The page may not load correctly.
Dr.Web 9-11.5版本中此组件名称为预防性保护。
Dr.Web产品利用行为分析模块:
逐项解读每一设置
Dr.Web阻止恶意软件更改HOSTS文件,从而防止用户被重定向到钓鱼网站 。
进程是位于计算机RAM中的一组资源和数据。属于一个程序的进程不应更改另一个程序的进程。 但是恶意软件,如Trojan.Encoder.686(CTB-Locker),恰恰会违反这一规则。
Dr.Web产品阻止恶意程序入侵其他程序进程(如禁止木马更改浏览器进程以获取对银行远程服务系统的访问权限),使其无法全部或部分实现其功能。
Windows操作系统正常运行时访问文件需通过由操作系统控制的文件系统来进行。Bootkit木马更改磁盘引导区后绕过Windows文件系统直接访问某些磁盘扇区。
木马植入到引导区后会大大增加将其侦测和解除威胁的难度。
Dr.Web阻止恶意程序更改磁盘引导区,避免木马在用户计算机启动。
Dr.Web禁止在未通知用户的情况下启动新的或未知的驱动程序。
Windows注册表包含Image File Execution Options键值(entry),可以用来为任意Windows应用程序指定调试程序,这是一个帮助程序员调试编写代码的程序,也可修改正在调试进程的数据。恶意软件可以使用此键值成为某个系统进程或应用(包括Internet Explorer或资源管理器在内)的调试程序,继而就可以毫无顾忌地访问不法分子感兴趣的内容了。
Dr.Web阻止对Image File Execution Options注册表键值的访问。
普通用户实际上并不需要对应用进行实时调试,因此是恶意软件试图使用Image File Execution Options键值的可能性非常高。
Dr.Web锁定负责虚拟设备驱动程序的注册表分支,这样就无法再安装新的虚拟设备。
Winlogon notification package接口用于处理用户登录和退出时指定的事件、启动或关闭操作系统并进行其他操作。恶意程序如果获得了Winlogon notification package访问权限,就可以重新启动操作系统、关闭计算机或阻止用户打开桌面。 Trojan.Winlock.3020、Trojan.Winlock.6412都属于此类恶意程序。
Dr.Web禁止更改Winlogon notification package的注册表分支,从而阻止恶意软件向操作系统运行逻辑将添加不法分子需要的新任务。
此选项同时锁定Windows注册表[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]分支中的多个参数:如AppInit_DLLs(可命令Windows在每次启动程序时加载指定的DLL)、AppInit_DLLs(可被用于将rootkit植入Windows),Run(用于操作系统启动后以最小化形式运行程序)、IconServiceLib(负责加载正常显示桌面和屏幕图标所必需的IconCodecService.dll库)。
Dr.Web通过锁定Windows注册表中的一系列参数阻止恶意行为,包括防止病毒更改桌面的正常显示以及防止rootkit将木马隐藏到系统中。
Dr.Web禁止恶意软件更改程序启动规则。
Windows中可设置程序启动限制系统(SRP),仅允许从特定文件夹(如Program Files)启动程序并禁止从其他来源执行程序。锁定负责设置SRP策略的注册表分支,禁止更改已设置的策略,从而加强保护。
Dr.Web保护系统,阻止恶意软件通过邮件和可移动载体入侵计算机,以及从临时文件夹启动的恶意软件。此选项建议企业使用。
Dr.Web保护浏览器,阻止安装恶意插件,如浏览器锁定器。
Dr.Web可以防止恶意程序自动运行,防止恶意程序在注册表中注册后自启动。
Dr.Web可阻止某些程序(如专门用于破坏反病毒软件的程序)自动运行。
Dr.Web禁止更改注册表,避免安全模式被禁用。
此选项用于保护Windows会话管理器设置,操作系统依靠这一设置才能稳定运行。如果不进行保护,恶意程序就有机会进行环境变量初始化,启动一系列系统进程,在系统完全加载前执行删除、移动或复制文件等操作。
Dr.Web保护操作系统免于恶意程序入侵,防止恶意程序在操作系统完全加载前,也就是反病毒软件完全启动前启动。
Dr.Web禁止恶意软件破坏系统服务正常运行,包括避免恶意软件破坏定期备份功能。