组件行为分析可设置Dr.Web对可能感染计算机的非可信任的第三方应用所作出的反应,如试图更改HOSTS文件或更改注册表重要系统分支时。启用组件行为分析后软件会禁止自动更改系统对象,对这类系统对象的修改明确表明有恶意对象企图进攻操作系统。行为分析技术抵御未知威胁,这些未知威胁有可能躲过传统特征码分析和启发式分析。判断应用是否是恶意软件使用的是Dr.Web云服务的最新数据。
启用和停用组件行为分析的操作
1.打开Dr.Web菜单
选择安全中心。
2.在打开的窗口点击预防性保护。
3.利用开关
启用或停用组件行为分析。
图68. 启用/停用组件行为分析
在这一部分:
行为分析的参数
程序的默认设置在大多数情况下为最优设置,无特殊需要没有必要进行更改。
打开组件行为分析参数的操作
1.确认Dr.Web的运行模式是管理员模式(软件下方的锁头为“开启”状态
)。如不是,需点击锁头
。
2.点击行为分析图标。打开组件参数窗口。
图69.行为分析的参数
还可以设置对具体对象和进程的保护等级以及应用于其他所有进程的共有等级。指定共有保护等级需在保护等级标签的下拉列表选择相应等级。
保护等级 |
说明 |
||
|---|---|---|---|
最佳模式(建议) |
默认使用。Dr.Web会禁止自动更改系统对象,这些对象发生更改明确表明是恶意软件企图入侵操作系统。同时还禁止低级别访问磁盘和修改HOSTS文件,这类操作也可以确认是应用恶意破坏操作系统。
|
||
中等 |
感染危险较高时可以将保护等级设为此级别。在此模式下还会阻止对可能被恶意软件利用的重要对象的访问。
|
||
频繁模式 |
需要完全控制Windows重要对象访问权限时可以将保护等级设为此级别。此模式下可以交互控制加载驱动程序和软件自启动。 |
||
自定义 |
在此运行模式下您可以根据自己的考量为每个对象选择保护等级。 |
自定义模式
设置中所有修改都会保存在自定义模式中。在这一窗口可以通过创建新的保护等级模式保存需要的设置。组件任何设置下受保护对象都为只读。
可选择Dr.Web发现应用企图加密文件时作出的反应:
•允许⸺允许所有应用访问受保护对象。
•询问⸺发现某应用试图更改受保护对象时显示通知:
图70. 申请访问受保护对象通知示例
•阻止⸺发现某应用试图更改受保护对象时建议阻止访问。这时显示的通知是:
图71. 禁止访问受保护对象通知示例
创建新的保护等级的操作
1.查看默认的保护设置,根据需要进行编辑。
2.点击
按钮。
3.在弹出窗口输入新配置文件的名称。
4.点击确定。
删除保护等级的操作
1.在下拉列表选择需删除的保护等级。
2.点击
。预设模式不可删除。
3.点击确定确认删除。
获取通知
可设置在屏幕显示行为分析组件运行通知和将通知发送到邮箱。
另参见:
•通知
为具体应用指定访问参数需打开应用程序的访问权限标签。在这一标签可为应用程序添加新规则,编辑已有规则或删除多余规则。
图72. 应用程序的访问参数
可使用以下控制元素处理表中对象:
•按钮⸺添加适用于应用程序的规则集。
•按钮
⸺编辑已有规则集。
•按钮⸺删除规则集。
表 
(规则类型)中可显示三种规则类型:
•
⸺为所有受保护对象指定了规则全部允许。
•
⸺受保护对象指定有不同规则。
•
⸺为所有受保护对象指定了规则全部阻止。
为应用程序添加规则的操作
1.点击按钮。
2.在弹出的窗口点击 浏览按钮并指定应用程序可执行文件路径。
图73.添加适用于应用程序的规则集。
3.查看默认的保护设置,根据需要进行编辑。
4.点击确定。
受保护对象 |
说明 |
|---|---|
已启动应用程序的完整性 |
这一设置可监视植入已启动应用程序的进程,也就是构成计算机安全威胁的进程。 |
HOSTS文件 |
操作系统利用HOSTS文件简化上网过程。更改此文件可能是病毒或其他恶意软件作用的结果。 |
低级磁盘访问 |
这一设置可禁止应用程序不经文件系统而在硬盘进行分区记录。 |
加载驱动程序 |
这一设置可禁止应用程序加载新的或未知的驱动程序。 |
其他设置保护注册表分区免于被修改(包括系统区域和所有用户区域)。
受保护对象 |
说明 |
|---|---|
应用程序启动参数 (IFEO) |
•Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options |
多媒体设备驱动程序 |
•Software\Microsoft\Windows NT\CurrentVersion\Drivers32 •Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers |
Winlogon外壳选项 |
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL |
Winlogon通知程序 |
•Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows外壳自动启动 |
•Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib |
可执行文件关联 |
•Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (参数) •Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile(参数) |
软件限制策略(SRP) |
•Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\*\Software\Policies\Microsoft\Windows\SrpV2 •Software\Policies\Microsoft\Windows\Safer •Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Policies\Microsoft\Windows\SrpV2 |
Internet Explorer插件 (BHO) |
•Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
软件自启动 |
•Software\Microsoft\Windows\CurrentVersion\Run •Software\Microsoft\Windows\CurrentVersion\RunOnce •Software\Microsoft\Windows\CurrentVersion\RunOnceEx •Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup •Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup •Software\Microsoft\Windows\CurrentVersion\RunServices •Software\Microsoft\Windows\CurrentVersion\RunServicesOnce |
策略自动启动 |
•Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run |
安全模式配置 |
•SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal •SYSTEM\ControlSetXXX\Control\SafeBoot\Network |
会话管理器选项 |
•System\ControlSetXXX\Control\Session Manager\SubSystems, Windows |
系统服务 |
•System\CurrentControlXXX\Services |
|
如安装Microsoft重大更新、安装或运行软件(包括磁盘碎片整理程序)时出现问题,需暂时停用行为分析。 |