[发明专利]信息保护方法和系统

权利要求书

1.一种用于保护计算机系统中的对象的方法，包括：

判断对象是否被恶意软件感染，如果所述对象被感染：

在所述对象的备份中定位所述对象的第一备份拷贝；以及

用所述第一备份拷贝替代所述对象。

2.根据权利要求1所述的方法，还包括判断所述第一备份拷贝是否被恶意软件感染。

3.根据权利要求2所述的方法，还包括如果所述第一备份拷贝被感染，定位第二备份拷贝。

4.根据权利要求3所述的方法，其中定位所述第二备份拷贝包括查出比所述第一备份拷贝更老的备份拷贝。

5.根据权利要求4所述的方法，其中查出所述第二备份拷贝包括将候选备份拷贝与所述第一备份拷贝比较，以判断所述第二备份拷贝是否与所述第一备份拷贝不同。

6.根据权利要求5所述的方法，其中将所述候选备份拷贝与所述第一备份拷贝比较包括将所述候选备份拷贝的散列值与所述第一备份拷贝的散列值比较。

7.根据权利要求5所述的方法，还包括仅当所述第二备份拷贝与所述第一备份拷贝不同时才判断所述第二备份拷贝是否被恶意软件感染。

8.根据权利要求1所述的方法，其中所述备份包括在线备份存储器和离线备份存储器，且定位所述第一备份拷贝包括在所述在线备份存储器中搜索。

9.根据权利要求8所述的方法，其中定位所述第一备份拷贝还包括在搜索所述在线备份存储器之后搜索所述离线备份存储器。

10.根据权利要求1所述的方法，还包括判断所述对象被感染的感染时间点。

11.根据权利要求10所述的方法，还包括使用所述感染点选择所述第一备份拷贝。

12.根据权利要求11所述的方法，其中选择所述第一备份拷贝包括选择在所述感染点之前做成的备份拷贝。

13.根据权利要求12所述的方法，还包括判断所述第一备份拷贝是否被恶意软件感染。

14.根据权利要求13所述的方法，其中判断所述第一备份拷贝是否被感染包括将所述第一备份拷贝提交到防病毒引擎。

15.根据权利要求1所述的方法，还包括询问用户是否用备份拷贝替代所述被感染对象。

16.一种用于保护包括备份的系统中的对象的方法，所述备份包括所述对象的备份拷贝，所述方法包括：

使用对象的至少一个备份拷贝确定与所述对象相关的模式；以及

检测与所述模式的偏离，以查明表示所述对象被恶意软件感染的异常。

17.根据权利要求16所述的方法，其中确定所述模式包括分析从以下项构成的组中选择的至少一项：对象大小、访问对象的时间、访问对象的位置或对象变化的源。

18.根据权利要求16所述的方法，其中检测与所述模式的偏离包括监测所述对象的访问日志或分析所述备份拷贝以找到偏离所述模式的拷贝。

19.根据权利要求16所述的方法，还包括查明所述对象被恶意软件感染的感染时间点。

20.根据权利要求19所述的方法，还包括检索在感染点之前做成的备份拷贝。