本发明专利技术涉及用恶意软件检测来扩充系统还原。反恶意软件程序监视系统在系统还原之后的行为来确定恶意代码的隐藏感染在该系统还原之后仍旧存在的可能性。反恶意软件程序通过监视可能表示感染的可能性的条件来观察系统的动态行为,由此使发起反恶意软件检测的需要成为必要。反恶意软件程序可观察还原历史、系统设置、恶意软件感染历史来确定在系统还原之后存在隐藏感染的可能性。
【技术实现步骤摘要】
本专利技术涉及用恶意软件检测来扩充系统还原。
技术介绍
计算机反恶意软件程序的目标是检测、防止并移除恶意代码以免在计算设备上执行并带来不想要的后果。恶意软件可采取计算机病毒、计算机蠕虫、间谍软件、广告软件、特洛伊木马、根套件(rootkit)等的形式。恶意软件或恶意代码可能添加、删除、或篡改程序片段、文件、存储器位置或引导扇区。反恶意软件程序可被用来扫描存储设备以寻找可能已经被感染或破坏的文件和存储器位置。反恶意软件程序可在该反恶意软件程序被安装到计算机系统上时扫描文件或只要打开文件就扫描该文件。反恶意软件程序还可被调度来在定期调度的间隔扫描文件或存储器位置。当检测到恶意软件时,可以执行补救来修复文件的被破坏部分,以将被破坏的文件还原到干净状态或者从文件中移除被感染的部分。然而,补救措施可能不够,因为感染源可能在补救后仍存在。
技术实现思路
提供本
技术实现思路
以便以简化形式介绍将在以下具体实施方式中进一步描述的一些概念。本
技术实现思路
并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。在还原计算设备中的操作系统的系统还原之后执行反恶意软件检测以便确保系统的完整性免受可能驻留于用户文件中的隐藏感染。反恶意软件程序监视系统的动态行为以发现表示感染可能性的条件,由此使发起恶意软件检测的需要成为必要。指标(indicator)利用在系统操作期间展示的、更可能预测感染的条件。这些条件可包括还原历史、系统的感染历史、对禁用的安全设置的检测等等。应用试探规则来确定当一条件出现时恶意软件检测是否被批准以及可能需要的检测等级。通过阅读下面的详细描述并参考相关联的附图,这些及其他特点和优点将变得显而易见。应该理解,前面的概括说明和下面的详细描述只是说明性的,不会对所要求保护的各方面形成限制。附图说明图1示出用恶意软件检测来扩充系统还原的示例性系统。图2是示出第一示例性方法的流程图。图3是示出第二示例性方法的流程图。图4是示出第三示例性方法的流程图。图5是示出第四示例性方法的流程图。图6是示出第五示例性方法的流程图。图7是示出第六示例性方法的流程图。图8是示出操作环境的框图。图9是示出示例性计算设备的框图。具体实施例方式各实施例涉及一种用反恶意软件检测来扩充系统还原以便确保系统完整性的技术。系统还原经常由用户或系统管理员在广泛的恶意软件感染极度可能时执行并且将操作系统还原到先前状态。可从安装介质或从存储设备的分区中还原操作系统。然而,用户文件(其可能没有被还原)可能被恶意软件感染并且呈现重新感染操作系统文件的风险。反恶意软件程序可观察系统的动态行为以发现表示感染可能性的条件,由此使发起恶意软件检测的需要成为必要。指标利用在系统操作期间展示的条件以及更可能预测感染的试探规则。注意力现转向对这种系统的更详细的描述。图1示出示例性系统100的框图,该示例性系统可包括通过网络106通信地I禹合的计算设备102和服务器104。虽然图1中示出的系统100具有按照某种拓扑结构的有限数量的元素,但可以理解,系统100可以视给定实现的需要而包括按照替代拓扑结构的更多或更少元素。计算设备102和服务器104可以是能够执行可编程指令的任何类型的电子设备,这些设备为诸如但不限于移动设备、个人数字助理、移动计算设备、智能电话、蜂窝电话、手持式计算机、服务器、服务器阵列或服务器场、web服务器、网络服务器、因特网服务器、工作站、小型机、大型机、巨型机、网络设备、web设备、分布式计算系统、多处理器系统或其组合。网络106可以是能够利用任何通信协议或按照任何配置来促进计算设备102与服务器104之间的通信的任何类型的通信链接,诸如但不限于有线网络、无线网络或其组合。应当理解,所示的网络连接是示例性的,并且也可使用在计算设备102和服务器104之间建立通信链接的其他手段。计算设备102可包括反恶意软件程序108,该反恶意软件程序监视、检测、并尝试防止恶意代码感染计算设备102上的资源。资源可以是文件、程序、注册表、操作系统配置和设置等等。恶意软件或恶意代码可能尝试阻止反恶意软件程序以添加、删除或篡改资源和/或存储区的片段并导致未授权且不想要的后果。恶意软件可以是计算机病毒、计算机蠕虫、间谍软件、广告软件、特洛伊木马、根套件等。反恶意软件程序108还可通过用干净版本来还原被感染的资源来补救感染、从资源中移除感染、或隔离该资源。反恶意软件程序108可以是操作系统、安全应用或其他软件应用的一部分。此外,反恶意软件程序108可以是独立的可执行程序,该程序可驻留于计算设备中或通过web浏览器从远程服务器执行。各实施例不限于这种方式。反恶意软件程序108可以是计算机程序指令序列,该序列在被处理器执行时致使该处理器根据规定的任务来执行方法和/或操作。反恶意软件程序108可以被实现为程序代码、程序、过程、模块、代码段、程序栈、中间件、固件、方法、例程等。可执行的计算机程序指令可根据用于指示计算机执行特定功能的预定义的计算机语言、方式或句法来实现。这些指令可以使用任何合适的高级、低级、面向对象、可视、编译、和/或解释编程语言来实现。计算设备102可包括操作系统110,该操作系统管理并控制系统资源,诸如连接到计算设备102的硬件设备以及在其中执行的软件应用。操作系统110可存储系统设置112,该系统设置被用来控制操作系统110所提供的某些特性。系统设置112可控制性能选项(例如,处理器调度、虚拟存储器分页文件大小、存储器使用等)、显示选项(例如,壁纸的类型、图标的位置、窗口的显示、色彩、声音等)、网络设置(例如,浏览器选项、书签、主页URL等)、电子邮件选项(例如,邮件规则、邮箱中的视图、邮件服务器等)等等。系统设置112可包括保护计算机系统免于不想要的动作和后果的安全设置。例如,安全设置可包括操作系统更新设置、防火墙设置、浏览器设置、恶意软件词典更新设置、用户访问控制设置等等。操作系统更新设置在被启用时允许计算系统102接收对操作系统的更新,诸如安全更新、漏洞修补、隐错(bug)修补等。防火墙设置使防火墙能够监视网络传输以便阻止未授权访问。浏览器设置允许浏览器分析所下载的网页以发现可疑特征、检查公知的恶意软件网站、检查下载的文件以发现恶意软件等等。恶意软件词典设置允许计算设备102控制对恶意软件词典做出更新的方式。用户访问控制设置阻止对关键设置的未授权访问,所述关键设置在被修改时影响计算设备的操作。操作系统110还可包括感染历史114,该感染历史跟踪计算设备102内的先前的恶意软件感染。感染历史114可指示检测到感染的日期和时间、感染的物理位置、感染的类型坐坐寸寸ο还原程序116可以是将操作系统110或文件还原到先前未受感染的或干净的状态的软件应用。还原程序116可从安装介质(例如CD、DVD、闪存驱动器等)、硬盘驱动器的分区、或位于远程的存储设备还原操作系统文件。还原程序116可将资源或存储区还原到已知没有感染的还原点。还原点可以是在重要事件发生时生成的,或者是根据时间表定期生成的。例如,还原程序116可监视资源以发现修改并在修改被做出之前存储该资源或存储区的副本。还原程序116还可被配置成按照需要记录或存储特定存储区和/或资源。在出现本文档来自技高网...
【技术保护点】
一种计算机实现的方法,包括:在计算设备中执行至少一次系统还原;分析多个条件来确定是否需要恶意软件检测;在确定需要恶意软件检测后确定恶意软件检测的等级;以及在所确定的等级执行所述恶意软件检测。
【技术特征摘要】
2011.12.22 US 13/334,0601.一种计算机实现的方法,包括 在计算设备中执行至少一次系统还原; 分析多个条件来确定是否需要恶意软件检测; 在确定需要恶意软件检测后确定恶意软件检测的等级;以及 在所确定的等级执行所述恶意软件检测。2.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括 如果以前执行的还原操作的次数超出阈值,则设置恶意软件检测的深度扫描等级。3.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括 当关键系统设置未被启用时,设置恶意软件检测的深度扫描等级。4.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括 当以前的感染的数量超出阈值时,设置恶意软件检测的深度扫描等级。5.如权利要求1所述的计算机实现的方法,其特征在于,所述确定步骤还包括 联系应用商店以获得与以前获得的、被下载到所述计算设备的应用有关的数据...
【专利技术属性】
技术研发人员:V·卡珀,J·乔伊斯,G·尼科尔斯,
申请(专利权)人:微软公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。