Урок 13. Сторож SpIDer Guard

Сканер Dr . Web для Windows выполняет антивирусные проверки по явному запросу пользователя или по расписанию. Что же касается сторожа SpIDer Guard , то он предназначен для проверки всех открываемых файлов.

Пользователь не должен запускать программу сторожа SpIDer Guard каждый раз для выполнения антивирусной проверки. Сторож SpIDer Guard постоянно находится в памяти компьютера (рис. 13-1), обнаруживает вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализирует проявления вирусной активности.

Рис. 13-1. Значок SpIDer Guard в панели задач

Заметим, что для ОС Windows 95/98/ Me и Windows NT /2000/ XP существуют отдельные версии сторожа. В настоящее время сторож SpIDer Guard не может работать на серверах Windows NT/2000/ XP .

Сторож SpIDer Guard способен обнаружить неизвестные вирусы. Для этого он использует эвристический анализатор, а также технологию SpIDer — Netting

Настройка сторожа SpIDer Guard

Как и все программы пакета Dr . Web для Windows , сторож SpIDer Guard можно с успехом использовать с настройками по умолчанию. Тем не менее, у пользователя есть возможность выполнить дополнительную настройку параметров работы сторожа.

Настройки сторожа SpIDer Guard хранятся там же, где и настройки сканера Dr . Web — в соответствующей секции файла drweb32.ini.

Для изменения настроек нужно щелкнуть правой клавишей мыши значок SpIDer Guard в Панели задач и выбрать строку «Настройки SpIDer Guard ». Можно также щелкнуть этот значок дважды левой кнопкой мыши.

На рис. 13-2 мы показали окно настройки параметров сторожа SpIDer Guard , открытое на вкладке «Проверка».

Рис. 13-2. Окно Настройки SpIDer Guard

Некоторые настройки рекомендуется изменять только опытным пользователям, так как в случае ошибки такое изменение может привести к ослаблению защиты. Например, можно настроить сторож SpIDer Guard так, чтобы он проверял только вновь создаваемые файлы, а также только запускаемые и открываемые на чтение файлы.

Сторож SpIDer Guard может использовать все режимы проверки файлов, доступные сканеру Dr . Web

Пользователь может отключить в стороже SpIDer Guard эвристический анализатор, сняв отметку с флажка «Эвристический анализ».

Однако следует учесть, что режим использования эвристического анализатора и режим контроля вирусной активности позволяют сторожу SpIDer Guard обнаруживать неизвестные вирусы.

При необходимости можно отключить автоматический запуск сторожа SpIDer Guard . Для этого нужно снять соответствующий флажок на вкладке «Проверка» окна настройки параметров

Настройки сторожа SpIDer Guard могут влиять на общую производительность системы.

Например, один из режимов работы сторожа SpIDer Guard приводит к двукратной проверке файлов при совместном использовании сторожа со сканером Dr . Web . Это происходит при установленном флажке «Запуск и открытие», когда проверяются все открываемые на чтение файлы и запускаемые программы.

Для повышения производительности работы системы можно использовать режим проверки «Оптимальный» сторожа SpIDer Guard . В этом режиме на постоянно установленных дисках проверяются только создаваемые или изменяемые файлы, на сменных дисках и сетевых дисках проверяются все открываемые файлы. Таким образом, файлы на постоянных дисках проверяются однократно в момент их создания (или изменения).

Также можно отменить проверку сторожем SpIDer Guard запускаемых программ, ограничившись только проверкой вновь создаваемых и изменяемых файлов. Так происходит в режиме «Создание и запись».

Если на компьютере установлены программы, использующие характерную для вирусов технологию доступа к файлам, сторож SpIDer Guard может блокировать их работу. Чтобы этого избежать, может потребоваться отключение режима «Защита системного ядра».

Сторож SpIDer Guard может проверять дискеты, оставленные в дисководе. Для этого нужно включить режим «Проверка загрузочной дискеты»

Сторож SpIDer Guard соответствующим образом реагирует на зараженные или подозрительные объекты. При этом реакции стороже отличаются от реакций сканера Dr . Web . Настройки SpIDer Guard не предусматривают возможности запроса пользователю при установленной реакции в виде лечения, удаления, переименования, перемещения файлов, а также запрещения операции или выключения системы. Эти действия выполняются скрытым от пользователя образом.

Если компьютер оборудован звуковым адаптером, можно настроить сторож SpIDer Guard так, чтобы он информировал пользователя о вирусном заражении звуковым сигналом. Для этого в настройках нужно отметить флажок «Звуки».

Сторож SpIDer Guard может немедленно завершить работу Windows при обнаружении вируса. Это происходит при включении реакции на заражение «Останов»

Заметим, что сторож SpIDer Guard не может автоматически вылечивать архивы. Зараженные архивы можно автоматически удалять, если настроить реакцию сторожа соответствующим образом, или лечить вручную при помощи сканера. При лечении сканером архив необходимо предварительно распаковать.

В файле spider . log сторож SpIDer Guard отчет о своей работе, который можно использовать для анализа.

Сторож SpIDer Guard позволяет настраивать пути к антивирусным базам данных

Обнаружение вирусов

При обнаружении вирусов сторож SpIDer Guard приостанавливает работу приложения и поступает с зараженным или подозрительным файлом так, как предопределено в настройках SpIDer Guard .

Если сторож SpIDer Guard вывел на экран диалоговое окно с сообщением об обнаружении вируса в обычном (не архивном) файле, пользователь может немедленно остановить работу Windows , игнорировать, заблокировать приложению доступ к файлу, вылечить, переименовать, переместить или удалить файл.

Если же вирус был обнаружен в архивном файле или в почтовом ящике, пользователь может немедленно остановить работу Windows , игнорировать, а также заблокировать приложению доступ к файлу.

Если сторож SpIDer Guard обнаружил вирус в открываемом файле, рекомендуется остановить систему, нажав на кнопку «Выключить», и произвести максимально тщательную проверку всех жестких дисков при помощи сканера Dr.Web

Версия сторожа для операционной системы Microsoft Windows 95/98/ ME может отображать в консольном окне драйвера сообщение об обнаруженном вирусе.

Эта версия сторожа может также отображать в консольном окне драйвера сообщение об обнаружении несанкционированного доступа к приложению.

Особенности версии сторожа SpIDer Guard для Windows NT/2000/ XP

Для работы в ОС Microsoft 95/98/ ME и Microsoft Windows NT/2000/ XP используются различные версии сторожа SpIDer Guard . В этом разделе мы рассмотрим особенности версии сторожа SpIDer Guard для ОС Microsoft Windows NT/2000/ XP .

Администратор ОС Microsoft Windows NT/2000/ XP может запретить обычным пользователям изменение настроек сторожа SpIDer Guard для Windows NT/2000/ XP . Для этого он должен запретить пользователям доступ запуск элемента Панели управления, через который изменяется конфигурация сторожа.

Также существуют настройки сторожа SpIDer Guard для Windows NT/2000/ XP , доступные только администратору. Это настройки, выполняемые через элемент Панели управления SpIDer Guard .

Сторож SpIDer Guard для Windows NT /2000/ XP может запускаться в ручном и автоматическом режиме

Если пользователь сторожа SpIDer Guard для Windows NT /2000/ XP выполняет какие-либо безопасные операции с файлами большого объема (например, установка программ с компакт-дисков), он может временно приостановить работу сторожа.

Чтобы разрешить пользователям настраивать параметры сторожа SpIDer Guard для Windows NT/2000/ XP , он должен отметить флажок «Показывать иконку SpIDer Guard в системном трее»

Также пользователь может временно отключить проверку сторожем SpIDer Guard для Windows NT/2000/ XP файлов на сетевых дисках. Для этого он должен установить в настройках флажок «Запретить работу с сетью».

В современных компьютерах, как правило, устанавливается оперативная память большого объема. Для повышения эффективности работы сторожа SpIDer Guard для Windows NT/2000/ XP за счет большего использования оперативной памяти можно настроить параметр с названием «Размер списка проверяемых файлов». Он задает целое число, указывающее, для какого количества файлов следует зарезервировать память.

Если настроить соответствующим образом параметры на вкладке «Уведомления» диалогового окна настройки, сторож SpIDer Guard для Windows NT/2000/ XP сможет рассылать сообщения об обнаружении вирусного заражения по электронной почте и локальной сети Microsoft .

Для рассылки сообщений об обнаружении вирусного заражения по электронной почте используется сетевой протокол SMTP . При этом сторож SpIDer Guard для Windows NT/2000/ XP может рассылать сообщения о вирусном заражении сразу по нескольким адресам электронной почты.

Сторож SpIDer Guard для Windows NT/2000/ XP может работать с любыми типами файловых систем, допустимых в Windows NT/2000/ XP .

При этом он в состоянии проверять тома, если им не назначена буква диска, а также проверять сетевые ресурсы UNC

Некоторые возможности реализованы только в версии сторожа для ОС Microsoft Windows 95/98/ ME , но отсутствуют в версии сторожа SpIDer Guard для Windows NT/2000/ XP .

В частности, сторож SpIDer Guard для Windows NT/2000/ XP не может проверять загрузочный дисковод при завершении работы системы, а также немедленно завершить работу ОС при обнаружении вируса. Эти возможности имеется только в стороже SpIDer Guard для Windows 95/98/ ME .

Кроме того, в стороже SpIDer Guard для Windows NT/2000/ XP не используется подсистема контроля вирусной активности, предусмотренная в стороже SpIDer Guard для Windows 95/98/ ME .

Справочная система программы

Сторож SpIDer Guard для Windows снабжен электронной справочной системой.

Пользователь может получить контекстно-зависимую справку о текущем окне в стороже SpIDer Guard для Windows . Для этого следует нажать клавишу F 1.

Чтобы узнать версию сторожа SpIDer Guard для Windows , антивирусного ядра, размер вирусной базы данных, а также получить другую общую информацию о программе, нужно щелкнуть правой клавишей мыши значок SpIDer Guard в Панели задач, а затем выбрать в открывшемся меню пункт «О программе».

Итоги

На этом уроке мы изучили сторож SpIDer Guard , способный обнаруживать вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализировать проявления вирусной активности.

Мы рассказали об особенностях и настройки двух версий сторожа — для ОС Windows 95/98/ Me и Windows NT /2000/ XP .

Были рассмотрены действия, предпринимаемые сторожем SpIDer Guard при обнаружении вирусов и других вредоносных программных объектов, а также описаны способы работы со справочной системой сторожа.

SpIDer G3

Содержание

Общее представление

SpIDer Guard G3 файловый монитор для современных ОС Windows пришедший на замену SpIDer Guard® для старых 32 битных ОС Windows.

1. spiderg3.sys – бут-драйвер, мини-фильтр файловой системы работающий на 32- и 64 -битных ОС

2. запускается одним из первых на начальном этапе загрузки ОС

3. отслеживает и запоминает активность (запуск процессов, загрузку модулей, файловые манипуляции. ) всех процессов с самого начала загрузки ОС

4. блокирует доступ к файлам по запросу клиента

Настройки SpIDer Guard G3

Все настройки SpIDer Guard G3 хранятся в реестре, в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings

и при изменении влияют на всю систему.

Основные настройки

параметр позволяет указать каталог в котором находится лицензионный ключ. Обычно это каталог установки антивируса.

параметр позоляет указать для SpIDerG3, конкретный лицензионный ключ. Параметр устарел и не используется, заменен на Core/LicensePath

включает/отключает использование SE второй копии своего процесса (сторожевого пса). Вторая копия при запуске подключается к основному процессу SE как отладчик и контролирует его работу. При активном сторожевом псе, невозможно подключиться к SE отладчиком и перехватить на себя управление.

параметр позволяет ограничивать для спайдера кол-во используемых антивирусных движков.

параметр позволяет ограничивать для спайдера кол-во используемых ядер процессора, на многоядерных системах. при 0-значении кол-во используемых ядер расчитывается исходя из конфигурации железа или ОС

Core/Limit/BgScan=dword :[кол-во потоков:0]

параметр позволяет ограничивать кол-во потоков используемых для фонового сканирования (BG)

Настройки действий

позволяет настроить выполняемые действия для различных видов угроз.

0 – информировать, 1 – лечить, 2 – в карантин, 4 – удалить, 8 – игнорировать

Настройки логирования

параметр задает полный путь к лог-файлу спайдера

влючает/откючает буфферизированный вывод (когда строки в лог пишутся не сразу, а сначала накапливаются в памяти) в лог

включает/отключает детализированный вывод в лог

включает/выключает отладочный вывод в лог

Log/SizeInKB=dword:[размер в кб]

параметр задает допустимый размер файла лога. при указании -1 лог не лимитирован. При указании – 0 лог не ведется.

включает/отключает вывод в лог информацию о архивах и их содержимом

включает/отключает вывод в лог информацию о упаковщиках и их содержимом

включает/отключает вывод в лог информацию о чистых проверенных файлах

включает/отключает вывод в лог милисекунд

включает/отключает вывод в лог информацию о исключенных из проверки файлов

Настройки проверки объектов

включает/отключает использование эвристики при проверки файлов движком. Отключать не рекомендуется.

включает/отключает проверку архивов в спайдере. Крайне не рекомендуется включать данную опцию.

включает/отключает проверку инсталляторов (кроме BINARES контейнеров) в спайдере.

включает/отключает проверку почтовых файлов и баз в спайдере. Крайне не рекомендуется включать данную опцию.

включает/отключает проверку запускаемых процессов и модулей спайдером. Отлкючать не рекомендуется.

включает/отключает проверку на чтение и запись файлов на сменных носителях спайдером. Отключать не рекомендуется.

Запускаемые процессы и модули на сменных носителеях проверяются независимо от состояния опции.

включает/отключает проверку на чтение файлов с сетевых дисков и ресурсов спайдером.

Запускаемые процессы и модули на сетевых дисках и ресурсах проверяются независимо от состояния опции.

Настройки карантина

параметр включает/отключает создание в карантине резервной копии файла, при любой манипуляции с файлом (изменение/удаление). Отключать не рекомендуется.

задает максимальный размер карантина для использования спайдером, в процентах от размера диска. По умолчанию 10%.

задает период, указывающий как долго хранить файлы в карантине. По умолчанию 30 дней.

Лимиты на проверку

Данный набор параметр предназначен для возможной оптимизации проверки. Любые изменения данных параметров приводят к ослаблению безопасности. Без крайней необходимости менять их не стоит.

данный параметр позволяет ограничивать максимальное время на проверку одного файла спайдером. Параметр задается в миллисекундах. При 0-значении лимита на время проверки нет.

позволяет установить лимит на кол-во итераций распаковки упаковщиков, файла движком. По умолчанию 1000 итераций.

позволяет установить лимит на кол-во уровней распаковки архива, файла движком. По умолчанию 16 уровней.

данный параметр позволяет ограничивать максимальный размер проверяемого архива спайдером. Параметр задается в Кб.

параметр позволяет установить лимит на кол-во итераций лечения файла. По умолчанию используется значение от самого SE и равное 500.

Управление ресурсами системы

позволяет задать процент доступных ресурсов для высокоприоритетного сканирования (запуск процессов, загрузка модулей). По умолчанию 0.

позволяет задать процент доступных ресурсов для обычного сканирования (проверка файлов). По умолчанию 0.

позволяет задать процент доступных ресурсов для низкоприоритетного сканирования ( фоновая проверка, рескан после обновления баз). По умолчанию 100.

Значения данных параметров задаются от 0 до 100.

0 – используются все доступные ресурсы системы, 100 – работает только при простое системы

Дополнительные параметры проверки

при значении 1, проверка процессов происходит в момент создания процесса или в момент загрузки модуля в процес, сам процесс заблокирован в момент проверки. При 0-значении запускаемые процессы и загрузка модулей не блокируется спайдером, и их проверка осуществялется в фоновом режиме. По молчанию 1 и менять не рекомендуется, т.к. Снижает безопасность.

включает/отключает пересканирование файлов всех загруженных процессов и модулей, при обновлении баз спайдером.

включает/отключает блокировку файлов autorun.inf в корне дисков сменных носителей.

включает/отключает параноидальный режим проверки в спайдере. При включенной опции любое обращение к файлу будет заблокировано и проверено спайдером. Не рекомендуется включать, т.к. существенно увеличивает назгрузку на систему.

Исключения файлов и процессов

Данные разделы реестра служат для добавления различных типов исключений в спайдере.

Параметры имеют вид:

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Files]

в данный раздел добавляются файлы и маски которые следует исключить из проверки спайдером.

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths]

в данный раздел добавляются пути которые следует исключить из проверки спайдером.

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Processes]

данный раздел наиболее опасен, но позволяет задействовать мощную возможность спайдера. Здесь можно задать список файлов процессов для которых спайдер будет игнорировать любую активность данного процесса. Очень действенное средство для избавления от конфликтов.

Теперь, любые манипуляции с файлами, процессом запущенным из c:\windows\system32\notepad.exe будут игнорироваться спайдером и не попадать на проверку.

Исключения на размер проверяемых объектов

Данный набор опции позволяет тонко настроить ограничения на проверку различных типов файлов, что гораздо безопаснее чем исключения по имени или маске. Размер задается в КБ.

Системные исключения

включает/отключает игнорировнаие проверки спеуциальных системных путей и файлов, согласно рекомендации Microsoft. Набор строк и файлов зависит от версии ОС, типа ОС (рабочая станция, сервер, контролер домена. ). Включение данной опции позволяет избавится от возможных конфликтов и снижения производительности на высокопроизводительных серверах и контролерах домена.

позволяет исключить из проверки файлы базы данных префетчера, это база данных создается системой, и служит для ускорения повторного запуска приложений Включение данной опции в некоторых случаях может повысить производительность системы.

позволяет исключить из проверки файлы базы данных службы индексирования. Это служебная служба для индексирования файлов на дисках. Включение данной опции может повысить производительность системы при условии что в ОС включено индексирование файлов.