Карантин Dr.Web Security Space представляет собой систему каталогов, предназначенных для надежной изоляции файлов, содержащих выявленные угрозы, которые в данный момент не могут быть обезврежены по каким-либо причинам. Например, обнаруженная угроза может быть неизлечимой, потому что еще неизвестна Dr.Web Security Space (например, она была обнаружена эвристическим анализатором, а в вирусных базах ее сигнатура, а следовательно, и метод лечения, отсутствует), или при попытке ее лечения возникают ошибки. Кроме того, файл может быть перемещен в карантин непосредственно по желанию пользователя, если он выбрал соответствующее действие в списке обнаруженных угроз или указал его как реакцию Сканера или монитора файловой системы SpIDer Guard на угрозы определенного типа.
Когда файл, содержащий угрозу, перемещается в карантин, он специальным образом переименовывается, чтобы предотвратить возможность его идентификации пользователями и программами, и затруднить доступ к нему, минуя инструменты работы с карантином, реализованные в Dr.Web Security Space. Кроме того, при перемещении файла в карантин у него всегда сбрасывается бит исполнения для предотвращения запуска.
Каталоги карантина размещаются:
•в домашнем каталоге пользователя (если на этом компьютере имеется несколько учетных записей разных пользователей, то в домашнем каталоге каждого из этих пользователей может быть создан свой собственный каталог карантина);
•в корневом каталоге каждого логического тома, смонтированного в операционной системе.
Каталоги карантина Dr.Web Security Space всегда имеют имя .com.drweb.quarantine и создаются по мере необходимости в тот момент, когда к какой-либо угрозе применяется действие «Переместить в карантин» (QUARANTINE), другими словами, до тех пор, пока угроз не обнаружено, каталоги карантина не создаются. При этом всегда создается только тот каталог карантина, который требуется для изоляции файла. Для определения, в какой из каталогов требуется изолировать файл, используется имя владельца файла. Если при движении к корню файловой системы / от каталога, содержащего файл, достигается домашний каталог владельца, файл изолируется в каталог карантина, находящийся в нем. В противном случае файл будет изолирован в каталог карантина, созданный в корне тома, содержащего файл (корневой каталог тома необязательно совпадет с корнем файловой системы). Таким образом, любой инфицированный файл, помещаемый в карантин, всегда остается на том томе, на котором он был обнаружен. Это обеспечивает корректную работу карантина при наличии в системе съемных накопителей и других томов, которые могут монтироваться в операционной системе периодически и в различные точки.
Пользователь может управлять содержимым карантина как в графическом режиме работы, так и из командной строки. При этом всегда обрабатывается консолидированный карантин, объединяющий в себе все каталоги с изолированными объектами, доступные в данный момент. С точки зрения пользователя, просматривающего содержимое консолидированного карантина, каталог карантина, располагающийся в его домашнем каталоге, называется Пользовательским карантином, а все остальные каталоги карантина считаются Системным карантином.
|
Работа с карантином возможна даже тогда, когда отсутствует активная лицензия, но в этом случае становится невозможным лечение изолированных объектов. |
