Сигнатуры для антивирусного механизма Sophos хранятся на клиентских компьютерах в виде интегрированной локальной базы данных (БД), физическое размещение файлов БД - -как правило - директория ..\VDB. БД представляет собой набор информационных файлов, имеющих расширение .vdb,  и несколько файлов, содержащих служебные данные. БД обновляется довольно редко: один - два раза в квартал, как правило - вместе с обновлениями сканирующего механизма. Каждой версии сканирующего механизма соответствует конкретное содержание БД и требуется конкретная версия пакета обновлений антивирусных сигнатур. Необходимая для данной БД версия пакета обновлений указана в файле ..\VDB\version.db.

    Пакет обновлений представляет собой ZIP-архив (или SFX-архив) с файлами сигнатур, имеющими специфические наименования и расширение .ide. После распаковки архива файлы размещаются, как правило, в директории ..\IDE. Полученный при обновлении набор файлов .ide является дополнением к антивирусной БД .vdb . Каждый IDES-архив формируется из обработанных специалистами Sophos сигнатур в течение неопределенного периода осуществления технической поддержки данной версии сканирующего механизма, архивы хранятся на сайте в течение трех месяцев, имеют наименование формата XXX_ides.zip , где ХХХ - трехзначный номер версии. Нумерация ведется по возрастающей. Все поддерживаемые архивы пополняются новыми данными в реальном времени без изменения своего названия.

    Таким образом, чем младше версия сканирующего механизма Sophos используется, тем больший объем пакета обновлений должен загружать клиент для поддержания актуальности антивирусной БД при каждом обновлении.  Результирующий набор антивирусных сигнатур для разных версий БД и пакетов обновлений всегда будет одинаков. Интенсивность появления дополнений: шесть -  семь новых сигнатур в сутки, обновление IDES-файлов производится в реальном времени.

Доступны сервера обновлений:

интересный вопрос. Их много в Интернете, но... Особенность менталитета большинства халавщиков состоит в том, что они не думают ни о своем будущем, ни о своих коллегах по халяве. Перегружая чужие частные сервера ежечасным скачиванием всех файлов - чего совершенно не требуется, такие бестолочи способствуют очень быстрому закрытию доступа на эти сервера. Поэтому, мало того, что гугль поможет найти открытое зеркало обновлений, еще и надо постараться его не особо афишировать и использовать очень аккуратно. Действующие зеркала можно поискать здесь, а также использовать сайт http://geneg.ru .

Все файлы, необходимые для начала работы интегрированного модуля Sophos, размещены в директории %KERIO_FOLDER%\Sophos\Initial .

Все файлы, необходимые для работы обновленного интегрированного модуля Sophos, размещены в директории %KERIO_FOLDER%\Sophos\%номер_версии_обновления_Kerio% . При каждом официальном обновлении с сайта Kerio наименование этой папки меняется, но не меняется суть.

Непосредственно в директории (той или иной) размещены динамические библиотеки сканирующего механизма - - в зависимости от версии - три или более файлов формата .DLL . Вложенные директории содержат:

- ..\VDB - антивирусную БД (файлы формата .vdb);

- ..\IDE - файлы пакета обновлений (файлы формата .ide).

1. Для Controlя корректности процесса обновления в консоли управления на вкладке "Фильтрация содержимого\Антивирус\Антивирусный сканер\Антивирусное ПО" включаем пункт "Использовать встроенный антивирус Sophos" и отключаем автоматическую проверку обновлений. Фиксируем для Controlя версию базы данных - нечто вроде 4,58G1923576 - и версию антивирусного сканера - нечто вроде 3.12.0.1. Эти сведения частично отражают реально используемые версии сканера (имеет значение только первая цифра после запятой - в данном случае 3.1), версии пакета обновлений для данной БД (первые три цифры - в данном случае 4,58)  и количество сигнатур, обрабатываемых данным набором БД с установленным сейчас пакетом обновлений (в данном случае - 1923576).

2. Подтверждение правильности соответствия версий сканера и требуемого для этой версии пакета обновлений можно проверить на сайте производителя - http://www.sophos.com/support/knowledgebase/article/11846.html - находим актуальную версию сканера для продукта Sophos PureMessage for Microsoft Exchange в разделе GATEWAY PRODUCTS -  на данный момент 3.1 - и соответствующую версию необходимого пакета обновлений - на данный момент - 463. Но это делать вовсе необязательно.

3. Проверяем, что именно такая версия пакета обновлений используется сканером на хосте - читаем содержимое файла ..\vdb\version.db . Там должны быть три цифры - 458.

4. Переходим на сайт производителя для загрузки файла с пакетом обновлений - http://www.sophos.com/downloads/ide/ и выбираем для загрузки один из трех предлагаемых графической оболочкой сайта вариантов - тот, который соответствует требуемому номеру - в данном случае версия 4,63 файл 458_ides.zip или 458_ides.sfx (файлы по содержанию не отличаются). Внизу отмечаем для сведения время и дату последнего обновления этих пакетов. Загружаем требуемый файл и распаковываем его во временную директорию.

5. Удаляем из директории ..\ide все ее содержимое. Копируем в нее файлы обновлений из временной папки. Перезапускаем службу Kerio.

6. Обновляем соединение из административной консоли и на странице антивируса убеждаемся, что содержимое поля версии базы данных изменилось - стало нечто вроде 4,58G1923684, т.е. количество сигнатур в БД увеличилось. Это увеличение зависит от частоты получения обновлений: норма шесть - семь сигнатур в сутки.

Для указания  Kerio пути для поиска обновлений есть два способа:

1. Перенаправление запросов за счет подмены ДНС-записей. Этот способ не требует никакого патча Kerio и может применяться без нарушения лицензионного соглашения для обновлений официальных версий Kerio. Наши действия минимальны - включаем в логе Debug регистрацию сообщений антивирусной программы, запускаем обновление из консоли Kerio и находим в записях лога адрес, по которому Kerio ищет файл конфигурации сайта обновлений, а также определяем имя этого файла. Обычно это адрес sophos-update.kerio.com и файл update.php. C все просто - создаем его в корне нашего локального веб-сервера и копируем в него содержимое файла ukerav.php.  Далее меняем конфигурацию ДНС для домена sophos-update.kerio.com - или создаем в собственном ДНС-сервере зону kerio.com и в ней создаем А-запись для хоста sophos-update с IP-адресом нашего локального веб-сервера - 172.16.101.1, или просто указываем этот адрес в файле hosts. Естественно, наш веб-сервер в этом случае должен иметь привязку по локальному адресу к имени sophos-update.kerio.com. Все. Ни службу Kerio , ни встроенный антивирус останавливать не требуется.

2. Изменение пути поиска сайта обновлений в модуле avir_sophos.dll. Этот способ не  требует изменения конфигурации ДНС, более гибок, но предполагает использования патча от Vitjan. Наши действия минимальны - при остановленном встроенном антивирусном плагине Sophos применяем штатную команду из пакета патча:

./ukaip86.exe avir_sophos.dll -S

Патч запросит два параметра - адрес сервера обновлений и имя файла параметров конфигурации сервера.

С именем все просто - это файл с любым именем, в котором указаны конфигурация директории Sophos нашего локального веб-сервера - автор патча использует имя ukerav.php, авторы Kerio - update.php, это в принципе не важно - название может быть любым, главное, чтобы файл с таким именем и нужным содержанием находился в корне нашего веб-сервера.

С адресом сервера обновлений все сложнее -- варианты указания адреса зависят от версии продуктов Kerio. Для версий Control до 7.1.0 и Connect 7.1.3 32-бит это может быть короткое имя типа updater или локальный IP-адрес 172.16.101.1. Для 64-бит версий этих же продуктов ДНС-имена использовать не следует, только IP-адреса, из-за ошибок производителя. Особое решение для версий Control 7.1.1 и Connect 7.1.4 - необходимо использовать только ДНС-имя, причем его длина, включая точки, должна быть 23 знака или больше - например, использованное нами при создании локального веб-сайта имя antivirus-updater.MyLocalDomain.ru. Естественно, что настройки ДНС должны указывать на адрес нашего сервера для этого имени.

1. наименования файлов, поставляемых в пакетах обновлений фирмами Sophos и Kerio различны. Неизвестно достоверно следующее: для чего фирма Kerio переименовывает полученные от фирмы Sophos файлы обновлений с помощью примитивного механизма: алфавит (английский, не чешский) делится на две части - от A до M и от N до Z, все буквы в названиях файлов из первой половины зеркально заменяются на соответствующие по порядку буквы из второй половины алфавита и наоборот. Например, файл от Sophos с наименованием abuv_ky.ide в вариации Kerio будет значится как nohi_xe.ide). Такое переименование ровно ни на что не влияет, поскольку реальное имя файла составляет часть сигнатуры и дублируется в теле файла.

2. после обновления перезапуск  службы Kerio, вообще-то, не требуется. Все способы обеспечивают корректное отображение версии антивирусной базы в административной консоли.

3. надежность антивирусной защиты от Sophos не превышает показателей эффективности от других ведущих производителей и опыт  применения антивируса Sophos в продуктах Kerio очень невелик, поэтому настоятельно рекомендуется продублировать его работу путем подключения дополнительного антивирусного плагина. Как это сделать с плагином для McAfee описано здесь, с плагином для DrWEB - полностью аналогично вышеизложенной процедуре для Sophos :), с другими плагинами - здесь.

4. Рекомендуется совместить по времени проверку обновлений для Sophos и проверку обновлений для Snort, поскольку возможный перезапуск службы Kerio решит обе проблемы с отображением версий в консоли (если они есть).

В сценарии использованы консольные утилиты WGET и 7z.
 

И последнее.

При своей работе продукты Kerio много и часто связываются с производителем, при этом  зачастую не показывают результаты и сам факт соединения в собственных логах.

Такое поведение разработчиков заставляет задуматься о принудительной блокировке сайтов и целых диапазонов адресов, которые используются для такого рода деятельности.