ThreatSense
ThreatSense verwendet verschiedene komplexe Methoden zur Bedrohungserkennung. Die Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Ausbreitung eines neuen Angriffs. Eingesetzt wird eine Kombination aus Code-Analyse, Code-Emulation, allgemeinen Signaturen und Virussignaturen verwendet, die zusammen die Systemsicherheit deutlich erhöhen. Das Prüfmodul kann verschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. ThreatSense -Technologie ist auch in der Lage, Rootkits zu vermeiden.
in den Einstellungen für ThreatSense können Sie verschiedene Scanparameter festlegen:
•Dateitypen und -erweiterungen, die gescannt werden sollen
•Die Kombination verschiedener Erkennungsmethoden
•Säuberungsstufen usw.
Um das Einstellungsfenster zu öffnen, klicken Sie auf ThreatSense in den erweiterten Einstellungen für ein beliebiges Modul, das die ThreatSense Technologie verwendet (siehe unten). Je nach Anforderung sind eventuell verschiedene Sicherheitseinstellungen erforderlich. Dies sollte bei den individuellen ThreatSense-Einstellungen für die folgenden Schutzmodule berücksichtigt werden:
•Echtzeit-Dateischutz
•Prüfen im Leerlaufbetrieb
•Scan der Systemstartdateien
•Dokumentenschutz
•E-Mail-Schutz
•Web-Schutz
•Computerscan
ThreatSense-Parameter sind für jedes Modul optimal eingerichtet. Eine Veränderung der Einstellungen kann den Systembetrieb spürbar beeinträchtigen. Änderungen an den Einstellungen für das Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Erweiterte Heuristik im Modul „Echtzeit-Dateischutz“ können das System verlangsamen (normalerweise werden mit diesen Methoden nur neu erstellte Dateien geprüft). Es wird empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändert beizubehalten.
Zu prüfende Objekte
In diesem Bereich können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode gescannt werden sollen.
Arbeitsspeicher - Prüfung auf Bedrohungen für den Arbeitsspeicher des Systems.
Bootsektoren/UEFI - Scannt die Bootsektoren auf Malware im Master Boot Record. Weitere Informationen zu UEFI finden Sie im Glossar.
E-Mail-Dateien - Folgende Erweiterungen werden vom Programm unterstützt: DBX (Outlook Express) und EML.
Archive – Das Programm unterstützt die folgenden Erweiterungen: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE und viele andere.
Selbstentpackende Archive – Selbstentpackende Archive (SFX) sind Archivdateien, die sich selbst extrahieren können.
Laufzeitkomprimierte Dateien – Im Gegensatz zu herkömmlichen Archiven werden laufzeitkomprimierte Dateien nach dem Starten im Arbeitsspeicher dekomprimiert. Neben statischen laufzeitkomprimierten Dateiformaten (UPX, yoda, ASPack, FSG usw.) kann die Prüfung durch Code-Emulation viele weitere SFX-Typen erkennen.
Prüfungseinstellungen
Wählen Sie die Methoden aus, mit denen das System auf Infiltrationen gescannt werden soll. Folgende Optionen stehen zur Verfügung:
Heuristik - Als heuristische Methoden werden Verfahren bezeichnet, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Erkennungsroutine verzeichnet sind. Nachteilig ist, dass es in Einzelfällen zu Fehlalarmen kommen kann.
Erweiterte Heuristik/DNA-Signaturen - Erweiterte Heuristik sind besondere heuristische Verfahren, die von ESET entwickelt wurden, um Würmer, Trojaner und Schadprogramme besser zu erkennen, die in höheren Programmiersprachen geschrieben wurden. Mit Erweiterter Heuristik werden die Fähigkeiten von ESET-Produkten zur Erkennung von Bedrohungen beträchtlich gesteigert. Mit Hilfe von Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Nachteilig an Signaturen ist, dass mit ihrer Hilfe nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.
Säubern
Die Säuberungseinstellungen legen fest, wie ESET NOD32 Antivirus beim Säubern von Objekten vorgeht. Sie haben vier Säuberungsstufen zur Auswahl:
Im ThreatSensesind die folgenden Behebungs- bzw. Säuberungsstufen verfügbar:
Behebung in ESET NOD32 Antivirus
Säuberungsstufe |
Beschreibung |
---|---|
Ereignis immer beheben |
Es wird versucht, Ereignisse beim Säubern von Objekten ohne Eingreifen des Endbenutzers zu beheben. In seltenen Fällen (z. B. Systemdateien) verbleibt das gemeldete Objekt an seinem ursprünglichen Speicherort, falls das Ereignis nicht behoben werden kann. |
Ereignis beheben, falls sicher, ansonsten beibehalten |
Es wird versucht, Ereignisse beim Säubern von Objekten ohne Eingreifen des Endbenutzers zu beheben. In manchen Fällen (z. B. Systemdateien oder Archive mit sowohl sauberen als auch infizierten Dateien) verbleibt das gemeldete Objekt an seinem ursprünglichen Speicherort, falls das Ereignis nicht behoben werden kann. |
Ereignis beheben, falls sicher, andernfalls nachfragen |
Es wird versucht, das Ereignis beim Säubern von Objekten zu beheben. Wenn keine Aktion ausgeführt werden kann, erhält der Endbenutzer in manchen Fällen eine interaktive Warnung und kann eine Behebungsaktion auswählen, z. B. löschen oder ignorieren. Diese Einstellung wird für die meisten Fälle empfohlen. |
Immer den Endbenutzer fragen |
Dem Endbenutzer wird beim Säubern von Objekten ein interaktives Fenster angezeigt, in dem er eine Behebungsaktion auswählen kann, z. B. löschen oder ignorieren). Diese Stufe eignet sich für fortgeschrittene Benutzer, die wissen, wie bei Ereignissen vorzugehen ist. |
Ausschlussfilter
Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt einer Datei. In diesem Abschnitt der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die geprüft werden sollen.
Andere
Bei der Konfiguration von ThreatSense für eine On-Demand-Prüfung des Computers sind folgende Optionen im Abschnitt Sonstige verfügbar:
Alternative Datenströme (ADS) prüfen - Bei den von NTFS-Dateisystemen verwendeten alternativen Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Prüftechniken nicht erkannt werden können. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um nicht erkannt zu werden.
Hintergrundprüfungen mit geringer Priorität ausführen - Jede Prüfung nimmt eine bestimmte Menge von Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, welche die Systemressourcen stark beanspruchen, können Sie eine Hintergrundprüfung mit geringer Priorität aktivieren, um Ressourcen für die Anwendungen zu sparen.
Alle Objekte in Log aufnehmen - Das Scan-Log enthält alle gescannten Dateien in selbstentpackenden Archiven, auch nicht infizierte Dateien (diese Funktion kann große Mengen an Scan-Log-Daten generieren, und das Scan-Log kann stark anwachsen).
Smart-Optimierung aktivieren - Wenn die Smart-Optimierung aktiviert ist, werden die optimalen Einstellungen verwendet, um die effizienteste Prüfung bei höchster Geschwindigkeit zu gewährleisten. Die verschiedenen Schutzmodule führen eine intelligente Prüfung durch. Dabei verwenden sie unterschiedliche Prüfmethoden für die jeweiligen Dateitypen. Wenn die Smart-Optimierung deaktiviert ist, werden beim Scannen nur die benutzerdefinierten Einstellungen im ThreatSense-Kern der einzelnen Module angewendet.
Datum für „Geändert am“ beibehalten - Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu aktualisieren.
Grenzen
Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen, die geprüft werden sollen:
Einstellungen für Objektprüfung
Maximale Objektgröße - Definiert die Maximalgröße der zu prüfenden Elemente. Der aktuelle Virenschutz prüft dann nur die Elemente, deren Größe unter der angegebenen Maximalgröße liegt. Diese Option sollte nur von fortgeschrittenen Benutzern geändert werden, die bestimmte Gründe dafür haben, dass größere Elemente von der Prüfung ausgeschlossen werden. Der Standardwert ist unbegrenzt.
Maximale Scanzeit pro Objekt (Sek.) – Definiert die maximale Dauer für den Scan von Dateien in Containerobjekten (z. B. RAR/ZIP-Archive oder E-Mails mit mehreren Anlagen). Diese Einstellung gilt nicht für eigenständige Dateien. Wenn ein benutzerdefinierter Wert eingegeben wurde und die Frist verstrichen ist, wird der Scan schnellstmöglich beendet, und zwar unabhängig davon, ob alle Dateien in einem Containerobjekt gescannt wurden.
Im Fall von Archiven mit großen Dateien wird der Scan erst beendet, wenn eine Datei aus dem Archiv extrahiert wird (z. B. wenn der benutzerdefinierte Wert 3 Sekunden festgelegt wurde und die Extraktion einer Datei 5 Sekunden dauert). Die restlichen Dateien im Archiv werden nach Ablauf dieser Zeit nicht gescannt.
Um die Scandauer auch für größere Archive zu begrenzen, können Sie die Einstellungen Maximale Objektgröße und Maximalgröße von Dateien im Archiv verwenden (nicht empfohlen aufgrund möglicher Sicherheitsrisiken).
Standardwert: unbegrenzt.
Einstellungen für Archivprüfung
Verschachtelungstiefe bei Archiven - Legt die maximale Tiefe der Virenprüfung von Archiven fest. Standardwert: 10.
Maximalgröße von Dateien im Archiv - Hier können Sie die maximale Dateigröße für Dateien in (extrahierten) Archiven festlegen, die geprüft werden sollen. Der Maximalwert ist 3 GB.
Die Standardwerte sollten nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund. |