Spider guard для серверов windows

Василий Севостьянов, 06/05/24

Функциональная роль систем автоматизированного управления технологическим процессом (АСУ ТП) на объектах критической инфраструктуры и промышленных предприятиях делает их мишенью для сложных комплексных кибератак, а также несанкционированного внутреннего вмешательства. Dr.Web Industrial предоставляет защиту серверов и рабочих станций в системах управления промышленными процессами

Автор: Василий Севостьянов, начальник отдела технического сопровождения продаж ООО “Доктор Веб”

Картинка с сайта: www.itsec.ru

В отличие от корпоративного сегмента, где акцент, как правило, сделан на защите данных, в АСУ ТП приоритетом является обеспечение непрерывности и стабильности технологических процессов. Специфика защиты промышленного сегмента обусловлена возрастающей угрозой кибератак, направленных на нарушение его нормального функционирования.

Это означает, что системы защиты АСУ ТП должны быть спроектированы с упором на минимальное воздействие на работу производства, но в то же время предоставляя эффективную защиту от возможных угроз.

Применение современных антивирусных решений, а также систем мониторинга безопасности позволяет обнаруживать и предотвращать инциденты. Как раз таким решением является Dr.Web Industrial.

Что делает Dr.Web Industrial

Dr.Web Industrial разработан для защиты системной памяти, жестких дисков и съемных носителей компьютеров, работающих в промышленном сегменте под управлением операционных систем Windows и Linux, от угроз любого типа: вирусов, шифровальщиков, руткитов, троянских программ, шпионского и рекламного ПО, хакерских утилит и других вредоносных объектов из любых внешних источников.

Одной из особенностей Dr.Web Industrial является режим функционирования, в котором обнаружение подозрительной активности не приводит к остановке непрерывного технологического процесса.

Решение состоит из нескольких модулей, каждый из которых реализует свой аспект функциональности. Базовыми компонентами являются антивирусное ядро и вирусные базы, которые нетребовательны к системным ресурсам, ведь особенностью технологического сегмента является длительный срок эксплуатации и низкий темп внедрения инноваций, в результате чего там все еще много старых Windows. Одним из приоритетов для Dr.Web Industrial является поддержка старых ОС, начиная с Windows XP и Windows Server 2003.

В последние годы мы также наблюдаем в отрасли постепенное смещение приоритетов в сторону импортозамещения и более широкого применения Linux-подобных систем. Полная поддержка Linux является важным приоритетом для Dr. Web Industrial.

Компоненты продукта постоянно обновляются, а вирусные базы регулярно дополняются новыми сигнатурами. Для дополнительной защиты от неизвестного вредоносного программного обеспечения используются методы эвристического анализа, реализованные в антивирусном ядре.

Dr.Web Industrial способен обнаруживать и удалять с компьютера нежелательные программы, включая рекламные программы, программы дозвона, программы-шутки, потенциально опасное ПО, программы взлома. Для обнаружения таких вредоносов и совершения действий над содержащими их файлами применяются стандартные средства антивирусных компонентов Dr.Web. Это базовая функциональность.

Но ключевые особенности в Dr.Web Industrial формируют другие модули:

• монитор файловой системы SpIDer Guard;
• компонент защиты от вымогателей;
• модуль поведенческого анализа.

Разберем их более детально.

SpIDer Guard: постоянная защита файловой системы

SpIDer Guard – это монитор файловой системы, он защищает компьютер в режиме реального времени и предотвращает его заражение. SpIDer Guard стартует при загрузке ОС и проверяет все файлы при их открытии, запуске или изменении, а также отслеживает поведение запущенных процессов.

Контроль мониторинга работы с файлами может быть настроен в один из трех режимов.

1. Обычный (он установлен по умолчанию), когда отслеживаются операции доступа к файлам (создание, открытие, закрытие и запуск файла): запрашивается проверка файла, доступ к которому был осуществлен, и по ее результатам, если обнаружена угроза, применяются действия по ее нейтрализации. До окончания проверки доступ к файлу со стороны приложений не ограничивается.
2. Усиленный контроль исполняемых файлов. Для файлов, не считающихся исполняемыми, мониторинг ведется в обычном режиме. Но для файлов, считающихся исполняемыми, при попытке доступа SpIDer Guard блокирует запрошенную операцию доступа до тех пор, пока не станут известны результаты проверки файла на наличие угроз.
3. «Параноидальный» режим блокирует запрошенную операцию до тех пор, пока не станут известны результаты проверки на наличие угроз.

При настройках по умолчанию SpIDer Guard на лету проверяет на жестком диске только создаваемые или изменяемые файлы, но на съемных носителях проверяются все открываемые файлы. Кроме того, постоянно отслеживаются действия запущенных процессов на предмет выявления поведения, характерного для вирусов, и при необходимости блокирует эти процессы.

По умолчанию SpIDer Guard запускается автоматически при каждом старте операционной системы и не может быть выгружен в течение текущего сеанса работы.

Входящий в состав Dr.Web Антируткит позволяет в фоновом режиме проводить проверку операционной системы на наличие сложных угроз и сигнализировать при их обнаружении.

При включении данной настройки Антируткит Dr.Web будет постоянно находиться в памяти. В отличие от проверки файлов на лету, проводимой компонентом SpIDer Guard, поиск руткитов производится в системном BIOS компьютера и таких критических областях, как объекты автозагрузки, запущенные процессы и модули, оперативная память и др.

Одним из ключевых критериев работы Антируткита Dr.Web является бережное потребление ресурсов операционной системы (процессорного времени, свободной оперативной памяти и др.) с учетом мощности аппаратного обеспечения.

Превентивная защита от вымогателей

Компонент «Защита от вымогателей» позволяет отслеживать процессы, которые пытаются зашифровать пользовательские файлы по известному алгоритму, свидетельствующему о том, что такие процессы являются угрозой безопасности компьютера. К таким процессам относятся троянцы-шифровальщики, которые блокируют доступ к данным, после чего вымогают деньги за расшифровку.

Шифровальщики являются одними из самых распространенных вредоносных программ и ежегодно приносят большие убытки как компаниям, так и обычным пользователям. Основной путь заражения – почтовые рассылки, содержащие вредоносный файл или ссылку на вирус.

Причем, по статистике компании «Доктор Веб», расшифровка поврежденных троянцем файлов возможна только в 10% случаев, поэтому наиболее эффективный метод борьбы с ними – предотвратить заражение. В последнее время число пользователей, пострадавших от данного типа вирусов, не только не снижается – оно увеличивается! Количество запросов в службу технической поддержки компании «Доктор Веб» на расшифровку данных идет на сотни, а иногда и на тысячи в месяц.

Компонент «Защита от вымогателей» анализирует поведение подозрительных процессов, обращая внимание, в частности, на поиск файлов, чтение и попытки их модификации.

Проверяются также следующие характеристики приложения:

• является ли приложение новым;
• как оно попало в систему;
• где приложение расположено;
• как оно называется;
• является ли приложение доверенным;
• есть ли у него действительная цифровая подпись от доверенного центра сертификации.

Проверяется также характер запрашиваемой модификации файлов. При обнаружении признаков поведения вредоносной программы действия попытки модификации файлов со стороны проанализированного приложения блокируются.

Превентивная защита: поведенческий анализ

Компонент «Поведенческий анализ» позволяет настроить реакцию Dr.Web Industrial на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные ветки системного реестра. При включении этого компонента программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами.

Сигнатурный анализ и Origins Tracing

В Dr.Web Industrial в качестве метода обнаружения в первую очередь применяется обычный сигнатурный анализ. Он основан на поиске в содержимом анализируемого объекта сигнатур уже известных угроз. Причем записи в вирусных базах Dr.Web составлены таким образом, что благодаря одной и той же записи можно обнаруживать целые классы или семейства угроз.

Но также в решении реализован метод Origins Tracing – это уникальная технология Dr.Web, которая позволяет определить новые или модифицированные угрозы, использующие уже известные и описанные в вирусных базах механизмы заражения или вредоносное поведение. Она выполняется после сигнатурного анализа, позволяя выявить более «тонкие» угрозы. Использование технологии Origins Tracing позволяет значительно снизить количество ложных срабатываний эвристического анализатора.

Применение машинного обучения

Для поиска и нейтрализации вредоносных объектов, которых еще нет в вирусных базах, используется машинное обучение, причем распознавание вредоносного кода проводится без его исполнения, только на основе его метахарактеристик.

Обнаружение угроз строится на классификации вредоносных объектов согласно определенным признакам. С помощью технологии машинного обучения, основанной на методе опорных векторов, происходит классификация и запись в базу фрагментов кода сценарных языков. Затем проверяемые объекты анализируются на основе соответствия признакам вредоносного кода.

Технология машинного обучения автоматизирует обновление списка данных признаков и пополнение вирусных баз. Это существенно экономит ресурсы операционной системы, так как не требует исполнения анализируемого кода, а динамическое машинное обучение классификатора может осуществляться и без постоянного обновления вирусных баз, которое используется при сигнатурном анализе.

Заключение

АСУ ТП, как правило, оперируют в промышленных средах, где присутствуют физические узлы и компоненты, требующие специального внимания при проектировании системы защиты. Наличие специфического оборудования и технологических процессов требует особого подхода к анализу угроз и реализации мер по защите.

Полностью российское решение Dr.Web Industrial учитывает эти особенности и позволяет обнаруживать подозрительную активность на серверах и рабочих станциях внутри промышленного сегмента сети, не приводя к остановке непрерывного технологического процесса.

Урок 13. Сторож SpIDer Guard

Сканер Dr . Web для Windows выполняет антивирусные проверки по явному запросу пользователя или по расписанию. Что же касается сторожа SpIDer Guard , то он предназначен для проверки всех открываемых файлов.

Пользователь не должен запускать программу сторожа SpIDer Guard каждый раз для выполнения антивирусной проверки. Сторож SpIDer Guard постоянно находится в памяти компьютера (рис. 13-1), обнаруживает вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализирует проявления вирусной активности.

Рис. 13-1. Значок SpIDer Guard в панели задач

Заметим, что для ОС Windows 95/98/ Me и Windows NT /2000/ XP существуют отдельные версии сторожа. В настоящее время сторож SpIDer Guard не может работать на серверах Windows NT/2000/ XP .

Сторож SpIDer Guard способен обнаружить неизвестные вирусы. Для этого он использует эвристический анализатор, а также технологию SpIDer — Netting

Настройка сторожа SpIDer Guard

Как и все программы пакета Dr . Web для Windows , сторож SpIDer Guard можно с успехом использовать с настройками по умолчанию. Тем не менее, у пользователя есть возможность выполнить дополнительную настройку параметров работы сторожа.

Настройки сторожа SpIDer Guard хранятся там же, где и настройки сканера Dr . Web — в соответствующей секции файла drweb32.ini.

Для изменения настроек нужно щелкнуть правой клавишей мыши значок SpIDer Guard в Панели задач и выбрать строку «Настройки SpIDer Guard ». Можно также щелкнуть этот значок дважды левой кнопкой мыши.

На рис. 13-2 мы показали окно настройки параметров сторожа SpIDer Guard , открытое на вкладке «Проверка».

Картинка с сайта: elcebador.ru

Рис. 13-2. Окно Настройки SpIDer Guard

Некоторые настройки рекомендуется изменять только опытным пользователям, так как в случае ошибки такое изменение может привести к ослаблению защиты. Например, можно настроить сторож SpIDer Guard так, чтобы он проверял только вновь создаваемые файлы, а также только запускаемые и открываемые на чтение файлы.

Сторож SpIDer Guard может использовать все режимы проверки файлов, доступные сканеру Dr . Web

Пользователь может отключить в стороже SpIDer Guard эвристический анализатор, сняв отметку с флажка «Эвристический анализ».

Однако следует учесть, что режим использования эвристического анализатора и режим контроля вирусной активности позволяют сторожу SpIDer Guard обнаруживать неизвестные вирусы.

При необходимости можно отключить автоматический запуск сторожа SpIDer Guard . Для этого нужно снять соответствующий флажок на вкладке «Проверка» окна настройки параметров

Настройки сторожа SpIDer Guard могут влиять на общую производительность системы.

Например, один из режимов работы сторожа SpIDer Guard приводит к двукратной проверке файлов при совместном использовании сторожа со сканером Dr . Web . Это происходит при установленном флажке «Запуск и открытие», когда проверяются все открываемые на чтение файлы и запускаемые программы.

Для повышения производительности работы системы можно использовать режим проверки «Оптимальный» сторожа SpIDer Guard . В этом режиме на постоянно установленных дисках проверяются только создаваемые или изменяемые файлы, на сменных дисках и сетевых дисках проверяются все открываемые файлы. Таким образом, файлы на постоянных дисках проверяются однократно в момент их создания (или изменения).

Также можно отменить проверку сторожем SpIDer Guard запускаемых программ, ограничившись только проверкой вновь создаваемых и изменяемых файлов. Так происходит в режиме «Создание и запись».

Если на компьютере установлены программы, использующие характерную для вирусов технологию доступа к файлам, сторож SpIDer Guard может блокировать их работу. Чтобы этого избежать, может потребоваться отключение режима «Защита системного ядра».

Сторож SpIDer Guard может проверять дискеты, оставленные в дисководе. Для этого нужно включить режим «Проверка загрузочной дискеты»

Сторож SpIDer Guard соответствующим образом реагирует на зараженные или подозрительные объекты. При этом реакции стороже отличаются от реакций сканера Dr . Web . Настройки SpIDer Guard не предусматривают возможности запроса пользователю при установленной реакции в виде лечения, удаления, переименования, перемещения файлов, а также запрещения операции или выключения системы. Эти действия выполняются скрытым от пользователя образом.

Если компьютер оборудован звуковым адаптером, можно настроить сторож SpIDer Guard так, чтобы он информировал пользователя о вирусном заражении звуковым сигналом. Для этого в настройках нужно отметить флажок «Звуки».

Сторож SpIDer Guard может немедленно завершить работу Windows при обнаружении вируса. Это происходит при включении реакции на заражение «Останов»

Заметим, что сторож SpIDer Guard не может автоматически вылечивать архивы. Зараженные архивы можно автоматически удалять, если настроить реакцию сторожа соответствующим образом, или лечить вручную при помощи сканера. При лечении сканером архив необходимо предварительно распаковать.

В файле spider . log сторож SpIDer Guard отчет о своей работе, который можно использовать для анализа.

Сторож SpIDer Guard позволяет настраивать пути к антивирусным базам данных

Обнаружение вирусов

При обнаружении вирусов сторож SpIDer Guard приостанавливает работу приложения и поступает с зараженным или подозрительным файлом так, как предопределено в настройках SpIDer Guard .

Если сторож SpIDer Guard вывел на экран диалоговое окно с сообщением об обнаружении вируса в обычном (не архивном) файле, пользователь может немедленно остановить работу Windows , игнорировать, заблокировать приложению доступ к файлу, вылечить, переименовать, переместить или удалить файл.

Если же вирус был обнаружен в архивном файле или в почтовом ящике, пользователь может немедленно остановить работу Windows , игнорировать, а также заблокировать приложению доступ к файлу.

Если сторож SpIDer Guard обнаружил вирус в открываемом файле, рекомендуется остановить систему, нажав на кнопку «Выключить», и произвести максимально тщательную проверку всех жестких дисков при помощи сканера Dr.Web

Версия сторожа для операционной системы Microsoft Windows 95/98/ ME может отображать в консольном окне драйвера сообщение об обнаруженном вирусе.

Эта версия сторожа может также отображать в консольном окне драйвера сообщение об обнаружении несанкционированного доступа к приложению.

Особенности версии сторожа SpIDer Guard для Windows NT/2000/ XP

Для работы в ОС Microsoft 95/98/ ME и Microsoft Windows NT/2000/ XP используются различные версии сторожа SpIDer Guard . В этом разделе мы рассмотрим особенности версии сторожа SpIDer Guard для ОС Microsoft Windows NT/2000/ XP .

Администратор ОС Microsoft Windows NT/2000/ XP может запретить обычным пользователям изменение настроек сторожа SpIDer Guard для Windows NT/2000/ XP . Для этого он должен запретить пользователям доступ запуск элемента Панели управления, через который изменяется конфигурация сторожа.

Также существуют настройки сторожа SpIDer Guard для Windows NT/2000/ XP , доступные только администратору. Это настройки, выполняемые через элемент Панели управления SpIDer Guard .

Сторож SpIDer Guard для Windows NT /2000/ XP может запускаться в ручном и автоматическом режиме

Если пользователь сторожа SpIDer Guard для Windows NT /2000/ XP выполняет какие-либо безопасные операции с файлами большого объема (например, установка программ с компакт-дисков), он может временно приостановить работу сторожа.

Чтобы разрешить пользователям настраивать параметры сторожа SpIDer Guard для Windows NT/2000/ XP , он должен отметить флажок «Показывать иконку SpIDer Guard в системном трее»

Также пользователь может временно отключить проверку сторожем SpIDer Guard для Windows NT/2000/ XP файлов на сетевых дисках. Для этого он должен установить в настройках флажок «Запретить работу с сетью».

В современных компьютерах, как правило, устанавливается оперативная память большого объема. Для повышения эффективности работы сторожа SpIDer Guard для Windows NT/2000/ XP за счет большего использования оперативной памяти можно настроить параметр с названием «Размер списка проверяемых файлов». Он задает целое число, указывающее, для какого количества файлов следует зарезервировать память.

Если настроить соответствующим образом параметры на вкладке «Уведомления» диалогового окна настройки, сторож SpIDer Guard для Windows NT/2000/ XP сможет рассылать сообщения об обнаружении вирусного заражения по электронной почте и локальной сети Microsoft .

Для рассылки сообщений об обнаружении вирусного заражения по электронной почте используется сетевой протокол SMTP . При этом сторож SpIDer Guard для Windows NT/2000/ XP может рассылать сообщения о вирусном заражении сразу по нескольким адресам электронной почты.

Сторож SpIDer Guard для Windows NT/2000/ XP может работать с любыми типами файловых систем, допустимых в Windows NT/2000/ XP .

При этом он в состоянии проверять тома, если им не назначена буква диска, а также проверять сетевые ресурсы UNC

Некоторые возможности реализованы только в версии сторожа для ОС Microsoft Windows 95/98/ ME , но отсутствуют в версии сторожа SpIDer Guard для Windows NT/2000/ XP .

В частности, сторож SpIDer Guard для Windows NT/2000/ XP не может проверять загрузочный дисковод при завершении работы системы, а также немедленно завершить работу ОС при обнаружении вируса. Эти возможности имеется только в стороже SpIDer Guard для Windows 95/98/ ME .

Кроме того, в стороже SpIDer Guard для Windows NT/2000/ XP не используется подсистема контроля вирусной активности, предусмотренная в стороже SpIDer Guard для Windows 95/98/ ME .

Справочная система программы

Сторож SpIDer Guard для Windows снабжен электронной справочной системой.

Пользователь может получить контекстно-зависимую справку о текущем окне в стороже SpIDer Guard для Windows . Для этого следует нажать клавишу F 1.

Чтобы узнать версию сторожа SpIDer Guard для Windows , антивирусного ядра, размер вирусной базы данных, а также получить другую общую информацию о программе, нужно щелкнуть правой клавишей мыши значок SpIDer Guard в Панели задач, а затем выбрать в открывшемся меню пункт «О программе».

Итоги

На этом уроке мы изучили сторож SpIDer Guard , способный обнаруживать вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализировать проявления вирусной активности.

Мы рассказали об особенностях и настройки двух версий сторожа — для ОС Windows 95/98/ Me и Windows NT /2000/ XP .

Были рассмотрены действия, предпринимаемые сторожем SpIDer Guard при обнаружении вирусов и других вредоносных программных объектов, а также описаны способы работы со справочной системой сторожа.

SpIDer G3

Содержание

Общее представление

SpIDer Guard G3 файловый монитор для современных ОС Windows пришедший на замену SpIDer Guard® для старых 32 битных ОС Windows.

1. spiderg3.sys – бут-драйвер, мини-фильтр файловой системы работающий на 32- и 64 -битных ОС

2. запускается одним из первых на начальном этапе загрузки ОС

3. отслеживает и запоминает активность (запуск процессов, загрузку модулей, файловые манипуляции. ) всех процессов с самого начала загрузки ОС

4. блокирует доступ к файлам по запросу клиента

Настройки SpIDer Guard G3

Все настройки SpIDer Guard G3 хранятся в реестре, в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings

и при изменении влияют на всю систему.

Основные настройки

параметр позволяет указать каталог в котором находится лицензионный ключ. Обычно это каталог установки антивируса.

параметр позоляет указать для SpIDerG3, конкретный лицензионный ключ. Параметр устарел и не используется, заменен на Core/LicensePath

включает/отключает использование SE второй копии своего процесса (сторожевого пса). Вторая копия при запуске подключается к основному процессу SE как отладчик и контролирует его работу. При активном сторожевом псе, невозможно подключиться к SE отладчиком и перехватить на себя управление.

параметр позволяет ограничивать для спайдера кол-во используемых антивирусных движков.

параметр позволяет ограничивать для спайдера кол-во используемых ядер процессора, на многоядерных системах. при 0-значении кол-во используемых ядер расчитывается исходя из конфигурации железа или ОС

Core/Limit/BgScan=dword :[кол-во потоков:0]

параметр позволяет ограничивать кол-во потоков используемых для фонового сканирования (BG)

Настройки действий

позволяет настроить выполняемые действия для различных видов угроз.

0 – информировать, 1 – лечить, 2 – в карантин, 4 – удалить, 8 – игнорировать

Настройки логирования

параметр задает полный путь к лог-файлу спайдера

влючает/откючает буфферизированный вывод (когда строки в лог пишутся не сразу, а сначала накапливаются в памяти) в лог

включает/отключает детализированный вывод в лог

включает/выключает отладочный вывод в лог

Log/SizeInKB=dword:[размер в кб]

параметр задает допустимый размер файла лога. при указании -1 лог не лимитирован. При указании – 0 лог не ведется.

включает/отключает вывод в лог информацию о архивах и их содержимом

включает/отключает вывод в лог информацию о упаковщиках и их содержимом

включает/отключает вывод в лог информацию о чистых проверенных файлах

включает/отключает вывод в лог милисекунд

включает/отключает вывод в лог информацию о исключенных из проверки файлов

Настройки проверки объектов

включает/отключает использование эвристики при проверки файлов движком. Отключать не рекомендуется.

включает/отключает проверку архивов в спайдере. Крайне не рекомендуется включать данную опцию.

включает/отключает проверку инсталляторов (кроме BINARES контейнеров) в спайдере.

включает/отключает проверку почтовых файлов и баз в спайдере. Крайне не рекомендуется включать данную опцию.

включает/отключает проверку запускаемых процессов и модулей спайдером. Отлкючать не рекомендуется.

включает/отключает проверку на чтение и запись файлов на сменных носителях спайдером. Отключать не рекомендуется.

Запускаемые процессы и модули на сменных носителеях проверяются независимо от состояния опции.

включает/отключает проверку на чтение файлов с сетевых дисков и ресурсов спайдером.

Запускаемые процессы и модули на сетевых дисках и ресурсах проверяются независимо от состояния опции.

Настройки карантина

параметр включает/отключает создание в карантине резервной копии файла, при любой манипуляции с файлом (изменение/удаление). Отключать не рекомендуется.

задает максимальный размер карантина для использования спайдером, в процентах от размера диска. По умолчанию 10%.

задает период, указывающий как долго хранить файлы в карантине. По умолчанию 30 дней.

Лимиты на проверку

Данный набор параметр предназначен для возможной оптимизации проверки. Любые изменения данных параметров приводят к ослаблению безопасности. Без крайней необходимости менять их не стоит.

данный параметр позволяет ограничивать максимальное время на проверку одного файла спайдером. Параметр задается в миллисекундах. При 0-значении лимита на время проверки нет.

позволяет установить лимит на кол-во итераций распаковки упаковщиков, файла движком. По умолчанию 1000 итераций.

позволяет установить лимит на кол-во уровней распаковки архива, файла движком. По умолчанию 16 уровней.

данный параметр позволяет ограничивать максимальный размер проверяемого архива спайдером. Параметр задается в Кб.

параметр позволяет установить лимит на кол-во итераций лечения файла. По умолчанию используется значение от самого SE и равное 500.

Управление ресурсами системы

позволяет задать процент доступных ресурсов для высокоприоритетного сканирования (запуск процессов, загрузка модулей). По умолчанию 0.

позволяет задать процент доступных ресурсов для обычного сканирования (проверка файлов). По умолчанию 0.

позволяет задать процент доступных ресурсов для низкоприоритетного сканирования ( фоновая проверка, рескан после обновления баз). По умолчанию 100.

Значения данных параметров задаются от 0 до 100.

0 – используются все доступные ресурсы системы, 100 – работает только при простое системы

Дополнительные параметры проверки

при значении 1, проверка процессов происходит в момент создания процесса или в момент загрузки модуля в процес, сам процесс заблокирован в момент проверки. При 0-значении запускаемые процессы и загрузка модулей не блокируется спайдером, и их проверка осуществялется в фоновом режиме. По молчанию 1 и менять не рекомендуется, т.к. Снижает безопасность.

включает/отключает пересканирование файлов всех загруженных процессов и модулей, при обновлении баз спайдером.

включает/отключает блокировку файлов autorun.inf в корне дисков сменных носителей.

включает/отключает параноидальный режим проверки в спайдере. При включенной опции любое обращение к файлу будет заблокировано и проверено спайдером. Не рекомендуется включать, т.к. существенно увеличивает назгрузку на систему.

Исключения файлов и процессов

Данные разделы реестра служат для добавления различных типов исключений в спайдере.

Параметры имеют вид:

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Files]

в данный раздел добавляются файлы и маски которые следует исключить из проверки спайдером.

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths]

в данный раздел добавляются пути которые следует исключить из проверки спайдером.

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Processes]

данный раздел наиболее опасен, но позволяет задействовать мощную возможность спайдера. Здесь можно задать список файлов процессов для которых спайдер будет игнорировать любую активность данного процесса. Очень действенное средство для избавления от конфликтов.

Теперь, любые манипуляции с файлами, процессом запущенным из c:\windows\system32\notepad.exe будут игнорироваться спайдером и не попадать на проверку.

Исключения на размер проверяемых объектов

Данный набор опции позволяет тонко настроить ограничения на проверку различных типов файлов, что гораздо безопаснее чем исключения по имени или маске. Размер задается в КБ.

Системные исключения

включает/отключает игнорировнаие проверки спеуциальных системных путей и файлов, согласно рекомендации Microsoft. Набор строк и файлов зависит от версии ОС, типа ОС (рабочая станция, сервер, контролер домена. ). Включение данной опции позволяет избавится от возможных конфликтов и снижения производительности на высокопроизводительных серверах и контролерах домена.

позволяет исключить из проверки файлы базы данных префетчера, это база данных создается системой, и служит для ускорения повторного запуска приложений Включение данной опции в некоторых случаях может повысить производительность системы.

позволяет исключить из проверки файлы базы данных службы индексирования. Это служебная служба для индексирования файлов на дисках. Включение данной опции может повысить производительность системы при условии что в ОС включено индексирование файлов.