Dr web scan engine загружает память

Обновлено: 02.07.2024

Более 28 лет на высококонкурентном рынке антивирусных средств защиты

Давно прошли времена, когда антивирусы ловили вирусы только по сигнатурам — т. е. мастерство определения только известных вирусной базы вирусов. Современный антивирус Dr.Web — это комплекс эвристических, поведенческих и превентивных несигнатурных технологий, сочетание которых с записями в вирусных базах позволяет антивирусу обеспечивать защиту от известных и от еще неиспользование угрозы.

Несигнатуральные технологии антивирусного ядра

Компания имеет первоначальный доход — в мире лишь немногочисленный объем полученного дохода, в то время как большая часть лицензирует его у других антивирусных производителей.

Технологии превентивной защиты

По сходству поведения подозрительной программы с появлением модели поведения системы антивирусной защиты Dr.Web умеет распознавать и блокировать такие программы — даже если запись о них еще не обнаружена в вирусной базе Dr.Web.

Вирусная база Dr.Web

Чисто сигнатурные антивирусы, т.е. е. обнаруживающие вредоносные программы по вирусным базам, вымерли в 90-х годах прошлого века, когда появляются полиморфные вирусы, изменяющиеся при обнаружении и, соответственно, не обнаруживаемые по сигнатурам (кстати, именно это становится обнаруженным антивирусом Dr.Web).

Если бы и сегодня антивирус мог распознавать новые вирусы только при обнаружении записей в вирусных базах, такие базы не смогли бы разместить в своей памяти один компьютер, проверка заняла бы много времени, а быстродействие ПК было бы серьезно замедлено.

Всемирная система обновлений

Лечение от вирусов

Антивирус не допустит заражения.
А если оно произошло — он должен лечить от уже проникших вирусных программ.

Стойкий иммунитет к публичным попыткам проникновения в россию программ приводит к тому, что Dr.Web изготавливает неиспользуемый компонент самозащиты антивирусной отрасли Dr.Web SelfPROtect.

Тестирования антивирусов

Тесты, обнаружившие обнаружение компаний и выявление конкретных случаев заражения вирусом, обнаруживаются ранее. Они не выявлены, могут быть выявлены вирусы аллергии, разработанные с расчетом на необнаружение пищевых продуктов.

Игорь Данилов, из интервью CNews

А что такое настоящий антивирус в записи?

Dr.Web для файловых серверов UNIX представляет собой продукт, состоящий из нескольких компонентов, каждый из которых имеет свой индивидуальный набор функций. Список компонентов, входящих в состав Dr.Web для файловых серверов UNIX, приведен ниже.

Демон настройки Dr.Web для файловых серверов UNIX, выполняющий следующие функции:

• Запускает и останавливает компоненты продукта в зависимости от настроек. Автоматически перезапускает компоненты в случае сбоя в их работе. Запускает компоненты по запросу других компонентов. Информирует активные компоненты о запуске или завершении работы другого компонента.

• Сохраняет информацию о существующих лицензионных ключах и настройках и предоставляет эти данные всем компонентам. Получает скорректированные настройки и лицензионные ключи от компонентов Dr.Web для файловых серверов UNIX, которые должны предоставить такую информацию. Уведомляет другие компоненты об изменении лицензионных ключей и настроек.

Исполняемый файл: drweb-configd

Вывод внутреннего имени в файл журнала: ConfigD

Вирусный модуль Dr.Web

Антивирусный движок. Основной компонент антивирусной защиты. Реализует алгоритмы обнаружения вирусов и вредоносных программ, а также алгоритмы анализа подозрительного поведения (с использованием сигнатурного и эвристического анализа).

Используется всеми компонентами Dr.Web для файловых серверов UNIX через Dr.Web Scanning Engine.

Исполняемый файл: drweb32.dll

Вывод внутреннего имени в файл журнала: CoreEngine

Сканирующий модуль Dr.Web

Сканирующий модуль. Компонент, отвечающий за загрузку антивирусного ядра Dr.Web Virus-Finding Engine и вирусных баз. Передает содержимое файлов и загрузочные записи дисков в антивирусное ядро для проверки по запросу других компонентов Dr.Web для файловых серверов UNIX. Он ставит в очередь файлы, ожидающие сканирования. Лечит файлы, которые можно вылечить. С точки зрения других компонентов Dr.Web для файловых серверов UNIX этот компонент обеспечивает услугу антивирусной проверки. Может работать под управлением демона конфигурации Dr.Web ConfigD или в автономном режиме (автономно от других компонентов).

Используется всеми компонентами Dr.Web для файловых серверов UNIX для антивирусной проверки.

Исполняемый файл: drweb-se

Внутреннее имя, отображаемое в журнале: ScanEngine

Вирусная база Dr.Web

Автоматически обновляемая база сигнатур этих вирусов и других угроз, а также алгоритмы обнаружения и обезвреживания вредоносного ПО.

Используется антивирусным ядром Dr.Web Virus-Finding Engine и предоставляется вместе с ним.

Проверка файлов Dr.Web

Компонент, сканирующий объекты файловой системы и управляющий файлами в карантине. Он получает задания на сканирование от других компонентов Dr.Web для файловых серверов UNIX и выполняет поиск в каталогах файловой системы в соответствии с полученным заданием, передает файлы для сканирования в модуль сканирования Dr.Web Scanning Engine и уведомляет компоненты о ходе сканирования. Он также удаляет зараженные файлы, перемещает их в карантин, восстанавливает их из карантина и управляет каталогами карантина. Компонент создает и обновляет кеш, в котором хранится информация о проверенных файлах, чтобы уменьшить частоту повторного сканирования файлов.

Используется компонентами, сканирующими объекты файловой системы, такими как SpIDer Guard, SpIDer Guard для SMB, SpIDer Guard для NSS.

Исполняемый файл: drweb-filecheck

Внутреннее имя, отображаемое в журнале: FileCheck

Монитор файловой системы Linux. Работает в фоновом режиме и управляет файловыми операциями (такими как создание, открытие, закрытие, запуск) в файловых системах GNU/Linux. Он отправляет компоненту проверки файлов запросы на проверку новых или измененных файлов, а также исполняемых файлов программ при их запуске.

В зависимости от своих возможностей ОС использует механизм fanotify (API, предоставляемый ОС) или специальный модуль ядра, разработанный Dr.Web (LKM-модуль поставляется вместе со SpIDer Guard в отдельном пакете).

Он включен только в дистрибутивы для ОС GNU/Linux.

Исполняемый файл: drweb-spider

Внутреннее имя, отображаемое в журнале: LinuxSpider

Модуль ядра GNU/Linux для SpIDer Guard

Модуль ядра GNU/Linux (LKM-модуль), используемый SpIDer Guard для доступа к событиям файловой системы в некоторых операционных системах, где API fanotify недоступен или реализован с ограниченными функциями (например, в системах с обязательным доступом модель ).

Компонент включен в виде скомпилированного (для множества операционных систем, где fanotify не реализован или недоступен) и в виде исходных кодов, позволяющих собрать и установить модуль ядра операционной системы вручную (инструкцию см. Сборка модуля ядра для раздела SpIDer Guard).

Он включен только в дистрибутивы для ОС GNU/Linux.

Исполняемый файл: drweb.ko

SpIDer Guard для малого и среднего бизнеса

Мониторинг общих каталогов Samba. Работает в фоновом режиме и отслеживает операции файловой системы (такие как создание, открытие, закрытие, операции чтения и записи) в каталогах, выбранных в качестве файловых хранилищ сервера Samba. Отправляет содержимое новых или измененных файлов для проверки компоненту проверки файлов. Интеграция с файловым сервером осуществляется через модули VFS SMB, которые работают на стороне сервера Samba.

Исполняемый файл: drweb-smbspider-daemon

Внутреннее имя, отображаемое в журнале: SMBSpider

SpIDer Guard для NSS

Отслеживание томов NSS ( Novell Storage Services ). Работает в фоновом режиме и управляет операциями файловой системы (такими как создание, открытие, закрытие и операции записи) на томах NSS, смонтированных в файловой системе. Отправляет содержимое новых или измененных файлов для проверки компоненту проверки файлов.

Он включен только в дистрибутивы, предназначенные для ОС GNU/Linux. Компонент может работать только на Novell Open Enterprise Server SP2 на базе SUSE Linux Enterprise Server 10 SP3 и старше.

Исполняемый файл: drweb-nss

Внутреннее имя, отображаемое в журнале:

Центральный агент защиты. Обеспечивает возможность работы продукта в централизованном и мобильном режимах. Обеспечивает связь между продуктом и сервером централизованной защиты, лицензионный ключевой файл, обновления вирусных баз и компонентов. Отправляет на сервер информацию о компонентах, входящих в состав Dr.Web для файловых серверов UNIX, и их состоянии, а также статистику вирусных событий.

Исполняемый файл: drweb-esagent

Внутреннее имя, отображаемое в журнале: ESAgent

Проверка сети Dr.Web

Агент сканирования сетевых данных. Используется для отправки данных в модуль сканирования для фактического сканирования. Данные отправляются компонентами продукта по сети (такими компонентами, как Dr.Web ClamD).

Кроме того, это позволяет Dr.Web для файловых серверов UNIX организовать распределенную проверку файлов: принимать/передавать файлы для проверки с/на удаленные узлы. Для этого на удаленных хостах должен быть установлен и запущен Dr.Web для операционных систем UNIX. В режиме распределенного сканирования. он позволяет автоматически распределять сканирующую нагрузку между удаленными хостами за счет снижения нагрузки на хосты с большим количеством задач сканирования (например, на почтовые серверы, файловые серверы, интернет-шлюзы).

В целях безопасности файлы передаются по протоколу SSL.

Исполняемый файл: drweb-netcheck

Внутреннее имя, отображаемое в журнале: NetCheck

Инструмент для управления Dr.Web для файловых серверов UNIX из командной строки.

Позволяет пользователю запускать проверку файлов, просматривать объекты на карантине, запускать процедуру обновления вирусных баз, подключать или отключать продукт от сервера централизованной защиты, просматривать и настраивать параметры.

Исполняемый файл: drweb-ctl

Внутреннее имя, отображаемое в журнале: Ctl

Компонент обновления. Загружает с серверов «Доктор Веб» обновления вирусных баз, антивирусного ядра.

Обновления могут загружаться автоматически, по расписанию и по запросу пользователя (через Dr.Web Ctl или веб-интерфейс управления).

Исполняемый файл: drweb-update

Внутреннее имя, отображаемое в журнале: Обновление

Агент SNMP. Предназначен для интеграции Dr.Web для файловых серверов UNIX с внешними системами мониторинга по протоколу SNMP. Такая интеграция позволяет отслеживать состояние компонентов продукта и собирать статистику по обнаружению и обезвреживанию угроз. Поддерживает SNMP v2c и v3.

Исполняемый файл: drweb-snmpd

Внутреннее имя, отображаемое в журнале: SNMPD

Компонент, эмулирующий интерфейс антивирусного демона clamd, который является компонентом антивируса ClamAV®. Позволяет всем приложениям, поддерживающим ClamAV®, прозрачно использовать Dr.Web для файловых серверов UNIX для антивирусного сканирования.

Исполняемый файл: drweb-clamd

Внутреннее имя, отображаемое в журнале: ClamD

Компонент, который отправляет в сервис Dr.Web Cloud следующую информацию: посещенные URL-адреса и информацию о проверенных файлах, для проверки их на наличие угроз, еще не описанных в вирусных базах.

Исполняемый файл: drweb-cloudd

Внутреннее имя, отображаемое в журнале: CloudD

На рисунке ниже показана структура Dr.Web для файловых серверов UNIX и его работа с внешними приложениями.

< бр />

Рис. 1. Структура Dr.Web для файловых серверов UNIX

В этой схеме используются следующие обозначения:

— Dr.Web для файловых серверов UNIX в целом и внешние приложения Dr.Web вместе с системами, не входящими в решение.

— внешние по отношению к Dr.Web для файловых серверов UNIX программы и продукты для его интеграции.

— Компоненты, входящие в состав ядра Dr.Web для файловых серверов UNIX. Другие компоненты продукта используют ядро как службу, выполняющую антивирусную проверку.

— Сервисные компоненты, предназначенные для выполнения отдельных функций антивирусной защиты (например, проверка объектов файловой системы, обновление вирусных баз, подключение к серверам централизованной защиты, управление работой продукта).

— Компоненты, предоставляющие пользователю интерфейс Dr.Web для файловых серверов UNIX.

— Карантин как набор каталогов файловой системы, в которых хранятся изолированные вредоносные файлы.

Компоненты, отмеченные пунктирной линией, могут отсутствовать в зависимости от дистрибутива.

Сканер Dr.Web можно использовать с настройками по умолчанию, но может быть удобно настроить его в соответствии с вашими потребностями. Настройки Сканера Dr.Web хранятся в конфигурационном файле (по умолчанию drweb32.ini), который находится в каталоге %etc_dir.

Чтобы использовать другой файл конфигурации, укажите полный путь к нему в качестве параметра командной строки, например:

Общие принципы организации файлов конфигурации Dr.Web для файловых серверов UNIX см. в разделе Конфигурационные файлы.

Расположение модуля drweb32.dll (антивирусное ядро Dr.Web Engine).

Этот параметр также используется Dr.Web Updater.

Маски для загрузки вирусных баз.

Этот параметр также используется Dr.Web Updater. Допускается несколько значений (разделенных запятыми).

По умолчанию файлы вирусных баз имеют расширение .vdb

Этот параметр используется Dr.Web Updater (update.pl ) и является обязательным.

Каталог, в котором антивирусное ядро Dr.Web Engine хранит временные файлы.

Используется для распаковки архивов или при нехватке памяти в системе

Расположение языкового файла.

По умолчанию языковые файлы имеют расширение .dwl

Расположение файла ключа (лицензия или демонстрационная версия).

По умолчанию файлы ключей имеют расширение .key

• Терминал — консольный вывод

• Тихий – без звука

Включает или отключает эвристическое обнаружение неизвестных вирусов.

Эвристический анализ может обнаруживать ранее неизвестные вирусы, которые не включены в базу данных вирусов. Он использует передовые алгоритмы, чтобы определить, похожа ли структура просканированного файла на архитектуру вируса. Из-за этого эвристический анализ может давать ложные срабатывания: все обнаруженные этим методом объекты считаются подозрительными.

Приоритет процесса Сканера Dr.Web.

Значение должно быть между –20 (самый высокий приоритет) и 19 (Linux) или 20 (другие UNIX-подобные операционные системы).

Типы файлов должны проверяться "по типу", т. е. когда параметр ScanFiles (поясняется ниже) имеет значение ByType.

Типы файлов = EXE, COM, SYS, OV?, BAT, BIN, DRV, PRG, BOO, SCR, CMD, VXD, 386, DLL, FON, DO?, XL?, WIZ, RTF, CL*, HT *, VB*, JS*, INF, AR?, ZIP, R. PP?, OBJ, LIB, HLP, MD?, INI, MBR, IMG, CSC, CPL, MBP, SHS, SHB, PIF, SO, CHM , REG, XML, PRC, ASP, LSP, MSO, OBD, THE*, NWS, SWF, BMP, MPP, OCX, DVB, CPY, MSG, EML

Уведомляет о файлах неизвестных типов.

Предписывает сканировать все файлы (значение All) или только файлы с расширениями, указанными в параметре FileType (значение ByType).

Параметр может иметь значение ByType только в режиме локального сканирования. В других режимах значение должно быть установлено на All .

Все сообщения с ошибками сканируются независимо от значения параметра ScanFiles.

Включает или отключает сканирование подкаталогов.

Включает или отключает проверку файлов в архивах ( RAR , ARJ , TAR , GZIP , CAB и другие).

Включает или отключает проверку почтовых файлов.

Маски файлов, которые нужно пропускать при сканировании.

Допускается несколько значений (разделенных запятыми).

Разрешает или запрещает Dr.Web Scanner переходить по символическим ссылкам во время сканирования.

Маска для переименования файлов при применении действия "Переименовать".

Путь к папке карантина.

Включает или отключает действие Удалить для сложных объектов (архивы, почтовые ящики, HTML-страницы), если они содержат зараженные файлы.

Обратите внимание, если действие включено, будет удален весь сложный объект. Используйте эту опцию осторожно!

Задает одно из следующих действий при обнаружении зараженного файла:

Сообщить, Вылечить, Удалить, Переместить, Переименовать, Игнорировать.

Действия Удалить и Переместить применяются ко всему сложному объекту при обнаружении в нем зараженных файлов.

Задает одно из следующих действий при обнаружении подозрительного файла: