Новое правило можно создать из трех позиций:
• из списка активных процессов;
• из перечня контролируемых приложений (список доступен только в расширенном варианте интерфейса);
• из уведомления об опасной активности (см. рис. 3.5).
Первые две позиции требуют подготовки пользователя и анализа работы приложений. Самым простым является третий вариант. Пользователь занимается привычной работой, а при обнаружении опасной деятельности какоголибо приложения Safe'n'Sec самостоятельно принимает решение и сообщает об этом. Пользователю остается только определить, что делать с такой программой.
Защита всех данных осуществляется в соответствии с политикой контроля активности, определяющей, какие действия и в какой последовательности нужно считать вредоносными. Имеются три политики –
Рис. 3.6. Изменение политики контроля активности
Устанавливая переключатель в области Режим защиты, включите или отключите контроль активности приложений. Установка флажка Режим обучения разрешит автоматическую регистрацию активности неизвестных Safe'n'Sec приложений. Его рекомендуется использовать сразу после установки.
Обратите внимание на параметры в области Дополнительные действия. Если установить флажок Разрешить и не контролировать приложение, то после принятия решения при возникновении подобной ситуации программа не будет беспокоить пользователя. Установка флажка Заблокировать и запретить выполнение приведет к блокированию только текущего действия, а при установке флажка Заблокировать и завершить приложение будет закрыто приложение, вызвавшее процесс, который пытался выполнить опасное действие.
Если у вас установлен расширенный интерфейс, то в этом окне появится кнопка Дополнительно, нажав которую вы получите доступ к еще нескольким параметрам. На вкладке Области контроля установкой соответствующих флажков активизируется контроль активности приложений с системными файлами, системным реестром, взаимодействие процессов, сетевая активность и контроль выполнения приложений. На вкладке Режим обучения настраивается продолжительность обучения (количество дней после обнаружения неизвестной активности), оповещения пользователя и ведение журнала активности нового приложения.
Для тестирования работоспособности вместе с программой поставляется утилита snstest.exe, которая имитирует занесение данных в системный реестр, попытку записи и удаления из системного каталога.
Этой простой программой я пользуюсь уже пятый год, начиная с версии 6.0. Она называется WinPatrol (http://www.winpatrol.com/). На момент написания книги актуальной является 11-я версия, которая работает в системах Windows 98, ME, 2000, NT и XP. Ее можно использовать в Windows 95. Однако тогда необходимо предварительно ознакомиться с инструкциями по адресу http://www.winpatrol.com/win95.html. Программа распространяется свободно, но за плату можно получить доступ к дополнительным функциям WinPatrol PLUS и к сетевой базе данных, цель которой – помочь пользователям разобраться в списке незнакомых названий процессов (например, надпись service.exe в таблице процессов ничего не скажет большинству пользователей). При активизации PLUS изменение параметров будет контролироваться в реальном времени. Локализованную версию можно скачать по адресу http://www.winpatrol.com/setupru.exe.
После установки WinPatrol создает снимок критических системных ресурсов и предупреждает пользователя в случае любых изменений. Все просто, но эффективно. В области уведомлений появляется значок с изображением собаки. Этот Scotty будет следить за всем, что происходит на компьютере, узнавать о саморазмножающихся вирусах, Adware, Spyware, троянах и Cookies. WinPatrol позволяет подтверждать установку любых новых программ. С этой программой мне удалось пережить не одну эпидемию, и однажды после очередной атаки Scotty предупредил, что в системе появился новый сервис. Так я познакомился с I-Worm/Netsky.B.
В большинстве случаев после установки WinPatrol готов к работе и будет беспокоить пользователя только в случае обнаружения проблемы.
Двойным щелчком на значке в области уведомлений вызовите программу (рис. 3.7).
Рис. 3.7. Окно программы WinPatrol
