行为分析

Dr.Web 9-11.5版本中此组件名称为预防性保护。

Dr.Web产品利用行为分析模块：

抵御最新、最有危险性的恶意软件，这些恶意软件能够躲避传统的特征码侦测和启发式侦测方式，而保护系统也还尚未添加对这些恶意软件的记录（如未下载最新更新）
识别对用户文件的不良更改，跟踪系统中所有进程，查找恶意软件（如木马加密器）行为特征，阻止恶意对象植入其他软件进程；
发现并解除Dr.Web病毒库尚未添加的最新威胁：勒索木马（加密器）、植入程序、远程可控恶意对象（针对企事业单位的僵尸和间谍程序），以及病毒打包程序

设置

逐项解读每一设置

HOSTS文件

此文件确定主机域名和其IP地址的对应关系。处理HOSTS文件的优先级高于访问DNS服务器的优先级。

不法分子可利用HOSTS文件拦截对反病毒公司网站的访问并将用户重定向到虚假网站。

Dr.Web阻止恶意软件更改HOSTS文件，从而防止用户被重定向到钓鱼网站。

已启动应用程序的完整性

进程是位于计算机RAM中的一组资源和数据。属于一个程序的进程不应更改另一个程序的进程。但是恶意软件，如Trojan.Encoder.686（CTB-Locker），恰恰会违反这一规则。

Dr.Web产品阻止恶意程序入侵其他程序进程（如禁止木马更改浏览器进程以获取对银行远程服务系统的访问权限），使其无法全部或部分实现其功能。

低级磁盘访问

Windows操作系统正常运行时访问文件需通过由操作系统控制的文件系统来进行。Bootkit木马更改磁盘引导区后绕过Windows文件系统直接访问某些磁盘扇区。

木马植入到引导区后会大大增加将其侦测和解除威胁的难度。

Dr.Web阻止恶意程序更改磁盘引导区，避免木马在用户计算机启动。

加载驱动程序

许多rootkit程序暗中启动驱动程序和服务，将自身隐藏在计算机中并执行未经用户授权的操作，如向不法分子发送登录名、密码以及其他识别信息。

Dr.Web禁止在未通知用户的情况下启动新的或未知的驱动程序。

应用程序启动参数

Windows注册表包含Image File Execution Options键值（entry），可以用来为任意Windows应用程序指定调试程序，这是一个帮助程序员调试编写代码的程序，也可修改正在调试进程的数据。恶意软件可以使用此键值成为某个系统进程或应用（包括Internet Explorer或资源管理器在内）的调试程序，继而就可以毫无顾忌地访问不法分子感兴趣的内容了。

Dr.Web阻止对Image File Execution Options注册表键值的访问。
普通用户实际上并不需要对应用进行实时调试，因此是恶意软件试图使用Image File Execution Options键值的可能性非常高。

多媒体设备驱动程序

已知有些恶意程序能创建可执行文件并将其注册为虚拟设备。

Dr.Web锁定负责虚拟设备驱动程序的注册表分支，这样就无法再安装新的虚拟设备。

Winlogon参数，Winlogon事件通知

Winlogon notification package接口用于处理用户登录和退出时指定的事件、启动或关闭操作系统并进行其他操作。恶意程序如果获得了Winlogon notification package访问权限，就可以重新启动操作系统、关闭计算机或阻止用户打开桌面。 Trojan.Winlock.3020、Trojan.Winlock.6412都属于此类恶意程序。

Dr.Web禁止更改Winlogon notification package的注册表分支，从而阻止恶意软件向操作系统运行逻辑将添加不法分子需要的新任务。

Windows外壳程序自动运行

此选项同时锁定Windows注册表[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]分支中的多个参数：如AppInit_DLLs（可命令Windows在每次启动程序时加载指定的DLL）、AppInit_DLLs（可被用于将rootkit植入Windows），Run（用于操作系统启动后以最小化形式运行程序）、IconServiceLib（负责加载正常显示桌面和屏幕图标所必需的IconCodecService.dll库）。

Dr.Web通过锁定Windows注册表中的一系列参数阻止恶意行为，包括防止病毒更改桌面的正常显示以及防止rootkit将木马隐藏到系统中。