Принципы работы

Монитор SpIDer Guard для NSS работает в режиме демона (обычно запускается демоном управления конфигурацией Dr.Web ConfigD при запуске системы). Он выполняет наблюдение только тех томов файловой системы NSS, которые указаны в настройках монитора (параметр ProtectedVolumes). Точка файловой системы, в которую производится монтирование томов NSS, определяется автоматически. Автоматической корректировки списка наблюдаемых томов NSS по мере их монтирования или отмонтирования не производится. При обнаружении новых или измененных файлов на томах NSS монитор запрашивает их проверку компонентом проверки файлов Dr.Web File Checker.

Особенностью работы монитора томов NSS является то, что если угроза обнаруживается в файле при его копировании (как на защищаемый том, так и внутри тома NSS), то SpIDer Guard для NSS отметит наличие угрозы только в файле-копии, но оставит не обнаруженной угрозу в файле-источнике. Файл-источник в этом случае будет считаться безопасным до тех пор, пока к нему не будет осуществлена отдельная попытка доступа, причем, если он расположен на томе NSS, то проверен он будет только в случае его изменения.

Если в настройках монитора томов NSS для какого-либо типа угроз указано действие QUARANTINE, при восстановлении объекта с угрозой этого типа из карантина на том NSS этот объект будет снова незамедлительно перемещен в карантин. Например, настройки по умолчанию:

NSS.OnKnownVirus = CURE
NSS.OnIncurable = QUARANTINE

помещают все неизлечимые объекты в карантин. Поэтому, при восстановлении неизлечимого объекта из карантина на том NSS он будет снова незамедлительно перемещен в карантин.

Монитор томов SpIDer Guard для NSS будет проверять только те объекты файловой системы, которые находятся на защищаемых томах NSS (параметр ProtectedVolumes) и пути к которым на этих томах не соответствуют путям, указанным в параметре ExcludedPath, и соответствуют путям, указанным в параметре IncludedPath. При этом параметр IncludedPath имеет приоритет над параметром ExcludedPath: если путь к объекту содержится в обоих этих параметрах, то он проверяется. Использование исключений может быть необходимо, если файлы в каком-либо каталоге часто изменяются, что порождает их постоянную перепроверку и тем самым нагружает систему. Если точно известно, что частое изменение файлов в каком-либо каталоге является не следствием вредоносной активности, а следствием работы какой-либо доверенной программы, вы можете добавить путь к этому каталогу или этим файлам в список исключений. В этом случае монитор томов SpIDer Guard для NSS не будет реагировать на изменения этих файлов. Параметр IncludedPath разумно использовать, если нужно обеспечить проверку каких-либо объектов, находящихся внутри пути, указанном в параметре ExcludedPath.

При указанных настройках монитор будет проверять все файлы на томе vol3 (не наложено никаких ограничений на проверку), все файлы на томе vol2, за исключением файлов, находящихся в каталоге /sys и всех его подкаталогах. На томе vol1 будут игнорироваться только файлы в каталоге /path2, но при этом будут проверяться файлы во всех прочих каталогах этого тома, которые не находятся в каталоге /path2, а также объекты, содержащиеся в каталоге /path2/incl.

Указание одного и того же пути (в данном примере — vol1/path) в обоих списках бессмысленно, поскольку это равносильно отсутствию ограничений на проверку этого пути. Кроме того, указание пути vol2/doc в параметре IncludedPath также бессмысленно, поскольку зона исключений, заданная для тома vol2, содержит только каталог /sys.

Параметры IncludedPath и ExcludedPath допускают использование файловых масок (wildcards). Например, настройка:

исключает из проверки на томе vol1 (томе, смонтированном в каталог vol1 точки монтирования томов NSS) все файлы, соответствующие маске *.txt. Регистрозависимость путей, указываемых в параметрах IncludedPath и ExcludedPath, определяется настройками NSS.