存储内容保护.pdf

摘要
申请专利号：	CN201280064009.8	申请日：	2012.12.24
公开号：	CN104169895A	公开日：	2014.11.26
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):G06F 12/16申请日:20121224\|\|\|公开
IPC分类号：	G06F12/16; G06F7/00	主分类号：	G06F12/16
申请人：	安全软件私人有限公司
发明人：	马修·盖勒
地址：	澳大利亚南澳大利亚
优先权：	2011.12.23 AU 2011905403
专利代理机构：	北京正理专利代理有限公司 11257	代理人：	张雪梅
PDF下载：	PDF下载

内容摘要

一种保护计算机中存储内容的方法，包括以下步骤：将程序装载到计算机中，执行该程序以便计算机的存储内容被用来在同一计算机上建立和存储密码散列标签，该密码散列标签针对每一具有所选一致大小的存储内容块来唯一地识别所述内容及其位置，并将此应用于所有的存储内容，分析该散列标签以便识别具有相同存储内容的散列标签，记录该分析结果，然后将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在块的内容相同的场合，然后仅转移这样的内容的一个拷贝。

权利要求书

1.  一种保护计算机存储内容的方法，该方法包括获得计算机存储内容的快照，包括以下步骤：
建立该计算机存储内容的索引；
该索引为多个第一数据段；
所述第一数据段被用密码方式编码；
将所述第一数据段与一组第二数据段进行比较，该第二数据段被存储在远程服务器上，并且仅将没有存在于第二数据段中的那些第一数据段备份，以提供计算机存储内容的快照。

2.  根据权利要求1所述的方法，其特征在于以预先设定的时间间隔进行所述快照。

3.  一种去除或删除计算机系统上病毒的方法，该方法包括以下步骤：
在病毒被嵌入计算机系统之前，建立并存储存储内容的至少一个快照，包括存储段；
分析在病毒被嵌入计算机系统之前的计算机系统的存储段，并将其与存储内容的该至少一个快照相比较；
建立计算机系统的存储段和在病毒被嵌入计算机系统之前的存储内容的该至少一个快照之间的文件段差别列表，并将文件段差别列表与预定规则列表相比较，其中所述预定规则导致将文件段差别列表中的文件段分类为需要的文件段或不需要的文件段；
从计算机系统的存储器中删除或去除该不需要的文件段，并用来自于该至少一个快照的对应文件段将其替换。

4.  一种保护计算机中存储内容的方法，包括以下步骤，将程序装载到计算机中并执行该程序，从而计算机的存储内容被用来在同一计算机上建立和存储密码散列标签，所述密码散列标签针对具有所选一致大小的每一存储内容块来唯一识别所述内容及其位置，并将此应用于所有的存储内容，分析所述散列标签以便识别具有相同存储内容的散列标签，记录该分析的结果，然后实现将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在一块的各内容相同的场合，然后仅转移这样的内容的一个拷贝。

5.  根据权利要求4所述的方法，其特征在于在每种情况下块的大小是彼此相同的。

6.  根据权利要求5所述的方法，其特征在于所述独立的存储器是由独立计算机控制的远程存储器。

7.  根据权利要求6所述的方法，其特征在于所述独立的存储器被备份。

8.  根据权利要求7所述的方法，其特征在于所述独立的存储器通过常规的传送技术来备份，包括使用互联网或者诸如用于这种转移的文件传送协议的其他协议。

9.  根据权利要求8所述的方法，其特征在于，所述协议是使用可变大小的包方案。

10.  根据权利要求9所述的方法，其特征在于，所述可变大小的包具有首部、类型、子类型、标记、数据大小、数据或检查和中的至少一个
每个包具有首部、类型、子类型、标记、数据大小、数据和任选的检查和。

11.  根据权利要求4所述的方法，其特征在于，独立的存储器由计算机控制，该计算机具有能够响应来自第一计算机的请求并能够根据该请求提供任何存储内容块的下载或新数据的上传的程序。

12.  根据权利要求11所述的方法，其特征在于，存储内容包括除了存储在临时存储位置中的内容的所有存储内容，并因此包括所有的通常为硬盘驱动器中的以及即使当从存储器中移除功率时也能够保留其内容的任何存储器中的所有内容。

13.  根据权利要求12所述的方法，其特征在于，存储器块的大小为4096KB。

14.  根据权利要求4-13任一所述的方法，其特征在于，在将存储内容拷贝到远程存储装置上之后，每当计算机是活动的并改变了与感兴趣的存储相关的一些存储内容时，该方法进一步被安排以便对于每一个其中内容较之前存在的内容被改变且密码散列标签被有效改变的存储块，这样改变的存储器块将被进一步分析，以识别其现在是否与其他块的其他的存储内容相同，如果其不同于任何的其他块，则此后将这种改变的信息传送到远程存储装置，其中只有那些被改变的块和合适的信息被转移。

说明书

存储内容保护
技术领域
本发明涉及对于计算机的存储内容保护。
背景技术
目前，保护计算机的存储内容的常规方法为将一存储器的内容复制到远程存储器上，用来在困难的情形下恢复第一存储内容。
常规保护技术存在着一个问题，即将第一存储器的内容传输到远程存储器上需要初始时间，然后如果需要的话，在恢复过程中将其有效下载还可能再需要时间。
这导致了越来越大的存储容量，而在写入时硬盘上500GB的存储器是非常正常的，可以预期的是，在将来将会普遍使用更大的存储容量。
进一步地，备份存储内容的常规技术可以不记录和存储应用程序，而可以仅存储数据。
倘若发生灾难性故障，计算机内的存储内容可被完全破坏，这样就需要从原始源重新装载原始应用程序。因为必须需要存储盘和密码，所以这并不总是能直接实现。
进一步的困难是如果对大量的计算机提供远程存储器备份服务，那么任何的备份或远程存储装置将重复多次记录相似的或者相同的应用程序。
发明内容
本发明的目的是提供一种保护存储内容的方法，该方法可帮助减少在远程存储装置中有效存储存储内容所需的时间，并有助于恢复存储内容或者至少向公众提供有用的替代物。
根据本发明的第一形式，尽管其不是唯一的或者最宽的形式，提供了一种保护计算机存储内容的方法，该方法包括获得计算机存储内容的快照，包括以下步骤：
建立计算机存储内容的索引；
该索引为多个第一数据段；
所述第一数据段被用密码方式编码；
将所述第一数据段与一组第二数据段进行比较(90)，该第二数据段被存储在远程服务器上，并且仅将没有存在于第二数据段中的那些第一数据段进行备份以提供计算机存储内容的快照。
优选地，所述快照是以预先设定的时间间隔来完成的。
根据本发明的另一形式，提供一种去除或删除计算机系统上病毒的方法，该方法包括以下步骤：
分析计算机系统的存储段，并将其与存储内容的前期快照相比较(180)；
建立计算机系统的存储器和存储内容的前期快照之间的文件段差别列表，并将该文件段差别列表与预定规则列表相比较，其中所述预定规则将文件段差别列表中的文件段分为需要的文件段或不需要的文件段；
从计算机系统的存储器中删除或去除不需要的文件段，并用来自于前期快照的对应文件段将其替换。
也可使用预定规则列表在例如计算机注册表的子文件级别比较差别列表，以确定各差别是需要或是不需要的。
根据本发明的再一形式，提出一种保护计算机内存储内容的方法，该方法包括以下步骤，将程序装载到计算机内并执行该程序，以便计算机的存储内容被用来在同一计算机上建立并存储密码散列标签，该密码散列标签针对每一具有所选一致大小的存储内容块来唯一识别所述内容及其位置，并将此应用于所有的存储内容；分析该散列标签以便识别具有相同存储内容的散列标签，记录该分析的结果；然后实现将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在块的内容相同的场合，然后仅转移这样的内容的一个拷贝。
优选地，在每种情况下，块的大小是彼此相同的。
优选地，块的大小是相对较小的。
优选地，独立的存储器是由独立计算机控制的远程存储器。
常规地，对于连接到商业备份服务的独立存储器的这种备份和传输可通过常规的传输技术来实现，包括使用互联网或者诸如用于这种转移的文件传送协议的其他协议。
优选地，本发明使用TCP/UDP上的定制协议来与远程服务器通信。
该协议使用可变大小的包方案，每一包具有首部(150)、类型(151)、子类型(152)、标记(153)、数据大小(154)、数据(155)和任选地检查和(156)。
首部是表明数据包开始的幻数。类型表明包的类型；协议相当于虚拟通道。取决于包类型，可以有一个或者多于一个的子类型。标记表明对数据的操作(例如压缩和/或加密和检查和存在)。数据大小表明了包中数据的大小，范围可从0至2³¹。数据字段包括包中所有的用户数据，在数据大小为零的情况下，可从包略过数据字段。任选地，还可存在检查和字段，如果通过UDP发送，将检查和字段添加到包。
优选地，独立存储器是由计算机控制的，该计算机还具有能够响应来自于第一计算机的请求并能够根据该请求提供任何存储内容块的下载或新数据的上传的程序。
优选地，存储内容可因此包括除了存储在临时存储位置中的内容的存储器的所有内容，并因此可包括通常为硬盘驱动器中的以及即使当从这种存储器中移除功率时也能够保留其内容的任何存储器中的所有内容。
优选地，作为存储块大小的象征性表征，可以是4096KB。
优选地，在将存储内容拷贝到远程存储装置上之后，每当计算机是活动的并改变了与感兴趣的存储器相关的一些存储内容时，该方法进一步被安排以便对于每一个其内容较之之前存在的内容被改变且密码散列标签被有效改变的存储块，该改变了的存储块将被进一步分析，以识别现在其是否与其他块的其他的存储内容一致，如果其不同于任何的其他块，其后将该修改的信息传送到远程存储装置，其中只有那些被改变的块和合适的信息被转移。
本方法具有如下优点：
第一，本发明可显著节省存储装置的存储容量，有时在远程存储装置设施中可节省高达50％的存储。
进一步地，本发明由此还可显著减少在其中通常存储内容包括一致地具有相同内容的多个块的第一种情况下传送存储内容所需的时间。
另一个显著的优点是当需要进行恢复时，可基于提供的内容提供恢复并可提供与存储内容的原始状态相同的恢复。
使用密码散列标签可使得每一存储内容块被唯一识别，并且尽管对于可被唯一识别的变化数量存在理论极限值，但是目前看来这通常不会被当前大小的存储内容和计算机达到。
附图说明
下面将参考附图并借助实例，对本发明的实施例进行更加充分的描述。
图1为建立快照的顶层整体流程图；
图2为准备系统模板数据库的流程图；
图3为对于单一应用程序校验模板数据库完整性的流程图；
图4为顶层备份流程图；
图5描述了第一备份的操作顺序；
图6描述了对于子序列(sub-sequent)(增量)备份的操作顺序；
图7展示了备份文件夹的步骤；
图8为备份模板系统下的文件夹的流程图；
图9为备份不属于模板一部分的单个文件的顶层流程图；
图10为备份在模板下的文件的顶层流程图；
图11为对不在模板下的文件夹进行增量备份的流程图；
图12为对不在模板下的文件进行增量备份的流程图；
图13为对在模板下的文件夹进行增量备份的流程图；
图14为对在模板下的文件(在增量备份期间)进行备份的流程图；
图15描述了协议的单个包；
图16描述了当从应用程序GUI启动时的恢复流程，其中用户选择文件和文件夹进行恢复；
图17描述了全系统复原(恢复)。该流程由从可引导复原CD开始的复原程序启动。在该流程中，用户选择他/她想要复原的容量；
图18描述了基于抗病毒/反恶意软件的复原。准备所有新的和修改后文件的列表，然后使用AV规则DB来确定需要回退或删除的文件。如果一些文件已经被删除，这些文件仍将在该流程中被恢复；
图19描述了恢复初始化期间的操作；
图20描述了连接到服务器以便提交恢复文件批处理的流程图。一旦连接成功，将会保持连接有效直至完成恢复或者出现错误；
图21描述了处理服务器响应的流程图。服务器对向其发送的不同请求发送异步响应。
具体实施方式
为了更好的理解本发明，下面将参考实际应用进行描述，其中与本发明方法相关的一些具体细节和适于本发明方法的设备将被进一步详细描述。
为了让本发明建立原始资料存储捕获(baseline memory capture)，本系统在目标设备存储器上安装了唯一的软件代码片段(piece of software code)。该软件以多数一致大小的一连串数据段(最后的数据段可比标准数据段的大小要小)建立该设备的存储内容的索引，其代表了设备存储的数据段，并且以密码形式编码，该编码段形成索引的内容。
由于每一数据块可能不唯一，可用软件将每一数据块与其索引存储在本地(91)而其数据已存储在远程服务器上的已知数据段(90)相比较，只有新的唯一数据段的内容被标记为需要备份(92)，同时将已知的数据段记录为存在于目标设备上但不需要被上传。
识别并参考已知数据段的过程减少了用于进行目标设备存储器的初始化和拷贝的时间和网络资源。
一旦目标设备存储器的索引已完成，并且与已知索引进行比较，新的数据段被上传到远程的服务器存储装置设施。
软件下次运行时，对目标设备存储器重建索引，且将新的索引与之前的索引比较(120)，并标记所识别的变化用于上传到远程服务器(121)。假如文件本身尚未被修改，则之前的数据段将不变化。该新的索引和新的数据段然后被上传并存储在远程服务器上，作为目标设备存储器的新的快照，并且所有的这些快照都被存储在远程服务器上，每一快照不同于之前快照之处在于，在快照之间的时间间隔期间对目标设备存储器所做的改变。
存储在远程服务器上的所有存储快照对用户在任何时间都是可得的，无论全部或部分。
目标设备存储器恢复
对于目标设备上被破坏的存储内容或装置设备的情况，有可能取得存储在远程服务器上的目标设备存储器的之前的快照，并且在目标设备存储装置设备可用的情况下将其下载到该目标设备存储装置上，或者在之前的存储装置设备不可用的情况下将其下载到新的存储装置设备上。
对于损坏的物理存储设备的情况，将进行下列流程处理：
在目标设备内安装新的物理存储装置设备，并安装引导CD、复原CD或其他合适的可引导设备，例如但不限于可引导USB设备或可引导复原分区，随后安装恢复软件程序。
随后恢复软件执行并通过互联网连接到远程服务器，用户账户细节被输入并被验证(190)。用户计算机的列表被呈现，其中用户选择要复原的计算机，然后目标设备存储内容的可得到的快照的列表被示出，从该列表中选择所期望的快照，并或者以在线形式下载所期望的快照，或者以递送给用户的物理便携存储装置设备的形式发送所期望的快照。
随后该存储内容快照被安装到目标设备上(200)。使目标设备恢复为正常操作，仅有的存储内容损失是从获得最后一个快照开始作出的改变。该恢复覆盖了所有的程序、设置文件和数据文件。
在物理存储装置设备没有损坏，但是内容不可使用的情况下，将进行下列流程步骤。
假如目标设备物理存储设备正在工作，仅有的不同在于恢复程序是从复原CD安装到目标设备物理存储器上，而选择快照和安装它的流程如上所述进行。
为实现这个目的，在目标计算机上的物理存储设备被擦净，引导CD、复原CD或其他的适合的可引导设备，例如但不限于可引导USB设备或可引导复原分区，被安装，随后软件的恢复组件被安装。
目标计算机随后连接到远程服务器并确认身份和账户详情。
一旦完成，可得到的快照的列表被示出，从列表中选择一个并下载/安装到目标用户的设备上并且目标设备的存储内容被完全恢复。目标设备可重新开始正常操作，仅有的数据损失是从获得最后一个快照开始作出的改变。
对于目标设备存储器仅丢失了其一部分存储的情况，例如文件被偶然删除，则可进行局部恢复。
在这种情况下，将目标设备连接到远程服务器并寻找已被损坏/删除的文件，并从可得到的版本中选择期望的拷贝。
软件随后将所选的文件版本恢复回到目标设备存储器并重写被损坏的版本或者使文件复原。
病毒检测和去除过程以及被损坏文件的恢复
对于用户的计算机存储内容被病毒感染的情况，软件可逆转其影响并将病毒从计算机中完全去除，仅丢失最小量的存储或不丢失存储。
为此，必须进行制作快照备份的流程且定期持续。
在损坏发生之前，软件将分析计算机存储器中的内容并依据之前的快照对其进行修订。
差别列表(180)将对照远程服务器上的规则库数据库进行比较，该规则决定了对于特定类型的改变将要采取的行动。
该规则可导致下列行为中的一种：去除文件(182)，回退文件(183)或者保持/允许改变。
一旦改变已被识别为例如不需要的，软件将通过使受感染的文件恢复到之前快照的样子而回退该改变。实际上完全去除了病毒感染。
另外，局部恢复特征可被重复使用以找到感染源，直至其被找到并被完全去除。
去除病毒所引起的改变和病毒本身的流程通过回退病毒引起的改变而去除该改变来实现，该流程远比仅仅隔离受感染的文件更加安全有效，因为这并没有修复损坏。
从感染的存储块中去除损坏而不影响计算机存储器的剩余部分的能力也具有优点。
这种流程的主要优点在于，在常规的环境中，病毒感染很难完全移除，并且通常被病毒影响的文件会完全丢失。同样的，通过使用本发明可实现显著的时间节省和存储保护。
在不偏离本发明范围的情况下，可对本发明的设计及构造细节、工艺步骤、操作参数等等进行各种各样的修改。

资源描述

《存储内容保护.pdf》由会员分享，可在线阅读，更多相关《存储内容保护.pdf（28页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104169895A43申请公布日20141126CN104169895A21申请号201280064009822申请日20121224201190540320111223AUG06F12/16200601G06F7/0020060171申请人安全软件私人有限公司地址澳大利亚南澳大利亚72发明人马修盖勒74专利代理机构北京正理专利代理有限公司11257代理人张雪梅54发明名称存储内容保护57摘要一种保护计算机中存储内容的方法，包括以下步骤将程序装载到计算机中，执行该程序以便计算机的存储内容被用来在同一计算机上建立和存储密码散列标签，该密码散列标签针对每一具有所选一致大小的存储。

2、内容块来唯一地识别所述内容及其位置，并将此应用于所有的存储内容，分析该散列标签以便识别具有相同存储内容的散列标签，记录该分析结果，然后将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在块的内容相同的场合，然后仅转移这样的内容的一个拷贝。30优先权数据85PCT国际申请进入国家阶段日2014062386PCT国际申请的申请数据PCT/AU2012/0016012012122487PCT国际申请的公布数据WO2013/091025EN2013062751INTCL权利要求书2页说明书5页附图20页19中华人民共和国国家知识产权局12发明专利申请权利要求书。

3、2页说明书5页附图20页10申请公布号CN104169895ACN104169895A1/2页21一种保护计算机存储内容的方法，该方法包括获得计算机存储内容的快照，包括以下步骤建立该计算机存储内容的索引；该索引为多个第一数据段；所述第一数据段被用密码方式编码；将所述第一数据段与一组第二数据段进行比较，该第二数据段被存储在远程服务器上，并且仅将没有存在于第二数据段中的那些第一数据段备份，以提供计算机存储内容的快照。2根据权利要求1所述的方法，其特征在于以预先设定的时间间隔进行所述快照。3一种去除或删除计算机系统上病毒的方法，该方法包括以下步骤在病毒被嵌入计算机系统之前，建立并存储存储内容的至少一。

4、个快照，包括存储段；分析在病毒被嵌入计算机系统之前的计算机系统的存储段，并将其与存储内容的该至少一个快照相比较；建立计算机系统的存储段和在病毒被嵌入计算机系统之前的存储内容的该至少一个快照之间的文件段差别列表，并将文件段差别列表与预定规则列表相比较，其中所述预定规则导致将文件段差别列表中的文件段分类为需要的文件段或不需要的文件段；从计算机系统的存储器中删除或去除该不需要的文件段，并用来自于该至少一个快照的对应文件段将其替换。4一种保护计算机中存储内容的方法，包括以下步骤，将程序装载到计算机中并执行该程序，从而计算机的存储内容被用来在同一计算机上建立和存储密码散列标签，所述密码散列标签针对具有所。

5、选一致大小的每一存储内容块来唯一识别所述内容及其位置，并将此应用于所有的存储内容，分析所述散列标签以便识别具有相同存储内容的散列标签，记录该分析的结果，然后实现将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在一块的各内容相同的场合，然后仅转移这样的内容的一个拷贝。5根据权利要求4所述的方法，其特征在于在每种情况下块的大小是彼此相同的。6根据权利要求5所述的方法，其特征在于所述独立的存储器是由独立计算机控制的远程存储器。7根据权利要求6所述的方法，其特征在于所述独立的存储器被备份。8根据权利要求7所述的方法，其特征在于所述独立的存储器通过常规的传送技。

6、术来备份，包括使用互联网或者诸如用于这种转移的文件传送协议的其他协议。9根据权利要求8所述的方法，其特征在于，所述协议是使用可变大小的包方案。10根据权利要求9所述的方法，其特征在于，所述可变大小的包具有首部、类型、子类型、标记、数据大小、数据或检查和中的至少一个每个包具有首部、类型、子类型、标记、数据大小、数据和任选的检查和。11根据权利要求4所述的方法，其特征在于，独立的存储器由计算机控制，该计算机具有能够响应来自第一计算机的请求并能够根据该请求提供任何存储内容块的下载或新数据的上传的程序。12根据权利要求11所述的方法，其特征在于，存储内容包括除了存储在临时存储位权利要求书CN10416。

7、9895A2/2页3置中的内容的所有存储内容，并因此包括所有的通常为硬盘驱动器中的以及即使当从存储器中移除功率时也能够保留其内容的任何存储器中的所有内容。13根据权利要求12所述的方法，其特征在于，存储器块的大小为4096KB。14根据权利要求413任一所述的方法，其特征在于，在将存储内容拷贝到远程存储装置上之后，每当计算机是活动的并改变了与感兴趣的存储相关的一些存储内容时，该方法进一步被安排以便对于每一个其中内容较之前存在的内容被改变且密码散列标签被有效改变的存储块，这样改变的存储器块将被进一步分析，以识别其现在是否与其他块的其他的存储内容相同，如果其不同于任何的其他块，则此后将这种改变的信。

8、息传送到远程存储装置，其中只有那些被改变的块和合适的信息被转移。权利要求书CN104169895A1/5页4存储内容保护技术领域0001本发明涉及对于计算机的存储内容保护。背景技术0002目前，保护计算机的存储内容的常规方法为将一存储器的内容复制到远程存储器上，用来在困难的情形下恢复第一存储内容。0003常规保护技术存在着一个问题，即将第一存储器的内容传输到远程存储器上需要初始时间，然后如果需要的话，在恢复过程中将其有效下载还可能再需要时间。0004这导致了越来越大的存储容量，而在写入时硬盘上500GB的存储器是非常正常的，可以预期的是，在将来将会普遍使用更大的存储容量。0005进一步地，备份。

9、存储内容的常规技术可以不记录和存储应用程序，而可以仅存储数据。0006倘若发生灾难性故障，计算机内的存储内容可被完全破坏，这样就需要从原始源重新装载原始应用程序。因为必须需要存储盘和密码，所以这并不总是能直接实现。0007进一步的困难是如果对大量的计算机提供远程存储器备份服务，那么任何的备份或远程存储装置将重复多次记录相似的或者相同的应用程序。发明内容0008本发明的目的是提供一种保护存储内容的方法，该方法可帮助减少在远程存储装置中有效存储存储内容所需的时间，并有助于恢复存储内容或者至少向公众提供有用的替代物。0009根据本发明的第一形式，尽管其不是唯一的或者最宽的形式，提供了一种保护计算机存。

10、储内容的方法，该方法包括获得计算机存储内容的快照，包括以下步骤0010建立计算机存储内容的索引；0011该索引为多个第一数据段；0012所述第一数据段被用密码方式编码；0013将所述第一数据段与一组第二数据段进行比较90，该第二数据段被存储在远程服务器上，并且仅将没有存在于第二数据段中的那些第一数据段进行备份以提供计算机存储内容的快照。0014优选地，所述快照是以预先设定的时间间隔来完成的。0015根据本发明的另一形式，提供一种去除或删除计算机系统上病毒的方法，该方法包括以下步骤0016分析计算机系统的存储段，并将其与存储内容的前期快照相比较180；0017建立计算机系统的存储器和存储内容的前。

11、期快照之间的文件段差别列表，并将该文件段差别列表与预定规则列表相比较，其中所述预定规则将文件段差别列表中的文件段分为需要的文件段或不需要的文件段；说明书CN104169895A2/5页50018从计算机系统的存储器中删除或去除不需要的文件段，并用来自于前期快照的对应文件段将其替换。0019也可使用预定规则列表在例如计算机注册表的子文件级别比较差别列表，以确定各差别是需要或是不需要的。0020根据本发明的再一形式，提出一种保护计算机内存储内容的方法，该方法包括以下步骤，将程序装载到计算机内并执行该程序，以便计算机的存储内容被用来在同一计算机上建立并存储密码散列标签，该密码散列标签针对每一具有所选。

12、一致大小的存储内容块来唯一识别所述内容及其位置，并将此应用于所有的存储内容；分析该散列标签以便识别具有相同存储内容的散列标签，记录该分析的结果；然后实现将散列标签的拷贝、相关联的存储块以及关于其位置的其他信息转移到独立的存储器，这有如下例外，即在块的内容相同的场合，然后仅转移这样的内容的一个拷贝。0021优选地，在每种情况下，块的大小是彼此相同的。0022优选地，块的大小是相对较小的。0023优选地，独立的存储器是由独立计算机控制的远程存储器。0024常规地，对于连接到商业备份服务的独立存储器的这种备份和传输可通过常规的传输技术来实现，包括使用互联网或者诸如用于这种转移的文件传送协议的其他协议。

13、。0025优选地，本发明使用TCP/UDP上的定制协议来与远程服务器通信。0026该协议使用可变大小的包方案，每一包具有首部150、类型151、子类型152、标记153、数据大小154、数据155和任选地检查和156。0027首部是表明数据包开始的幻数。类型表明包的类型；协议相当于虚拟通道。取决于包类型，可以有一个或者多于一个的子类型。标记表明对数据的操作例如压缩和/或加密和检查和存在。数据大小表明了包中数据的大小，范围可从0至231。数据字段包括包中所有的用户数据，在数据大小为零的情况下，可从包略过数据字段。任选地，还可存在检查和字段，如果通过UDP发送，将检查和字段添加到包。0028优选地。

14、，独立存储器是由计算机控制的，该计算机还具有能够响应来自于第一计算机的请求并能够根据该请求提供任何存储内容块的下载或新数据的上传的程序。0029优选地，存储内容可因此包括除了存储在临时存储位置中的内容的存储器的所有内容，并因此可包括通常为硬盘驱动器中的以及即使当从这种存储器中移除功率时也能够保留其内容的任何存储器中的所有内容。0030优选地，作为存储块大小的象征性表征，可以是4096KB。0031优选地，在将存储内容拷贝到远程存储装置上之后，每当计算机是活动的并改变了与感兴趣的存储器相关的一些存储内容时，该方法进一步被安排以便对于每一个其内容较之之前存在的内容被改变且密码散列标签被有效改变的存。

15、储块，该改变了的存储块将被进一步分析，以识别现在其是否与其他块的其他的存储内容一致，如果其不同于任何的其他块，其后将该修改的信息传送到远程存储装置，其中只有那些被改变的块和合适的信息被转移。0032本方法具有如下优点0033第一，本发明可显著节省存储装置的存储容量，有时在远程存储装置设施中可节省高达50的存储。说明书CN104169895A3/5页60034进一步地，本发明由此还可显著减少在其中通常存储内容包括一致地具有相同内容的多个块的第一种情况下传送存储内容所需的时间。0035另一个显著的优点是当需要进行恢复时，可基于提供的内容提供恢复并可提供与存储内容的原始状态相同的恢复。0036使用密。

16、码散列标签可使得每一存储内容块被唯一识别，并且尽管对于可被唯一识别的变化数量存在理论极限值，但是目前看来这通常不会被当前大小的存储内容和计算机达到。附图说明0037下面将参考附图并借助实例，对本发明的实施例进行更加充分的描述。0038图1为建立快照的顶层整体流程图；0039图2为准备系统模板数据库的流程图；0040图3为对于单一应用程序校验模板数据库完整性的流程图；0041图4为顶层备份流程图；0042图5描述了第一备份的操作顺序；0043图6描述了对于子序列SUBSEQUENT增量备份的操作顺序；0044图7展示了备份文件夹的步骤；0045图8为备份模板系统下的文件夹的流程图；0046图9为。

17、备份不属于模板一部分的单个文件的顶层流程图；0047图10为备份在模板下的文件的顶层流程图；0048图11为对不在模板下的文件夹进行增量备份的流程图；0049图12为对不在模板下的文件进行增量备份的流程图；0050图13为对在模板下的文件夹进行增量备份的流程图；0051图14为对在模板下的文件在增量备份期间进行备份的流程图；0052图15描述了协议的单个包；0053图16描述了当从应用程序GUI启动时的恢复流程，其中用户选择文件和文件夹进行恢复；0054图17描述了全系统复原恢复。该流程由从可引导复原CD开始的复原程序启动。在该流程中，用户选择他/她想要复原的容量；0055图18描述了基于抗病。

18、毒/反恶意软件的复原。准备所有新的和修改后文件的列表，然后使用AV规则DB来确定需要回退或删除的文件。如果一些文件已经被删除，这些文件仍将在该流程中被恢复；0056图19描述了恢复初始化期间的操作；0057图20描述了连接到服务器以便提交恢复文件批处理的流程图。一旦连接成功，将会保持连接有效直至完成恢复或者出现错误；0058图21描述了处理服务器响应的流程图。服务器对向其发送的不同请求发送异步响应。具体实施方式说明书CN104169895A4/5页70059为了更好的理解本发明，下面将参考实际应用进行描述，其中与本发明方法相关的一些具体细节和适于本发明方法的设备将被进一步详细描述。0060为了。

19、让本发明建立原始资料存储捕获BASELINEMEMORYCAPTURE，本系统在目标设备存储器上安装了唯一的软件代码片段PIECEOFSOFTWARECODE。该软件以多数一致大小的一连串数据段最后的数据段可比标准数据段的大小要小建立该设备的存储内容的索引，其代表了设备存储的数据段，并且以密码形式编码，该编码段形成索引的内容。0061由于每一数据块可能不唯一，可用软件将每一数据块与其索引存储在本地91而其数据已存储在远程服务器上的已知数据段90相比较，只有新的唯一数据段的内容被标记为需要备份92，同时将已知的数据段记录为存在于目标设备上但不需要被上传。0062识别并参考已知数据段的过程减少了用。

20、于进行目标设备存储器的初始化和拷贝的时间和网络资源。0063一旦目标设备存储器的索引已完成，并且与已知索引进行比较，新的数据段被上传到远程的服务器存储装置设施。0064软件下次运行时，对目标设备存储器重建索引，且将新的索引与之前的索引比较120，并标记所识别的变化用于上传到远程服务器121。假如文件本身尚未被修改，则之前的数据段将不变化。该新的索引和新的数据段然后被上传并存储在远程服务器上，作为目标设备存储器的新的快照，并且所有的这些快照都被存储在远程服务器上，每一快照不同于之前快照之处在于，在快照之间的时间间隔期间对目标设备存储器所做的改变。0065存储在远程服务器上的所有存储快照对用户在任。

21、何时间都是可得的，无论全部或部分。0066目标设备存储器恢复0067对于目标设备上被破坏的存储内容或装置设备的情况，有可能取得存储在远程服务器上的目标设备存储器的之前的快照，并且在目标设备存储装置设备可用的情况下将其下载到该目标设备存储装置上，或者在之前的存储装置设备不可用的情况下将其下载到新的存储装置设备上。0068对于损坏的物理存储设备的情况，将进行下列流程处理0069在目标设备内安装新的物理存储装置设备，并安装引导CD、复原CD或其他合适的可引导设备，例如但不限于可引导USB设备或可引导复原分区，随后安装恢复软件程序。0070随后恢复软件执行并通过互联网连接到远程服务器，用户账户细节被输。

22、入并被验证190。用户计算机的列表被呈现，其中用户选择要复原的计算机，然后目标设备存储内容的可得到的快照的列表被示出，从该列表中选择所期望的快照，并或者以在线形式下载所期望的快照，或者以递送给用户的物理便携存储装置设备的形式发送所期望的快照。0071随后该存储内容快照被安装到目标设备上200。使目标设备恢复为正常操作，仅有的存储内容损失是从获得最后一个快照开始作出的改变。该恢复覆盖了所有的程序、设置文件和数据文件。0072在物理存储装置设备没有损坏，但是内容不可使用的情况下，将进行下列流程步骤。0073假如目标设备物理存储设备正在工作，仅有的不同在于恢复程序是从复原CD安装到目标设备物理存储器。

23、上，而选择快照和安装它的流程如上所述进行。说明书CN104169895A5/5页80074为实现这个目的，在目标计算机上的物理存储设备被擦净，引导CD、复原CD或其他的适合的可引导设备，例如但不限于可引导USB设备或可引导复原分区，被安装，随后软件的恢复组件被安装。0075目标计算机随后连接到远程服务器并确认身份和账户详情。0076一旦完成，可得到的快照的列表被示出，从列表中选择一个并下载/安装到目标用户的设备上并且目标设备的存储内容被完全恢复。目标设备可重新开始正常操作，仅有的数据损失是从获得最后一个快照开始作出的改变。0077对于目标设备存储器仅丢失了其一部分存储的情况，例如文件被偶然删除。

24、，则可进行局部恢复。0078在这种情况下，将目标设备连接到远程服务器并寻找已被损坏/删除的文件，并从可得到的版本中选择期望的拷贝。0079软件随后将所选的文件版本恢复回到目标设备存储器并重写被损坏的版本或者使文件复原。0080病毒检测和去除过程以及被损坏文件的恢复0081对于用户的计算机存储内容被病毒感染的情况，软件可逆转其影响并将病毒从计算机中完全去除，仅丢失最小量的存储或不丢失存储。0082为此，必须进行制作快照备份的流程且定期持续。0083在损坏发生之前，软件将分析计算机存储器中的内容并依据之前的快照对其进行修订。0084差别列表180将对照远程服务器上的规则库数据库进行比较，该规则决定。

25、了对于特定类型的改变将要采取的行动。0085该规则可导致下列行为中的一种去除文件182，回退文件183或者保持/允许改变。0086一旦改变已被识别为例如不需要的，软件将通过使受感染的文件恢复到之前快照的样子而回退该改变。实际上完全去除了病毒感染。0087另外，局部恢复特征可被重复使用以找到感染源，直至其被找到并被完全去除。0088去除病毒所引起的改变和病毒本身的流程通过回退病毒引起的改变而去除该改变来实现，该流程远比仅仅隔离受感染的文件更加安全有效，因为这并没有修复损坏。0089从感染的存储块中去除损坏而不影响计算机存储器的剩余部分的能力也具有优点。0090这种流程的主要优点在于，在常规的环境。

26、中，病毒感染很难完全移除，并且通常被病毒影响的文件会完全丢失。同样的，通过使用本发明可实现显著的时间节省和存储保护。0091在不偏离本发明范围的情况下，可对本发明的设计及构造细节、工艺步骤、操作参数等等进行各种各样的修改。说明书CN104169895A1/20页9图1图2说明书附图CN104169895A2/20页10图3说明书附图CN104169895A103/20页11图4说明书附图CN104169895A114/20页12图5说明书附图CN104169895A125/20页13图6说明书附图CN104169895A136/20页14图7说明书附图CN104169895A147/20页15。

27、图8说明书附图CN104169895A158/20页16图9说明书附图CN104169895A169/20页17图10说明书附图CN104169895A1710/20页18图11说明书附图CN104169895A1811/20页19图12说明书附图CN104169895A1912/20页20图13说明书附图CN104169895A2013/20页21图14说明书附图CN104169895A2114/20页22图15说明书附图CN104169895A2215/20页23图16说明书附图CN104169895A2316/20页24图17说明书附图CN104169895A2417/20页25图18说明书附图CN104169895A2518/20页26图19说明书附图CN104169895A2619/20页27图20说明书附图CN104169895A2720/20页28图21说明书附图CN104169895A28。

展开阅读全文