SpIDer Guard® — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
м SpIDer Guard®» переименована в «SpIDer Guard®»)
м
Строка 46: Строка 46:
 
Ясное дело, фишки недокументированные. Использовать на свой страх и риск. ;-)
 
Ясное дело, фишки недокументированные. Использовать на свой страх и риск. ;-)
 
</pre>
 
</pre>
 +
 +
[[category:ЧаВо]]

Версия 19:14, 9 октября 2007

Все значения DWORD в Parameter=DWORD означают "0" - запрещено/отключено, "1" - разрешено/включено.

Записывать в лог информацию о PID, выполняемой операции и времени сканирования файла:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
LogPID=DWORD
LogSource=DWORD
LogTimer=DWORD

После внесения этих изменений в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:02:16 [CL] (PID = 448)  D:\Internet\Trojan.Wmchange.dll - инфицирован Trojan.Wmchange
16-05-2007 13:02:16 [Time consumed: scanner 2 ms, total 7 ms, speed 571 KB/s (571 KB/s)]
16-05-2007 13:02:16 [CL] (PID = 448)  D:\Internet\Trojan.Wmchange.dll - перемещен

[CL] - файл был проверен при его закрытии;
PID = 448 идентифицирует процесс, работавший с этим файлом;
[Time consumed: ...] - сколько времени занял процесс проверки файла, а также скорость проверки.
Кроме [CL], в логе могут встретиться такие префиксы:
[NA] - неизвестно (информация не сохранилась);
[CR] - файл был проверен при создании/открытии;
[RN] - файл был проверен при переименовании;
[PR] - сканирование запущенных процессов;
[FB] - пакетные задачи, которые выполняются через фоновое сканирование, если нельзя сказать более точно;
[BG] - файл был проверен при фоновом сканировании.


Сканировать процессы при запуске:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
ScanOnCreateProcess=DWORD

После внесения этого изменения в логе спайдера (SpiderNT.log) появится такая информация:
16-05-2007 13:10:50 [PS] (PID = 820)  E:\ZZZZ\ACCESS.EXE - упакован UPX - программа-Dialer Dialer.Egroup
16-05-2007 13:10:54 [PS] (PID = 820)  E:\ZZZZ\ACCESS.EXE - удален

Префикс [PS] говорит о проверке файла запускаемой программы.


Убийство вирусных процессов при лечении:
[HKLM\SYSTEM\CurrentControlSet\Services\SPIDER]
KillInfectedProcess=DWORD
После внесения этого изменения спайдер будет сканировать процессы и убивать те из них, в
адресное пространство которых загружен инфицированный модуль (исполняемый файл, DLL и т.д.)
после обнаружения инфицированного файла и перед выполнением над этим файлом запрошенного
действия.

Ясное дело, фишки недокументированные. Использовать на свой страх и риск. ;-)