Принципы работы

На главную  Назад  Вперед

Монитор SpIDer Guard для NSS работает в режиме демона (обычно запускается демоном управления конфигурацией Dr.Web ConfigD при запуске системы). Он выполняет наблюдение только тех томов файловой системы NSS, которые указаны в настройках монитора (параметры NssVolumesMountDir и ProtectedVolumes). Автоматической корректировки списка наблюдаемых томов NSS по мере их монтирования или отмонтирования не производится. При обнаружении новых или измененных файлов на томах NSS монитор отправляет их на проверку сканирующему ядру Dr.Web Scanning Engine. Также особенностью монитора SpIDer Guard для NSS является то, что он ведет собственный карантин угроз, обнаруженных на томах NSS. Схема работы монитора показана на рисунке ниже.

Рисунок 14. Схема работы компонента

Особенностью работы монитора томов NSS является то, что если угроза обнаруживается в файле при его копировании (как на защищаемый том, так и внутри тома NSS), то SpIDer Guard для NSS отметит наличие угрозы только в файле-копии, но оставит не обнаруженной угрозу в файле-источнике. Файл-источник в этом случае будет считаться безопасным до тех пор, пока к нему не будет осуществлена отдельная попытка доступа, причем, если он расположен на томе NSS, то проверен он будет только в случае его изменения.

 

Если в настройках монитора томов NSS для некоторого типа угроз указано действие Quarantine, то при восстановлении угрозы этого типа из карантина на том NSS, она будет снова незамедлительно перемещена в карантин. Например, настройки по умолчанию

NSS.OnKnownVirus = Cure
NSS.OnIncurable = Quarantine

помещают все неизлечимые объекты в карантин. Поэтому, при восстановлении неизлечимого объекта из карантина на том NSS, он будет снова незамедлительно перемещен в карантин.

Задание путей к проверяемым объектам

Монитор томов NSS SpIDer Guard для NSS будет проверять только те объекты файловой системы, которые находятся на защищаемых томах (параметры NssVolumesMountDir и ProtectedVolumes) и пути к которым на этих томах не соответствуют путям, указанным в параметре ExcludedPath, или соответствуют путям, указанным в параметре IncludedPath. При этом параметр IncludedPath имеет приоритет над параметром ExcludedPath: если путь к объекту содержится в обоих этих параметрах, то он проверяется. Использование исключений может быть необходимо, если файлы в некотором каталоге часто изменяются, что порождает их постоянную перепроверку и тем самым нагружает систему. Если точно известно, что частое изменение файлов в некотором каталоге не является следствием вирусной активности, а следствием работы некоторой доверенной программы, то можно добавить путь к этому каталогу или файлам в список исключений. В этом случае монитор томов NSS SpIDer Guard для NSS не будет реагировать на изменения этих файлов. Параметр IncludedPath разумно использовать, если нужно обеспечить проверку некоторых объектов, находящихся внутри пути, указанном в параметре ExcludedPath.

Рассмотрим пример настроек:

NssVolumesMountDir = /media/nss
ProtectedVolumes =
ExcludedPath = vol1/path1, vol1/path2, vol2/sys
IncludedPath = vol1/path1, vol1/path2/incl, vol2/doc

При указанных настройках монитор будет проверять все файлы на томе vol3 (не наложено никаких ограничений на проверку), все файлы на томе vol2, за исключением файлов, находящихся в каталоге /sys (и всех его подкаталогах); на томе vol1 не будут проверяться только файлы в каталоге /path2, но при этом будут проверяться файлы во всех прочих каталогах этого тома, не находящихся в каталоге /path2, а также содержимое каталога /path2/incl. Обратите внимание, что указание одного и того же пути (в данном примере – vol1/path) в обоих списках бессмысленно, поскольку это равносильно отсутствию ограничений на проверку этого пути. Кроме того, указание пути vol2/doc в параметре IncludedPath также бессмысленно, поскольку этот каталог не находится в зоне исключений, заданной для тома vol2 (она содержит только каталог /sys).