Отслеживание событий Родительская тема

Функция отслеживания событий представляет более общий подход к защите от атак несанкционированных и вредоносных программ. Она следит за наличием определенных событий в системных областях, давая администраторам возможность контролировать программы, которые вызывают такие события. Функцию отслеживания событий следует использовать при наличии особых требований к защите системы, которые выходят за рамки того, что может обеспечить функция блокирования действий вредоносного ПО.
В следующей таблице приведен список отслеживаемых системных событий.

Отслеживаемые системные события

События
Описание
Дублирование системного файла
Многие вредоносные программы создают свои копии или копии других вредоносных программ, используя при этом имена файлов, применяемые для системных файлов Windows. Как правило, это делается с целью переопределения или замены системных файлов, предотвращения обнаружения или создания пользователям препятствий для удаления вредоносных файлов.
Изменение файла Hosts
Файл Hosts сопоставляет имена доменов с IP-адресами. Многие вредоносные программы изменяют файл Hosts таким образом, чтобы перенаправлять веб-браузер на зараженные, несуществующие или поддельные веб-сайты.
Подозрительное поведение
Подозрительное поведение может представлять собой определенное действие или последовательность действий, которые, как правило, не свойственны законным программам. Программы, проявляющие признаки такого поведения, следует использовать с осторожностью.
Новый подключаемый модуль Internet Explorer
Шпионские и нежелательные программы часто устанавливают нежелательные подключаемые модули Internet Explorer, в том числе панели инструментов и объекты модуля поддержки обозревателя.
Изменение настроек Internet Explorer
Многие вирусы и вредоносные программы изменяют настройки Internet Explorer, в том числе стартовую страницу, доверенные веб-сайты, настройки прокси-сервера и расширения меню.
Изменение политики безопасности
Изменения в политике безопасности Windows могут позволять нежелательным приложениям запускаться и изменять системные настройки.
Внедрение библиотеки программ
Многие вредоносные программы перенастраивают систему Windows таким образом, что все приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при запуске приложения.
Изменение настроек оболочки
Многие вредоносные программы изменяют настройки оболочки Windows, чтобы связать себя с определенными типами файлов. Эта процедура позволяет вредоносным программам автоматически запускаться при попытке открыть связанные с ними файлы в проводнике Windows. Кроме того, изменения настроек оболочки Windows могут позволить вредоносным программам отслеживать используемые программы и запускаться одновременно с законными приложениями.
Новая служба
Службы Windows — это процессы, выполняющие определенные функции и обычно работающие непрерывно в фоновом режиме с полными правами администратора. Иногда вредоносные программы устанавливаются как службы для того, чтобы скрыть свое присутствие.
Изменение системного файла
Некоторые системные файлы Windows определяют поведение системы, в том числе автоматически загружаемые программы и параметры отображения заставок. Многие вредоносные программы изменяют системные файлы, чтобы автоматически запускаться при загрузке системы и контролировать действия системы.
Изменение политики брандмауэра
 Политика брандмауэра Windows определяет набор приложений, имеющих доступ к сети, портов, открытых для обмена данными, и IP-адресов, которые могут обмениваться данными с компьютером. Многие вредоносные программы изменяют политику брандмауэра Windows для получения доступа к сети и Интернету.
Изменение системных процессов
Многие вредоносные программы выполняют различные действия со встроенными процессами Windows. К таким действиям может относиться изменение или завершение текущих процессов.
Новая программа в списке автозапуска
Многие вредоносные программы перенастраивают систему Windows таким образом, что все приложения автоматически загружают определенную библиотеку программ (DLL). Это позволяет вредоносным кодам, содержащимся в данной библиотеке DLL, исполняться каждый раз при запуске приложения.
Когда функция отслеживания событий обнаруживает отслеживаемое системное событие, выполняется действие, настроенное для такого события.
В следующей таблице приведен список альтернативных действий, которые могут совершать администраторы в отношении отслеживаемых системных событий.

Действия, выполняемые в отношении отслеживаемых системных событий

Действие
Описание
Оценить
OfficeScan всегда разрешает программы, связанные с событием, но делает запись о таком действии в журналах с целью оценки.
Это действие по умолчанию для всех отслеживаемых системных событий.
Примечание
Примечание
Данный параметр не поддерживается для внедрений библиотеки программ в 64-разрядных системах.
Разрешить
OfficeScan всегда разрешает программы, связанные с событием.
Запрашивать при необходимости
OfficeScan выводит пользователям запрос на разрешение или запрет программы, связанной с событием, а также на добавление программы в список исключений.
Если пользователь не отреагирует на протяжении определенного времени, OfficeScan автоматически разрешит выполнение программы. Время по умолчанию — 30 секунд. Сведения об изменении этого времени см. в разделе Изменение времени, по истечении которого будет разрешено выполнение программы.
Примечание
Примечание
Данный параметр не поддерживается для внедрений библиотеки программ в 64-разрядных системах.
Запретить
OfficeScan всегда блокирует программы, связанные с событием, и делает запись об этом действии в журналах.
Если программа заблокирована и включены уведомления, OfficeScan выводит уведомление на клиентском компьютере OfficeScan. Подробные сведения об уведомлениях см. в разделе Уведомления функции контроля действий для пользователей клиентов OfficeScan.