【技术实现步骤摘要】
本专利技术涉及计算设备,尤其涉及恢复和还原受恶意软件感染的计算设备。
技术介绍
现有的反病毒技术被设计成对由诸如病毒或蠕虫等恶意软件攻击而损坏或破坏的文件和数据进行隔离或杀毒,此处一般将恶意软件攻击称为恶意软件。然而,反转损坏需要关于在攻击中使用的恶意软件的知识,诸如由特定病毒造成的损坏的类型和反转损坏的指令。获取这样的知识是一个劳动密集型过程,因为反病毒研究者必须对特定的病毒进行反向工程,并开发反转损坏的指令,即,必须开发标识并移除恶意软件的签名。因此,在获取修复受攻击影响的文件和数据所必需的签名时总是存在延迟。此外,所得的修复可能不能涵盖恶意软件的变种,这需要获取更新的签名。这是尤其是成问题的,因为受到攻击的设备通常是未安装反病毒软件,或使得他们的反病毒预订失效从而没有更新签名的消费者的个人计算机。恶意软件有时在受攻击的设备中开启“后门”,其它恶意软件可以恶意利用该“后门”来进一步危及该设备的安全。因为不总是可能知道哪种其它恶意软件恶意利用后门并安装其自身,设备可能处于感染的不定状态中,且使用基于签名的移除可能无法容易地修复损坏。恶意软件也可以将设备留在其...
【技术保护点】
一种用于自恢复性能设备的方法,所述方法包括:揭露指示在第一时间点上设备中感染的存在的证据;将所述设备的状态还原至更早的时间点来移除所述感染,其中,所述更早的时间点上的状态是足够可信的。
【技术特征摘要】
US 2004-12-21 11/018,4121.一种用于自恢复性能设备的方法,所述方法包括揭露指示在第一时间点上设备中感染的存在的证据;将所述设备的状态还原至更早的时间点来移除所述感染,其中,所述更早的时间点上的状态是足够可信的。2.如权利要求1所述的方法,其特征在于,揭露指示感染的存在的证据包括揭露指示感染可能发生的时刻的证据。3.如权利要求1所述的方法,其特征在于,还包括检测临近所述第一时间点的设备状态中的改变,其中,揭露指示感染的存在的证据是基于所检测到的改变的。4.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括从为由所述设备使用的文件系统而维护的变化日志中剖析信息。5.如权利要求4所述的方法,其特征在于,所述变化日志是Windows NT文件系统变化日志。6.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括确定所述设备上归档的和活动的数据之间的差别。7.如权利要求3所述的方法,其特征在于,检测临近所述第一时间点的设备状态中的改变包括检查保存在所述设备上的磁盘状态。8.如权利要求7所述的方法,其特征在于,还包括确定当在更早的时间点保存在所述设备上的磁盘状态未感染时,在所述更早的时间点上的设备状态是足够可信的。9.如权利要求8所述的方法,其特征在于,确定在所述更早时间点上的设备状态足够可信包括基于可信度等级对在所述更早时间点保存在所述设备上的磁盘状态分级,当已保存磁盘状态未感染时所述可信度分级等级较高,而当已保存磁盘状态受感染时,所述可信度分级等级较低。10.如权利要求9所述的方法,其特征在于,所述磁盘状...
【专利技术属性】
技术研发人员:AM马里内斯库,C卡特施文德勒,ME赛费尔德,M克莱默,P卢贝,SA菲尔德,
申请(专利权)人:微软公司,
类型:发明
国别省市:US[]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。