Электронная библиотека книг Александра Фролова и Григория Фролова.
 
Библиотека
Братьев
Фроловых
Электронная библиотека книг Александра Фролова и Григория Фролова.
Библиотека системного программиста
Программирование на JAVA
ПК. Шаг за шагом
Другие книги
Восстановление данных
Антивирусная защита
Статьи для
программистов
Пользователю компьютера
[Назад] [Содержание] [Дальше]

Антивирусная защита: Учебное пособие для защиты информационных ресурсов

(С) Александр Вячеславович Фролов, 2004

Урок 13. Сторож SpIDer Guard. 2

Настройка сторожа SpIDer Guard. 2

Обнаружение вирусов. 4

Особенности версии сторожа SpIDer Guard для Windows NT/2000/XP. 4

Справочная система программы.. 5

Итоги. 5

 

Урок 13. Сторож SpIDer Guard

Сканер Dr.Web для Windows выполняет антивирусные проверки по явному запросу пользователя или по расписанию. Что же касается сторожа SpIDer Guard, то он предназначен для проверки всех открываемых файлов.

Пользователь не должен запускать программу сторожа SpIDer Guard каждый раз для выполнения антивирусной проверки. Сторож SpIDer Guard постоянно находится в памяти компьютера (рис. 13-1), обнаруживает вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализирует проявления вирусной активности.

Рис. 13-1. Значок SpIDer Guard в панели задач

Заметим, что для ОС Windows 95/98/Me и Windows NT/2000/XP существуют отдельные версии сторожа. В настоящее время сторож SpIDer Guard не может работать на серверах Windows NT/2000/XP.

Сторож SpIDer Guard способен обнаружить неизвестные вирусы. Для этого он использует эвристический анализатор, а также технологию SpIDer-Netting

Настройка сторожа SpIDer Guard

Как и все программы пакета Dr.Web для Windows, сторож SpIDer Guard можно с успехом использовать с настройками по умолчанию. Тем не менее, у пользователя есть возможность выполнить дополнительную настройку параметров работы сторожа.

Настройки сторожа SpIDer Guard хранятся там же, где и настройки сканера Dr.Web — в соответствующей секции файла drweb32.ini.

Для изменения настроек нужно щелкнуть правой клавишей мыши значок SpIDer Guard в Панели задач и выбрать строку «Настройки SpIDer Guard». Можно также щелкнуть этот значок дважды левой кнопкой мыши.

На рис. 13-2 мы показали окно настройки параметров сторожа SpIDer Guard, открытое на вкладке «Проверка».

Рис. 13-2. Окно Настройки SpIDer Guard

Некоторые настройки рекомендуется изменять только опытным пользователям, так как в случае ошибки такое изменение может привести к ослаблению защиты. Например, можно настроить сторож SpIDer Guard так, чтобы он проверял только вновь создаваемые файлы, а также только запускаемые и открываемые на чтение файлы.

Сторож SpIDer Guard может использовать все режимы проверки файлов, доступные сканеру Dr.Web

Пользователь может отключить в стороже SpIDer Guard эвристический анализатор, сняв отметку с флажка «Эвристический анализ».

Однако следует учесть, что режим использования эвристического анализатора и режим контроля вирусной активности позволяют сторожу SpIDer Guard обнаруживать неизвестные вирусы.

При необходимости можно отключить автоматический запуск сторожа SpIDer Guard. Для этого нужно снять соответствующий флажок на вкладке «Проверка» окна настройки параметров

Настройки сторожа SpIDer Guard могут влиять на общую производительность системы.

Например, один из режимов работы  сторожа SpIDer Guard приводит к двукратной проверке файлов при совместном использовании сторожа со сканером Dr.Web. Это происходит при установленном флажке «Запуск и открытие», когда  проверяются все открываемые на чтение файлы и запускаемые программы.

Для повышения производительности работы системы можно использовать режим проверки «Оптимальный» сторожа SpIDer Guard. В этом режиме на постоянно установленных дисках проверяются только создаваемые или изменяемые файлы, на сменных дисках  и сетевых дисках проверяются все открываемые файлы. Таким образом, файлы на постоянных дисках проверяются однократно в момент их создания (или изменения).

Также можно отменить проверку сторожем SpIDer Guard запускаемых программ, ограничившись только проверкой вновь создаваемых и изменяемых файлов. Так происходит в режиме «Создание и запись».

Если на компьютере установлены программы, использующие характерную для вирусов технологию доступа к файлам, сторож SpIDer Guard может блокировать их работу. Чтобы этого избежать, может потребоваться отключение режима «Защита системного ядра».

Сторож SpIDer Guard может проверять дискеты, оставленные в дисководе. Для этого нужно включить режим «Проверка загрузочной дискеты»

Сторож SpIDer Guard соответствующим образом реагирует на зараженные или подозрительные объекты. При этом реакции стороже отличаются от реакций сканера Dr.Web. Настройки SpIDer Guard не предусматривают возможности запроса пользователю при установленной реакции в виде лечения, удаления, переименования, перемещения файлов, а также запрещения операции или выключения системы. Эти действия выполняются скрытым от пользователя образом.

Если компьютер оборудован звуковым адаптером, можно настроить сторож SpIDer Guard так, чтобы он информировал пользователя о вирусном заражении звуковым сигналом. Для этого в настройках нужно отметить флажок «Звуки».

Сторож SpIDer Guard  может немедленно завершить работу Windows при обнаружении вируса. Это происходит при включении реакции на заражение «Останов»

Заметим, что сторож SpIDer Guard не может автоматически вылечивать архивы. Зараженные архивы можно автоматически удалять, если настроить реакцию сторожа соответствующим образом, или лечить вручную при помощи сканера. При лечении сканером архив необходимо предварительно распаковать.

В файле spider.log сторож SpIDer Guard отчет о своей работе, который можно использовать для анализа.

Сторож SpIDer Guard позволяет настраивать пути к антивирусным базам данных

Обнаружение вирусов

При обнаружении вирусов сторож SpIDer Guard приостанавливает работу приложения и поступает с зараженным или подозрительным файлом так, как предопределено в настройках SpIDer Guard.

Если сторож SpIDer Guard вывел на экран диалоговое окно с сообщением об обнаружении вируса в обычном (не архивном) файле, пользователь может немедленно остановить работу Windows, игнорировать, заблокировать приложению доступ к файлу, вылечить, переименовать, переместить или удалить файл.

Если же вирус был обнаружен в архивном файле или в почтовом ящике, пользователь может немедленно остановить работу Windows, игнорировать, а также заблокировать приложению доступ к файлу.

Если сторож SpIDer Guard обнаружил вирус в открываемом файле, рекомендуется остановить систему, нажав на кнопку «Выключить», и произвести максимально тщательную проверку всех жестких дисков при помощи сканера Dr.Web

Версия сторожа для операционной системы Microsoft Windows 95/98/ME может отображать в консольном окне драйвера сообщение об обнаруженном вирусе.

Эта версия сторожа может также отображать в консольном окне драйвера сообщение об обнаружении несанкционированного доступа к приложению.

Особенности версии сторожа SpIDer Guard для Windows NT/2000/XP

Для работы в ОС Microsoft 95/98/ME и Microsoft Windows NT/2000/XP используются различные версии сторожа SpIDer Guard. В этом разделе мы рассмотрим особенности версии сторожа SpIDer Guard для ОС Microsoft Windows NT/2000/XP.

Администратор ОС Microsoft Windows NT/2000/XP может запретить обычным пользователям изменение настроек сторожа SpIDer Guard для Windows NT/2000/XP. Для этого он должен запретить пользователям доступ запуск элемента Панели управления, через который изменяется конфигурация сторожа.

Также существуют настройки сторожа SpIDer Guard для Windows NT/2000/XP, доступные только администратору. Это настройки, выполняемые через элемент Панели управления SpIDer Guard.

Сторож SpIDer Guard для Windows NT/2000/XP может запускаться в ручном и автоматическом режиме

Если пользователь сторожа SpIDer Guard для Windows NT/2000/XP выполняет какие-либо безопасные операции с файлами большого объема (например, установка программ с компакт-дисков), он может временно приостановить работу сторожа.

Чтобы разрешить пользователям настраивать параметры сторожа SpIDer Guard для Windows NT/2000/XP, он должен отметить флажок «Показывать иконку SpIDer Guard в системном трее»

Также пользователь может временно отключить проверку сторожем SpIDer Guard для Windows NT/2000/XP файлов на сетевых дисках. Для этого он должен установить в настройках флажок «Запретить работу с сетью».

В современных компьютерах, как правило, устанавливается оперативная память большого объема. Для повышения эффективности работы сторожа SpIDer Guard для Windows NT/2000/XP за счет большего использования оперативной памяти можно настроить параметр с названием «Размер списка проверяемых файлов». Он задает целое число, указывающее, для какого количества файлов следует зарезервировать память. 

Если настроить соответствующим образом параметры на вкладке «Уведомления» диалогового окна настройки, сторож SpIDer Guard для Windows NT/2000/XP сможет рассылать сообщения об обнаружении вирусного заражения по электронной почте и локальной сети Microsoft.

Для рассылки сообщений об обнаружении вирусного заражения по электронной почте используется сетевой протокол SMTP. При этом сторож SpIDer Guard для Windows NT/2000/XP может рассылать сообщения о вирусном заражении сразу по нескольким адресам  электронной почты.

Сторож SpIDer Guard для Windows NT/2000/XP может работать с любыми типами файловых систем, допустимых в Windows NT/2000/XP.

При этом он в состоянии проверять тома, если им не назначена буква диска, а также проверять сетевые ресурсы UNC

Некоторые возможности реализованы только в версии сторожа для ОС Microsoft Windows 95/98/ME, но отсутствуют в версии сторожа SpIDer Guard для Windows NT/2000/XP.

В частности, сторож SpIDer Guard для Windows NT/2000/XP не может проверять загрузочный дисковод при завершении работы системы, а также немедленно завершить работу ОС при обнаружении вируса. Эти возможности имеется только в стороже SpIDer Guard для Windows 95/98/ME.

Кроме того, в стороже SpIDer Guard для Windows NT/2000/XP не используется подсистема контроля вирусной активности, предусмотренная в стороже SpIDer Guard для Windows 95/98/ME.

Справочная система программы

Сторож  SpIDer Guard для Windows снабжен электронной справочной системой.

Пользователь может получить контекстно-зависимую справку о текущем окне в стороже SpIDer Guard для Windows. Для этого следует нажать клавишу F1.

Чтобы узнать версию сторожа SpIDer Guard для Windows, антивирусного ядра, размер вирусной базы данных, а также получить другую общую информацию о программе, нужно щелкнуть  правой клавишей мыши значок SpIDer Guard в Панели задач, а затем выбрать в открывшемся меню пункт «О программе».

Итоги

На этом уроке мы изучили сторож SpIDer Guard, способный обнаруживать вирусы в моменты открытия и закрытия файлов работающими приложениями, а также анализировать проявления вирусной активности.

Мы рассказали об особенностях и настройки двух версий сторожа — для ОС Windows 95/98/Me и Windows NT/2000/XP.

Были рассмотрены действия, предпринимаемые сторожем SpIDer Guard при обнаружении вирусов и других вредоносных программных объектов, а также описаны способы работы со справочной системой сторожа.

[Назад] [Содержание] [Дальше]


Создание интернет-магазинов: http://www.shop2you.ru/ © Александр Фролов, Григорий Фролов, 1991-2016