Материал из wiki.drweb.com.
Все значения DWORD в Parameter=DWORD означают "0" - запрещено/отключено, "1" - разрешено/включено.
Записывать в лог информацию о PID, выполняемой операции и времени сканирования файла:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
LogPID=DWORD
LogSource=DWORD
LogTimer=DWORD
После внесения этих изменений в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:02:16 [CL] (PID = 448) D:\Internet\Trojan.Wmchange.dll - инфицирован Trojan.Wmchange
16-05-2007 13:02:16 [Time consumed: scanner 2 ms, total 7 ms, speed 571 KB/s (571 KB/s)]
16-05-2007 13:02:16 [CL] (PID = 448) D:\Internet\Trojan.Wmchange.dll - перемещен
[CL] - файл был проверен при его закрытии;
PID = 448 идентифицирует процесс, работавший с этим файлом;
[Time consumed: ...] - сколько времени занял процесс проверки файла, а также скорость проверки.
Кроме [CL], в логе могут встретиться такие префиксы:
[NA] - неизвестно (информация не сохранилась);
[CR] - файл был проверен при создании/открытии;
[RN] - файл был проверен при переименовании;
[PR] - сканирование запущенных процессов;
[FB] - пакетные задачи, которые выполняются через фоновое сканирование, если нельзя сказать более точно;
[BG] - файл был проверен при фоновом сканировании.
Сканировать процессы при запуске:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
ScanOnCreateProcess=DWORD
После внесения этого изменения в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:10:50 [PS] (PID = 820) E:\ZZZZ\ACCESS.EXE - упакован UPX - программа-Dialer Dialer.Egroup
16-05-2007 13:10:54 [PS] (PID = 820) E:\ZZZZ\ACCESS.EXE - удален
Префикс [PS] говорит о проверке файла запускаемой программы. По умолчанию включен.
Убийство вирусных процессов при лечении:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
KillInfectedProcess=DWORD
После внесения этого изменения спайдер будет сканировать процессы и убивать
те из них, в адресное пространство которых загружен инфицированный модуль
(исполняемый файл, DLL и т.д.) после обнаружения инфицированного файла и
перед выполнением над этим файлом запрошенного действия.
Задать число потоков сканирования и их приоритет:
[HKLM\System\CurrentControlSet\Services\SPIDER]
NumThreads=DWORD
ThreadPriority=DWORD
LogThread=DWORD
NumThreads - число потоков. Если не задан или равен 0, число потоков
определяется автоматически:
* для рабочих станций 2 потока на процессор, не более 4 потоков,
* для сервера 3 потока на процессор, не более 24 потоков.
ThreadPriority - приоритет сканирующих ниток. Если параметр не задан или
равен 0, то приоритет не меняется. По умолчанию в XP нитки создаются с
приоритетом 8.
LogThread - запись в лог номера нитки. По умолчанию запрещено.
После внесения этого изменения в логе спайдера (SpiderNT.log) появится такая информация:
11-10-2007 14:11:11 #00 [CL] (PID = 604) C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B} - container HTML
11-10-2007 14:11:11 #00 [CL] (PID = 604) C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B}\JavaScript.0 - Ok
11-10-2007 14:11:11 #01 [CL] (PID = 604) C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B}\JavaScript.1 - Ok
11-10-2007 14:11:11 #00 [CL] (PID = 604) C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B} - Ok
Оптимизация для режима "Оптимальный" (Smart):
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
FastMode=DWORD
FastMode - оптимизация в режиме "Оптимальный" (Smart); проверяются только
те файлы, в которые производится запись. Не проверяются файлы, которые
открыты на запись, но реально запись в них не происходит. По умолчанию
включен.
Запоминать последнюю открытую закладку в "Настройках".
[HKLM\Software\IDAVLab\SpIDer\Settings] или
[HKCU\Software\IDAVLab\SpIDer\Settings]
RestoreLastTab=DWORD
RestoreLastTab - запоминание последней открытой закладки в "Настройках"
спайдера. При следующем вызове настроек они будут открыты на той закладке,
которая была открыта в последнем сеансе работы. По умолчанию отсутствует.
Ясное дело, фишки недокументированные. Использовать на свой страх и риск. ;-)
