O6. 邻居

结束Dr.Web邻居服务器工作站上组件的运行

从Dr.Web邻居服务器获得component completed事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

component——组件编号,

pid——进程ID,

infections——侦测到威胁,

errors——发现访问权限错误,

exitcode——组件结束运行代码,

time——结束时间(工作站时间)

忽略

钩子文本:

--[[

Called:

 when "component completed" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 component          component number

 pid                process ID

 infections         infections found

 errors             access errors detected

 exitcode           component exit code

 time               end time (station time)

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname, args.time

                -- args.component, args.pid, args.infections

                -- args.errors, args.exitcode

启动Dr.Web邻居服务器工作站上的组件

从Dr.Web邻居服务器获得component started事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

component——组件编号,

pid——进程ID,

engine——搜索引擎版本,

records——病毒记录数量,

user——进程所属组和所属用户名称,

time——开始时间(工作站时间)

忽略

钩子文本:

--[[

Called:

 when "component started" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 component          component number

 pid                process ID

 engine             virus-finding engine version

 records            virus records number

 user               user name and group (process owner)

 time               start time (station time)

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.component, args.pid, args.engine

                -- args.records, args.user, args.time

Dr.Web邻居服务器或邻居服务器工作站坐标发生了改变

从Dr.Web邻居服务器获得geolocation事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

latitude——纬度,格式为DD.DDDDDD,

longitude——经度,格式为DD.DDDDDD

忽略

钩子文本:

--[[

Called:

 when "geolocation" event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 latitude           latitude in DD.DDDDDD format

 longitude          longitude in DD.DDDDDD format

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.latidue,args.longitude

                -- ...

邻居服务器工作站硬件和软件发生变化

从Dr.Web邻居服务器获得environment changed事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

group_name——工作站基组名称,

category——对象环境类别

忽略

钩子文本:

--[[

Called:

 when "environment changed" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 group_name         station primary group name

 category           environment category

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,args.stationname,

                -- args.group_name, args.category

在Dr.Web邻居服务器工作站侦测到安全威胁

从Dr.Web邻居服务器获得virus detected事件时调用

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

component——组件编号,

pid——进程ID,

time——事件发生的时间(工作站时间),

user——进程所属组和所属用户名称,

object——对象在文件系统中的路径,

owner——对象所属组和所属用户名称,

action——操作代码,

objecttype——对象类型:

-1未知

0文件

1引导扇区

2存储器单元或进程

3病毒活动

infectiontype——威胁类型(参见Dr.Web API),

sha1——侦测到的对象的哈希值SHA-1,

sha256——侦测到的对象的哈希值SHA-256,

hashdb——包含哈希值的公报

忽略

钩子文本:

--[[

Called:

 when "" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 component          component number

 pid                process ID

 time               event time (station time)

 user               user name and group (process owner)

 object             filesystem object path

 owner              object owner (user name and group)

 action             action code (see Dr.Web API; only errors bit set)

 objecttype         object type

                      -1    unknown

                       0    file

                       1    boot sector

                       2    memory block / process

                       3    virus like activity

 infectiontype      infection type (see Dr.Web API)

 sha1               object SHA-1 hash

 sha256             object SHA-256 hash

 hashdb             hash database containing object

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.component, args.pid, args.time, args.user,

                -- args.object, args.owner,

                -- args.action, args.objecttype, args.infectiontype,

                -- args.sha1, args.sha256, args.hashdb

来自邻居服务器的预防性保护报告

获得来自Dr.Web邻居服务器的工作站预防性保护报告时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

pid——进程ID,

path——可疑进程可执行文件路径,

target_path——被企图访问的受保护对象路径,

hips_type——受保护对象类型(数值),

shell_guard_type——阻止未注册代码的原因(数值),

denied ——访问已被禁止(true | false),

is_user_action——已向用户询问的操作(true | false),

event_count——自动阻止的事件数量(仅限is_user_action值为false时),

event_user——启动可疑进程的用户,

action_user——对可疑进程指定反应的用户(仅限is_user_action值为true时),

event_time——工作站出现事件的时间,

recv_time——Dr.Web邻居服务器获取报告的时间,

sha1——侦测到的对象的哈希值SHA-1,

sha256——侦测到的对象的哈希值SHA-256,

hashdb——包含哈希值的公报

忽略

钩子文本:

--[[

Called:

 when HIPS event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 pid                numeric,process id

 path               process file path

 target_path        affected resource path

 hips_type          numeric, HIPS type

 shell_guard_type   numeric, Shell Guard event type

 denied             boolean, access was denied

 is_user_action     boolean, user was asked

 event_count        event number (for accumulation period - if is_user_action is false)

 event_user         user which initiated the suspicious activity

 action_user        user which allowed or denied the activity (non-empty only if is_user_action is true)

 event_time         station time

 recv_time          server originator time

 sha1               process file SHA-1 hash

 sha256             process file SHA-256 hash

 hashdb             hash database containing process file

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname, args.originatorid, args.originatorname,

                -- args.stationid, args.stationname, args.eventid

                -- args.pid, args.path, args.target_path, args.hips_type, args.shell_guard_type,

                -- args.denied, args.is_user_action, args.event_count, args.event_user, args.action_user

                -- args.event_time, args.recv_time, args.sha1, args.sha256, args.hashdb

登录Dr.Web邻居服务器出错

因登录出错与Dr.Web邻居服务器的连接被拒绝时调用。

数据库

参数

返回值

可使用

id——Dr.Web服务器ID

address——Dr.Web服务器地址,

name——Dr.Web服务器名称,

reason——断开原因

忽略

钩子文本:

--[[

Called:

 just after server connection rejected due (authorization) error

 

Database:

 available

 

Parameters:

 id          server ID

 address     server address

 name        server name

 reason      failure reason

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.id, args.address, args.name, args.reason

Dr.Web邻居服务器工作站扫描出错

从Dr.Web邻居服务器获得scan error事件时调用

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

component——组件编号,

pid——进程ID,

time——事件发送的时间(工作站时间),

user——进程所属组和所属用户名称,

object——对象在文件系统中的路径,

owner——对象所属组和所属用户名称,

action——操作代码,

sha1——侦测到的对象的哈希值SHA-1,

sha256——侦测到的对象的哈希值SHA-256,

hashdb——包含哈希值的公报

忽略

钩子文本:

--[[

Called:

 when "" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 component          component number

 pid                process ID

 time               event time (station time)

 user               user name and group (process owner)

 object             filesystem object path

 owner              object owner (user name and group)

 action             action code (error bit(s) set)

 sha1               object SHA-1 hash

 sha256             object SHA-256 hash

 hashdb             hash database containing object

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.component, args.pid, args.time, args.user,

                -- args.object, args.owner, args.action,

                -- args.sha1, args.sha256, args.hashdb

Dr.Web邻居服务器已连接

与Dr.Web邻居服务器连接时调用

数据库

参数

返回值

可使用

id——Dr.Web服务器ID

address——Dr.Web服务器地址,

name——Dr.Web服务器名称

忽略

钩子文本:

--[[

Called:

 when server connected

 

Database:

 available

 

Parameters:

 id          server ID

 address     server address

 name        server name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.id, args.address, args.name

Dr.Web邻居服务器工作站状态

Dr.Web邻居服务器报告工作站状态时调用,包括报告组件、病毒库状态和某些本地策略(发送事件、接收更新和任务)时。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

count——状态代码数量,

state_0——状态值,

number_0——state_0的工作站数量

忽略

钩子文本:

--[[

Called:

 when "" event recived from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 count              number of different status code

 state_0            state value

 number_0           number of the stations in 'state_0'

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.count,

                -- args.state_0, args.number_0

                -- args.state_1, args.number_1

                -- ...

已删除Dr.Web邻居服务器的一个工作站

在Dr.Web邻居服务器删除工作站时调用

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称

忽略

钩子文本:

--[[

Called:

 when station was deleted on neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname

                -- ...

Dr.Web邻居服务器工作站扫描统计信息

从Dr.Web邻居服务器获得scan statistics事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

component——组件编号,

pid——进程ID,

user——进程所属组和所属用户名称,

time——事件发送的时间(工作站时间),

size ——所有已扫描对象总体大小,

elapsedtime——用时,

scanned——已扫描对象数量,

infected——被已知病毒感染的对象数量,

modifications——被病毒变种感染的对象数量,

suspicious——可疑对象数量,

cured——已清除文件数量,

deleted——已删除文件数量,

renamed——已重命名文件数量,

moved——已隔离文件数量,

locked——已被阻止的文件数量(只限SpIDer Guard),

errors——因访问权限错误而未能扫描的文件数量

忽略

钩子文本:

--[[

Called:

 when "scan statistics" event received from neighbor server

 

Database:

 available

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 component          number of component

 pid                process ID

 user               user name and group (process owner)

 time               event time (station time)

 size               summary size of all scanned objects

 elapsedtime        elapsed time

 scanned            number of scanned objects

 infected           number of objects infected by known virus

 modifications      number of objects infected by virus modification

 suspicious         number of suspicious objects

 cured              number of cured files

 deleted            number of deleted files

 renamed            number of renamed files

 moved              number of quarantined files

 locked             number of locked files (SpIDer Guard only)

 errors             number of not scanned files (due access error)

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.component, args.pid, args.time, args.user,

                -- args.scanned, args.infected, args.modifications,

                -- args.suspicious, args.cured, args.deleted, args.renamed,

                -- args.moved, args.locked, args.errors, args.size, args.elapsedtime

从Dr.Web邻居服务器进行代理端安装

从Dr.Web邻居服务器获得installation事件时调用。

数据库

参数

返回值

可使用

neighborid——从其收到事件的Dr.Web邻居服务器的ID,

neighborname——Dr.Web邻居服务器名称,

originatorid——作为事件源的Dr.Web服务器的ID,

originatorname——作为事件源的Dr.Web服务器的名称,

stationid——工作站ID,

stationname——工作站名称,

eventid——事件ID,

event——事件类型,

0——安装已开始,

1——安装已成功完成,

2——拒绝,

3——已超时,

4——已失败,

5——未结束

message——出错通知(如没有错误为空)。

address——工作站地址,

begtime——开始时间,

endtime——完成时间

忽略

钩子文本:

--[[

Called:

 when "installation" event recived from neighbor server

 

Parameters:

 neighborid         neighbor server ID which the event received from

 neighborname       neighbor server name

 originatorid       ID of the event server originator

 originatorname     name of the event server originator

 stationid          station ID

 stationname        station name

 eventid            event ID

 event              event type:

                      0   installation begin

                      1   successully completed

                      2   rejected

                      3   timed out

                      4   failed

                      5   incomplete

 message            error message (or empty if there is no error)

 address            station address

 begtime            begin time

 endtime            end time

 

Returned value:

 ignored

 

]]

 

local args = ... -- args.neighborid, args.neighborname,

                -- args.originatorid, args.originatorname,

                -- args.eventid, args.stationid,

                -- args.stationname,

                -- args.event, args.message, args.address

                -- args.begtime, args.endtime