷贝到备份数据库150。备份模
块140还被配置成针对检测模块160的请求,将来自备份数据库150的数据恢
复到数据存储模块110。备份数据库150还被设计成保存通过所述备份模块140
传送的数据且将该数据提供给备份模块140。

在一个示例性方面,检测模块160被配置成分析从活动跟踪模块120接收
的进程参数,以借助规则确定该进程对于被该进程修改的数据的完整性的威胁
等级。检测模块160被配置成:基于所执行的分析的结果,形成用于将被进程
修改的数据从备份数据库150恢复到数据存储模块110的请求,并且将该请求
发送给备份模块140,以及基于所执行的分析的结果阻断所述进程的工作。

在一个示例性方面,用于确定所述进程对被修改的数据的完整性的威胁等
级的规则可以是不可恢复地损失被进程修改的数据的可能性,且更具体地,不
能够进行解密的数据的加密(例如,由于不能够获得必需的解密密钥);数据覆
盖(即,对于旧数据写入新的数据,而不能够恢复旧数据)、数据的删除等。该
进程能够通过从存储器删除所述进程、停止进程的执行、使运行该进程的文件
隔离等而被阻断。

为了进一步描述示例性系统和方法,提供下面的示例以描述在Microsoft
文档(例如,“*.docx”、“*.xlsx”等)已经通过加密器程序被加密后,恢
复用于Microsoft文档的被修改的数据的系统的操作。如上文所述,加密
器程序是加密用户的文件(诸如数据库、Microsoft文档、相片、视频等)
且向用户提供报价以使用付费的解密器程序解密它们的恶意软件。

在一个示例性方面,加密器程序针对Microsoft文件搜索受感染的计
算机的硬盘,之后对Microsoft文件进行加密且重命名它们(例如,该程
序将扩展名*.docx修改为*.docx_crypted(加密的),以此后找到并解密仅仅先前
加密的文件)。当加密器程序利用获得访问Microsoft文档文件以进行改
变的请求而访问数据存储模块110(数据存储模块110可为操作系统的文件管理
器)时,加密器程序执行WinAPI函数“::创建文件”、“::写入文件”和“::移动
文件”的调用。在示例性方面,活动跟踪模块120拦截这些请求且确定它们的
参数,即被访问的文件的唯一标识符、它正准备对文件执行的操作等。活动跟
踪模块120将所接收到的太阳城集团发送给分析模块130。活动跟踪模块120也拦截加
密器程序的进程的参数,诸如进程标识符、被所述进程执行的操作的日志等,
且将所拦截的参数发送给所述检测模块160。

在一个示例性方面,分析模块130基于所拦截的请求的参数计算下面的准
则,例如该请求希望操作的“*.docx”文件的类型(Microsoft文档的文件
之一);操作文件的方法(例如,用于通过发送标签“OPEN_EXISTING(打开_
现有的)”而打开现有的文件的请求);操作文件的类型(例如,用于通过发送
标签“GENERIC_WRITE(通用的_写入)”而写入文件的请求);文件修改参数
(例如,用新的数据覆盖整个文件);和新的文件名(即,与旧的文件名不同)。

在一个示例性方面,基于一个或多个以下的准则,分析模块130接下来基
于确定用于执行数据的备份拷贝的需求的规则而执行所计算的准则的分析:(1)
根据所请求的文件的类型,分析模块130确定用于其进一步处理的需求且确定
文件的完整性对于操作系统的工作是否重要(例如,可执行文件“*.exe”、“*.dll”
等)或者确定文件的完整性对于用户是否重要(数据库、Microsoft Office文档、
电子邮件文件、相片等);(2)根据操作文件的方法,分析模块130确定操作文
件是否能够引起文件修改(例如,打开现有的文件,但是创建新的文件);(3)
根据针对文件进行操作的类型,分析模块130确定操作文件是否将导致文件修
改(例如,打开用于写入的文件,但是打开只读文件);和(4)根据被写入的
数据,分析模块130确定这是否将引起数据修改或者数据是否不会受到影响(例
如,通过将数据添加到流式视频文件)。

根据一个方面,如果所述规则中的至少一个规则已经被所计算的准则所触
发(例如,根据文件类型或者对于该文件的操作类型,即,在目前示例中这意
味着加密器程序将写入到Microsoft文档),则分析模块130形成用于将
Microsoft文档备份拷贝到备份数据库150的请求且将该请求发送给备份
模块140。

反过来,已经从分析模块130接收到该请求的备份模块140,执行将通过加
密器程序修改的Microsoft文档从数据存储模块110备份拷贝到备份数据
库150。

在又一方面,加密器程序的进程的文件活动的跟踪不在此时结束。而是当
加密器程序访问新的Microsoft文档以改变它时,活动跟踪模块120将加
密器程序的进程的请求的新参数发送给分析模块130并且所述分析模块130将
形成用于备份拷贝被修改的Microsoft文档的请求且将该请求发送给备份
模块140。加密器程序的进程的文件活动的跟踪可持续直到加密器程序的进程被
检测模块160所阻断。

在这方面,基于从活动跟踪模块120所接收的、修改Microsoft文档
的加密器程序的进程参数(例如,到达用于运行所述进程的应用程序的路径、
进程描述符、被所述进程执行的操作的日志),检测模块160确定该进程对于文
档的完整性的威胁等级。在一个示例性方面,通过分析被修改的文档的内容的
不可恢复的损失的可能性来计算威胁等级。例如,文件可被不可恢复地删除或
重命名,文件的属性和权限可被修改,文件的内容可被加密,且由于缺乏对应
的密钥在用户的计算机上不存在解密的可能性等。由于从检测模块160的角度
来看不受信任的进程(例如,被受信任的数字签名所签名的系统文件等),正在
执行写入文件和重命名文件的操作,故这些动作被检测模块160当作是表示对
于文档数据的威胁。另外,在一个示例性方面,接收到的被所述进程执行的操
作的日志的分析结果(例如,用于写入和重命名不同文件夹、包括临时文件夹
中的文档的许多请求)表明运行被分析的进程的加密器程序是恶意的且对用户
的文件造成了潜在的损失。

在检测模块160已经对所分析的被进程修改的Microsoft文档的内容
的不可恢复的损失的可能性做出裁定后,检测模块160阻断该进程的操作(例
如,它可从存储器中删除该进程、停止进程的执行、隔离所述进程等),形成用
于将被所阻断的进程修改的文档从备份数据库150恢复到数据存储模块110的
请求,且将该请求发送给备份模块140。在这方面,接收来自检测模块160的请
求的备份模块140,将被加密器程序修改的文档从备份数据库150恢复到数据存
储模块110。结果,在一个示例性方面,被加密器程序修改的文档都没有被损坏。

恢复修改的数据的系统和方法的另一示例为在Internet(因特网
)进程已经被注入器程序修改后恢复Internet进程。注入器程序
是恶意软件,其将它的数据(例如,用于替换原始资源的执行代码或者资源,
诸如图像)插入到在系统中工作的进程的存储区中。

在该示例中,注入器程序搜索Internet进程,之后注入器程序将其
数据以广告横幅图像的形式注入到所发现的进程的存储器内,并用这些数据替
代Internet太阳城集团器中显示的原始图像(例如,包含在被显示的页面中的
诸如图标或图像的图形界面元素)。当注入器程序访问作为操作系统的内存管理
器的数据存储模块110时,通过用于访问Internet的存储区以进行改变
的请求,它执行WinAPI函数“::VirtualAllocEx”和“::WriteProcessMemory”的
调用。活动跟踪模块120拦截这些请求且确定它们的参数,即,哪个存储区正
在被访问、它准备在存储器上执行哪些操作等。所确定的参数通过活动跟踪模
块120被发送给分析模块130。活动跟踪模块120还拦截注入器程序的进程参数,
诸如进程标识符、被进程执行的操作的日志等,且将这些进程参数发送给检测
模块160。

在一个示例性方面,基于所拦截的从活动跟踪模块120接收的进程对数据
存储模块110的请求的参数,分析模块130计算下面的准则,例如:

●被请求的存储区属于哪个应用程序(例如,在本示例中,Internet
);

●操作存储器的方法(例如,用于通过发送标签“MEM_COMMIT”、
“MEM_RESERVE”、“PAGE_EXECUTE_READWRITE”而写入到存储器的请
求);和

●存储器修改参数(例如,将发生写入的存储器地址、从其将进行写入的存
储器地址、将被写入的数据大小等)。

在一个示例性方面,分析模块130然后可基于确定用于执行备份数据拷贝
的需求的规则而执行所计算的准则的分析:

●根据请求访问其存储器的进程的类型,分析模块130确定用于其进一步处
理的需求以及文件的完整性对于操作系统的工作是否重要(例如,操作系统的
应用程序等);

●根据操作存储器的方法,分析模块130确定所述操作是否可导致数据的修
改;

●根据操作存储器的类型,分析模块130确定操作存储器是否将导致其修改;

●根据正在被写入的数据,分析模块130确定这是否将导致该进程的存储器
中的数据的修改,或者数据是否将不受影响。

如果至少一个规则已经被所计算的准则触发(例如,根据进程的类型或者
针对该进程的操作类型,即在本示例中这意味着注入器程序将写入到Internet
进程的存储器),则分析模块130形成用于将Internet Explorer进程的所
选定的存储区备份拷贝到备份数据库150的请求且将该请求发送给备份模块
140。已经接收到来自分析模块130的请求的备份模块140,执行将被注入器程
序修改的Internet进程的存储区从数据存储模块110备份拷贝到备份数
据库150。

在一个示例性方面,基于从活动跟踪模块120接收到的、修改Internet
的存储区的注入器程序的进程参数(例如到达用于运行进程的应用程
序的路径、进程描述符、被进程执行的操作的日志等),检测模块160确定进程
对于存在于被该进程修改的存储区内的数据的完整性的威胁等级。威胁等级通
过分析被进程修改的存储区的内容的不可恢复的损失的可能性来计算。由于所
述进程执行对另一进程的存储区进行写入的操作,故此类动作被检测模块160
识别成构成对于Internet Explorer进程的数据的威胁。另外,所接收到的被进程
(许多用于写入外来进程的请求)执行的操作的日志的分析结果表明,运行所
分析的进程的注入器程序是恶意的且对用户数据带来潜在损坏。

在检测模块160已经对所分析的被进程修改的区域中存在的数据的不可恢
复的损失的可能性做出裁定后,检测模块160阻断该进程的操作(例如,它从
存储器中删除进程、停止进程的执行、隔离进程等),形成用于将被阻断的进程
修改的进程的数据从备份数据库150恢复到数据存储模块110的请求且将该请
求发送至备份模块140。

在这方面,接收来自检测模块160的请求的备份模块140,将被注入器程序
修改的数据从备份数据库150恢复到数据存储模块110。结果,被注入器程序修
改的Internet进程文档没有被损坏。

图2示出了根据示例性方面的恢复修改数据的示例性方法的流程图。如总
体所示,所述方法包括拦截修改数据的请求(步骤210)、确定所拦截的请求的
参数(步骤220)、执行数据的备份拷贝(步骤230)、确定进程参数(步骤240)、
分析进程参数(步骤250)、阻断进程的操作(步骤260)、和恢复被修改的数据
(步骤270)。

更具体地,根据示例性方面,在步骤210,活动跟踪模块120拦截至少一个
来自进程的数据修改的请求。如上所述,例如,其修改请求已经被拦截的数据
可是文件和/或存储器地址。另外,进程的数据修改请求可为:例如操作系统的
API函数、尤其是用于Microsoft的WinAPI函数和/或操作系统内核函
数。

在步骤220,分析模块130确定所拦截的请求的参数。根据示例性方面,所
拦截的请求的参数可例如为唯一数据标识符、操作数据的方法、对数据进行操
作的类型和数据修改的参数。

接下来,在步骤230,作为对于所拦截的请求确定的参数的分析的结果,备
份模块140将数据备份拷贝到备份数据库150。所拦截的请求的参数的分析通过
确定数据修改的可能性来进行(例如,打开具有写入权限的文件、调用删除文
件的函数等)。

在步骤240,分析模块130确定发送用于修改数据的请求的进程的参数。该
进程参数可为例如到达运行该进程的应用程序的路径、进程描述符、通过该进
程执行的操作的日志。

接下来,在步骤250,使用规则分析进程的参数,以确定进程对于被该进程
修改的数据的完整性的威胁等级。在一个方面,步骤210到步骤250可被重复,
至少直到进程的操作在步骤260被阻断。

在一个示例性方面,用于确定进程对于被修改的数据的完整性的威胁等级
的规则可测试被所述进程修改的数据的不可恢复的损失的可能性,即,例如在
数据不能够被解密的情况下的数据加密(例如,由于不能够获得所需的解密密
钥)、数据覆盖(即,写入新的数据替代旧的数据,而不能够恢复旧的数据)、
以及删除数据。

在步骤260,基于在步骤250中执行的分析的结果,可阻断进程的操作。在
一个示例性方面,进程的操作可例如通过从存储器中删除进程、停止进程的执
行、以及隔离运行进程的文件来阻断。最后,在步骤270,被进程修改的数据从
备份数据库150中恢复。

接下来,提供了一种用于基于上文概括的原理来恢复修改数据的方法,例
如在图像文件(例如,“*.jpeg”、“*.GIFf”等)的名称已经被重命名且对文件的访
问权限已经被勒索程序改变后,使用这些图像文件的恢复来恢复修改数据。如
上所述,勒索程序是恶意软件,其通过重命名文件、改变在文件系统中的位置、
改变访问权限等来限制访问文件,诸如图像、视频以及其他,并且恶意软件通
过向特定的程序付费而向用户提供用于恢复被更改的文件的机会。

根据示例,勒索程序在感染的计算机的硬盘上搜索图像文件,在搜索后,
其改变图像文件在文件系统中的位置、还改变访问权限,从而使得不具有管理
者权限的用户不能够访问文件。在步骤210,当勒索程序发送用于修改被处理的
图像文件的请求时,包括调用WinAPI函数“::MoveFile”和
“::SetNamedSecurityInfo”,所述请求被拦截。在该请求已经被拦截后,在步骤220,
确定请求的参数。在该示例中,请求参数为文件的旧路径和新路径、文件类型
(结构“SE_OBJECT_TYPE”)、安全性太阳城集团(结构“SECURITY_INFORMATION”)
等。由于请求目的在于改变文件的参数,因此在步骤230,将被改变的参数备份
拷贝到备份数据库150。接下来,在步骤240,确定被勒索程序运行的进程的参
数,诸如进程标识符、被进程执行的操作的日志等。在步骤250,分析被勒索程
序运行的进程的参数。由于从检测模块160的角度来看不受信任的进程执行步
骤250(例如,被受信任的数字签名所签名的系统文件等),所接收到的被进程
执行的操作的日志的分析结果,诸如许多用于改变在不同的文件夹中的图像文
件(包括临时图像文件)的请求,表明运行被分析的进程的勒索程序是恶意的
且对用户的文件造成潜在的损失(即,上文所述的动作的特征在于恶意程序且
不是受信任的应用程序)。在勒索程序已经被识别为恶意的之后,在步骤260,
阻断勒索程序的操作。为此,进程被停止且从存储器中删除,此后,勒索程序
的文件被隔离以避免随后的恶意程序的反复调用。在这之后,在步骤270,恢复
被勒索程序改变的文件属性和访问权限。作为进程的结果,被勒索程序更改的
图像文件都没有被损坏。

图3示出了可在其上实现所公开的系统和方法的通用计算机系统(其可以
是个人计算机或服务器)的示例。该计算机系统20包括中央处理单元21、系统
存储器22和连接各种系统组件的系统总线23,各种系统组件包括与中央处理单
元21关联的存储器。系统总线23像从现有技术已知的任何总线结构一样来实
现,依次包括总线存储器或总线存储器控制器、外围总线和本地总线,系统总
线23能够与任何其它的总线架构交互。系统存储器包括只读存储器(ROM)24
和随机存取存储器(random-access memory,RAM)25。基本输入/输出系统(basic
input/output system,BIOS)26包括确保在个人计算机20的元件之间的太阳城集团传
输的基本过程,例如在使用ROM 24加载操作系统时的那些基本过程。

个人计算机20依次包括用于数据的读取和写入的硬盘27、用于在可移动磁
盘29上读取和写入的磁盘驱动器28和用于在可移动光盘31(例如CD-ROM、
DVD-ROM和其它的光学太阳城集团介质)上读取和写入的光盘驱动器30。硬盘27、
磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动
器接口34而连接到系统总线23。驱动器和对应的计算机太阳城集团介质为用于存储个
人计算机20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。

本发明提供了使用硬盘27、可移动磁盘29和可移动光盘31的系统的实现
方式,但是应当理解的是,可以采用能够存储计算机可读形式的数据的其它类
型的计算机太阳城集团介质56(固态驱动器、闪存卡、数字盘、RAM等等),计算机
太阳城集团介质56经由控制器55连接到系统总线23。

计算机20具有文件系统36,其中存储所记录的操作系统35,并且还具有
额外的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入
设备(键盘40、鼠标42)将命令和太阳城集团输入到个人计算机20中。可以使用其
它的输入设备(未示出):麦克风、操纵杆、游戏控制器、扫描器等等。这种输
入设备通常通过串行端口46插入到计算机系统20中,串行端口46则连接到系
统总线,但是它们可以以其它的方式连接,例如借助并行端口、游戏端口或通
用串行总线(universal serial bus,USB)进行连接。监控器47或其它类型的显
示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器
47,个人计算机可以还装备有其它的外围输出设备(未示出),例如扬声器、打
印机等等。

个人计算机20能够使用与一个或多个远程计算机49的网络连接在网络环
境中操作。一个或多个远程计算机49也是个人计算机或服务器,其具有在描述
个人计算机20的性质时(如图3所示)大多数或全部上述元件。其它的设备也
可以存在于计算机网络中,例如路由器、网站、对等设备或其它的网络节点。

网络连接可以形成局域计算机网络(local-area computer network,LAN)50
(诸如有线网络和/或无线网络)和广域计算机网络(wide-area computer network,
WAN)。这种网络用在企业计算机网络和公司内部网络中,并且它们通常有权访
问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口
51连接到局域网50。当使用网络时,个人计算机20可以采用调制解调器54或
其它的用于提供与广域计算机网络(例如因特网)的通信的模块。调制解调器
54是内部设备或外部设备,通过串行端口46连接到系统总线23。应当注意的
是,网络连接仅仅是示例并且不需要描述网络的准确配置,即实际上具有通过
技术通信模块(诸如蓝牙)建立一个计算机到另一个计算机的连接的其它方式。

在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们
的任何组合中实施。如果在软件中实施,则上述方法可以被存储为在非易失性
计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。
以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、
EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介
质、或任何其它介质,所述任何其它介质可用来携带或存储所期望的指令或数
据结构形式的程序代码并可以被通用计算机的处理器访问。

在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文
所使用的术语“模块”指的是现实世界的设备、组件、或使用硬件(例如通过
专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,
FPGA))实施的组件的布置、或硬件和软件的组合,例如通过微处理器系统和
实现模块功能的指令组,该指令组在被执行时将微处理器系统转换成专用设备。
一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,
通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分
可以在通用计算机(例如上文在图3中更详细描述的通用计算机)的处理器上
执行,以及在某些情况下,模块的全部可以在通用计算机的处理器上执行。因
此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所列举的任
何特定的实现方式。

为了清楚起见,本文没有公开各个方面的所有常用特征。应当领会的是,
在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,
以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同
的开发者不同。应当理解的是,这种开发努力可能是复杂且费时的,但对于了
解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。

此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,
从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指
导结合相关领域的技术人员的知识来解释。此外,不旨在将本说明书或权利要
求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。

本文所公开的各个方面包括本文以说明性方式所引用的已知模块的现在和
未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于
了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的更
多的修改是可行的,而不脱离本文所公开的发明构思。

关 键 词:
用于 恢复 修改 数据 系统 方法
  专利查询网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
太阳城集团本文
本文标题:用于恢复修改的数据的系统和方法.pdf
链接地址:http://zh228.com/p-6100761.html
太阳城集团我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服客服 - 联系我们

copyright@ 2017-2018 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备17046363号-1 
 


收起
展开
葡京赌场|welcome document.write ('');