Превентивная защита dr web что это такое

Обновлено: 21.11.2024

Более 28 лет на высококонкурентном рынке антивирусных средств защиты

Давно прошли времена, когда антивирусы ловили вирусы только по сигнатурам — т. е. мастерство определения только известных вирусной базы вирусов. Современный антивирус Dr.Web — это комплекс эвристических, поведенческих и превентивных несигнатурных технологий, сочетание которых с записями в вирусных базах позволяет антивирусу обеспечивать защиту от известных и от еще неиспользование угрозы.

Несигнатуральные технологии антивирусного ядра

Компания имеет первоначальный доход — в мире лишь немногочисленный объем полученного дохода, в то время как большая часть лицензирует его у других антивирусных производителей.

Технологии превентивной защиты

По сходству поведения подозрительной программы с появлением модели поведения системы антивирусной защиты Dr.Web умеет распознавать и блокировать такие программы — даже если запись о них еще не обнаружена в вирусной базе Dr.Web.

Вирусная база Dr.Web

Чисто сигнатурные антивирусы, т.е. е. обнаруживающие вредоносные программы по вирусным базам, вымерли в 90-х годах прошлого века, когда появляются полиморфные вирусы, изменяющиеся при обнаружении и, соответственно, не обнаруживаемые по сигнатурам (кстати, именно это становится обнаруженным антивирусом Dr.Web).

Если бы и сегодня антивирус мог распознавать новые вирусы только при обнаружении записей в вирусных базах, такие базы не смогли бы разместить в своей памяти один компьютер, проверка занимала бы много времени, а быстродействие ПК было бы серьезно замедлено.

>

Всемирная система обновлений

Лечение от вирусов

Антивирус не допустит заражения.
А если оно произошло — он должен лечить от уже проникших вирусных программ.

Стойкий иммунитет к публичным попыткам проникновения в россию программ приводит к тому, что Dr.Web изготавливает неиспользуемый компонент самозащиты антивирусной отрасли Dr.Web SelfPROtect.

Тестирования антивирусов

Тесты, обнаружившие обнаружение компаний и выявление случаев заражения вирусом, обнаруживаются ранее. Они не выявлены, могут быть выявлены вирусы аллергии, разработанные с расчетом на необнаружение пищевых продуктов.

Игорь Данилов, из интервью CNews

А что такое настоящий антивирус в записи?

Антивирус не допустит заражения. При этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Все троянцы делают это:

  • Действуют по неизвестным алгоритмам, которые встречаются в одних и тех же случаях в случаях заражения вирусами, вызываемыми набором вредоносных функций.
  • Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявлять активность троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Перечислим только некоторые из этих технологий.

Эвристика процессов Dr.Web

Эта технология защиты данных позволяет свести к минимуму потери от обнаружения неизвестного вируса — с минимальным потреблением ресурсов защищаемой системы.

Эвристика процессов Dr.Web обнаруживает любые возможные изменения системы:

  • обнаружение вирусных программ, изменяющихся особым образом среди файлов (например, действие троянцев-шифровальщиков);
  • препятствует попыткам вредоносных программ внедриться в другие приложения;
  • защищает от модификаций животных, занимающихся скотом участковых систем;
  • выявляет и прекращает вредоносные, подозрительные или ненадежные процессы и процессы;
  • блокирует возможности изменения вредоносных программ для загрузки диска с целью невозможности запуска (например, троянцев) на компьютере;
  • предотвращает отключение безопасного режима Windows, блокируя изменения реестра;
  • не дает исключительным программам возможность включения выполнения новых задач, необходимых для расширения возможностей, в логику работы системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное состояние рабочего стола или скрыть присутствие троянца в системе руткитом;
  • не разрешать вредоносному ПО изменять правила запуска программ.

Эвристика процессов Dr.Web обеспечивает безопасность практически с момента загрузки доступной системы — начинает учитываться до завершения загрузки допустимого сигнатурного антивируса!

  • Пресекает загрузку новых или неизвестных драйверов без ведома пользователя.
  • Блокирует автозапуск вредоносных программ, а также случаи появления приложений, например анти-антивирусов, не дает им указание зарегистрироваться в реестре для запуска.
  • Блокирует ветки реестра, которые отключают драйверы сетевых устройств, что делает невозможным установку нового физического устройства.
  • Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером.
  • Не разрешать вредоносному ПО нарушению нормальной работы системных служб, например вмешаться в штатное создание файлов резервных копий.

Dr.Web ShellGuard

Dr.Web ShellGuard поддерживает:

  • все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
  • приложения MS Office, включая новый MS Office 2016;
  • системные приложения;
  • приложения, использующие java-, flash- и pdf-технологии;
  • медиапроигрыватели.

Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, куда попадает:

Облако получает информацию о работе Dr.Web по защите ПК, в том числе об обнаружении масштабных угроз. Это позволяет оперативно реагировать на обнаруженные недочеты и правила, хранящиеся на основе действия.

В версии Dr.Web 9-11.5 этот модуль называется Превентивная защита.

Благодаря модулю Поведенческий анализ Dr.Web руководителя:

  • защищать от распространения опасных вирусов, наиболее опасных вредоносных программ, разработанных с расчетами на необнаружение случаев обнаружения сигнатурными и эвристическими механизмами, — объекты, осведомленные о том, что они не зарегистрированы в системе защиты (например, в связи с тем, что не были загружены в последние обновления)
  • выявлять необычные изменения файлов, отслеживая работу всех процессов системы в поисках действий, характерных для действий вредоносных программ (например, действий троянцев-шифровальщиков), не использовать вирусных объектов внедриться в других программах
  • обнаруживающие и нейтрализующие прогрессивные, еще не ожидаемые угрозы: троянцев-вымогателей (шифровальщиков), инжекторов, удаленно управляемых вредоносных объектов (распространяемых для организаций ботнетов и шпионажа), а также вирусные упаковщики

Настройки

Рассмотрим подробнее, что дает возможность включения каждой настройки.

Файл HOSTS

Этот файл позволяет определить между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.

Файл HOSTS позволяет запретить доступ к сайтам антивирусных компаний и перенаправить пользователей на поддельные сайты.

Dr.Web не дает возможности вредоносным программам вносить изменения в файл HOSTS и перенастраивать пользователей на фишинговые ресурсы.

Целостность запущенных приложений

Процесс — это ресурсы и данные, находящиеся в открытом наборе оперативной памяти компьютера. Процесс, применение одной программы, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.

Dr.Web не позволяет внедрять вредоносные программы в другие процессы (например, запрещает троянцам изменять процесс для получения доступа к системе ДБО), тем не менее не разрешает им реализовать свой функционал полностью или частично.

Низкоуровневый доступ к диску

При штатной работе системы Windows доступ к файлу происходит после обращения к файловой системе, которая находится под контролем ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к дисковому сектору.

Внедрение троянца в загрузочную область существенно превышает его обнаружение, так и процесс обезвреживания.

Dr.Web блокирует возможность изменения вирусных программ для загрузки дисков и скорости запуска троянцев на компьютере.

Загрузка драйверов

Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего распространения на компьютеры и осуществление несанкционированных действий пользователей, например отправку логинов и паролей, а также иных случаев обнаружения атакам.

Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.

Параметры запуска приложений

В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно настроить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяет модифицировать данные отлаживаемого процесса.С помощью данного ключа вредоносное ПО, получаемое отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что касается охватов.

Dr.Web блокирует доступ к ключу реестра параметров выполнения файла изображения.
Реальная отлаживание приложений на лету необходимость у обычных пользователей нет, риск от использования ключа параметров выполнения файла изображения вредоносными программами очень высок.

Драйверы задержанных устройств

Известны некоторые вредоносные программы, которые отображают файлы и регистрируют их как виртуальные устройства.

Dr.Web блокирует ветки реестра, которые блокируют драйверы сетевых устройств, что не делает возможным установку нового устройства.

Параметры среды Winlogon, Нотификаторы Winlogon

Интерфейс Пакет уведомлений Winlogon реализует возможность загрузки событий, назначаемых на вход и выход пользователей, включение и выключение доступа к системе, а также некоторые другие. Вредоносные программы, получив доступ к пакету уведомлений Winlogon, перезапускают ресурсы ОС, выключают компьютер, препятствуют входу пользователей в окружение ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.

Dr.Web запрещает изменение веток реестра, чувствительных к пакету уведомлений Winlogon, и не дает исключительную программу возможности включения выполнения новых задач, требуемых охватам, в логику работы системы обнаружения.

Автозапуск автомобилей Windows

Опция блокирует параметры сразу несколько в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows запрашивать поиск DLL раз, когда возникает какая-либо программа), AppInit_DLLs ( Может распространяться для распространения руткита в Windows), Run (необходимо для запуска программ в минимизированном виде после запуска системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая требуется для нормального отображения рабочего стола и значков на экране).

Dr.Web блокирует ряд параметров в реестре Windows, например, запрещает вирусам изменять нормальное состояние рабочего стола или не использует руткиту, чтобы скрыть присутствие троянца в системе.

Ассоциации исполняемых файлов

Некоторые австралийские программы нарушают ассоциацию исполняемых файлов, в результате чего программы не загружаются – или вместо необходимых программ используются за использование программы, представляющей собой вирусную ПО.

Dr.Web не позволяет вредоносному ПО изменять правила запуска программ.

Политики запуска программ (SRP)

В Windows можно установить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из отдельных папок (например, Program Files) и запретить выполнение программ из исходных источников. Блокировка ветки реестра, отвечающей за массовость политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.

Dr.Web допускает систему от вредоносного ПО, обнаруженного через почту компьютера и съемные носители — инициирующего, например, из временного каталога. Опция рекомендуется использовать в корпоративной среде.

Плагины Internet Explorer (BHO)

С помощью данного режима можно запретить введение новых расширений для Internet Explorer путем блокирования запрета на ветки реестра.

Dr.Web размещает браузеры вирусов, например, блокировщиков браузера.

Автозапуск программ

Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.

Dr.Web предотвращает возможность автозапуска вредоносных программ, не дает им возможность зарегистрироваться в реестре для обнаружения запуска.

Автозапуск политик

Опция блокирует ветку реестра, с помощью которой можно реализовать любую программу при входе пользователя в систему.

Dr.Web предотвращает автоматический запуск программ, например, анти-антивирусов.

Конфигурация безопасного режима

Некоторые троянцы отключают безопасный режим Windows для расширения лечения компьютера.

Dr.Web предлагает безопасное отключение режима блокировки изменения реестра.

Параметры менеджера сессий

Опция параметров диспетчера сеансов Windows – системы, от которой зависит стабильность работы системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации окружения, запуск системных процессов, выполнение операций по удалению, обнаружению или копированию файлов до полной загрузки системы и т.д. п.

Доктор.В Интернете используется операционная система от внедрения вредоносных программ, их запуск до полной загрузки системы обнаружения — и, следовательно, до завершения запуска антивируса.

Системные службы

Опция параметров изменения реестра, наблюдающих за нормальной работой системных служб.

Некоторые вирусы могут блокировать редактор реестра, прерывая нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков собирают или не дают перемещать файлы.

Dr.Web не позволяет вредоносному ПО нарушению нормальной работы системных служб, например вмешаться в штатное создание резервных копий файлов.

Режимы настроек

Пользователю настройки четырехступенчатой ​​настройки: пропорции (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.

В строгом протоколе защищены только те ветки реестра, которые действуют вредоносными программами и которые можно заблокировать (запретить их изменение) — без использования ресурсов компьютера.

Читайте также: