Поведенческий анализ

Компонент Поведенческий анализ позволяет настроить реакцию Dr.Web на действия сторонних приложений, не являющихся доверенными, которые могут привести к заражению вашего компьютера, например на попытки модифицировать файл HOSTS или изменить критически важные системные ветки реестра. При включении компонента Поведенческий анализ программа запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствует о попытке вредоносного воздействия на операционную систему. Поведенческий анализ защищает систему от ранее неизвестных вредоносных программ, которые способны избежать обнаружения традиционными сигнатурными и эвристическими механизмами. Для определения вредоносности приложений используются наиболее актуальные данные облачного сервиса Dr.Web.

Чтобы включить или отключить компонент Поведенческий анализ

1.Откройте меню Dr.Web Значок Dr.Web и выберите пункт Центр безопасности.

2.В открывшемся окне нажмите плитку Превентивная защита.

3.Включите или отключите компонент Поведенческий анализ при помощи переключателя .

Рисунок 47. Включение/отключение компонента Поведенческий анализ

В этом разделе:

Режимы работы компонента

Создание и изменение отдельных правил для приложений

Описание защищаемых объектов

Параметры Поведенческого анализа

Настройки программы по умолчанию являются оптимальными в большинстве случаев, их не следует изменять без необходимости.

Чтобы перейти к параметрам компонента Поведенческий анализ

1.Убедитесь, что Dr.Web работает в режиме администратора (замок в нижней части программы «открыт» ). В противном случае нажмите на замок .

2.Нажмите плитку Поведенческий анализ. Откроется окно параметров компонента.

Рисунок 48. Параметры Поведенческого анализа

Вы можете задать отдельный уровень защиты для конкретных объектов и процессов и общий уровень, настройки которого будут применяться ко всем остальным процессам. Для задания общего уровня защиты на вкладке Уровень защиты выберите необходимый уровень из выпадающего списка.

Уровни защиты

Уровень защиты

Описание

Оптимальный (рекомендуется)

Используется по умолчанию. Dr.Web запрещает автоматическое изменение системных объектов, модификация которых однозначно свидетельствуют о попытке вредоносного воздействия на операционную систему. Также запрещаются низкоуровневый доступ к диску и модификация файла HOSTS приложениям, действия которых однозначно определяются как попытка вредоносного воздействия на операционную систему.

Примечание

Блокируются только действия приложений, которые не являются доверенными.

Средний

Этот уровень защиты можно установить при повышенной опасности заражения. В данном режиме дополнительно запрещается доступ к тем критическим объектам, которые могут потенциально использоваться вредоносными программами.

Примечание

В данном режиме защиты возможны конфликты совместимости со сторонним программным обеспечением, использующим защищаемые ветки реестра.

Параноидальный

Этот уровень защиты необходим для полного контроля за доступом к критическим объектам Windows. В данном режиме вам также будет доступен интерактивный контроль за загрузкой драйверов и автоматическим запуском программ.

Пользовательский

В этом режиме вы можете выбрать уровни защиты для каждого объекта по своему усмотрению.

Пользовательский режим

Все изменения в настройках сохраняются в Пользовательском режиме работы. В этом окне вы также можете создать новый уровень защиты для сохранения нужных настроек. При любых настройках компонента защищаемые объекты будут доступны для чтения.

Вы можете выбрать одну из реакций Dr.Web на попытки приложений модифицировать защищаемые объекты:

Разрешать — доступ к защищаемому объекту будет разрешен для всех приложений.

Спрашивать — при попытке приложения модифицировать защищаемый объект будет показано уведомление:

Рисунок 49. Пример уведомления с запросом доступа к защищаемому объекту

Блокировать — при попытке приложения модифицировать защищаемый объект приложению будет отказано в доступе. При этом будет показано уведомление:

Рисунок 50. Пример уведомления о запрете доступа к защищаемому объекту

Чтобы создать новый уровень защиты

1.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

2.Нажмите кнопку Добавить.

3.В открывшемся окне укажите название для нового профиля.

4.Нажмите OK.

Чтобы удалить уровень защиты

1.Из выпадающего списка выберите созданный уровень защиты, который вы хотите удалить.

2.Нажмите кнопку Удалить. Предустановленные профили удалить нельзя.

3.Нажмите OK, чтобы подтвердить удаление.

Получение уведомлений

Вы можете настроить вывод уведомлений о действиях компонента Поведенческий анализ на экран и отправку этих уведомлений на электронную почту.

См. также:

Уведомления

Доступ приложений

Чтобы задать отдельные параметры доступа для конкретных приложений перейдите на вкладку Доступ приложений. Здесь вы можете добавить новое правило для приложения, отредактировать уже созданное правило или удалить ненужное.

Рисунок 51. Параметры доступа для приложений

Для работы с объектами в таблице доступны следующие элементы управления:

Кнопка Добавить — добавление набора правил для приложения.

Кнопка Изменить — редактирование существующих наборов правил.

Кнопка Удалить — удаление набора правил.

В столбце Тип правила (Тип правила) может отображаться три типа правил:

Разрешать — задано правило Разрешать все для всех защищаемых объектов.

Пользовательский — заданы разные правила для защищаемых объектов.

Запрещать — задано правило Блокировать все для всех защищаемых объектов.

Чтобы добавить правило для приложения

1.Нажмите кнопку Добавить.

2.В открывшемся окне нажмите кнопку Обзор и укажите путь к исполняемому файлу приложения.

Рисунок 52. Добавление набора правил для приложения

3.Просмотрите настройки защиты, заданные по умолчанию и, при необходимости, отредактируйте их.

4.Нажмите OK.

Защищаемые объекты

Защищаемый объект

Описание

Целостность запущенных приложений

Данная настройка позволяет отслеживать процессы, которые внедряются в запущенные приложения, что является угрозой безопасности компьютера.

Файл HOSTS

Файл HOSTS используется операционной системой для упрощения доступа к интернету. Изменения этого файла могут быть результатом работы вируса или другой вредоносной программы.

Низкоуровневый доступ к диску

Данная настройка позволяет запрещать приложениям запись на жесткий диск посекторно, не обращаясь к файловой системе.

Загрузка драйверов

Данная настройка позволяет запрещать приложениям загрузку новых или неизвестных драйверов.

Критические области Windows

Прочие настройки позволяют защищать от модификации ветки реестра (как в системном профиле, так и в профилях всех пользователей).

Доступ к параметрам запуска приложений (IFEO):

Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Драйверы мультимедийных устройств:

Software\Microsoft\Windows NT\CurrentVersion\Drivers32

Software\Microsoft\Windows NT\CurrentVersion\Userinstallable.drivers

Параметры оболочки Winlogon:

Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit, Shell, UIHost, System, Taskman, GinaDLL

Нотификаторы Winlogon:

Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Автозапуск оболочки Windows:

Software\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, LoadAppInit_DLLs, Load, Run, IconServiceLib

Ассоциации исполняемых файлов:

Software\Classes\.exe, .pif, .com, .bat, .cmd, .scr, .lnk (ключи)

Software\Classes\exefile, piffile, comfile, batfile, cmdfile, scrfile, lnkfile (ключи)

Политики ограничения запуска программ (SRP):

Software\Policies\Microsoft\Windows\Safer

Плагины Internet Explorer (BHO):

Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Автозапуск программ:

Software\Microsoft\Windows\CurrentVersion\Run

Software\Microsoft\Windows\CurrentVersion\RunOnce

Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

Software\Microsoft\Windows\CurrentVersion\RunOnceEx\Setup

Software\Microsoft\Windows\CurrentVersion\RunServices

Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

Автозапуск политик:

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Конфигурация безопасного режима:

SYSTEM\ControlSetXXX\Control\SafeBoot\Minimal

SYSTEM\ControlSetXXX\Control\SafeBoot\Network

Параметры Менеджера сессий:

System\ControlSetXXX\Control\Session Manager\SubSystems, Windows

Системные службы:

System\CurrentControlXXX\Services

Примечание

Если при установке важных обновлений от Microsoft или при установке и работе программ (в том числе программ дефрагментации) возникают проблемы, временно отключите Поведенческий анализ.