本发明专利技术涉及用于恢复修改的数据的系统和方法。示例性方法包括:通过活动跟踪模块拦截来自程序的用于修改数据的请求;通过分析模块确定所拦截的请求的参数;通过分析模块基于确定的所拦截的请求的参数中的至少一个参数生成用于生成数据的备份拷贝的请求;以及,通过备份模块,生成数据的备份拷贝且将该数据的备份拷贝存储在电子数据库中。
【技术实现步骤摘要】
本专利技术总体涉及抗病毒
,更具体地,涉及恢复修改的数据的系统和方法。
技术介绍
近年来计算机技术的迅速发展和各种计算设备(例如,个人计算机、笔记本电脑、平板电脑、智能手机等)的广泛流行,对于在各种活动范围中使用这些设备以及对于将这些设备用于大量任务(例如,从个人相片的处理和存储到银行转账和电子文件流转)已经产生巨大的刺激。结合计算设备的数量以及在这些设备上运行的软件的数量的增长,恶意程序的数量也已经以明显的速率增长。目前,存在大量的不同类型的恶意应用程序,其中绝大多数的恶意应用程序被设计成有利于它们的设计者。一些恶意应用程序从用户的设备中窃取个人且机密的数据,包括例如登录名和密码、银行信息、电子文件等。其他恶意程序形成所谓的来自用户设备的用于对其他计算机或计算机网络进行攻击(诸如DDOS或强力攻击)的“僵尸网络”。还有其它的恶意程序向用户提供通过侵入广告的付费内容、付费订购、向收费服务号码发送短消息服务等。一个特别麻烦的恶意程序种类是敲诈或勒索软件。一旦这些类型的程序被安装在用户设备上,它们干扰设备的功能,例如通过阻断数据输入设备、损坏数据、限制访问接口元件等干扰设备的功能。然后,该程序要求付费以消除它们运行的不利后果。最危险的勒索程序为加密器,其恶意活动包括损坏对于用户有价值的数据(例如,数据库、Microsoft文件、相片、视频剪辑等)。通过对文件进行程序加密、重命名或隐藏而发生数据的损坏。由于不仅数据的机密性、而且数据的完整性通常代表了重大价值,因此保护数据是重要的任务。一种用于处理勒索威胁的方法是对用户设备上的恶意应用程序及其后来的停用进行及时检测以及定期创建数据的备份副本,及时检测能够保护数据免受未授权的修改,定期创建数据的备份副本使得能够甚至在未授权的数据修改的情况下恢复数据。尽管上述方法非常适于跟踪文件活动、用户数据的备份存储、以及阻断恶意软件的工作的任务,但是这些方法不能够保护有效的用户数据免受恶意软件的修改,因为它们不能够有效地对备份数据拷贝做出决定(即,在已经启动数据修改之前的足够的时间内),或者在成功地备份拷贝能够被修改的数据的情况下,这些方法不能够获得来自修改进程的对于该数据的威胁等级。这进一步导致对计算机资源的巨大负载,包括空闲的硬盘空间、处理器时间等。
技术实现思路
因此,在此描述的方法和系统提供了一种有效的且高效的恢复修改的数据的方式。根据一个方面,一种方法包括通过活动跟踪模块拦截来自程序的用于修改数据的请求;通过分析模块确定所拦截的请求的参数;通过所述分析模块,基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;和通过备份模块生成所述数据的备份拷贝且将所述数据的备份拷贝存储在电子数据库中。根据另一方面,所拦截的请求的参数包括:所拦截的请求的唯一数据标识符、操作所述数据的方法、用于对所述数据进行的操作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。根据另一方面,所述方法包括:确定修改所述数据的程序的进程的进程参数;分析所确定的进程参数;和基于对进程参数的分析,阻断所述程序的进程的进一步操作。根据另一方面,所述方法还包括:确定所述数据是否已经被恶意程序的进程修改;以及,如果所述数据已经被恶意程序的进程修改,则在已经阻断所述恶意程序的进程的进一步操作之后使用所述数据的备份拷贝来恢复所述数据。根据另一方面,分析所确定的进程参数包括:确定用于修改所述数据的程序的进程的进程参数的威胁等级,和基于所述威胁等级阻断所述程序的进程的进一步操作。根据另一方面,阻断所述程序的进程的进一步操作包括:从设备的存储器中删除所述进程、停止执行所述进程、和隔离运行所述进程的文件中的至少一者。根据另一方面,所述方法还包括:通过分析模块根据规则分析所拦截的请求的参数,所述规则包括以下规则中的至少一者:基于所述数据的类型(来自程序的请求用于修改这种类型的数据)备份所述数据的需求;来自所述程序的请求是否将修改所述数据的用户操作;来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修改所述数据;和当所述数据被写入文件时所述数据是否将被修改。根据一个方面,公开了用于恢复修改数据的系统。根据该方面,所述系统包括活动跟踪模块,其被配置成拦截来自程序的用于修改数据的请求;分析模块,其被配置成确定所拦截的请求的参数并且基于所确定的所拦截的请求的参数中的至少一个参数生成用于生成所述数据的备份拷贝的请求;和,备份模块,其被配置成生成所述数据的备份拷贝并且将所述数据的备份拷贝存储在电子数据库中。上述示例性方面的简要概括用于对本专利技术提供基本的了解。该概括不是全部的构想方面的广泛概述,且既不意图确定所有方面的关键或者重要的要素也不意图勾画本专利技术的任何方面或全部方面的范围。其唯一目的在于以简化的形成呈现出一个或多个方面,作为用于下面所进行的本专利技术的更为详尽的描述的前奏。为了完成上述内容,本专利技术的一个或多个方面包括在权利要求中所描述的且示例性提出的特征。附图说明合并到且构成本说明书的一部分的附图,阐述了本专利技术的一个或多个示例性方面,并且与详细描述一起用于解释这些方面的原理和实现方式。图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。图2示出根据示例性方面的恢复修改的数据的示例性方法的流程图。图3示出能够实施所公开的系统和方法的通用计算机系统、个人计算机或服务器的示例。具体实施方式在本文中,在用于恢复修改的数据的系统、方法和计算机程序产品的上下文中,描述了示例性方面。本领域的普通技术人员将意识到下面的描述仅仅是说明性的且不意图以任何方式进行限制。对于受益于本专利技术的本领域技术人员将易于想象到其它方面。现在,将详细地提及如在附图中所示的示例性方面的实现。尽可能在整个附图和下面的描述中,相同的附图标记将用于指相同的类似的项目。图1示出根据示例性方面的用于恢复修改的数据的示例性系统的框图。如图所示,用于恢复修改数据的系统包括数据存储模块110、活动跟踪模块120、分析模块130、备份模块140、备份数据库150和检测模块160。在一个示例性方面,数据存储模块110被配置成从进程接收数据、存储所述数据、且根据进程的需求提供数据。例如,数据存储模块110可为用于操作文件系统的文件管理器和/或用于操作主存储器的内存管理器。由数据存储模块110提供的数据可为文件和/或存储区。在一个示例性方面,活动跟踪模块120被配置成拦截来自进程的对数据存储模块110的、可修改在数据存储模块110中存储的数据的请求,确定所述进程的参数,和将这些参数发送给检测模块160。活动跟踪模块还可确定所拦截的请求的参数且将这些参数发送给分析模块130。在一个示例性方面,拦截来自进程的对数据存储模块110的请求,可通过更换目前函数的地址、直接改变函数(例如,通过拼接(splice),内核模式拦截对函数主体的修改)、或者通过直接更换应用程序/系统的整个部件,经由对应用程序接口(“API”)函数调用的拦截而发生。在一个示例性方面,进程对数据存储模块110的请求可包括,例如操作系统的API函数(诸如用于Microsoft的WinAPI函数)和/或操作系本文档来自技高网...
【技术保护点】
一种用于恢复修改的数据的方法,所述方法包括:通过硬件处理器拦截来自程序的用于修改数据的请求;通过所述硬件处理器确定所拦截的请求的参数;通过所述硬件处理器,基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;通过所述硬件处理器生成所述数据的备份拷贝;和通过所述硬件处理器将所述备份拷贝存储在备份数据存储器中。
【技术特征摘要】
2015.06.19 US 14/744,5701.一种用于恢复修改的数据的方法,所述方法包括:通过硬件处理器拦截来自程序的用于修改数据的请求;通过所述硬件处理器确定所拦截的请求的参数;通过所述硬件处理器,基于所确定的所拦截的请求的参数中的至少一个参数,生成用于生成所述数据的备份拷贝的请求;通过所述硬件处理器生成所述数据的备份拷贝;和通过所述硬件处理器将所述备份拷贝存储在备份数据存储器中。2.根据权利要求1所述的方法,其中,所述所拦截的请求的参数包括所拦截的请求的唯一数据标识符、操作所述数据的方法、对所述数据进行的操作中的至少一种类型的操作、以及至少一个数据修改参数中的至少一者。3.根据权利要求1所述的方法,还包括:确定修改所述数据的所述程序的进程的参数;分析所确定的进程参数;和基于对所述进程参数的分析,阻断所述程序的所述进程的进一步操作。4.根据权利要求3所述的方法,还包括:确定所述数据是否已经被恶意程序的进程修改;和如果所述数据已经被所述恶意程序的进程修改,则在已经阻断所述恶意程序的进程的进一步操作之后使用所述数据的所述备份拷贝来恢复所述数据。5.根据权利要求3所述的方法,其中,所述分析所确定的进程参数包括:确定修改所述数据的所述程序的所述进程的参数的威胁等级和基于所述威胁等级阻断所述程序的所述进程的进一步操作。6.根据权利要求3所述的方法,其中,所述阻断所述程序的所述进程的进一步操作包括从设备的存储器中删除所述进程、停止所述进程的执行、和隔离运行所述进程的文件中的至少一者。7.根据权利要求3所述的方法,还包括:通过所述硬件处理器根据规则分析所述所拦截的请求的参数,所述规则包括以下规则中的至少一者:基于所述数据的类型备份所述数据的需求;来自所述程序的请求是否将修改所述数据的用户操作;来自所述程序的请求是否将基于能够用于所述数据的操作的类型而修改所述数据;和当所述...
【专利技术属性】
技术研发人员:尤里·G·帕尔辛,亚历山大·A·罗曼恩科,尤里·G·斯洛博佳纽克,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。