Dr web scan engine загружает память
Обновлено: 21.11.2024
Более 28 лет на высококонкурентном рынке антивирусных средств защиты
Давно прошли времена, когда антивирусы ловили вирусы только по сигнатурам — т. е. мастерство определения только известных вирусной базы вирусов. Современный антивирус Dr.Web — это комплекс эвристических, поведенческих и превентивных несигнатурных технологий, сочетание которых с записями в вирусных базах позволяет антивирусу обеспечивать защиту от известных и от еще неиспользование угрозы.
Несигнатуральные технологии антивирусного ядра
Компания имеет первоначальный доход — в мире лишь немногочисленный объем полученного дохода, в то время как большая часть лицензирует его у других антивирусных производителей.
Технологии превентивной защиты
По сходству поведения подозрительной программы с появлением модели поведения системы антивирусной защиты Dr.Web умеет распознавать и блокировать такие программы — даже если запись о них еще не обнаружена в вирусной базе Dr.Web.
Вирусная база Dr.Web
Чисто сигнатурные антивирусы, т.е. е. обнаруживающие вредоносные программы по вирусным базам, вымерли в 90-х годах прошлого века, когда появляются полиморфные вирусы, изменяющиеся при обнаружении и, соответственно, не обнаруживаемые по сигнатурам (кстати, именно это становится обнаруженным антивирусом Dr.Web).
Если бы и сегодня антивирус мог распознавать новые вирусы только при обнаружении записей в вирусных базах, такие базы не смогли бы разместить в своей памяти один компьютер, проверка заняла бы много времени, а быстродействие ПК было бы серьезно замедлено.
>Всемирная система обновлений
Лечение от вирусов
Антивирус не допустит заражения.
А если оно произошло — он должен лечить от уже проникших вирусных программ.
Стойкий иммунитет к публичным попыткам проникновения в россию программ приводит к тому, что Dr.Web изготавливает неиспользуемый компонент самозащиты антивирусной отрасли Dr.Web SelfPROtect.
Тестирования антивирусов
Тесты, обнаружившие обнаружение компаний и выявление конкретных случаев заражения вирусом, обнаруживаются ранее. Они не выявлены, могут быть выявлены вирусы аллергии, разработанные с расчетом на необнаружение пищевых продуктов.
Игорь Данилов, из интервью CNews
А что такое настоящий антивирус в записи?
Dr.Web для файловых серверов UNIX представляет собой продукт, состоящий из нескольких компонентов, каждый из которых имеет свой индивидуальный набор функций. Список компонентов, входящих в состав Dr.Web для файловых серверов UNIX, приведен ниже.
Демон настройки Dr.Web для файловых серверов UNIX, выполняющий следующие функции:
• Запускает и останавливает компоненты продукта в зависимости от настроек. Автоматически перезапускает компоненты в случае сбоя в их работе. Запускает компоненты по запросу других компонентов. Информирует активные компоненты о запуске или завершении работы другого компонента.
• Сохраняет информацию о существующих лицензионных ключах и настройках и предоставляет эти данные всем компонентам. Получает скорректированные настройки и лицензионные ключи от компонентов Dr.Web для файловых серверов UNIX, которые должны предоставить такую информацию. Уведомляет другие компоненты об изменении лицензионных ключей и настроек.
Исполняемый файл: drweb-configd
Вывод внутреннего имени в файл журнала: ConfigD
Вирусный модуль Dr.Web
Антивирусный движок. Основной компонент антивирусной защиты. Реализует алгоритмы обнаружения вирусов и вредоносных программ, а также алгоритмы анализа подозрительного поведения (с использованием сигнатурного и эвристического анализа).
Используется всеми компонентами Dr.Web для файловых серверов UNIX через Dr.Web Scanning Engine.
Исполняемый файл: drweb32.dll
Вывод внутреннего имени в файл журнала: CoreEngine
Сканирующий модуль Dr.Web
Сканирующий модуль. Компонент, отвечающий за загрузку антивирусного ядра Dr.Web Virus-Finding Engine и вирусных баз. Передает содержимое файлов и загрузочные записи дисков в антивирусное ядро для проверки по запросу других компонентов Dr.Web для файловых серверов UNIX. Он ставит в очередь файлы, ожидающие сканирования. Лечит файлы, которые можно вылечить. С точки зрения других компонентов Dr.Web для файловых серверов UNIX этот компонент обеспечивает услугу антивирусной проверки. Может работать под управлением демона конфигурации Dr.Web ConfigD или в автономном режиме (автономно от других компонентов).
Используется всеми компонентами Dr.Web для файловых серверов UNIX для антивирусной проверки.
Исполняемый файл: drweb-se
Внутреннее имя, отображаемое в журнале: ScanEngine
Вирусная база Dr.Web
Автоматически обновляемая база сигнатур этих вирусов и других угроз, а также алгоритмы обнаружения и обезвреживания вредоносного ПО.
Используется антивирусным ядром Dr.Web Virus-Finding Engine и предоставляется вместе с ним.
Проверка файлов Dr.Web
Компонент, сканирующий объекты файловой системы и управляющий файлами в карантине. Он получает задания на сканирование от других компонентов Dr.Web для файловых серверов UNIX и выполняет поиск в каталогах файловой системы в соответствии с полученным заданием, передает файлы для сканирования в модуль сканирования Dr.Web Scanning Engine и уведомляет компоненты о ходе сканирования. Он также удаляет зараженные файлы, перемещает их в карантин, восстанавливает их из карантина и управляет каталогами карантина. Компонент создает и обновляет кеш, в котором хранится информация о проверенных файлах, чтобы уменьшить частоту повторного сканирования файлов.
Используется компонентами, сканирующими объекты файловой системы, такими как SpIDer Guard, SpIDer Guard для SMB, SpIDer Guard для NSS.
Исполняемый файл: drweb-filecheck
Внутреннее имя, отображаемое в журнале: FileCheck
Монитор файловой системы Linux. Работает в фоновом режиме и управляет файловыми операциями (такими как создание, открытие, закрытие, запуск) в файловых системах GNU/Linux. Он отправляет компоненту проверки файлов запросы на проверку новых или измененных файлов, а также исполняемых файлов программ при их запуске.
В зависимости от своих возможностей ОС использует механизм fanotify (API, предоставляемый ОС) или специальный модуль ядра, разработанный Dr.Web (LKM-модуль поставляется вместе со SpIDer Guard в отдельном пакете).
Он включен только в дистрибутивы для ОС GNU/Linux.
Исполняемый файл: drweb-spider
Внутреннее имя, отображаемое в журнале: LinuxSpider
Модуль ядра GNU/Linux для SpIDer Guard
Модуль ядра GNU/Linux (LKM-модуль), используемый SpIDer Guard для доступа к событиям файловой системы в некоторых операционных системах, где API fanotify недоступен или реализован с ограниченными функциями (например, в системах с обязательным доступом модель ).
Компонент включен в виде скомпилированного (для множества операционных систем, где fanotify не реализован или недоступен) и в виде исходных кодов, позволяющих собрать и установить модуль ядра операционной системы вручную (инструкцию см. Сборка модуля ядра для раздела SpIDer Guard).
Он включен только в дистрибутивы для ОС GNU/Linux.
Исполняемый файл: drweb.ko
SpIDer Guard для малого и среднего бизнеса
Мониторинг общих каталогов Samba. Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие, закрытие, операции чтения и записи) в каталогах, выбранных в качестве файловых хранилищ сервера Samba. Отправляет содержимое новых или измененных файлов для проверки компоненту проверки файлов. Интеграция с файловым сервером осуществляется через модули VFS SMB, которые работают на стороне сервера Samba.
Исполняемый файл: drweb-smbspider-daemon
Внутреннее имя, отображаемое в журнале: SMBSpider
SpIDer Guard для NSS
Отслеживание томов NSS ( Novell Storage Services ). Работает в фоновом режиме и управляет операциями файловой системы (такими как создание, открытие, закрытие и операции записи) на томах NSS, смонтированных в файловой системе. Отправляет содержимое новых или измененных файлов для проверки компоненту проверки файлов.
Он включен только в дистрибутивы, предназначенные для ОС GNU/Linux. Компонент может работать только на Novell Open Enterprise Server SP2 на базе SUSE Linux Enterprise Server 10 SP3 и старше.
Исполняемый файл: drweb-nss
Внутреннее имя, отображаемое в журнале:
Центральный агент защиты. Обеспечивает возможность работы продукта в централизованном и мобильном режимах. Обеспечивает связь между продуктом и сервером централизованной защиты, лицензионный ключевой файл, обновления вирусных баз и компонентов. Отправляет на сервер информацию о компонентах, входящих в состав Dr.Web для файловых серверов UNIX, и их состоянии, а также статистику вирусных событий.
Исполняемый файл: drweb-esagent
Внутреннее имя, отображаемое в журнале: ESAgent
Проверка сети Dr.Web
Агент сканирования сетевых данных. Используется для отправки данных в модуль сканирования для фактического сканирования. Данные отправляются компонентами продукта по сети (такими компонентами, как Dr.Web ClamD).
Кроме того, это позволяет Dr.Web для файловых серверов UNIX организовать распределенную проверку файлов: принимать/передавать файлы для проверки с/на удаленные узлы. Для этого на удаленных хостах должен быть установлен и запущен Dr.Web для операционных систем UNIX. В режиме распределенного сканирования. он позволяет автоматически распределять сканирующую нагрузку между удаленными хостами за счет снижения нагрузки на хосты с большим количеством задач сканирования (например, на почтовые серверы, файловые серверы, интернет-шлюзы).
В целях безопасности файлы передаются по протоколу SSL.
Исполняемый файл: drweb-netcheck
Внутреннее имя, отображаемое в журнале: NetCheck
Инструмент для управления Dr.Web для файловых серверов UNIX из командной строки.
Позволяет пользователю запускать проверку файлов, просматривать объекты на карантине, запускать процедуру обновления вирусных баз, подключать или отключать продукт от сервера централизованной защиты, просматривать и настраивать параметры.
Исполняемый файл: drweb-ctl
Внутреннее имя, отображаемое в журнале: Ctl
Компонент обновления. Загружает с серверов «Доктор Веб» обновления вирусных баз, антивирусного ядра.
Обновления могут загружаться автоматически, по расписанию и по запросу пользователя (через Dr.Web Ctl или веб-интерфейс управления).
Исполняемый файл: drweb-update
Внутреннее имя, отображаемое в журнале: Обновление
Агент SNMP. Предназначен для интеграции Dr.Web для файловых серверов UNIX с внешними системами мониторинга по протоколу SNMP. Такая интеграция позволяет отслеживать состояние компонентов продукта и собирать статистику по обнаружению и обезвреживанию угроз. Поддерживает SNMP v2c и v3.
Исполняемый файл: drweb-snmpd
Внутреннее имя, отображаемое в журнале: SNMPD
Компонент, эмулирующий интерфейс антивирусного демона clamd, который является компонентом антивируса ClamAV®. Позволяет всем приложениям, поддерживающим ClamAV®, прозрачно использовать Dr.Web для файловых серверов UNIX для антивирусного сканирования.
Исполняемый файл: drweb-clamd
Внутреннее имя, отображаемое в журнале: ClamD
Компонент, который отправляет в сервис Dr.Web Cloud следующую информацию: посещенные URL-адреса и информацию о проверенных файлах, для проверки их на наличие угроз, еще не описанных в вирусных базах.
Исполняемый файл: drweb-cloudd
Внутреннее имя, отображаемое в журнале: CloudD
На рисунке ниже показана структура Dr.Web для файловых серверов UNIX и его работа с внешними приложениями.
Рис. 1. Структура Dr.Web для файловых серверов UNIX
В этой схеме используются следующие обозначения:
— Dr.Web для файловых серверов UNIX в целом и внешние приложения Dr.Web вместе с системами, не входящими в решение.
— внешние по отношению к Dr.Web для файловых серверов UNIX программы и продукты для его интеграции.
— Компоненты, входящие в состав ядра Dr.Web для файловых серверов UNIX. Другие компоненты продукта используют ядро как службу, выполняющую антивирусную проверку.
— Сервисные компоненты, предназначенные для выполнения отдельных функций антивирусной защиты (например, проверка объектов файловой системы, обновление вирусных баз, подключение к серверам централизованной защиты, управление работой продукта).
— Компоненты, предоставляющие пользователю интерфейс Dr.Web для файловых серверов UNIX.
— Карантин как набор каталогов файловой системы, в которых хранятся изолированные вредоносные файлы.
Компоненты, отмеченные пунктирной линией, могут отсутствовать в зависимости от дистрибутива.
Сканер Dr.Web можно использовать с настройками по умолчанию, но может быть удобно настроить его в соответствии с вашими потребностями. Настройки Сканера Dr.Web хранятся в конфигурационном файле (по умолчанию drweb32.ini), который находится в каталоге %etc_dir.
Чтобы использовать другой файл конфигурации, укажите полный путь к нему в качестве параметра командной строки, например:
Общие принципы организации файлов конфигурации Dr.Web для файловых серверов UNIX см. в разделе Конфигурационные файлы.
Расположение модуля drweb32.dll (антивирусное ядро Dr.Web Engine).
Этот параметр также используется Dr.Web Updater.
Маски для загрузки вирусных баз.
Этот параметр также используется Dr.Web Updater. Допускается несколько значений (разделенных запятыми).
По умолчанию файлы вирусных баз имеют расширение .vdb
Этот параметр используется Dr.Web Updater (update.pl ) и является обязательным.
Каталог, в котором антивирусное ядро Dr.Web Engine хранит временные файлы.
Используется для распаковки архивов или при нехватке памяти в системе
Расположение языкового файла.
По умолчанию языковые файлы имеют расширение .dwl
Расположение файла ключа (лицензия или демонстрационная версия).
По умолчанию файлы ключей имеют расширение .key
• Терминал — консольный вывод
• Тихий – без звука
Включает или отключает эвристическое обнаружение неизвестных вирусов.
Эвристический анализ может обнаруживать ранее неизвестные вирусы, которые не включены в базу данных вирусов. Он использует передовые алгоритмы, чтобы определить, похожа ли структура просканированного файла на архитектуру вируса. Из-за этого эвристический анализ может давать ложные срабатывания: все обнаруженные этим методом объекты считаются подозрительными.
Приоритет процесса Сканера Dr.Web.
Значение должно быть между –20 (самый высокий приоритет) и 19 (Linux) или 20 (другие UNIX-подобные операционные системы).
Типы файлов должны проверяться "по типу", т. е. когда параметр ScanFiles (поясняется ниже) имеет значение ByType.
Типы файлов = EXE, COM, SYS, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, VXD, 386, DLL, FON, DO?, XL?, WIZ, RTF, CL*, HT *, VB*, JS*, INF, AR?, ZIP, R. PP?, OBJ, LIB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SHS, SHB, PIF, SO, CHM , REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, BMP, MPP, OCX, DVB, CPY, MSG, EML
Уведомляет о файлах неизвестных типов.
Предписывает сканировать все файлы (значение All) или только файлы с расширениями, указанными в параметре FileType (значение ByType).
Параметр может иметь значение ByType только в режиме локального сканирования. В других режимах значение должно быть установлено на All .
Все сообщения с ошибками сканируются независимо от значения параметра ScanFiles.
Включает или отключает сканирование подкаталогов.
Включает или отключает проверку файлов в архивах ( RAR , ARJ , TAR , GZIP , CAB и другие).
Включает или отключает проверку почтовых файлов.
Маски файлов, которые нужно пропускать при сканировании.
Допускается несколько значений (разделенных запятыми).
Разрешает или запрещает Dr.Web Scanner переходить по символическим ссылкам во время сканирования.
Маска для переименования файлов при применении действия "Переименовать".
Путь к папке карантина.
Включает или отключает действие Удалить для сложных объектов (архивы, почтовые ящики, HTML-страницы), если они содержат зараженные файлы.
Обратите внимание, если действие включено, будет удален весь сложный объект. Используйте эту опцию осторожно!
Задает одно из следующих действий при обнаружении зараженного файла:
Сообщить, Вылечить, Удалить, Переместить, Переименовать, Игнорировать.
Действия Удалить и Переместить применяются ко всему сложному объекту при обнаружении в нем зараженных файлов.
Задает одно из следующих действий при обнаружении подозрительного файла:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий, применяемых, если зараженный файл невозможно вылечить (используйте, только если InfectedFiles = Cure ):
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении программы дозвона:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении программы-шутки:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении потенциально опасной программы:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении hacktool:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении зараженного файла в почтовом ящике:
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении зараженного файла в архиве (ZIP, TAR, RAR и т. д.):
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Задает одно из следующих действий при обнаружении зараженного файла в контейнере (OLE, HTML, PowerPoint и т. д.):
Сообщить , Удалить , Переместить , Переименовать , Игнорировать .
Вы можете указать syslog в качестве имени файла журнала, чтобы использовать системную службу syslogd для ведения журнала.
В этом случае необходимо также указать параметры SyslogFacility и SyslogPriority.
Читайте также: