行为分析
Dr.Web 9-11.5版本中此组件名称为预防性保护。
Dr.Web产品利用行为分析模块:
- 抵御最新、最有危险性的恶意软件,这些恶意软件能够躲避传统的特征码侦测和启发式侦测方式,而保护系统也还尚未添加对这些恶意软件的记录(如未下载最新更新)
- 识别对用户文件的不良更改,跟踪系统中所有进程,查找恶意软件(如木马加密器)行为特征,阻止恶意对象植入其他软件进程;
- 发现并解除Dr.Web病毒库尚未添加的最新威胁:勒索木马(加密器)、植入程序、远程可控恶意对象(针对企事业单位的僵尸和间谍程序),以及病毒打包程序
设置
逐项解读每一设置
HOSTS文件
此文件确定主机域名和其IP地址的对应关系。处理HOSTS文件的优先级高于访问DNS服务器的优先级。
不法分子可利用HOSTS文件拦截对反病毒公司网站的访问并将用户重定向到虚假网站。
Dr.Web阻止恶意软件更改HOSTS文件,从而防止用户被重定向到钓鱼网站 。
已启动应用程序的完整性
进程是位于计算机RAM中的一组资源和数据。属于一个程序的进程不应更改另一个程序的进程。 但是恶意软件,如Trojan.Encoder.686(CTB-Locker),恰恰会违反这一规则。
Dr.Web产品阻止恶意程序入侵其他程序进程(如禁止木马更改浏览器进程以获取对银行远程服务系统的访问权限),使其无法全部或部分实现其功能。
低级磁盘访问
Windows操作系统正常运行时访问文件需通过由操作系统控制的文件系统来进行。Bootkit木马更改磁盘引导区后绕过Windows文件系统直接访问某些磁盘扇区。
木马植入到引导区后会大大增加将其侦测和解除威胁的难度。
Dr.Web阻止恶意程序更改磁盘引导区,避免木马在用户计算机启动。
加载驱动程序
许多rootkit程序暗中启动驱动程序和服务,将自身隐藏在计算机中并执行未经用户授权的操作,如向不法分子发送登录名、密码以及其他识别信息。
Dr.Web禁止在未通知用户的情况下启动新的或未知的驱动程序。
应用程序启动参数
Windows注册表包含Image File Execution Options键值(entry),可以用来为任意Windows应用程序指定调试程序,这是一个帮助程序员调试编写代码的程序,也可修改正在调试进程的数据。恶意软件可以使用此键值成为某个系统进程或应用(包括Internet Explorer或资源管理器在内)的调试程序,继而就可以毫无顾忌地访问不法分子感兴趣的内容了。
Dr.Web阻止对Image File Execution Options注册表键值的访问。
普通用户实际上并不需要对应用进行实时调试,因此是恶意软件试图使用Image File Execution Options键值的可能性非常高。
多媒体设备驱动程序
已知有些恶意程序能创建可执行文件并将其注册为虚拟设备。
Dr.Web锁定负责虚拟设备驱动程序的注册表分支,这样就无法再安装新的虚拟设备。
Winlogon参数,Winlogon事件通知
Winlogon notification package接口用于处理用户登录和退出时指定的事件、启动或关闭操作系统并进行其他操作。恶意程序如果获得了Winlogon notification package访问权限,就可以重新启动操作系统、关闭计算机或阻止用户打开桌面。 Trojan.Winlock.3020、Trojan.Winlock.6412都属于此类恶意程序。
Dr.Web禁止更改Winlogon notification package的注册表分支,从而阻止恶意软件向操作系统运行逻辑将添加不法分子需要的新任务。
Windows外壳程序自动运行
此选项同时锁定Windows注册表[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Windows]分支中的多个参数:如AppInit_DLLs(可命令Windows在每次启动程序时加载指定的DLL)、AppInit_DLLs(可被用于将rootkit植入Windows),Run(用于操作系统启动后以最小化形式运行程序)、IconServiceLib(负责加载正常显示桌面和屏幕图标所必需的IconCodecService.dll库)。
Dr.Web通过锁定Windows注册表中的一系列参数阻止恶意行为,包括防止病毒更改桌面的正常显示以及防止rootkit将木马隐藏到系统中。
可执行文件关联
一些恶意程序破坏可执行文件关联,导致程序无法启动,或启动的不是用户所需程序,而是恶意软件指定的程序。
Dr.Web禁止恶意软件更改程序启动规则。
软件限制策略(SRP)
Windows中可设置程序启动限制系统(SRP),仅允许从特定文件夹(如Program Files)启动程序并禁止从其他来源执行程序。锁定负责设置SRP策略的注册表分支,禁止更改已设置的策略,从而加强保护。
Dr.Web保护系统,阻止恶意软件通过邮件和可移动载体入侵计算机,以及从临时文件夹启动的恶意软件。此选项建议企业使用。
Internet Explorer插件(BHO)
使用此设置可以通过锁定相应的注册表分支来禁止安装Internet Explorer新插件。
Dr.Web保护浏览器,阻止安装恶意插件,如浏览器锁定器。
软件自启动
禁止更改负责自动运行应用程序的多个注册表分支。
Dr.Web可以防止恶意程序自动运行,防止恶意程序在注册表中注册后自启动。
策略自动运行
该选项会锁定注册表分支,利用此分支可以在用户登录系统时运行任意程序。
Dr.Web可阻止某些程序(如专门用于破坏反病毒软件的程序)自动运行。
安全模式配置
一些木马能禁用Windows安全模式,借以妨碍对计算机的清除。
Dr.Web禁止更改注册表,避免安全模式被禁用。
对话管理器参数
此选项用于保护Windows会话管理器设置,操作系统依靠这一设置才能稳定运行。如果不进行保护,恶意程序就有机会进行环境变量初始化,启动一系列系统进程,在系统完全加载前执行删除、移动或复制文件等操作。
Dr.Web保护操作系统免于恶意程序入侵,防止恶意程序在操作系统完全加载前,也就是反病毒软件完全启动前启动。
系统服务
该选项防止对负责系统服务正常运行的注册表设置进行更改。
某些病毒能禁止注册表编辑器运行,使用户难以正常工作。 例如,恶意软件能将已安装程序的快捷方式从桌面删除,或阻止用户改变文件所在目录。
Dr.Web禁止恶意软件破坏系统服务正常运行,包括避免恶意软件破坏定期备份功能。
设置模式
有四种设置模式:最佳模式(默认启用)、中等、频繁模式和自定义模式。
最佳模式下仅保护可被恶意软件利用的注册表分支,并禁止对其进行任何更改,不会产生过大的计算机资源负载。
模式升级后,系统会更加仔细地防范Dr.Web病毒库未知的恶意软件,但同时监视器与应用之间更容易出现冲突。
