• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    The present invention relates to a system and method for inspecting parts of an archive (114, 130, 200) for malware. The method consists in mounting on a disk a first part (202) of a plurality of parts (202-206) in a backup archive (114, 130, 200), in which the first part (202) a data image user at first. The method also consists in identifying a block part (202) modified part (202) of the mounted part (202), identifying at least one file in the first mounted part (202) corresponding to the identified modified block and scanning said at least one file for of viruses and malware. In response to the detection of at least one infected file, the method is to generate a repaired part comprising the user data of the first part (202) mounted without said at least one file.
    公开号:CH716436A2
    申请号:CH00238/20
    申请日:2020-02-28
    公开日:2021-01-29
    发明作者:Strogov Vladimir;Stupak Anatoly;Kulaga Andrey;Sergeev Alexey;Beloussov Serguei;Stanislav Protasov
    申请人:Acronis Int Gmbh;
    IPC主号:
    专利说明:

    Descrizione
    CAMPO TECNICO
    La presente esposizione si riferisce in generale al campe della rilevazione di virus e malware negli archivi conservati e, piü specificamente, ai sistemi e al metodo di scanninge degli archivi di backup mediante l'ispezione di slice di archivio alla ricerca di malware.
    STATO DELL'ARTE
    In general, the backup e la conservazione degli archivi per il ripristino vengono eseguiti regolarmente in base a un program. Rich spesso il backup potrebbe essere infettato da Software dannosi, le aziende dispongono sovente di Software automatizzati before eseguono scansioni alla ricerca di malware, sia prima del backup, durante il backup, prima del ripristino o simili. Le scansioni per rilevare la presenza di virus e malware devono essere effettuate periodicamente e regolarmente perche le banche dati antivirus vengono aggiornate spesso a causa della comparsa di nuovi tipi di malware. Tuttavia, la scansione completa di archivi di grandi dimensioni necessita di tempo e di notevoli risorse computazionali, spesso non disponibili oppure richiede un uso efficiente del tempo e delle risorse. La scansione degli archivi diventa particolarmente critica se gli archivi non sono conservati localmente ma in un archivio in cloud, perche la velocitä di accesso a un archivio in cloud puö essere significativamente inferiore rispetto all'accesso a un dispositivo di archiviazione locale (a seconda della della della rete o del canale di comunicazione utilizzato, e / o al level di carico del canale). Inoltre, se si verificano problemi tali da far si ehe venga rilevata nell'archivio la presenza di virus e / o file dannosi, l'archivio e considerato danneggiato o infetto e potrebbe non essere del tutto adatto all'uso per il ripristino del sistema o per l'estrazione di file e dati.
    Convenzionalmente, per evitare di ripristinare dati infetti, gli archivi vengono periodicamente scansionati con Scanner antivirus durante la conservazione, quando vengono aggiunte nuove slice all'archivio e / o prima di ripristinare i dati. Tuttavia, attualmente non esiste una soluzione per la scansione di punti temporali casuali in un archivio. Vengono invece forzate delle soluzioni per scansionare l'intero archivio. Inoltre, i dati attualmente danneggiati o infetti presenti negli archivi non possono essere riparati.
    SOMMARIO
    Gli aspetti dell'esposizione riguardano il campo della rilevazione di virus e malware negli archivi conservati. In particolare, gli aspetti dell'esposizione descrivono metodi e sistemi per la scansione degli archivi di backup mediante l'ispezione di slice di archivio.
    In un esempio, il metodo conmprende nel montare su un disco una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei data utente in un primo tempo. II metodo include inoltre la rilevazione di un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo. II metodo comprende nell'identificare, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato e nello scansionare almeno un file alla ricerca di virus e Software dannosi. In risposta alla rilevazione di almeno un file infetto, il metodo comprende il generare una slice riparata before comprende i dati utente della prima slice montata senza l'almeno un file.
    In alcuni esempi, the generazione della slice riparata include the rimozione di almeno un file dalla prima slice montata.
    In alcuni esempi, una pluralitä di blocchi modificati relativi alla seconda slice esiste per la prima slice montata, la generazione della slice riparata include la generazione di una copia della seconda slice e il trasferimento, alla copia della seconda slice, di tutti i File corrispondenti alla pluralitä di blocchi modificati e non comprendenti l'almeno un file, in cui la copia della seconda slice e la slice riparata.
    In Alcuni esempi, la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
    In alcuni esempi, il metodo comprende l'aggiungere la nuova slice riparata all'archivio di backup.
    In alcuni esempi, il metodo comprende la scansione di una terza slice della pluralitä di slice nell'archivio di backup alla ricerca di virus e software dannosi, in cui la terza slice e un'immagine dei data utente acquisiti prima del tempo di creazione della seconda slice. In risposta alla rilevazione di un file infetto nella terza slice, il metodo comprende il contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in second cui il sottoinsieme comprende e la great slice.
    In alcuni esempi, il metodo comprende l'identificare un blocco della terza slice corrispondente al file infetto, montare la seconda slice e la prima slice sul disco, tracciare il blocco e determinare se il file infetto esiste su una qualunque tra la seconda slice e la prima slice. In base alla determinazione (ossia il file infetto esiste su almeno una delle slice), il metodo comprende il rimuovere il file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice riparate.
    In alcuni esempi, la pluralitä di slice puö essere montata come uno o piü dischi virtuali.
    In alcuni esempi, the corrispondenza di almeno un file e II blocco modificato e determinata utilizzando a mappa del blocchi dell'archivio di backup.
    Si noti before i metodi sopra descritti possono essere implementati in un sistema comprendente un processore hardware. In alternativa, i metodi possono essere implementati utilizzando istruzioni eseguibili di un supporto informatico non transitorio.
    II riepilogo semplificato degli aspetti esemplificativi di cui sopra serve a consentire una comprensione basilare della presente esposizione. Questa sintesi non e una sintesi esaustiva di tutti gli aspetti contemplati e non intende ne identificare elementi chiave o critici di tutti gli aspetti, ne delineare la portata di alcuni o di tutti gli aspetti della presente esposizione. II suo unico scopo e presentare uno o piü aspetti in forma semplificata come preludio alla descrizione piü dettagliata dell'esposizione before segue. A completamento di quanto precede, uno o piü aspetti della presente esposizione includono le caratteristiche descritte ed evidenziate in modo esemplare nelle rivendicazioni.
    BREVE DESCRIZIONE DEI DISEGNI
    I disegni accompagnatori, before sono incorporati e costituiscono parte di questa specifica, illustrano uno o piü aspetti esemplificativi della presente esposizione e, insieme alla descrizione dettagliata, servono a spiegarne i principi e le implementazioni.
    La Fig. 1 e is a scheme of a blocchi di un sistema di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    La Fig. 2 e is a scheme of a blocchi di una sequence of scanning di archivi di backup mediante l'ispezione di slice di archivio.
    La Fig. 3 e is a scheme a flow di un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    La Fig. 4 e is a scheme di flusso before mostra un metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    La Fig. 5 e is a diagram of a blocchi di un sistema informatico sul torments il sistema e il metodo divulgato possono essere implementati secondo una realizzazione copies.
    DESCRIZIONE DETTAGLIATA
    Gli aspetti esemplari sono qui descritti nel contesto di un sistema, method e prodotto di programma informatico per l'ispezione di slice di archivio per rilevare la presenza di malware. Coloro ehe hanno un'ordinaria competenza nell'arte si renderanno conto ehe la seguente descrizione e puramente illustrativa e non intende essere in alcun modo limitativa. Altri aspetti si riveleranno preisamente a chi e competente nell'arte ehe si avvarrä di questa esposizione. Si farä ora riferimento in dettaglio all implementazioni degli aspetti esemplificativi come illustrato nei disegni accompagnatori. Gli stessi indicatori di riferimento saranno utilizzati, nei limiti del possibile, in tutti i disegni e nella seguente descrizione per riferirsi agli stessi elementi o ad elementi simili.
    La Fig. 1 e is a diagram of a blocchi di un sistema 100 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    II sistema 100 comprende un dispositivo informatico 102, uno scanner di archivi 110, un disco 120 e un archivio in cloud 130. II dispositivo informatico serves 102 puö essere qualunque tipo di dispositivo informatico mobile, come un computer portable, un fablet, un dispositivo mobile o simili. II dispositivo informatico 102 comprende anche un modulo di backup 104 before esegue un backup dei utente memorizzati sul dispositivo informatico 102, dove i dati utente possono includere un'intera immagine di backup dei dischi del dispositivo informatico 102, il Software installato sul dispositivo 102,
    I dati delle applicazioni utente come documenti personali o simili.
    II modulo di backup 104 puö anche recuperare dati before non sono memorizzati localmente sul dispositivo informatico 102. In un esempio, the modulo di backup 104 memorizza e / o recupera i dati utente come un insieme di slice di backup 106 da / per un archivio in cloud 130, o in alternativa, un archivio locale su un disco fisico associato al dispositivo informatico 102. Le slice di backup 106 sono complessivamente memorizzate negli archivi di backup 108 nell'archivio in cloud 130. Ogni slice di backup e un ' Immagine dei dati utente o del disco fisico del dispositivo informatico 102 in un determinato momento. Nel corso del tempo, l'archivio in cloud 130 contiene molti archivi di backup 108 per diversi dispositivi informatici, ciascuno con piü slice di backup.
    II modulo di backup 104 comunica con l'archivio cloud 130 su una rete 101 (ad es. Internet). In alcuni casi, affinche
    The modulo di backup 104 ripristini i dati dall'archivio di backup 108, viene eseguita una scansione. Se gli archivi di backup 108 sono aumentati notevolmente in termini di dimensioni (ad esempio, al di lä di una soglia predeterminata come 500 GB), la necessitä di eseguire una scansione puö richiedere una quantitä significativa di tempo e risk. Nel caso in cui gli archivi 108 siano memorizzati localmente, il modulo di backup 104 puö occupare una quantitä significativa di risorse del
    dispositivo informatico 102 ehe possono essere necessarie altrove. Tali risorse possono includere spazio di archiviazione, memoria (ad esempio, RAM) e capacitä di elaborazione.
    AI fine di evitare un eccessivo consumo di risorse, sia localmente before su una piattaforma cloud, l'archivio in cloud 130 e sottoposto a scansione periodica tramite Io scanner di archivi 110. Lo scanner di archivi 110 comprende un servizio di montaggio dell 'archivio 112, un archivio API 114 e un'unitä di montaggio dell'archivio 116. In alcuni esempi, lo Scanner di archivi 110 funziona come servizio sulla rete 101, also se in altri esempi, lo Scanner di archivi 110 puö funzionare sul dispositivo informatico 102. Inoltre, so previste altre configurazioni in cui lo scanner di archivi puö funzionare su un server diverso o sullo stesso server dell'archivio in cloud 130.
    Lo Scanner di archivi 110 esegue scansioni antivirus e malware sugli archivi di backup 108 per garantire before quando i dati vengono recuperati dall'archivio in cloud, un dispositivo informatico come il dispositivo informatico 102 non venga accidentalmente infettato. II dispositivo (ad es. Un server) before esegue lo scanner di archivi 110 puö essere dotato di un disco fisico 120. In un esempio, il dispositivo puö comprendere una macchina host e una macchina virtuale. In un altro esempio, lo Scanner di archivi 110 riceve una richiesta di scansione degli archivi di backup 108. L'archivio API 114 e utilizzato per recuperare blocchi nuovi e modificati dalle slice conservate negli archivi di backup 108. L'unitä di montaggio archivio 116 riceve la richiesta di montare una slice di archivio dall'archivio di backup 108, consentendo allo Scanner di archivi 110 di lavorare con l'archivio come disco. L'unitä di montaggio archivio 116 puö montare la slice di archivio come disco virtuale 122. L'unitä di montaggio archivio 116 consente di salvare le modifiche dei dati nella slice montata qualora siano state effettuate delle modifiche.
    In un esempio, lo Scanner di archivi 110 rileva tutti i blocchi modificati nelle slice piü recenti a partire dalla creazione della slice piü recente. Successivamente, lo Scanner di archivi 110 utilizza l'archivio API 114 per determinare la corrispondenza dei file in one o piü slice con i blocchi di dati sul disco montato. Tale determinazione puö essere effettuata utilizzando una mappa dei blocchi. Una volta creata la corrispondenza, also i file sul disco virtuale montato 122 before si allineano con i blocchi modificati sono considerati nuovi o modificati. In this modo, questi nuovi file sul disco virtuale 122 possono essere analizzati alla ricerca di infezioni, virus e software dannosi. Lo Scanner di archivi 110 pub ricorrere inoltre all'archivio API 114 per rimuovere file infetti e / o danneggiati e malware dal disco virtuale 122. Infine, lo Scanner di archivi 110 puö salvare II disco virtuale 122 come nuova slice riparata negli archivi di backup 108 conservati nell'archivio in cloud 130 (o memorizzati su un dispositivo di archiviazione locale del dispositivo informatico 102). In altri esempi, la slice esistente puö essere rimossa e sostituita con la nuova slice riparata.
    Gli aspetti per la formazione della mappa dei blocchi dipendono dal particolare sistema operative e dal file system. Ad esempio, in Windows i file NTFS possono essere master file fable (MFT) resident! (memorizzati all'interno di record MFT) o non residenti, conservati nello spazio di archiviazione del volume. In un esempio, i blocchi allocati del file non residente possono essere recuperati utilizzando una chiamata di funzione di sistema, ad esempio, "FSCTL_GET_RETRIEVAL_POINTERS API" l'identificatore di file noto, before e generalmente II numero di registro MFT. II numero di registro MFT consente l'ispezione e la conoscenza dei blocchi del file MFT residente. L'analisi dell'allocazione MFT puö essere determinata, per esempio, anche with the aiuto della funzione di sistema "FSCTL_GET_RETRIEVAL_POINTERS", ma per l'intero MFT, before e also un file. Altri file system possono richiedere i propri algoritmi speciali ehe compongono la mappa o le mappe dei blocchi dei file.
    Lo Scanner di archivi 110 puö also its configurato per scanare una o piü slice precedenti nell'archivio di backup 108 al fine di scoprire una slice infetta. Una volta identificata la slice infetta o compromessa, lo Scanner di archivi 110 contrassegna la slice infetta e le slice indicate successivamente (temporaneamente) come infette e non adatte al recupero dei dati per qualunque dispositivo informatico. Di conseguenza, il modulo di backup 104 e configurato in modo da bloccare qualunque tentativo di ripristinare le slice contrassegnate come infette. Inoltre, ciö consente allo Scanner di archivi 110 di stabilire un tempo di alterazione ehe puö essere utilizzato per ulteriori analisi relative al tipo di infezione e al fattori ehe possono essere stati coinvolti nell'alterazione. In alcuni esempi, gli attributi storici del dispositivo informatico 102 possono essere memorizzati nell'archivio in cloud 130, o altrove, e analizzati insieme al tempo di alterazione per stabilire una series di cause all'origine dell'alterazione / infezione. Questa analisi puö essere utilizzata per prevenire future infezioni o attacchi di malware.
    La Fig. 2 e a scheme a blocchi before mostra la sequence del sistema e del metodo di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    In un esempio, il servizio di montaggio dell'archivio 112, l'archivio API 114 e l'archivio in cloud 130 e l'archivio locale 200 possono trovarsi nello spazio di memoria utente (UM), mentre l'unitä di montaggio archivio 116 puö trovarsi nello spazio di memoria del kernel (KM). Per accedere all'archivio in cloud 130 oa un archivio locale 200, lo Scanner di archivi 110 contatta II servizio di montaggio dell'archivio 112. II servizio di montaggio archivio 112 utilizza l'unitä di montaggio 116 per montare gli archivi su un disco ( ad es. un disco virtuale).
    Facendo riferimento alla Fig. 2, l'unitä di montaggio 116 monta sul disco 120 una prima slice 202 di una pluralitä di slice (ad es. Slice 202-206) nell'archivio in cloud 130, in cui la prima slice e un'immagine dei dati utente (ad es. suldispositivo informatico 102) in un primo tempo. L'archivio API rileva quindi un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice 204 della pluralitä di slice, in cui la seconda
    slice e un'immagine dei dati utente acquisiti prima del primo tempo. Ad esempio, la prima slice 202 pud essere stata creata nel tempo t. La seconda slice 204 pud essere stata creata nel tempo t-1.
    L'archivio API 114 pud quindi confrontare I blocchi dei rispettivi dischi montati delle rispettive slice per trovare blocchi alterati. Quando viene trovato un blocco modificato, il servizio di montaggio degli archivi 112 identifica, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato. Lo Scanner di archivi 110 scansiona quindi almeno un file al la ricerca di virus e software then. In risposta al la rilevazione di almeno un file infetto, lo Scanner di archivi 110 genera una slice riparata before comprende i dati utente della prima slice montata senza almeno un file. Questo processo di generazione puh comprendere la rimozione di almeno un file dalla prima slice montata 202. In alcuni casi, dove vengono trovati molteplici blocchi modificati nella slice 202 relativi alla slice 204, il processo di generazione comporta seconda la generazione di una copice della 204 , il trasferimento, alla copia della seconda slice, di tutti i file corrispondenti alla pluralitä di blocchi modificati e non contenenti nessun file infetto (qui la copia della seconda slice e la slice riparata).
    In alcuni esempi, lo Scanner di archivi 110 pud scansionare arbitrariamente una terza slice 206 della pluralitä di slice dell'archivio di backup alla ricerca di virus e software dannosi. La terza slice 206 puö essere un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice (cioe, t-N). In risposta alla rilevazione di un file infettonella terza slice 206, lo Scanner di archivi 110 puö contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati. In questo particolare esempio, sia la prima slice 202 ehe la seconda slice 204 vengono incluse nel sottoinsieme.
    In alcuni esempi, lo Scanner di archivi 110 puö identificare un blocco della terza slice 206 corrispondente al file infetto. Lo Scanner di archivi 110 puö montare la seconda slice 204 e la prima slice 202 sul disco 120. Lo Scanner di archivi 110 puö tracciare il blocco e determinare se il file infetto esiste su una qualsiasi tra la seconda slice e la prima slice. Ad esempio, il file infetto puö esistere sulla seconda slice 204, ma l'utente puö aver rimosso manualmente il file infetto dalla prima slice 202. Poiche il file infetto non esiste sulla prima slice 202, solo la terza slice 206 e la seconda slice 204 devono essere riparate. Questo garantirä all'archivio di backup and series di slice integre da cui l'utente poträ eseguire II backup.
    In alcuni esempi, se l'archivio contiene slice infette, lo Scanner di archivi 110 puö scoprire queste slice per determinare il momento in cui si e verificata l'infezione (in base al tempo di creazione delle slice) e la fonte dell 'Infezione o il malware attraverso la scansione delle slice.
    La Fig. 3 e a diagram of the flow before mostra un metodo 300 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    II metodo inizia a 302 e continua a 304.
    A 304, I componenti dello Scanner di archivi 110 scansionano gli archivi di backup ispezionando le slice di archivio. I componenti dello Scanner di archivi montano una slice piü recente di un archivio di backup su un disco, montando ad esempio un disco virtuale. In alcuni esempi, a disco virtuale puö essere montato su un server before esegue lo scanner di archivi 110, also se la presente esposizione non si limita a tale configurazione.
    A 306, l'archivio API 114 rileva tutti i blocchi modificati nelle slice piu recenti a partire dalla creazione della slice piu recente. In un esempio, l'API 114 ispeziona i blocchi sottostanti del disco virtuale su cui e montata la slice al fine di determinare i blocchi modificati. In altri esempi, i blocchi modificati sono rilevati confrontando i blocchi della slice piü recente con i blocchi delle slice create in precedenza per i backup precedenti di un dispositivo informatico. I blocchi before differiscono da una slice all'altra comprendono l'insieme di blocchi modificati.
    A 308, lo scanner di archivi 110 determines the corrispondenza di file in one o piü slice con i blocchi di dati sul disco montato. In alcuni esempi, lo Scanner di archivi 110 stabilisce o legge la mappa dei blocchi della specifica slice di backup montata, in cui la mappa dei blocchi indica quali blocchi corrispondono a quali file.
    A 310, lo scanner di archivi 110 determina sul file system del disco i file before so stati modificati identificando i blocchi di dati modificati. Poiche i blocchi di dati modificati sono stati identificati, il blocco puö essere utilizzato per identificare quali file corrispondono ai blocchi di dati modificati.
    A 312, lo scanner di archivi 110 scansiona i file del file system before there are stati modificati dal completamento di una precedente slice di backup alla ricerca di virus e software then.
    A 314, lo scanner di archivi 110 puö rimuovere file infetti e / o theneggiati e i malware dal disco virtuale. II disco virtuale puö quindi essere salvato come la slice piü recente e reinserito negli archivi di backup 108 nell'archivio in cloud 130 o in un disco locale.
    II metodo termina a 320.
    La Fig. 4 e a diagram of the flow before mostra and altro metodo 400 di scansione di archivi di backup mediante l'ispezione di slice di archivio.
    II metodo inizia a 402 e continua a 404.
    A 404, Io Scanner di archivi 110 scansiona l'immagine di backup montata sul disco virtuale nel metodo 300. In un esempio, l'immagine di backup o l'immagine di archivio, come puö essere indicata, puö essere montata come disco virtuale o, in altri esempi, la slice puö essere ripristinata su un disco fisico.
    A 406, i file infetti sono identificati e contrassegnati. In alcuni esempi, i file sono identificati sulla base dei blocchi modificati identificati nel metodo 300 utilizzando una mappa dei blocchi o un altro metodo. La mappa dei blocchi mostra una corrispondenza tra i blocchi e i file sull'immagine montata. Cosl, quando i blocchi modificati vengono identificati, Io Scanner di archivi 310 puö identificare i file modificati.
    A 408, qualunque malware presente sull'immagine di backup montata viene identificato eseguendo and scansione alla ricerca di virus e malware sui file presenti sul disco virtuale.
    A 410, i file infetti ei malware sono rimossi dal file system del disco (ad es. Un disco virtuale) dallo scanner di archivi 110. In alcuni esempi, i file infetti e / oi malware vengono messi in quarantena, sul disco virtuale o altrove. Si noti ehe Io spostamento dei file infetti in quarantena sul disco virtuale richiede la creazione della slice riparata ehe comprende la quarantena.
    A 412 viene creata una nuova slice dallo scanner di archivi 110, escludendo i file infetti e il malware mediante l'esportazione del disco virtuale come nuova slice. La nuova slice viene memorizzata su un nuovo disco virtuale o in altra sede come il disco virtuale 122, oppure in un archivio in cloud 130 come mostra la Fig. 2 (ad es. Ultima slice 202).
    A 414, Io Scanner di archivi aggiunge la slice appena creata e riparata sopra la slice piu recente nell'archivio di backup (ad esempio, l'archivio 108). In altri esempi, la slice appena creata puö sostituire la slice piü recente o la slice infetta.
    II metodo termina a 420.
    La Fig. 5 e one scheme a blocchi before mostra un sistema informatico 20 su cui aspetti dei sistemi e dei metodi di scansione degli archivi di backup mediante l'ispezione di slice di archivio possono essere implementati secondo un aspetto copies. Si noti before il sistema informatico 20 puö corrispondere a qualunque componente del sistema 100 descritto in precedenza. II sistema informatico 20 puö essere sotto forma di piü dispositivi informatici, o sotto forma di un singolo dispositivo informatico, ad esempio un computer da tavolo, un notebook, un laptop, un dispositivo informatico mobile, uno smartphone, un fablet, un server, un Computer centrale, un dispositivo integrato e altre forme di dispositivi informatici.
    Come mostrato, il sistema informatico 20 comprende un'unitä di elaborazione centrale (CPU) 21, una memoria di sistema 22 e un bus di sistema 23 before collega i vari componenti del sistema, inclusa la memoria associata all'unitä di elaborazione centrale 21. II bus di sistema 23 puö comprendere una memoria del bus o un Controller di memoria del bus, un bus periferico e un bus locale in grado di interagire con qualsiasi altra architettura di bus. Esempi di bus possono includere PCI, ISA, PCI-Express, HyperTransport ™, InfiniBand ™, Serial ATA, l2C and other interconnections adeguate. L'unitädi elaborazione centrale 21 (detta anche processore) puö comprendere un singolo processore o una series di processori con uno o piü core. II processore 21 puö eseguire uno o piü codici informatici eseguibili before implementano le tecniche della presente esposizione. La memoria di sistema 22 puö essere qualunque memoria per la memorizzazione dei dati qui utilizzati e / o programmi informatici eseguibili dal processore 21. La memoria di sistema 22 puö includere una memoria volatile come una memoria ad accesso casuale (RAM) 25 e una memoria non volatile come una memoria di sola lettura (ROM) 24, una memoria flash, ecc. o una combinazione di queste. II sistema di base di input / output (BIOS) 26 puö memorizzare le procedure di base per il trasferimento di informazioni tra elementi del sistema informatico 20, come source al momento del caricamento del sistema operative con l'uso della ROM 24.
    II sistema informatico 20 puö comprendere uno o piü dispositivi di archiviazione come uno o piü dispositivi di archiviazione rimovibili 27, uno o piü dispositivi di archiviazione non rimovibili 28, o one combinazione di questi. Uno o piü dispositivi di archiviazione rimovibili 27 e dispositivi di archiviazione non rimovibili 28 sono collegati al bus di sistema 23 tramite un'interfaccia di archiviazione 32. In un aspetto, i dispositivi di archiviazione ei corrispondenti supporti di archiviazione possible information on the information la memorizzazione di istruzioni, strutture di dati, moduli di programma e altri dati del sistema informatico 20. La memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 ei dispositivi di archiviazione non rimovibili 28 possono utilizare una varietä di supporti di archiviazione. Esempi di supporti di archiviazione informatici includono la memoria a bordo macchina come cache, SRAM, DRAM, RAM a zero condensatori, RAM a doppio transistor, eDRAM, EDO RAM, DDR RAM, EEPROM, NRAM, RRAM, SONOS, PRAM; memoria flash o altre tecnologie di memoria come nelle unitä a stato solido (SSD) o unitä flash; cassette magnetiche, nastri magnetici e memorizzazione su dischi magnetici come, ad esempio, in unitä disco rigido o floppy disk; memorizzazione ottica come, ad esempio, in compact disk (CD-ROM) o dischi digitali versatili (DVD); e qualsiasi altro supporto ehe puöessere utilizzato per memorizzare i dati desiderati e ehe possa essere accessibile dal sistema informatico 20.
    The memoria di sistema 22, i dispositivi di archiviazione rimovibili 27 ei dispositivi di archiviazione non rimovibili 28 del sistema informatico 20 possono essere utilizzati per memorizzare un sistema operativo 35, applicazioni aggiuntive di programmi 37, altri moduli di programma 38 e dates programma 39. II sistema informatico 20 puö includere un'interfaccia periferica 46 per la comunicazione dei provenienti dai dispositivi di input 40, come keyboard, mouse, stilo, controller di gioco, dispositivo a comandi vocali, dispositivo a comandi tattili o altri dispositivi perifer , come stampante o Scanner tramite una o piü porte I / O, come una porta seriale, una porta parallela, un bus seriale universale (USB) o un'altra interfaccia periferica. Un dispositivo di visualizzazione 47, come uno o piü monitor, proiettori o display integrato, possono anche
    essere collegati al bus di sistema 23 attraverso un'interfaccia di uscita 48, come un adattatore video. Oltre ai dispositivi di visualizzazione 47, il sistema informatico 20 puö essere dotato di altri dispositivi periferici di uscita (non mostrati), come altoparlanti e altri dispositivi audiovisivi.
    II sistema informatico 20 pub funzionare in un ambiente di rete utilizzando una connessione di rete a uno o piü computer remoti 49. II computer remoto (oi computer) 49 pub essere costituito da postazioni di lavoro locali o server before comprendono la maggior parte o tutti gli elementi menzionati sopra nella descrizione della natura di un sistema informatico 20. Nella rete informatica possono essere presenti anche altri dispositivi, quali, ma non solo, router, stazioni di rete, dispositivi peer o altri nodi di rete. II sistema informatico 20 pub comprendere una o piü interfacce di rete 51 o adattatori di rete per comunicare con i Computer remoti 49 attraverso una o piü reti, quali una rete informatica locale (LAN) 50, una rete informatica ad ampio raggio (WAN), una rete intranet e internet. Esempi di interfaccia di rete 51 possono includere un'interfaccia Ethernet, un'interfaccia Frame Relay, un'interfaccia SONET e interfacce wireless.
    Gli aspetti della presente esposizione possono essere un sistema, un metodo e / o un prodotto di un programma informatico. II prodotto del programma informatico pub includere un supporto di archiviazione informatico (o supporti) con istruzioni per programmi informatici per far sihe un processore esegua aspetti della presente esposizione.
    II supporto di archiviazione informatico pub essere un dispositivo tangibile in grado di conservare e memorizzare il codice del programma sotto forma di istruzioni o strutture di dati accessibili da un processore di un dispositivo informatico, come il sistema informatico 20. II supporto di archiviazione informatico pub essere un dispositivo di archiviazione elettronica, un dispositivo di archiviazione magnetica, un dispositivo di archiviazione ottica, un dispositivo di archiviazione elettromagnetica, un dispositivo di archiviazione a semiconduttori o qualunque combinazione appropriata di questi. A titolo di esempio, tale supporto di archiviazione informatico pub comprendere una memoria ad accesso casuale (RAM), una memoria a sola lettura (ROM), una EEPROM, una memoria a sola lettura di un compact disc portatile (CD-ROM), un discodigitale versatile (DVD), una memoria flash, un disco rigido, un dischetto portatile, un memory stick, un floppy disk, o anche un dispositivo codificato meccanicamente come schede perforate o strutture in rilievo in un solco con istruzioni registrate. Come utilizzato nel presente, un supporto di archiviazione informatico non e da intendersi come segnali transitori di per se, come onde radio o altre onde elettromagnetiche before si propagano liberamente, onde elettromagnetiche before si propagano attraverso una guida d'onda o un mezzo di trasmissione, o segnali elettrici trasmessi attraverso un filo.
    Le istruzioni di programmi informatici descritte nel presente documento possono essere scaricate sui rispettivi dispositivi informatici da un supporto di archiviazione informatico o su un computer esterno o un dispositivo di archiviazione esterno attraverso una rete, ad esempio Internet, una rete locale ad ampio raggio e / o una rete wireless. La rete pub comprendere cavi di trasmissione in rame, fiber ottiche di trasmissione, trasmissione senza fili, router, firewall, switch, computer gateway e / o Server di bordo. Un'interfaccia di rete di ogni dispositivo informatico riceve dalla rete istruzioni di programmi informatici e inoltra le istruzioni di programmi informatici per l'archiviazione in un supporto di archiviazione informatico aH'interno del rispettivo dispositivo informatico.
    The istruzioni di programmi informatici per l'esecuzione delle operazioni della presente esposizione possono essere istruzioni di assemblaggio, insiemi di istruzioni (ISA), istruzioni per macchine, istruzioni dipendenti dalla impendenti, firmware is data diocodioni, dellozcodioni, oppure codici sorgente o codici oggetto scritti in qualunque combinazione di uno o piü linguaggi di programmazione, compreso un linguaggio di programmazione orientato agli oggetti e linguaggi di programmazione procedurali convenzionali. Le istruzioni di programmi informatici possono essere eseguite interamente sul Computer dell'utente, in parte sul Computer dell'utente, come pacchetto Software indipendente, in parte sul Computer dell'utente e in parte su un Computer remoto o interamente sul Computer o Server remoto. In quest'ultimo caso, il Computer remoto pub essere collegato al Computer dell'utente attraverso qualunque tipo di rete, compresa una rete LAN o WAN, oppure la connessione pub essere effettuata a un Computer esterno (ad esempio, attraverso Internet). In alcuni aspetti, i circuiti elettronici ehe comprendono, ad esempio, circuiti a logica programmabile, gate array programmabili sul campo (FPGA), o array a logica programmabile (PLA) possono eseguire le istruzioni di programmi informatici utilizzando le informazioni di stato delle istruzioni di programmi informatici per personalizzare i circuiti elettronici, al fine di eseguire aspetti della presente esposizione.
    Per vari aspetti, i sistemi e i metodi descritti nella presente esposizione possono essere trattati in termini di moduli. II dates "modulo" qui utilizzato si riferisce a un dispositivo reale, componente o disposizione di componenti, realizzato utilizzando hardware, come ad esempio tramite un circuito integrato specifico di un'applicazione (ASIC) o FPGA, o come una combinazione di hardware e software , come ad esempio tramite un sistema a microprocessore e un insieme di istruzioni per implementare le funzionalitä del modulo, before (mentre viene eseguito) trasforma il sistema a microprocessore in un dispositivo speciale alcune funzioni facilitate solo dall'hardware e altre funzioni facilitate da una combinazione di hardware e software. In alcune implementazioni, almeno una parte e, in alcuni casi tutte, di un modulo pub essere eseguita sul processore di un sistema informatico (come quello descritto piü in dettaglio nella precedente Fig. 5) .Di conseguenza, ogni modulo pub essere realizzato in una varietä di configurazioni adatte e no n deve essere limitato ad una particolare implementazione qui esemplificata.
    Per motivi di chiarezza, non tutte le caratteristiche di routine degli aspetti sono qui riportate. Sarebbe auspicabile ehe nello sviluppo di qualunque implementazione effettiva della presente esposizione venissero prese numerose decisioni specifiche dell'implementazione al fine di raggiungere gli obiettivi specifici dello sviluppatore e questi obiettivi specifici
    权利要求:
    Claims (18)
    [1]
    1. Un metodo per ispezionare slice di archivio alla ricerca di malware, il metodo comprendente:
    montaggio su un disco di una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei dati utente in un primo tempo;
    rilevazione di un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo.
    identificazione, su un file System del disco, di almeno un file nella prima slice montata corrispondente al blocco modificato rilevato;
    scansione di almeno un file alla ricerca di virus e / o software dannosi; e
    in risposta alla rilevazione di almeno un file infettato da un virus e / o Software dannoso, generazione di una slice riparata before comprende I dati utente della prima slice montata senza almeno un file.
    [2]
    2. II metodo secondo la rivendicazione 1, in cui la generazione della slice riparata comprende la rimozione di almeno un file dalla prima slice montata.
    [3]
    3. II metodo secondo una qualunque delle rivendicazioni da 1 a 2, in cui esiste una pluralitä di blocchi modificati relative! alla seconda slice per la prima slice montata e in cui la generazione della slice riparata include:
    generazione di una copia della seconda slice; e trasferimento, sulla copia della seconda slice, di tutti i file corrispondenti alla pluralitä di blocchi modificati e non includenti almeno un file, in cui la copia della seconda slice e la slice riparata.
    [4]
    4. II metodo secondo una delle rivendicazioni da 1 a 3, in cui la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
    [5]
    5. II metodo secondo una qualunque delle rivendicazioni da 1 a 4, comprendente anche l'aggiunta della nuova slice riparata all'archivio di backup.
    [6]
    6. II metodo secondo una qualunque delle rivendicazioni da 1 a 5, comprendente inoltre:
    scansione di una terza slice della pluralitä di slice nell'archivio di backup alla ricerca di virus e Software dannosi, in cui la terza slice e un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice;
    in risposta alla rilevazione di un file infetto nella terza slice, contrassegno di un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui II sottoinsieme comprende la seconda slice e la prima slice.
    [7]
    7.II metodo secondo la rivendicazione 6, comprendente inoltre:
    identificazione di un blocco della terza slice corrispondente al file infetto;
    montaggio della seconda slice e della prima slice sul disco;
    tracciamento del blocco e determinazione se II file infetto esiste su una qualunque tra la seconda slice e la prima slice; e
    rimozione del file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice corrette.
    [8]
    8. II metodo secondo una qualunque delle rivendicazioni da 1 a 7, in cui la prima slice e montata come disco virtuale.
    [9]
    9. II metodo secondo una qualunque delle rivendicazioni da 1 a 8, in cui una corrispondenza tra almeno un file e il blocco modificato viene determinata utilizzando una mappa dei blocchi dell'archivio di backup.
    [10]
    10. Un sistema per ispezionare slice di archivio alla ricerca di malware, II sistema comprendente:
    un processore hardware configurato per:
    montare su un disco una prima slice di una pluralitä di slice in un archivio di backup, in cui la prima slice e un'immagine dei dati utente in un primo tempo;
    rilevare un blocco modificato della prima slice montata confrontando blocchi della prima slice montata con blocchi di una seconda slice della pluralitä di slice, in cui la seconda slice e un'immagine dei dati utente acquisiti prima del primo tempo;
    identificare, su un file System del disco, almeno un file nella prima slice montata corrispondente al blocco modificato rilevato;
    scansionare almeno un file alla ricerca di virus e / o software dannosi; e
    in risposta alla rilevazione di almeno un file infettato da un virus e / o software dannoso, generare una slice riparata comprendente i dati utente della prima slice montata senza almeno un file.
    [11]
    11. II sistema secondo la rivendicazione 10, in cui II processore hardware e configurato per generare la slice riparata rimuovendo almeno un file dalla prima slice montata.
    [12]
    12.II sistema secondo una qualunque delle rivendicazioni da 10 a 11, in cui esiste una pluralitä di blocchi modificati relativi alla seconda slice per la prima slice montata e in cui il processore hardware e configurato per generare la slice riparata: generando una copia della seconda slice; e
    trasferendo, sulla copia della seconda slice, tutti I file corrispondenti alla pluralitä di blocchi modificati e non includenti almeno un file, in cui la copia della seconda slice e la slice riparata.
    [13]
    13. II sistema secondo una qualunque delle rivendicazioni da 10 a 12, in cui la seconda slice e montata sul disco prima o contemporaneamente alla prima slice montata.
    [14]
    14. II sistema secondo una qualunque delle rivendicazioni da 10 a 13, in cui II processore hardware e ulteriormente configurato per aggiungere la nuova slice riparata all'archivio di backup.
    [15]
    15.II sistema secondo una qualunque delle rivendicazioni da 10 a 14, in cui II processore hardware e ulteriormente configurato per:
    scansionare una terza slice della pluralitä di slice neirarchivio di backup alla ricerca di virus e Software dannosi, in cui la terza slice e un'immagine dei dati utente acquisiti prima del tempo di creazione della seconda slice;
    in risposta alla rilevazione di un file infetto nella terza slice, contrassegnare un sottoinsieme della pluralitä di slice acquisite dopo un tempo di creazione della terza slice come non idoneo al recupero dei dati, in cui il sottoinsieme comprende la seconda slice e la prima slice.
    [16]
    16. II sistema secondo la rivendicazione 15, in cui il processore Hardware e ulteriormente configurato per:
    identificare un blocco della terza slice corrispondente al file infetto;
    montare la seconda slice e la prima slice sul disco;
    tracciare il blocco e determinare se II file infetto esiste su una qualunque tra la seconda slice e la prima slice; e rimuovere il file infetto da una qualunque tra la seconda slice e la prima slice generando le rispettive slice corrette.
    [17]
    17. II sistema secondo una qualunque delle rivendicazioni da 10 a 16, in cui la prima slide e montata come un disco virtuale.
    [18]
    18. II sistema secondo una qualunque delle rivendicazioni da 10 a 17, in cui una corrispondenza tra almeno un file e II blocco modificato viene determinata dal processore Hardware utilizzando una mappa dei blocchi dell'archivio di backup.
    类似技术:
    公开号 | 公开日 | 专利标题
    Uygur et al.2003|The correlation between septal deviation and concha bullosa
    US10372520B2|2019-08-06|Graphical user interface for visualizing a plurality of issues with an infrastructure
    US9645815B2|2017-05-09|Dynamically recommending changes to an association between an operating system image and an update group
    US9250951B2|2016-02-02|Techniques for attesting data processing systems
    Aarsland et al.2011|Nonlinear decline of mini‐mental state examination in Parkinson's disease
    Sparre et al.2012|A search for thermal X-ray signatures in gamma-ray bursts–II. The Swift sample
    US8607193B2|2013-12-10|Tracking stale comments in source code listings
    US20130117725A1|2013-05-09|Using traceability links strength for software development integrity monitoring
    US10262043B2|2019-04-16|Evaluating quality of annotation
    BR102013021747A2|2016-02-16|rotary wing aircraft and aircraft part storage system
    JP6438084B2|2018-12-12|Method and system for determining a safety compliance level of a software product
    CH716436A2|2021-01-29|System and method of checking parts of the archive for malware.
    EP3353890B1|2021-07-28|System and method for testing photosensitive device degradation
    Rosenberg2019|A new age-period-cohort model for cancer surveillance research
    US8612793B2|2013-12-17|Dynamic power and performance calibration of data processing systems
    US11132193B1|2021-09-28|Automatically updating documentation
    US9195608B2|2015-11-24|Stored data analysis
    US10102280B2|2018-10-16|Determination of expertness level for a target keyword
    CH717425A2|2021-11-15|System and method for the selective restoration of a computer system to an operational state.
    Whittemore Jr et al.2018|Otolaryngology service usage in children with cleft palate
    US20200364134A1|2020-11-19|Selecting test-templates using template-aware coverage data
    CN104123275B|2018-06-08|translation verification
    US10896037B2|2021-01-19|Method and apparatus for open source analytics for information handling systems
    Collins et al.2021|COVID-19 risk and mortality in hospitals: this is not a time to let our guard down
    US9557381B1|2017-01-31|Physically aware insertion of diagnostic circuit elements
    同族专利:
    公开号 | 公开日
    US20210019404A1|2021-01-21|
    JP2021018799A|2021-02-15|
    EP3767509A1|2021-01-20|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US20040158730A1|2003-02-11|2004-08-12|International Business Machines Corporation|Running anti-virus software on a network attached storage device|
    US7962956B1|2006-11-08|2011-06-14|Trend Micro Incorporated|Evaluation of incremental backup copies for presence of malicious codes in computer systems|
    US9268689B1|2012-03-26|2016-02-23|Symantec Corporation|Securing virtual machines with optimized anti-virus scan|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    US201962874548P| true| 2019-07-16|2019-07-16|
    US16/798,709|US20210019404A1|2019-07-16|2020-02-24|System and method of inspecting archive slices for malware|
    [返回顶部]