12 лет назад 30 октября 2006 в 16:06 45
Это письмо меня побудил написать UPgrade #37 (230), а точнее, статья Сергея Голубева "Гость из будущего". Начну с предыстории. Где-то полгода назад я схлопотал вирус. Причем по собственной глупости, понадеялся на антивирусный монитор. Компьютер подключен к локальной сети, и после переустановки Windows XP я забыл закрыть доступ к папке "Общие документы", которая по непонятной, известной лишь Биллу Гейтсу причине по умолчанию была полностью расшарена. В какой-то момент, роясь в недрах файловой системы, я наткнулся на какие-то файлы. Решил посмотреть, что это такое. Запустил. И потом долго и нудно вычищал заразу. Как выяснилось, в режиме проверки "Оптимальный" монитор SpIDer совершенно спокойно позволяет запуститься вирусу, находящемуся на локальной машине (с удаленной не пробовал).Надумал я провести небольшой эксперимент с резидентным монитором SpIDer из комплекта антивируса Dr. Web 4.32. А эксперимент состоял в следующем: я выгрузил SpIDer, переименовал файл Test.txt из дистрибутива Dr. Web в test.com, как написано в инструкции (а именно в нем самом), загрузил SpIDer обратно и попытался запустить файл test.com. Когда антивирус находился в режиме защиты "Оптимальный", файл запустился, и никаких сообщений от антивируса не поступило.Если выключить режим "Оптимальный" и поставить две другие галки (что-то там насчет сохранения копирования), запуск не происходит, а программа информирует меня об обнаружении вируса. Правда, в этом режиме компьютер начинает ощутимо подтормаживать. Хотя и меньше, чем от AVP 4.5.
При желании можете повторить эксперимент. В общем-то, цель этого письма – предупредить остальных юзеров об указанной неприятности. И, возможно, вы протестируете подобным образом и версию 4.33. Не исключено, что в ней удастся наблюдать тот же эффект.

За комментариями по данному вопросу мы обратились к самим разработчикам антивируса, и вот что они нам ответили: " Именно так и есть. Об этом сказано в документации к программе и в файле помощи. В "Оптимальном" (Smart) режиме монитор SpIDer Guard проверяет файлы на сетевых дисках и сменных / внешних носителях при любом обращении к ним, как при попытке что-то открыть / запустить с внешнего диска, так и при записи данных на него. Что же касается локального диска или дисков, то в "Оптимальном" режиме работы монитора файлы на них проверяются лишь при создании / записи / изменении.Такой подход позволяет существенно снизить нагрузку на систему со стороны резидентного антивирусного монитора. Но надежность защиты в данном случае зависит от выполнения двух условий:
во-первых, система должна быть изначально (на момент установки антивируса) стерильна, во-вторых, необходимо, чтобы после установки резидентный монитор работал постоянно и пользователь не отключал его время от времени.Действительно, если изначально вирусов нет и мы проверяем все, что пишется на винчестер, то на проверку файлов, которые потом будут считываться с него или запускаться на нем, время и ресурсы можно и не тратить. В том случае, если для внешних дисков мониторинг чтения / запуска работает.Да, запас надежности защиты больше при постоянных перепроверках файлов. Но за это приходится расплачиваться тем, что слишком много ресурсов системы тратится на решение вспомогательной, по сути, задачи антивирусной защиты. А "Оптимальный" режим работы SpIDer Guard – это компромисс. Избыточность проверок (и соответствующий расход ресурсов) меньше, а защита остается на высоком уровне, при условии что она включена постоянно.В SplDer Guard версии 4.33 для Windows NT / 2000 / XP / 2003 реализована еще одна фича, которую можно эффективно задействовать в дополнение к "Оптимальному" режиму проверки. Она называется "Режимом расширенной защиты". Если он включен, то при чтении / запуске файлов с локальных дисков (винчестера) они для проверки по-прежнему не перехватываются. В этом смысле если пользователь захочет прочитать файл с локального диска, то сможет сделать это без задержки. Однако монитор запомнит, что к файлу обращались, и просканирует его потом, когда система будет простаивать. Это увеличивает запас надежности защиты. Причем так, что опять-таки удается избежать избыточного отъема ресурсов у пользовательских приложений. Best regards, Mike Kolyadko, Doctor Web, Ltd., Technical Support department".Так что ситуация предельно ясна: прежде чем выбирать тот или иной режим работы резидентного антивируса, прочитайте документацию, дабы четко представлять себе, как работает программа и чем вы жертвуете ради быстродействия системы. Бесплатного сыра не бывает.

Никто не прокомментировал материал. Есть мысли?