Принципы работы

 На главную  Назад  Вперед

Компонент работает в качестве сервиса, принимающего от других компонентов программного комплекса Dr.Web для файловых серверов UNIX запросы на проверку объектов файловой системы (файлов, загрузочных записей на дисках) на наличие внедренных угроз. Формирует очереди задач на проверку объектов, выполняет проверку запрошенных объектов, используя антивирусное ядро Dr.Web Virus-Finding Engine. Если в проверенном объекте обнаружена угроза, и в задании на проверку стоит указание выполнять лечение, сканирующее ядро пытается выполнять лечение, если это действие может быть применено к проверенному объекту. Схема функционирования сканирующего ядра Dr.Web Scanning Engine показана на рисунке ниже.

Рисунок 18. Схема работы компонента

Сканирующее ядро, антивирусное ядро Dr.Web Virus-Finding Engine и вирусные базы образуют атомарный комплекс и не могут быть разделены. Сканирующее ядро осуществляет загрузку вирусных баз и обеспечивает среду для функционирования кросс-платформенного антивирусного ядра Dr.Web Virus-Finding Engine. Обновление вирусных баз и антивирусного ядра производится компонентом обновлений Dr.Web Updater, входящим в состав продукта, но не являющимся частью сканирующего ядра. Компонент обновлений запускается демоном управления конфигурацией Dr.Web ConfigD периодически или принудительно, в ответ на поступившую команду пользователя. Кроме того, если программный комплекс Dr.Web для файловых серверов UNIX функционирует в режиме централизованной защиты, то функции обновления вирусных баз и антивирусного ядра берет на себя агент централизованной защиты Dr.Web ES Agent (не показан на приведенной схеме). Этот компонент взаимодействует с сервером централизованной защиты и получает обновления от него.

Сканирующее ядро может работать как под контролем демона управления конфигурацией Dr.Web ConfigD, так и автономно. В первом случае демон обеспечивает запуск ядра и своевременное обновление вирусных баз, используемых ядром. Во втором случае запуск ядра и обновление антивирусных баз возлагаются на использующее его внешнее приложение. Компоненты программного комплекса Dr.Web для файловых серверов UNIX, выполняющие запросы к сканирующему ядру на предмет проверки файлов (обозначены на схеме как «Клиентский модуль»), используют тот же программный интерфейс, что и внешние приложения.

Имеется возможность создать свой собственный компонент (внешнее приложение), использующий Dr.Web Scanning Engine для проверки файлов. Для этого компонент Dr.Web Scanning Engine предоставляет специализированный API, основанный на технологии Google Protobuf. Для получения описания API Dr.Web Scanning Engine, а также примеров кода клиентского приложения, использующего Dr.Web Scanning Engine, обратитесь в отдел по работе с партнерами компании «Доктор Веб» (https://partners.drweb.com/).

Поступающие задачи на сканирование автоматически распределяются по трем очередям, имеющим различный приоритет (высокий, нормальный и низкий). Очередь, в которую будет помещена задача, определяется исходя из того, какой компонент ее сформировал, например, задачи, поступающие от мониторов файловых систем, помещаются в очереди высокого приоритета, поскольку при мониторинге важна скорость реакции на действия с объектами файловой системы. Сканирующее ядро ведет статистику своего использования, фиксируя количество поступивших задач на сканирование, а также длины очередей. В качестве показателя средней нагрузки сканирующее ядро определяет среднюю длину очередей в секунду. Этот показатель усредняется сканирующим ядром для последней минуты, последних 5 минут и последних 15 минут.

Антивирусное ядро Dr.Web Virus-Finding Engine поддерживает как сигнатурный анализ (поиск известных угроз на основе сигнатур, содержащихся в вирусных базах), так и различные технологии эвристического и поведенческого анализа, предназначенные для распознавания потенциальной опасности объекта на основе анализа последовательности содержащихся в нем машинных инструкций и других признаков исполняемого кода.

Следует помнить, что эвристический анализ не гарантирует достоверного распознавания угроз и может допускать ошибки первого и второго рода.

Ошибки первого рода – это ложные срабатывания анализатора, когда в качестве вредоносного отмечается безопасный объект.

Ошибки второго рода – это ошибочное признание вредоносного объекта безопасным.

Поэтому угрозы, обнаруженные эвристическим анализом, отнесены в особую категорию «Подозрительные» (Suspicious).

Рекомендуется выполнять перемещение подозрительных объектов в карантин с тем, чтобы в дальнейшем, после обновления вирусных баз, проверить их методами сигнатурного анализа. Для предотвращения ошибок второго рода рекомендуется поддерживать вирусные базы в актуальном состоянии.

Антивирусное ядро Dr.Web Virus-Finding Engine позволяет осуществлять проверку и лечение как простых файлов, так и запакованных объектов и объектов, содержащихся в различных контейнерах (таких, как архивы, письма электронной почты и т.п.).