SpIDer G3

Материал из wiki.drweb.com
Перейти к: навигация, поиск

Общее представление

SpIDer Guard G3 файловый монитор для современных ОС Windows пришедший на замену SpIDer Guard® для старых 32 битных ОС Windows.

1. spiderg3.sys – бут-драйвер, мини-фильтр файловой системы работающий на 32- и 64 -битных ОС

2. запускается одним из первых на начальном этапе загрузки ОС

3. отслеживает и запоминает активность (запуск процессов, загрузку модулей, файловые манипуляции...) всех процессов с самого начала загрузки ОС

4. блокирует доступ к файлам по запросу клиента

Настройки SpIDer Guard G3

Все настройки SpIDer Guard G3 хранятся в реестре, в ключе

HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings

и при изменении влияют на всю систему.

Основные настройки

Core/LicensePath=[каталог]

параметр позволяет указать каталог в котором находится лицензионный ключ. Обычно это каталог установки антивируса.

Core/LicenseFile=[путь]

параметр позоляет указать для SpIDerG3, конкретный лицензионный ключ. Параметр устарел и не используется, заменен на Core/LicensePath

Core/Watcher/Disable=dword:0/1

включает/отключает использование SE второй копии своего процесса (сторожевого пса). Вторая копия при запуске подключается к основному процессу SE как отладчик и контролирует его работу. При активном сторожевом псе, невозможно подключиться к SE отладчиком и перехватить на себя управление.

Core/Limit/Engines=dword:[кол-во движков:0]

параметр позволяет ограничивать для спайдера кол-во используемых антивирусных движков.

Core/Limit/Cores=dword:[кол-во ядер:0]

параметр позволяет ограничивать для спайдера кол-во используемых ядер процессора, на многоядерных системах. при 0-значении кол-во используемых ядер расчитывается исходя из конфигурации железа или ОС

Core/Limit/BgScan=dword :[кол-во потоков:0]

параметр позволяет ограничивать кол-во потоков используемых для фонового сканирования (BG)

Настройки действий

Scan/Action/Infected=dword:[действие]

Scan/Action/Incurable=dword:[действие]

Scan/Action/Suspicious=dword:[действие]

Scan/Action/Archive=dword:[действие]

Scan/Action/Mail=dword:[действие]

Scan/Action/Container=dword:[действие]

Scan/Action/Dialer=dword:[действие]

Scan/Action/Adware=dword:[действие]

Scan/Action/Riskware=dword:[действие]

Scan/Action/Hacktool=dword:[действие]

Scan/Action/Joke=dword:[действие]

позволяет настроить выполняемые действия для различных видов угроз.

возможные действия:

0 – информировать, 1 – лечить, 2 – в карантин, 4 – удалить, 8 – игнорировать

Настройки логирования

Log/File=[путь]

параметр задает полный путь к лог-файлу спайдера

Log/Buffered=dword:0/1

влючает/откючает буфферизированный вывод (когда строки в лог пишутся не сразу, а сначала накапливаются в памяти) в лог

Log/Verbose=dword:1/0

включает/отключает детализированный вывод в лог

Log/Debugging=dword:0/1

включает/выключает отладочный вывод в лог

Log/SizeInKB=dword:[размер в кб]

параметр задает допустимый размер файла лога. при указании -1 лог не лимитирован. При указании – 0 лог не ведется.

Log/Show/Archiver=dword:1/0

включает/отключает вывод в лог информацию о архивах и их содержимом

Log/Show/Packer=dword:1/0

включает/отключает вывод в лог информацию о упаковщиках и их содержимом

Log/Show/OK=dword:1/0

включает/отключает вывод в лог информацию о чистых проверенных файлах

Log/Show/Milliseconds=dword:0/1

включает/отключает вывод в лог милисекунд

Log/Show/Skipped=dword:0/1

включает/отключает вывод в лог информацию о исключенных из проверки файлов

Настройки проверки объектов

Scan/Heuristic=dword:1/0

включает/отключает использование эвристики при проверки файлов движком. Отключать не рекомендуется.

Scan/Check/Archive=dword:0/1

включает/отключает проверку архивов в спайдере. Крайне не рекомендуется включать данную опцию.

Scan/Check/Container=dword:1/0

включает/отключает проверку инсталляторов (кроме BINARES контейнеров) в спайдере.

Scan/Check/Mail=dword:0/1

включает/отключает проверку почтовых файлов и баз в спайдере. Крайне не рекомендуется включать данную опцию.

Scan/Check/Processes=dword:1/0

включает/отключает проверку запускаемых процессов и модулей спайдером. Отлкючать не рекомендуется.

Scan/Check/Removable=dword:1/0

включает/отключает проверку на чтение и запись файлов на сменных носителях спайдером. Отключать не рекомендуется.

Запускаемые процессы и модули на сменных носителеях проверяются независимо от состояния опции.

Scan/Check/Network=dword:0/1

включает/отключает проверку на чтение файлов с сетевых дисков и ресурсов спайдером.

Запускаемые процессы и модули на сетевых дисках и ресурсах проверяются независимо от состояния опции.

Настройки карантина

Quarantine/EnableBackup=dword:1/0

параметр включает/отключает создание в карантине резервной копии файла, при любой манипуляции с файлом (изменение/удаление). Отключать не рекомендуется.

Quarantine/MaximumSize=dword:[размер]

задает максимальный размер карантина для использования спайдером, в процентах от размера диска. По умолчанию 10%.

Quarantine/StoragePeriod=dword:[период]

задает период, указывающий как долго хранить файлы в карантине. По умолчанию 30 дней.

Лимиты на проверку

Данный набор параметр предназначен для возможной оптимизации проверки. Любые изменения данных параметров приводят к ослаблению безопасности. Без крайней необходимости менять их не стоит.

Scan/Misc/Maximum/Time=dword:[число]

данный параметр позволяет ограничивать максимальное время на проверку одного файла спайдером. Параметр задается в миллисекундах. При 0-значении лимита на время проверки нет.

Scan/Misc/Maximum/PackingLevel=dword:[число]

позволяет установить лимит на кол-во итераций распаковки упаковщиков, файла движком. По умолчанию 1000 итераций.

Scan/Misc/Archive/Maximum/Level=dword:[число]

позволяет установить лимит на кол-во уровней распаковки архива, файла движком. По умолчанию 16 уровней.

Scan/Misc/Archive/Maximum/Size=dword:[размер]

данный параметр позволяет ограничивать максимальный размер проверяемого архива спайдером. Параметр задается в Кб.

Scan/Misc/CureLimit=dword:[число]

параметр позволяет установить лимит на кол-во итераций лечения файла. По умолчанию используется значение от самого SE и равное 500.

Управление ресурсами системы

Scan/Resource/High=dword:[число]

позволяет задать процент доступных ресурсов для высокоприоритетного сканирования (запуск процессов, загрузка модулей). По умолчанию 0.

Scan/Resource/Normal=dword:[число]

позволяет задать процент доступных ресурсов для обычного сканирования (проверка файлов). По умолчанию 0.

Scan/Resource/Low=dword:[число]

позволяет задать процент доступных ресурсов для низкоприоритетного сканирования ( фоновая проверка, рескан после обновления баз). По умолчанию 100.

Значения данных параметров задаются от 0 до 100.

0 – используются все доступные ресурсы системы, 100 – работает только при простое системы

Дополнительные параметры проверки

Scan/Processes/OnCreate=dword:1/0

при значении 1, проверка процессов происходит в момент создания процесса или в момент загрузки модуля в процес, сам процесс заблокирован в момент проверки. При 0-значении запускаемые процессы и загрузка модулей не блокируется спайдером, и их проверка осуществялется в фоновом режиме. По молчанию 1 и менять не рекомендуется, т.к. Снижает безопасность.

Rescan/ResultSet=dword:1/0

включает/отключает пересканирование файлов всех загруженных процессов и модулей, при обновлении баз спайдером.

Scan/Block/Autorun=dword:1/0

включает/отключает блокировку файлов autorun.inf в корне дисков сменных носителей.

Scan/Files/BeforeAccess=dword:0/1

включает/отключает параноидальный режим проверки в спайдере. При включенной опции любое обращение к файлу будет заблокировано и проверено спайдером. Не рекомендуется включать, т.к. существенно увеличивает назгрузку на систему.

Исключения файлов и процессов

Данные разделы реестра служат для добавления различных типов исключений в спайдере.

Параметры имеют вид:

0=[строка]

1=[строка]

...

n=[строка]

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Files]

в данный раздел добавляются файлы и маски которые следует исключить из проверки спайдером.


[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Paths]

в данный раздел добавляются пути которые следует исключить из проверки спайдером.

[HKEY_LOCAL_MACHINE\SOFTWARE\Doctor Web\Scanning Engine\SpIDer Guard\Settings\Exclude/Processes]

данный раздел наиболее опасен, но позволяет задействовать мощную возможность спайдера. Здесь можно задать список файлов процессов для которых спайдер будет игнорировать любую активность данного процесса. Очень действенное средство для избавления от конфликтов.

Например, зададим:

0=c:\windows\system32\notepad.exe

Теперь, любые манипуляции с файлами, процессом запущенным из c:\windows\system32\notepad.exe будут игнорироваться спайдером и не попадать на проверку.

Исключения на размер проверяемых объектов

Scan/AlwaysCheck/Limit/OLEEXPL=dword:[размер:0]

Scan/AlwaysCheck/Limit/PPT=dword:[размер:0]

Scan/AlwaysCheck/Limit/VISIO=dword:[размер:0]

Scan/AlwaysCheck/Limit/RTF=dword:[размер:0]

Scan/AlwaysCheck/Limit/HTML=dword:[размер:0]

Scan/AlwaysCheck/Limit/CHM=dword::[размер:1024]

Scan/AlwaysCheck/Limit/EMBEDOBJ=dword::[размер:0]

Scan/AlwaysCheck/Limit/HTMLVBA=dword:[размер:0]

Scan/AlwaysCheck/Limit/MSGVBA=dword:[размер:0]

Scan/AlwaysCheck/Limit/BINARYRES=dword:[размер:0]

Scan/AlwaysCheck/Limit/DOC1C=dword:[размер:0]

Scan/AlwaysCheck/Limit/PDF=dword::[размер:0]

Scan/AlwaysCheck/Limit/AUTOIT=dword:[размер:0]

Данный набор опции позволяет тонко настроить ограничения на проверку различных типов файлов, что гораздо безопаснее чем исключения по имени или маске. Размер задается в КБ.

Системные исключения

Exclude/SystemFiles=dword:1/0

включает/отключает игнорировнаие проверки спеуциальных системных путей и файлов, согласно рекомендации Microsoft. Набор строк и файлов зависит от версии ОС, типа ОС (рабочая станция, сервер, контролер домена...). Включение данной опции позволяет избавится от возможных конфликтов и снижения производительности на высокопроизводительных серверах и контролерах домена.

Exclude/PrefetcherDB=dword:0/1

позволяет исключить из проверки файлы базы данных префетчера, это база данных создается системой, и служит для ускорения повторного запуска приложений Включение данной опции в некоторых случаях может повысить производительность системы.

Exclude/SearchDB=dword:0/1

позволяет исключить из проверки файлы базы данных службы индексирования. Это служебная служба для индексирования файлов на дисках. Включение данной опции может повысить производительность системы при условии что в ОС включено индексирование файлов.