Вот ещё пара пожеланий, надеюсь, в этот раз - обусловленных не только невнимательностью чтения хелпа и ньюсов
Во-первых, было бы очень полезно видеть в логах самозащиты нечто более информативное, чем только PID'ы. Сейчас сообщение выглядит как:
dd.mm.yyyy hh:mm:ss Попытка процесса с PID %process_pid% получения доступа к процессу Антивирус Касперского с PID %kav_pid% была заблокирована. Это результат срабатывания механизма самозащиты.
Оно не даёт никакой действительно полезной информации (поди пойми, что за PID там был, две перезагрузки назад), и в то же время перегружено ненужной информацией (сисадмин, думаю, догадывается, что это срабатывание именно механизма самозащиты, и что этот механизм защищает именно KAV). Хотелось бы видеть нечто вида:
dd.mm.yyyy hh:mm:ss Попытка процесса (%path_to_file%, имя пользователя %username%, PID %process_pid%) получения доступа к KAV (имя пользователя %username%, PID %process_pid%) была заблокирована. Возможны дополнительные действия.
Это даёт хотя бы представление, что именно попыталось получить доступ к какому именно процессу KAV. Что касается "дополнительных действий", то это уже второе пожелание
Во-вторых, хотелось бы иметь возможность сразу же из логов отправить подозрительный процесс из пункта выше в карантин, в вирлаб (без отправления в карантин), а также иметь возможность "прибить" его (с блокировкой дальнейшего запуска или без таковой) в случае текущей его активности с определением таковой по имени исполняемого файла. Причём функцию "прибивания" хотелось бы не только из логов, но и глобальную - по имени процесса, имени папки процесса ("прибивать все процессы из %foldername%), и по хэшу.
Третьим пожеланием станет возможность аплоада файлов в вирлаб самостоятельно силами антивируса (через управляющий сервер или напрямую), а не запуском почтового клиента с цеплянием ему аттачмента.
Четвёртым пожеланием станет возможность использования механизма самозащиты для защиты внешних объектов, в первую очередь - реестра. К примеру, может быть полезно "заморозить" средствами антивируса ключи uihost, userinit, раздел hklm\software\currentversion\run или разделы с настройками брандмауэра.
Спасибо за внимание, и пардон, если я в который раз что-то упустил.