Превентивная защита dr web что это

Обновлено: 07.07.2024

В версиях Dr.Web 9-11.5 этот модуль назывался Превентивная защита.

Благодаря модулю Поведенческий анализ Dr.Web способен:

защищать от проникновения новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, знания о которых не поступили в систему защиты (например, в связи с тем, что не были загружены последние обновления)
распознавать нежелательные изменения пользовательских файлов, отслеживая работу всех процессов системы в поисках действий, характерных для процессов вредоносных программ (например, действий троянцев-шифровальщиков), не позволяя вредоносным объектам внедриться в процессы других программ
обнаруживать и нейтрализовать новейшие, еще не известные угрозы: троянцев-вымогателей (шифровальщиков), инжекторы, удаленно управляемые вредоносные объекты (распространяемые для организации ботнетов и шпионажа), а также вирусные упаковщики

Настройки

Рассмотрим подробнее, что дает пользователю включение каждой настройки.

Файл HOSTS

Этот файл позволяет определить соответствие между доменным именем хоста и его IP-адресом. Приоритет обработки файла HOSTS выше, чем приоритет обращения к DNS-серверу.

Файл HOSTS позволяет злоумышленникам блокировать доступ к сайтам антивирусных компаний и перенаправлять пользователей на поддельные сайты.

Dr.Web не дает возможности вредоносным программам вносить изменения в файл HOSTS и перенаправлять пользователей на фишинговые ресурсы.

Целостность запущенных приложений

Процесс — это набор ресурсов и данных, которые находятся в оперативной памяти компьютера. Процесс, принадлежащий одной программе, не должен изменять процесс другой программы. Но вредоносные программы, например, Trojan.Encoder.686 (CTB-Locker). нарушают это правило.

Dr.Web не позволяет вредоносным программам внедряться в процессы других программ (например, запрещает троянцам изменять процесс браузера для получения доступа к системе ДБО), тем самым не давая им реализовать свой функционал полностью или частично.

Низкоуровневый доступ к диску

При штатной работе операционной системы Windows доступ к файлам происходит путем обращения к файловой системе, которая подконтрольна ОС. Троянцы-буткиты, изменяющие загрузочные области диска, обращаются к диску напрямую, минуя файловую систему Windows — обращаясь к определенным секторам диска.

Внедрение троянца в загрузочную область существенно затрудняет как его обнаружение, так и процесс обезвреживания.

Dr.Web блокирует возможность изменения вредоносными программами загрузочных областей диска и предотвращает запуск троянцев на компьютере.

Загрузка драйверов

Многие руткиты скрытно запускают свои драйверы и службы для маскировки своего присутствия на компьютере и выполнения несанкционированных пользователем действий, например отправки логинов и паролей, а также иных идентификационных сведений злоумышленникам.

Dr.Web не дает возможности загрузки новых или неизвестных драйверов без ведома пользователя.

Параметры запуска приложений

В реестре ОС Windows существует ключ (entry) Image File Execution Options, с помощью которого для любого приложения Windows можно назначить отладчик —программу, которая помогает программисту в отладке написанного кода, в том числе позволяя модифицировать данные отлаживаемого процесса. С помощью данного ключа вредоносное ПО, будучи назначенным отладчиком какого-нибудь системного процесса или приложения (например, того же Internet Explorer или проводника), получает полный доступ к тому, что интересует злоумышленников.

Dr.Web блокирует доступ к ключу реестра Image File Execution Options.
Реальной необходимости отлаживать приложения на лету у обычных пользователей нет, а риск от использования ключа Image File Execution Options вредоносными программами очень высок.

Драйверы мультимедийных устройств

Известны некоторые вредоносные программы, которые создают исполняемые файлы и регистрируют их как виртуальные устройства.

Dr.Web блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможным установку нового виртуального устройства.

Параметры оболочки Winlogon, Нотификаторы Winlogon

Интерфейс Winlogon notification package реализует возможность обрабатывать события, назначаемые на вход и выход пользователей, включение и выключение операционной системы, и некоторые другие. Вредоносные программы, получив доступ к Winlogon notification package, могут перезагружать ОС, выключать компьютер, препятствовать входу пользователей в рабочую среду ОС. Так поступают, например, Trojan.Winlock.3020, Trojan.Winlock.6412.

Dr.Web запрещает изменение веток реестра, отвечающих за Winlogon notification package, и не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы.

Автозапуск оболочки Windows

Опция блокирует сразу несколько параметров в реестре Windows в ветке [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]: например, AppInit_DLLs (заставляет Windows загружать указанные DLL каждый раз, когда запускается какая-либо программа), AppInit_DLLs (может использоваться для внедрения руткита в Windows), Run (необходим для запуска программ в минимизированном виде после запуска операционной системы), IconServiceLib (отвечает за загрузку библиотеки IconCodecService.dll, которая необходима для нормального отображения рабочего стола и значков на экране).

Dr.Web блокирует ряд параметров в реестре Windows, например, запрещая вирусам изменить нормальное отображение Рабочего стола или не позволяя руткиту скрыть присутствие троянца в системе.

Ассоциации исполняемых файлов

Некоторые вредоносные программы нарушают ассоциации исполняемых файлов, в результате чего программы не запускаются – или вместо нужной пользователю программы запускается программа, назначенная вредоносным ПО.

Dr.Web не позволяет вредоносному ПО изменить правила запуска программ.

Политики ограничения запуска программ (SRP)

В Windows можно настроить систему ограничения запуска программ (SRP) таким образом, чтобы разрешить запуск программ только из определенных папок (например, Program Files) и запретить выполнение программ из прочих источников. Блокировка ветки реестра, отвечающей за настройку политик SRP, запрещает вносить изменения в уже настроенные политики, таким образом усиливая уже реализованную защиту.

Dr.Web позволяет защитить систему от вредоносного ПО, попадающего на компьютер через почту и съемные носители — и запускающегося, например, из временного каталога. Опция рекомендуется к использованию в корпоративной среде.

Плагины Internet Explorer (BHO)

С помощью данной настройки можно запретить установку новых плагинов для Internet Explorer путем блокирования соответствующей ветки реестра.

Dr.Web защищает браузер от вредоносных плагинов, например от блокировщиков браузера.

Автозапуск программ

Запрещает изменение нескольких веток реестра, ответственных за автозапуск приложений.

Dr.Web позволяет предотвратить автозапуск вредоносных программ, не давая им зарегистрироваться в реестре для последующего запуска.

Автозапуск политик

Опция блокирует ветку реестра, с помощью которой можно запустить любую программу при входе пользователя в систему.

Dr.Web позволяет предотвратить автозапуск определенных программ, например анти-антивирусов.

Конфигурация безопасного режима

Некоторые троянцы отключают безопасный режим Windows для затруднения лечения компьютера.

Dr.Web предотвращает отключение безопасного режима путем блокировки изменения реестра.

Параметры менеджера сессий

Опция защищает параметры диспетчера сеансов Windows – системы, от которой зависит стабильность работы операционной системы. При отсутствии такой блокировки вредоносные программы получают возможность инициализации переменных окружения, запуска ряда системных процессов, выполнения операций по удалению, перемещению или копированию файлов до полной загрузки системы и т. п.

Dr.Web защищает операционную систему от внедрения вредоносных программ, их запуска до полной загрузки операционной системы — и, следовательно, до завершения запуска антивируса.

Системные службы

Опция защищает изменение параметров реестра, отвечающих за нормальную работу системных служб.

Некоторые вирусы могут блокировать редактор реестра, затрудняя нормальную работу пользователя. Например, очищают Рабочий стол от ярлыков установленных программ или не дают перемещать файлы.

Dr.Web не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Режимы настроек

Пользователю предлагаются четыре режима настроек: оптимальный (включен разработчиками по умолчанию), средний, параноидальный и пользовательский.

В оптимальном режиме защищены только те ветки реестра, которые используются вредоносными программами и которые можно заблокировать (запретить их изменение) — без значительной нагрузки на ресурсы компьютера.

Антивирус обязан не допускать заражения. В этом на помощь традиционному антивирусу приходят несигнатурные технологии и технологии превентивной защиты.

Все троянцы делают это:

Действуют по схожим алгоритмам, используют одни и те же критические места в операционных системах для проникновения, имеют одинаковые наборы вредоносных функций.
Совершают одну и ту же ошибку: начинают действовать первыми (нападают на систему).

Начала проявления активности троянца достаточно для Dr.Web, чтобы увидеть и обезвредить его.

Это возможно благодаря разнообразным технологиям Превентивной защиты Dr.Web, действующей на опережение. Они «на лету» анализируют поведение программ и немедленно пресекают вредоносные процессы. По схожести поведения подозрительной программы с известными моделями подобного поведения Dr.Web умеет распознавать и блокировать такие программы. Технологии Превентивной защиты Dr.Web не допускают проникновений новейших, наиболее опасных вредоносных программ, разработанных с расчетом на необнаружение традиционными сигнатурными и эвристическими механизмами, — объектов, которые еще не поступили на анализ в антивирусную лабораторию, а значит, не известны вирусной базе Dr.Web на момент проникновения в систему.

Перечислим только некоторые из этих технологий.

Dr.Web Process Heuristic

В отличие от традиционных поведенческих анализаторов, полагающихся на жестко прописанные в базе знания, а значит, известные злоумышленникам правила поведения легитимных программ, интеллектуальная система Dr.Web Process Heuristic анализирует «на лету» поведение каждой запущенной программы, сверяясь с постоянно обновляемым репутационным облаком Dr.Web, и на основе актуальных знаний о том, как ведут себя вредоносные программы, делает вывод о ее опасности, после чего принимаются необходимые меры по нейтрализации угрозы.

Эта технология защиты данных позволяет свести к минимуму потери от действий неизвестного вируса — при минимальном потреблении ресурсов защищаемой системы.

Dr.Web Process Heuristic контролирует любые попытки изменения системы:

распознаёт процессы вредоносных программ, изменяющих нежелательным образом пользовательские файлы (например, действия троянцев-шифровальщиков);
препятствует попыткам вредоносных программ внедриться в процессы других приложений;
защищает от модификаций вредоносными программами критических участков системы;
выявляет и прекращает вредоносные, подозрительные или ненадежные сценарии и процессы;
блокирует возможность изменения вредоносными программами загрузочных областей диска с целью невозможности запуска (например, троянцев) на компьютере;
предотвращает отключение безопасного режима Windows, блокируя изменения реестра;
не дает вредоносным программам возможности добавлять исполнение новых задач, нужных злоумышленникам, в логику работы операционной системы. Блокирует ряд параметров в реестре Windows, что не дает, например, вирусам изменить нормальное отображение Рабочего стола или скрыть присутствие троянца в системе руткитом;
не позволяет вредоносному ПО изменить правила запуска программ.

Dr.Web Process Heuristic обеспечивает безопасность практически с момента загрузки операционной системы — начинает защищать еще до завершения загрузки традиционного сигнатурного антивируса!

Пресекает загрузки новых или неизвестных драйверов без ведома пользователя.
Блокирует автозапуск вредоносных программ, а также определенных приложений, например анти-антивирусов, не давая им зарегистрироваться в реестре для последующего запуска.
Блокирует ветки реестра, которые отвечают за драйверы виртуальных устройств, что делает невозможной установку нового виртуального устройства.
Блокирует коммуникации между компонентами шпионского ПО и управляющим им сервером.
Не позволяет вредоносному ПО нарушить нормальную работу системных служб, например вмешаться в штатное создание резервных копий файлов.

Dr.Web Process Heuristic работает сразу «из коробки», но пользователь всегда имеет возможность настроить правила контроля исходя из собственных потребностей!

Технология Dr.Web ShellGuard, входящая в состав Dr.Web Script Heuristic, закрывает путь в компьютер для эксплойтов — вредоносных объектов, пытающихся использовать уязвимости, в том числе еще не известные никому, кроме вирусописателей (так называемые уязвимости «нулевого дня»), с целью получения контроля над атакуемыми приложениями или операционной системой в целом.

Dr.Web ShellGuard

Dr.Web ShellGuard защищает:

все популярные интернет-браузеры (Internet Explorer, Mozilla Firefox, Яндекс.Браузер, Google Chrome, Vivaldi Browser);
приложения MS Office, включая новейший MS Office 2016;
системные приложения;
приложения, использующие java-, flash- и pdf-технологии;
медиапроигрыватели.

При обнаружении попытки использования уязвимости Dr.Web принудительно завершает процесс атакуемой программы. Никакие действия антивируса над файлами приложения, включая перемещение в карантин, не производятся.
В качестве информации к сведению пользователь видит уведомление о пресечении попытки вредоносного действия, реагировать на которое не требуется.
В журнале событий Dr.Web создается запись о пресечении атаки.
Облачная база знаний системы получает немедленное уведомление об инциденте. Если необходимо, специалисты «Доктор Веб» мгновенно отреагируют на него — например, улучшением алгоритма контроля.

Технологии системы Превентивной защиты Dr.Web опираются не только на прописанные правила, хранящиеся на компьютере, но и на знания репутационного облака Dr.Web, в котором собираются:

данные об алгоритмах программ с вредоносными намерениями;
информация о заведомо «чистых» файлах;
информация о скомпрометированных цифровых подписях известных разработчиков ПО;
информация о цифровых подписях рекламного / потенциально опасного ПО;
алгоритмы защиты тех или иных приложений.

Облако получает информацию о работе Dr.Web на защищаемом ПК, в том числе об обнаруженных новейших угрозах. Это позволяет оперативно реагировать на выявленные недочеты и обновлять правила, хранящиеся на компьютере локально.

Никакие файлы с компьютера пользователя не передаются на серверы «Доктор Веб»!

Разработчики полностью переработали интерфейс, который стал намного удобнее благодаря продуманным разделам для управления и мониторинга. Открытие Центра управления Dr.Web Security Space по-прежнему осуществляется из трея Windows. Dr.Web Security Space v.10: особенности Улучшенный интерфейс Превентивная защита Защита от потери данных Родительский контроль Блокировка доступа к оборудованию компьютера Единый центр настройки исключений для сайтов Мини-агент для управления опциями защиты [. ]

Dr.Web Security Space v.10: особенности

Улучшенный интерфейс
Превентивная защита
Защита от потери данных
Родительский контроль
Блокировка доступа к оборудованию компьютера
Единый центр настройки исключений для сайтов
Мини-агент для управления опциями защиты

В версии 10 расширены возможности сразу в нескольких инструментах защиты, и среди них «Мини-агент», из которого можно управлять сразу несколькими компонентами. В разделе «Превентивная защита» удобно настраивать реакцию антивируса на события в системе или воздействие различных процессов извне.

Например, можно разрешить установку драйверов и при этом запретить низкоуровневый доступ к диску. В «Пользовательском» режиме доступно 18 параметров. Если вы сомневаетесь в своих знаниях ПК, в верхнем меню можно выбрать готовый пресет: «Оптимальный», «Средний» или «Параноидальный».

В новой версии улучшен инструмент создания резервных копий важных данных и сохранения их в защищенной области жесткого диска. Включить эту опцию можно в разделе «Инструменты | Защита от потери данных». Эта предосторожность поможет уберечься в том числе и от действий троянов-шифровальщиков.

Удобно, что администратор имеет возможность блокировать доступ к оборудованию, например, к принтеру или USB-портам, а то и покуситься на святое — запретить передачу данных по сети. Все это получится сделать в разделе «Устройства».

Для сканирования ПК на наличие вирусов в Dr.Web Security Space предусмотрена также отдельная программа Dr.Web Scaner. В частности, в ней можно ограничить использование антивирусом ресурсов компьютера. Есть опция отмены сканирования при работе от аккумулятора ноутбука для экономии заряда.

Современный интерфейс

В 10-й версии — единый стиль иконок, удобные крупные кнопки меню, а также продуманные разделы управления.

Новая версия Dr.Web Security Space дает все основания быть уверенным в надежной защите от большинства современных угроз для ПК и данных. Однако, прежде чем перейти к описанию новых механизмов защиты, мы остановимся на главном нововведении: разработчики полностью переработали интерфейс, который стал намного удобнее благодаря продуманным разделам для управления и мониторинга. Открытие Центра управления Dr.Web Security Space по-прежнему осуществляется из трея Windows.

В версии 10 расширены возможности сразу в нескольких инструментах защиты, и среди них «Миниагент», из которого можно управлять сразу несколькими компонентами. В разделе «Превентивная защита» удобно настраивать реакцию антивируса на события в системе или воз-действие различных процессов извне. Например, можно разрешить установку драйверов и при этом запретить низкоуровневый доступ к диску. В «Пользовательском» режиме доступно 18 параметров. Если вы сомневаетесь в своих знаниях ПК, в верхнем меню можно выбрать готовый пресет: «Оптимальный», «Средний» или «Параноидальный».

Еще в версии 10 стоит обратить внимание на обновленный «Родительский контроль». Включить или выключить его получится в меню мини-агента одним нажатием. В случае временного отключения компонента сохраняются его последние настройки, активируемые автоматически при последующем включении. Настройки можно делать для разных учетных записей. Удобно, что администратор имеет возможность блокировать доступ к оборудованию, например, к принтеру или USB-портам, а то и покуситься на святое — запретить передачу данных по сети. Все это получится сделать в разделе «Устройства».

В 10-й версии — единый стиль иконок, удобные крупные кнопки меню, а также продуманные разделы управления.

Читайте также: