Поведенческий анализ

Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.

Чтобы включить или отключить компонент Поведенческий анализ

1.Откройте меню Dr.Web

и выберите пункт Центр безопасности.

2.В открывшемся окне нажмите плитку Превентивная защита.

3.Включите или отключите компонент Поведенческий анализ при помощи переключателя

Рисунок 68. Включение/отключение компонента Поведенческий анализ

Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.

Чтобы перейти к параметрам компонента Поведенческий анализ

1.Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт»

). В противном случае нажмите на замок

2.Нажмите плитку Поведенческий анализ. Откроется окно параметров компонента.

Рисунок 69. Параметры Поведенческого анализа

Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.

Уровень защиты

Описание

Оптимальный (рекомендуется)

Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.

Блокируются только действия приложений, которые не являются доверенными.

Средний

Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.

В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.

Параноидальный

Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.

Пользовательский

В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.

Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.

Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:

•Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.

•Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:

Рисунок 70. Пример уведомления с запросом доступа к защищаемому объекту

•Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:

Рисунок 71. Пример уведомления о запрете доступа к защищаемому объекту

1.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

3.В открывшемся окне укажите название для нового профиля.

1.Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.

2.Нажмите кнопку

. Предустановленные профили удалить нельзя.

Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.

Чтобы задать отдельные параметры доступа для конкретных приложений, перейдите на вкладку Доступ приложений. Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.

Рисунок 72. Параметры доступа для приложений

Для работы с объектами в таблице доступны следующие элементы управления:

•Кнопка

— добавление набора правил для приложения.

•Кнопка

— редактирование существующих наборов правил.

В столбце

(Тип правила) может отображаться три типа правил:

•

— задано правило Разрешать все для всех защищаемых объектов.

•

— заданы разные правила для защищаемых объектов.

•

— задано правило Блокировать все для всех защищаемых объектов.

2.В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.

Рисунок 73. Добавление набора правил для приложения

3.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

Защищаемый объект	Описание
Целостность запущенных приложений	Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.
Файл HOSTS	Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.
Низкоуровневый доступ к диску	Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.
Загрузка драйверов	Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.

Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).

Защищаемый объект	Описание
Параметры запуска приложений (IFEO)	•Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Драйверы мультимедийных устройств	•Software\Microsoft\Windows NT\CurrentVersion\Drivers32 •Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers
Параметры оболочки Winlogon	•Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL
Нотификаторы Winlogon	•Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Автозапуск оболочки Windows	•Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib
Ассоциации исполняемых файлов	•Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (ключи) •Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)
Политики ограничения запуска программ (SRP)	•Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\\Software\Policies\Microsoft\Windows\SrpV2 •Software\Policies\Microsoft\Windows\Safer •Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers •Software\Policies\Microsoft\Windows\SrpV2
Плагины Internet Explorer (BHO)	•Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
Автозапуск программ	•Software\Microsoft\Windows\CurrentVersion\Run •Software\Microsoft\Windows\CurrentVersion\RunOnce •Software\Microsoft\Windows\CurrentVersion\RunOnceEx •Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup •Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup •Software\Microsoft\Windows\CurrentVersion\RunServices •Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
Автозапуск политик	•Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Конфигурация безопасного режима	•SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal •SYSTEM\ControlSetXXX\Control\SafeBoot\Network
Параметры Менеджера сессий	•System\ControlSetXXX\Control\Session Manager\SubSystems, Windows
Системные службы	•System\CurrentControlXXX\Services