Принципы работы

Компонент используется для доступа к любым объектам файловой системы (файлы, каталоги, загрузочные записи). Запускается с правами суперпользователя root.

Индексирует все проверенные файлы и каталоги и сохраняет данные о проверенных объектах в специальном кеше, чтобы не выполнять повторную проверку объектов, которые уже были проверены ранее и не изменялись с момента последней проверки (в этом случае, если заявка о проверке такого объекта поступает повторно, возвращается результат его предыдущей проверки, извлеченный из кеша).

При поступлении запросов на проверку объектов файловой системы от компонентов Dr.Web для интернет-шлюзов UNIX проверяет, требуется ли проверка запрошенного объекта, и если да, то формирует задание на проверку его содержимого для сканирующего ядра Dr.Web Scanning Engine. Если проверенный объект содержит угрозу, то Dr.Web File Checker заносит его в реестр обнаруженных угроз, применяет к нему нейтрализующее действие (лечение, удаление или перемещение в карантин), если это действие задано клиентским компонентом, инициировавшим проверку, в качестве реакции на угрозу. В качестве инициаторов проверки могут выступать различные компоненты Dr.Web для интернет-шлюзов UNIX.

В процессе проверки запрошенных объектов файловой системы компонент проверки файлов формирует и отправляет компоненту-клиенту, запросившему проверку, отчеты о результатах проверки и предпринятых действиях по нейтрализации угроз, если они были обнаружены.

Помимо стандартного метода проверки файлов, для внутренних нужд поддерживаются специальные методы проверки файлов:

•Метод «flow» — метод потоковой проверки файлов. Компонент, использующий данный метод, один раз инициализирует параметры проверки и обезвреживания угроз, и далее эти параметры будут применяться ко всему потоку заявок на проверку файлов, поступающих от компонента.

•Метод «proxy» — метод проверки файлов, заключающийся в том, что компонент проверки файлов выполняет только проверку файлов на наличие угроз, не применяя к ним никаких действий, в том числе не выполняя регистрацию обнаруженных угроз (эти действия целиком возлагаются на компонент, инициировавший проверку). Этот метод проверки используется компонентом Dr.Web ClamD.

Имеется возможность проверить файлы с использованием метода «flow», используя команду flowscan утилиты Dr.Web Ctl (запускается командой drweb-ctl), однако для обычной проверки файлов по требованию рекомендуется использовать только команду scan.

В процессе своей работы компонент проверки файлов не только ведет реестр угроз и управляет карантином, но и собирает общую статистику проверки файлов, усредняя количество файлов, проверенных в течение секунды за последнюю минуту, последние 5 минут, последние 15 минут.