Параметры ThreatSense

ThreatSenseсостоит из ряда сложных методов обнаружения угроз. Эта технология является упреждающей, т. е. защищает от новой угрозы уже в самом начале ее распространения. А сочетание анализа и моделирования кода, применения обобщенных сигнатур и сигнатур вирусов позволяет значительно повысить уровень безопасности компьютера. Модуль сканирования способен контролировать несколько потоков данных одновременно, за счет чего увеличивается эффективность обнаружения угроз. Технология ThreatSense также эффективно уничтожает руткиты.

Для модуля ThreatSense можно настроить несколько параметров сканирования:

типы и расширения файлов, подлежащих сканированию;

сочетание различных способов обнаружения;

уровни очистки и т. д.

Чтобы открыть окно параметров, щелкните Параметры ThreatSense в окне «Дополнительные настройки» любого модуля, использующего технологию ThreatSense (см. ниже). Разные сценарии обеспечения безопасности могут требовать различных настроек. Поэтому технологию ThreatSense можно настроить отдельно для каждого из следующих модулей защиты:

защита файловой системы в режиме реального времени;

сканирование в состоянии простоя;

сканирование при запуске;

защита документов;

защита почтового клиента;

защита доступа в Интернет;

сканирование компьютера.

ThreatSenseможет похвастаться параметрами, которые хорошо оптимизированы для каждого из модулей, причем их изменение значительно влияет на поведение системы. Например, изменение параметров сканирования упаковщиков в режиме реального времени или включение расширенной эвристики в модуле защиты файловой системы в режиме реального времени может замедлить работу системы (обычно только новые файлы сканируются с применением этих методов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».

Сканируемые объекты

В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.

Оперативная память: сканирование на наличие угроз, которые атакуют оперативную память системы.

Загрузочные секторы: загрузочные секторы сканируются на наличие вирусов в основной загрузочной записи.

Почтовые файлы: программа поддерживает такие расширения, как DBX (Outlook Express) и EML.

Архивы: программа поддерживает такие расширения, как ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE и многие другие.

Самораспаковывающиеся архивы: это файлы архивов с расширением SFX, которые распаковываются самостоятельно.

Программы сжатия исполняемых файлов: в отличие от стандартных типов архивов, программы сжатия исполняемых файлов после запуска распаковываются в памяти. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические упаковщики (UPX, yoda, ASPack, FGS и т. д.), но и множество других типов упаковщиков.

Параметры сканирования

Выберите способы сканирования системы на предмет заражений. Доступны указанные ниже варианты.

Эвристический анализ: анализ вредоносной активности программ с помощью специального алгоритма. Главным достоинством этого метода является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующей базе данных сигнатур вирусов. Недостатком же является вероятность (очень небольшая) ложных тревог.

Расширенный эвристический анализ/сигнатуры распределенных сетевых атак: метод расширенного эвристического анализа базируется на уникальном эвристическом алгоритме, разработанном компанией ESET, оптимизированном для обнаружения компьютерных червей и троянских программ и реализованном на языках программирования высокого уровня. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает доступность новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).

Потенциально нежелательные приложения: Потенциально нежелательные приложения представляют собой довольно широкую категорию программного обеспечения, задачей которого не является однозначно вредоносная деятельность в отличие от других типов вредоносных программ, например вирусов или троянских программ. Однако такие приложения могут устанавливать дополнительное нежелательное программное обеспечение, изменять поведение цифрового устройства, а также выполнять действия без запроса или разрешения пользователя.

Потенциально опасные приложения: к таким приложениям относится нормальное коммерческое программное обеспечение, такое как служебные программы удаленного доступа, приложения для взлома паролей и клавиатурные шпионы (программы, записывающие каждое нажатие клавиши на клавиатуре). По умолчанию этот параметр отключен.

Исключения

Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел параметров ThreatSense позволяет определить типы файлов, подлежащих сканированию.

Другое

При настройке параметров модуля ThreatSense для сканирования компьютера по требованию также доступны описанные ниже параметры из раздела Другое.

Сканировать альтернативные потоки данных (ADS): альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.

Запускать фоновое сканирование с низким приоритетом: каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.

Регистрировать все объекты: если этот флажок установлен, файл журнала будет содержать информацию обо всех просканированных файлах, в том числе незараженных. Например, если в архиве найден вирус, в журнале также будут перечислены незараженные файлы из архива.

Включить оптимизацию Smart: при включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense каждого модуля.

Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранить исходное значение времени доступа к сканируемым файлам, а не обновлять их (например, для использования с системами резервного копирования данных).

icon_section Ограничения

В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.

Параметры объектов

Максимальный размер объекта: определение максимального размера объектов, подлежащих сканированию. Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Этот параметр рекомендуется менять только опытным пользователям, у которых есть веские основания для исключения из сканирования больших объектов. Значение по умолчанию: не ограничено.

Максимальная продолжительность сканирования объекта (с): определение максимального значения времени сканирования объекта. Если пользователь укажет здесь собственное значение, модуль защиты от вирусов прекратит сканирование объекта по истечении указанного времени вне зависимости от того, завершено ли сканирование. Значение по умолчанию: не ограничено.

Настройки сканирования архивов

Уровень вложенности архивов: определение максимальной глубины сканирования архивов. Значение по умолчанию: 10.

Максимальный размер файла в архиве: этот параметр позволяет задать максимальный размер файлов в архиве (при их извлечении), которые подлежат сканированию. Значение по умолчанию: не ограничено.

icon_details_hoverПРИМЕЧАНИЕ.

Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины.