用于数据存储设备上恶意软件的检测和处理的系统和方法

摘要

本发明公开了用于数据存储设备上恶意软件的检测和修复的系统和方法。系统包括控制器、用于连接外部数据存储设备的通信接口、以及用于存储反病毒软件的存储器。反病毒软件配置为扫描包含在数据存储设备中的数据、实施对在数据存储设备上所发现的恶意文件或程序的修复或移除、识别数据存储设备上的可疑文件或程序以及无法修复或者从数据存储设备移除的恶意文件或程序、向反病毒软件提供商发送关于这些文件或程序的信息、从反病毒软件提供商接收用于反病毒软件的更新、以及使用经更新的反病毒软件重新扫描可疑文件或程序以及无法修复或移除的恶意文件或程序。

说明书

技术领域

本发明涉及计算机安全领域，并且特别涉及用于便携式数据存储设备 上恶意软件的检测和修复的系统和方法。

背景技术

很难想象没有计算机网络的现代企业办公室，不论其面积有多大。网 络在连接并访问共享网络资源和设备的个人计算机（PC）之间提供信息的 快速交换。然而，有必要管理和控制PC对企业网络的访问以及诸如闪存驱 动器和其它海量数据存储设备等外部数据存储设备对企业网络的访问。在 典型的企业环境中，每天都有数以百计的此类数据存储设备连接到企业PC 的实例被登记。并且，此类数据存储设备常常包含有害软件（例如，恶意 软件），其会对该设备所连接的PC造成重大损害。此外，恶意软件会通过 网络传播并对其它PC也造成损害。此类事件常常要求公司的IT人员花时 间识别恶意软件并将其从受感染的PC中移除。另外，此类感染会造成商业 机密的泄露乃至经济损失。

即使企业PC具有反病毒应用程序，也不能100%保护计算机免受来自 直接连接的数据存储设备的可能的恶意软件感染。例如，当企业PC的用户 已长时间没有更新反病毒软件的反病毒数据库，并且在用户不知道的情况 下，包含新类型的、可能无法被使用过时的反病毒数据库的反病毒应用程 序检测到的恶意软件的闪存驱动器被连接到PC时，此类情况可能出现。该 恶意软件可能传播到企业网络中的其它PC而造成重大损害或者信息的丢 失。还存在其中PC用户的疏忽或者缺乏经验可能造成恶意软件感染的很多 其他场景。

另外，对受到恶意软件感染的诸如闪存驱动器的数据存储设备的修复 可能造成不同的问题，包括对设备本身的损害。例如，当反病毒应用程序 在数据存储设备上检测到恶意软件并移除恶意软件的可执行部件时，反病 毒应用程序可能没有触及恶意软件的autorun.inf（自动运行）文件，该 autorun.inf文件典型地用于在windows OS（操作系统）下自动启动来自数 据存储设备的应用程序和程序。结果，当连接到PC时，该数据存储设备将 不再是可检测的。另外，举例来说，如果反病毒应用程序在数据存储设备 上检测到有害软件并试图修复或者移除所检测到的恶意软件的可执行部 件，并且此时，用户将该数据存储设备从PC拔出，那么数据存储设备的文 件系统可能被损害并且造成该设备上数据的全部丢失。这种情况可能会发 生，因为反病毒应用程序典型地并不向用户告知对来自闪存驱动器的恶意 软件的修复或移除。

因此，需要改进的系统和方法用于诸如闪存驱动器等等的便携式数据 存储设备上恶意软件的检测和修复。

发明内容

公开了用于数据存储设备上恶意软件的检测和修复的系统、方法和计 算机程序产品。在一个示范性实施例中，用于恶意软件的检测和修复的系 统包括控制器、用于连接外部数据存储设备的通信接口和用于存储反病毒 软件的存储器。反病毒软件配置为扫描包含在数据存储设备中的数据、实 施对在数据存储设备上所发现的恶意文件或程序的修复或移除、识别数据 存储设备上的可疑文件或程序以及通过反病毒软件不能修复或从数据存储 设备中移除的恶意文件或程序、向用户报告这些文件或程序、向反病毒软 件提供商发送关于这些文件或程序的信息、从反病毒软件提供商接收用于 反病毒软件的更新、以及使用所提供的反病毒更新来至少重新扫描可疑文 件或程序以及不能被修复或移除的恶意文件或程序。

以上对示范性实施例的简要概括用于提供对本发明的基本理解。此概 括并非本发明所有预期方面的宽泛概述，且并非意图确定所有实施例的重 要或关键要素，也并非意图描绘任何或全部实施例的范围。其唯一的目的 是以简化的形式呈现一个或多个实施例作为随后对于本发明更加详尽的描 述的前序。为了实现前述事项，一个或多个实施例包括了在权利要求中所 描述和具体指出的特征。

附图说明

附图并入并构成本说明书的一部分，示出了本发明的一个或多个示 范性实施例，且附图与详细描述一起用于解释实施例的原理和实现方案。

附图中：

图1示出了根据一个示范性实施例的、用于数据存储设备上恶意软件 的检测和修复的系统的示意图。

图2a和2b示出了根据一个示范性实施例的、用于数据存储设备上恶 意软件的检测和修复的系统的操作流程图。

图3示出了可用来实现本发明的用于恶意软件的检测和修复的系统的 计算机系统的一个示范性实施例。

具体实施方式

本文围绕用于便携式存储设备上恶意软件的检测和修复的系统和方法 来描述本发明的示范性实施例。本领域的普通技术人员将会意识到下面的 描述仅仅是例示性的且并非意图以任何形式进行限制。受益于本公开的本 领域技术人员将容易地获得其它实施例的启示。现在将详细地对如附图所 示的本发明的示范性实施例的实现方案进行参考。贯穿附图和下面的描述， 将尽可能使用相同的附图标记来指代相同或类似的项。

图1示出了用于数据存储设备上恶意软件的检测和修复的系统。系统 101包括诸如USB、Mini USB、eSATA或火线接口的连接模块103，用于 连接诸如闪存驱动器的外部数据存储设备102。应当注意的是，系统101 可以具有用于连接不同类型的数据存储设备的多个不同的连接模块103。连 接模块103连接到控制器105，该控制器105设计为在系统101的模块之间 传输数据。

系统101还包括通信模块106，该通信模块106促进同联网PC、远程 服务器或因特网上其它处理/通信设备的数据通信。通信模块106可以使用 诸如UMTS/CDMA(3G)、WIMAX/LTE(4G)、WiFi、HSPA和EDGE的 无线通信技术，也可以使用诸如USB、以太网、光纤、ASDN、xDSL及其 它的有线数据传输技术。

系统101还包括电源模块104，其在系统101的脱机操作期间长时间 提供电力而不需要再充电。电源模块104可以是原电池或者蓄电池，例如 锂离子。当系统101通过连接模块103连接到PC时，可以对电源模块104 进行充电。

系统101还包括反病毒引擎107，其配置为针对被诸如病毒、特洛伊 木马和蠕虫的恶意软件所感染的文件的存在而扫描诸如闪存驱动器的数据 存储设备102，实施对受感染文件的修复和/或对恶意软件的移除。反病毒 引擎107可以包括如下反病毒产品中的一个或多个，包括但不限于卡巴斯 基反病毒（Kaspersky Antivirus）、用于Windows工作站的卡巴斯基反病毒、 用于Linux工作站的卡巴斯基反病毒、McAfee反病毒、Norton反病毒或类 似的产品。

在一个示范性实施例中，反病毒引擎107可以若干独立软件模块的形 式实现，其每一个配置为实施特定任务。例如，一个模块可以实施签名验 证，而另一个可以实施启发式分析等等。根据一个示范性实施例，反病毒 引擎107配置为使用随机存取存储器，该随机存取存储器可以由控制器105 提供。

在一个示范性实施例中，反病毒引擎107连接到反病毒数据库110， 该反病毒数据库110包含用于反病毒扫描和修复所必要的信息。该信息包 括但不限于已知的干净的和恶意的程序的签名、启发式分析算法和其他类 型的信息。此外，反病毒引擎107可以将可疑的文件存储在反病毒数据库 110中用于随后使用通信模块106传输给反病毒软件开发者的服务器。

系统101还包括存储器模块108，其用于在由反病毒引擎107进行数 据存储设备102的反病毒扫描期间备份存储在数据存储设备102上的数据。 反病毒引擎107和反病毒数据库110还可以存储在存储器模块108中。存 储器模块108可以是，例如，NOR类型或NAND类型的闪存驱动器存储器。

系统101还包括用户界面模块109，其配置为允许用户发起系统101 的操作、向用户通知系统的操作状态、显示反病毒分析的结果并且一旦反 病毒分析完成则接收用户指令。在一个示范性实施例中，用户界面模块109 可以以发光二级管（LED）或带有图形用户界面（GUI）和触屏功能性的液 晶显示器（LCD）来实现。模块109还可以指示反病毒扫描的进度和该扫 描的结果，例如，诸如“闪存驱动器已被测试且不包含任何受感染的文件 和/或恶意软件”和“闪存驱动器已被测试且包含受感染的文件和/或恶意软 件”的事件。模块109还可以包括扬声器并可使用音频信号，该音频信号 允许用户将这类事件评定为反病毒扫描的结束或者存在无法修复或无法从 数据存储设备102移除的可疑文件、受感染的文件或恶意程序。应该注意 的是，电源模块104、存储器模块108、通信模块106和反病毒数据库110 是可选模块，系统101没有这些模块也可以操作。

应该注意的是，还可存在系统101的其它实施例。例如，系统101可 以实现为USB适配器，其能够插入PC的USB端口。诸如闪存驱动器的数 据存储设备102能够插入该USB适配器用于由系统101进行反病毒扫描。 在另一个实施例中，系统101可以实现为USB集线器，其允许对连接到 USB集线器的诸如闪存驱动器等的多个数据存储设备102同时进行反病毒 扫描。

图2a和2b示出了以上描述的用于数据存储设备上恶意软件的检测和 修复的系统的操作方法。在步骤201，诸如闪存驱动器的数据存储设备102 的用户将该设备连接到系统101的诸如USB端口的连接模块103。然后， 该过程继续到图2b所示的阶段A。因此，在步骤2021，在数据存储设备 102连接到系统101后，控制器105可以接收来自设备102的关于设备名称、 设备存储器类型及其容量、设备制造商名称的信息和其它识别数据存储设 备102的信息。然后，控制器105在存储器模块108中创建例如分区或文 件夹的备份区域并使用任何识别存储设备102的文件夹或数据来命名备份 区域，该备份区域专用于存储来自设备102的数据。例如，控制器105可 以选择存储驱动器102的名称、其存储器的量、或者关于设备制造商的信 息作为存储器模块108上分区或文件夹的名称。应该注意的是，在该初始 阶段由控制器105所收集的任何数据都可以用于对所连接的设备102的后 续识别。

在控制器105于存储器模块108中制造分区或文件夹用于对来自闪存 驱动器102的数据的备份后，在步骤2022，控制器105将存储在设备102 中的所有数据复制到所创建的分区或文件夹中。因此，存储器模块108将 包含存储在驱动器102上的所有数据的备份副本。如果在由反病毒引擎107 对数据存储设备102进行反病毒扫描和恶意软件修复期间设备102的任何 数据受到损坏，则可以将备份数据复制回设备102。

接着，在步骤2023，控制器105将接收在设备102上所存储的所有数 据并将它们传输到反病毒引擎107用于进行反病毒扫描。应该注意的是， 在系统101的各种版本中信息传输的顺序可以是不同的。例如，在一个示 范性实施例中，对来自设备102的数据的备份和对设备102的反病毒扫描 可以同时实施。接收到来自设备102的数据后，反病毒引擎107使用存储 在反病毒数据库110中的反病毒定义和其它恶意软件相关数据来启动对所 接收的数据的反病毒扫描。在扫描期间，反病毒引擎107可以向控制器105 指示每一个所扫描的文件和直到扫描结束的时间。控制器105可以将该信 息传送到用户界面模块109以显示给用户。因此，在数据存储设备102的 反病毒扫描过程期间，用户得到实时的反馈。

取决于用户界面模块109的实现方案，显示给用户的信息可以包括关 于所扫描的文件的动态变化信息、直到扫描过程结束的剩余时间和有关反 病毒扫描过程的其它信息。此外，当扫描完成时并且当可以将数据存储设 备102从系统101断开连接而没有数据丢失或损害设备102的威胁时，模 块109可以告知用户。另外，在该阶段，反病毒引擎107将实施对在设备 102上所检测到的任何受感染的文件或恶意程序的修复或移除。

接着，在步骤2024，反病毒引擎107在反病毒数据库110中收集各种 关于所扫描的文件和数据存储设备102上所发现的任何恶意软件的统计信 息。数据库110可以包括用于该信息的存储的专用分区或文件夹，其可由 识别设备102的任何信息来加以识别。因此，关于所扫描的文件、所检测 到并被移除或未被移除的恶意程序以及存储在设备102上的可疑文件的所 有信息都存储在反病毒数据库110的适当段（section）中。将来，例如， 可以将该信息发送到反病毒软件开发公司用于进一步的分析。

接着，回到图2a的步骤203，在该步骤中反病毒引擎107确定是否在 数据存储设备102上检测到任何可能是恶意的可疑文件。这可当反病毒数 据库110不包含关于已知恶意软件的最新信息时发生。在步骤203，如果反 病毒引擎107并未在设备102上检测出任何可疑文件，并且有能力修复所 有受感染的文件并移除所有所检测到的恶意软件，那么使系统101在步骤 204继续，在步骤204，反病毒引擎107将把关于所检测到的/被移除的恶 意程序和所有受感染的/被修复的文件的信息发送到控制器105。控制器105 将该数据传送到用户界面模块109用于显示给用户。

如上所说明的，取决于模块109的实现方案，用户还可接收音频信息， 该音频信息代表诸如扫描的结束、可疑文件、恶意程序或者对数据存储设 备102的其它威胁的事件。如果模块109实现为向用户显示扫描过程的动 态并在扫描完成之后显示对应于某些事件的各种颜色标志，那么，除了上 面所述的，反病毒引擎107还可为数据存储设备102以文本格式生成报告 并经由控制器105对其进行传送。该报告可以包括描述所扫描的文件、所 检测到的恶意软件、受感染的和被修复的或被删除的文件、应该或不应该 由用户执行的措施列表等等的信息。

此外，在步骤204，控制器105可以删除存储在存储器模块108中的 专用分区或文件夹中的设备102的备份数据。控制器105也可删除分区或 文件夹。然后，反病毒引擎107将数据存储设备102不包含可疑文件以及 所有受感染的文件都被修复和/或恶意程序被移除的信息传送给控制器 105。

然而，在步骤203，如果反病毒引擎107在数据存储设备102上发现 可疑文件即潜在的有害文件，或者发现所检测到的受感染的文件的部分尚 未由反病毒引擎107修复，或者发现所检测到的恶意软件尚未由反病毒引 擎107移除，那么系统101的操作在步骤205继续，在步骤205中，反病 毒引擎107将把关于在设备102上所有所检测到的可疑文件和未修复的恶 意软件的信息发送到控制器105。控制器105将把该信息传送到用户界面模 块109，根据一个示范性实施例，用户界面模块109可以将该信息连同用于 处理可疑文件和未修复的恶意软件的推荐显示给用户。例如，反病毒引擎 107可推荐用户避免使用设备102以及稍后使用系统101再次检查设备102。 可替换地，引擎107可识别可疑文件并推荐用户从设备102中移除这些文 件。

在步骤206，系统101可将关于可疑文件和未修复的恶意软件的信息 传送到反病毒软件开发者的服务器。此外，在一个示范性实施例中，系统 101可将关于用户识别为干净的可疑文件的信息传送给开发者。此类措施是 借助于通信模块106来实行的。取决于实现方案，通信模块106可使用有 线的或无线的网络连接。在一个示范性实施例中，通信模块106可包括USB 或以太网接口。在这种情况下，可使用模块106将系统101连接到任何提 供互联网访问的PC。控制器105从通信模块106接收关于到PC的可用连 接的信息，并且控制器105将该信息传递给反病毒引擎107。反病毒引擎 107向控制器105告知反病毒软件开发者公司的服务器的因特网地址，并且 控制器105将该信息传递给建立与服务器的连接的通信模块106。而且，反 病毒引擎107传送来自数据库模块110的统计信息，其包含关于可疑文件 的信息、关于尚未被修复的受感染的文件的信息、和/或关于尚未由引擎107 移除的恶意软件的信息。控制器105转而将该信息传送给通信模块106，通 信模块106将其发送给反病毒软件开发者的服务器用于进一步的分析。如 果使用提供直接的因特网访问而不使用第三方PC、诸如LTE或CDMA的 无线技术来实现通信模块106，那么上面描述的措施，即，关于可疑文件和 未被修复的恶意软件的信息的传输，可以在扫描设备102后由通信模块106 直接实施。

作为响应，在步骤207，反病毒软件开发者可发送用于反病毒数据库 110和/或反病毒引擎107的更新。更新可包括新的、指示可疑文件是否实 际上是恶意的病毒定义、用于可疑文件的修复和/或恶意软件的移除的脚本 或指令。更新信息将由通信模块106所接收，被发送给控制器105，并被转 发到反病毒引擎107，反病毒引擎107将转而更新反病毒数据库110。

在对反病毒引擎和数据库进行更新之后，反病毒引擎107可使用经更 新的反病毒信息重新扫描数据存储设备102，并移除或修复已识别为有害的 所有可疑文件，并且还修复一些此前所检测到的受感染的文件。系统101 的操作在步骤204结束，在步骤204中，通过模块109告知用户扫描过程 的成功完成。

在一个示范性实施例中，通信模块106可将关于可疑文件、未被修复 的受感染的文件以及尚未从数据存储设备102移除的恶意软件的信息发送 到网络中的任何PC，诸如网络管理员的PC。因此，管理员被告知包含可 疑的或恶意的程序的数据存储设备102已连接到网络上的PC，这样，管理 员可以采取必要的措施以阻止恶意软件传播到网络中的其它PC。

图3示出了实现为PC的、用于数据存储设备上恶意软件的检测和修 复的系统的示范性实施例。应该注意的是，系统101并不限于PC，而是可 实现为网络服务器、笔记本、平板电脑、智能电话或其它类型的数据处理 或计算设备。PC5可以装在窃启防护（temper-protective）箱6内。PC5可 以包括由系统总线10相连接的一个或多个处理器15、存储器20、一个或 多个硬盘驱动器30、光驱35、串行端口40、图形卡45、声卡50和网卡55。 系统总线10可以是若干类型的总线结构中的任何一种，该若干类型的总线 结构包括使用各种已知总线架构中的任何一种的存储器总线或存储器控制 器、外围总线和本地总线。处理器15可包括一个或多个Core2Quad 2.33GHz处理器或其它类型的CPU。

系统存储器20可包括只读存储器（ROM）21和随机存取存储器（RAM） 23。存储器20可以实现为DRAM（动态RAM）、EPROM、EEPROM、闪 存或其它类型的存储器架构。ROM21存储基本输入/输出系统22（BIOS）， 其包含诸如在启动期间帮助在PC5的部件之间传输信息的基本例程。RAM 23存储诸如XP或其它类型的操作系统（OS）的操作系统24， 其负责PC5中的进程的管理和协调以及硬件资源的分配和共享。系统存储 器20还存储诸如反病毒应用程序的应用程序和程序25，该反病毒应用程序 诸如卡巴斯基反病毒、用于Windows工作站的卡巴斯基反病毒、用于Linux 工作站的卡巴斯基反病毒、McAfee反病毒、Norton反病毒或类似的产品。 存储器20还存储由程序25所使用的各种运行时数据26。

PC5可进一步包括诸如SATA磁性硬盘驱动器（HDD）的硬盘驱动器 30，以及用于读取或写入可移动光盘的、诸如CD-ROM、DVD-ROM或其 它光学介质的光盘驱动器35。驱动器30和35以及它们相关联的计算机可 读介质提供对于实现本文所公开的算法和方法的计算机可读指令、数据结 构、应用程序、数据库和程序模块/子例程的非易失性存储。虽然示例性的 PC5采用磁盘和光盘，但是本领域技术人员应该了解，可存储PC5可访问 的数据的其它类型的计算机可读介质也可用于系统的替代实施例中，诸如 磁带盒、闪存卡、数字视频盘、RAM、ROM、EPROM、闪存以及其它类 型的存储器。

PC5进一步包括多个诸如通用串行总线（USB）的串行端口40，其用 于连接数据输入设备75诸如键盘、鼠标、触摸板及其它。串行端口40还 可用于连接数据输出设备80诸如打印机、扫描仪及其它，以及连接其它外 围设备85诸如外部数据存储设备102等。PC5还可包括诸如GT240M或其它视频卡的图形卡45，用于与监视器60或其它视 频再现设备相接口。PC5还可以包括声卡50，用于经由内部或外部扬声器 65再现声音。此外，PC5可包括网卡55，诸如以太网、WiFi、GSM、蓝 牙或用于将PC5连接到诸如因特网的网络70和反病毒公司的服务器的其 它有线、无线或蜂窝网络接口。

PC5可以具有阻止对系统的越权访问的防护箱6，包括命令和信息到 系统中的入口。只有经授权的雇员，例如系统管理员或信息安全公司的雇 员，具有对PC5的访问权并能打开或移除（取决于版本）防护箱6。另外， 只有这些雇员能够连接诸如键盘或鼠标的数据输入设备以将命令和信息输 入到计算机系统5中。

在各种实施例中，本文描述的算法和方法可以以硬件、软件、固件 （firmware）或者其任意组合来实现。如果以软件实现，则函数可以作为一 条或多条指令或代码在非暂时性的计算机可读介质上存储。计算机可读介 质既包括计算机存储，也包括有助于计算机程序从一处传递到另一处的通 信介质。存储介质可以是可被计算机访问的任何可用介质。根据实施例但 并非限定，这样的计算机可读介质包括RAM、ROM、EEPROM、CD-ROM 或其它光盘存储、磁盘存储或其它磁性存储设备，或者可用来以指令或数 据结构的形式携带或存储所需的程序代码并且可被计算机访问的任何其它 介质。此外，任何连接均可称为计算机可读介质。例如，如果从网站、服 务器或其它远程源传送软件所使用的同轴电缆、光缆、双绞线、数字用户 专用线（DSL）或者诸如红外、无线电及微波之类的无线技术均包括在介 质的定义中。

为了清楚起见，本文并未对实施例的所有常规特征加以示出和描述。 应当意识到在任何这类实际的实现方案的开发过程中，必须做出大量特定 于实现方案的决策以实现开发者的特定目标，同时应当意识到这些特定目 标将随实现方案的不同以及开发者的不同而改变。应当意识到这类开发工 作可能是复杂且耗费时间的，但是对于受益于本文公开的本领域的普通技 术人员而言，都将是常规的工程任务。

此外，可以理解的是本文使用的措辞或术语是为了描述而非限定的目 的，以便本领域的技术人员根据本文提出的教导及指引并结合相关领域技 术人员的知识来解读本说明书中的措辞或术语。而且，除非如此明确的予 以阐述，否则本说明书或权利要求中的任何术语均并非意图归结为非常规 或者特殊的含义。

本文公开的各种实施例包含本文通过示例的方式所提及的已知部件的 现在及将来已知的等同物。而且，尽管已经示出及描述了实施例及其应用， 但对于受益于本公开的本领域的技术人员而言显而易见的是，比以上提及 的更多的修改是可能的而不脱离本文所公开的发明构思。