SpIDer Guard®

Материал из wiki.drweb.com
Перейти к: навигация, поиск
Все значения DWORD в Parameter=DWORD означают "0" - запрещено/отключено, "1" - разрешено/включено.

Записывать в лог информацию о PID, выполняемой операции и времени сканирования файла:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
LogPID=DWORD
LogSource=DWORD
LogTimer=DWORD

После внесения этих изменений в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:02:16 [CL] (PID = 448)  D:\Internet\Trojan.Wmchange.dll - инфицирован Trojan.Wmchange
16-05-2007 13:02:16 [Time consumed: scanner 2 ms, total 7 ms, speed 571 KB/s (571 KB/s)]
16-05-2007 13:02:16 [CL] (PID = 448)  D:\Internet\Trojan.Wmchange.dll - перемещен

[CL] - файл был проверен при его закрытии;
PID = 448 идентифицирует процесс, работавший с этим файлом;
[Time consumed: ...] - сколько времени занял процесс проверки файла, а также скорость проверки.
Кроме [CL], в логе могут встретиться такие префиксы:
[NA] - неизвестно (информация не сохранилась);
[CR] - файл был проверен при создании/открытии;
[RN] - файл был проверен при переименовании;
[PR] - сканирование запущенных процессов;
[FB] - пакетные задачи, которые выполняются через фоновое сканирование, если нельзя сказать более точно;
[BG] - файл был проверен при фоновом сканировании.


Сканировать процессы при запуске:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
ScanOnCreateProcess=DWORD

После внесения этого изменения в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:10:50 [PS] (PID = 820)  E:\ZZZZ\ACCESS.EXE - упакован UPX - программа-Dialer Dialer.Egroup
16-05-2007 13:10:54 [PS] (PID = 820)  E:\ZZZZ\ACCESS.EXE - удален

Префикс [PS] говорит о проверке файла запускаемой программы. По умолчанию включен.


Убийство вирусных процессов при лечении:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
KillInfectedProcess=DWORD
После внесения этого изменения спайдер будет сканировать процессы и убивать
те из них, в адресное пространство которых загружен инфицированный модуль 
(исполняемый файл, DLL и т.д.) после обнаружения инфицированного файла и 
перед выполнением над этим файлом запрошенного действия.


Задать число потоков сканирования и их приоритет:
[HKLM\System\CurrentControlSet\Services\SPIDER]
NumThreads=DWORD
ThreadPriority=DWORD
LogThread=DWORD

NumThreads - число потоков. Если не задан или равен 0, число потоков
определяется автоматически:
* для рабочих станций 2 потока на процессор, не более 4 потоков,
* для сервера 3 потока на процессор, не более 24 потоков.

ThreadPriority - приоритет сканирующих ниток. Если параметр не задан или 
равен 0, то приоритет не меняется. По умолчанию в XP нитки создаются с 
приоритетом 8.

LogThread - запись в лог номера нитки. По умолчанию запрещено.

После внесения этого изменения в логе спайдера (SpiderNT.log) появится такая информация:
11-10-2007 14:11:11 #00 [CL] (PID = 604)  C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B} - container HTML
11-10-2007 14:11:11 #00 [CL] (PID = 604)  C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B}\JavaScript.0 - Ok
11-10-2007 14:11:11 #01 [CL] (PID = 604)  C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B}\JavaScript.1 - Ok
11-10-2007 14:11:11 #00 [CL] (PID = 604)  C:\Temp\{8359EAB2-130D-4857-BEDC-F3E2956E3F6B} - Ok


Оптимизация для режима "Оптимальный" (Smart):
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
FastMode=DWORD

FastMode - оптимизация в режиме "Оптимальный" (Smart); проверяются только 
те файлы, в которые производится запись. Не проверяются файлы, которые 
открыты на запись, но реально запись в них не происходит. По умолчанию 
включен.


Запоминать последнюю открытую закладку в "Настройках".
[HKLM\Software\IDAVLab\SpIDer\Settings] или
[HKCU\Software\IDAVLab\SpIDer\Settings]
RestoreLastTab=DWORD

RestoreLastTab - запоминание последней открытой закладки в "Настройках" 
спайдера. При следующем вызове настроек они будут открыты на той закладке, 
которая была открыта в последнем сеансе работы. По умолчанию отсутствует.


Ясное дело, фишки недокументированные. Использовать на свой страх и риск. ;-)

Счачать готовый файл настроек

Для внесения настроек в реестр необходимо:

- войти в систему как администратор;

- распаковать архив;

- отключить самозащиту Dr.Web;

- дважды кликнуть по файлу logpid.reg и ответить положительно на вопрос об внесении настроек в реестр (если запрос не появился, то прочитать тему Если что-то отключено);

- включить самозащиту Dr.Web.