ThreatSense
ThreatSense je názov technológie, ktorú tvorí súbor komplexných metód detekcie infiltrácií. Táto technológia je proaktívna, takže poskytuje ochranu aj počas prvých hodín šírenia novej hrozby. K odhaleniu hrozieb využíva kombináciu niekoľkých metód (analýza kódu, emulácia kódu, generické signatúry, generické a vírusové definície), čím efektívne spája ich výhody. Detekčné jadro je schopné kontrolovať niekoľko dátových tokov paralelne, a tak maximalizovať rýchlosť a účinnosť detekcie. Technológia ThreatSense dokáže úspešne eliminovať aj rootkity.
Nastavenia ThreatSense vám umožňujú špecifikovať viacero parametrov kontroly:
•typy súborov a prípony, ktoré sa majú kontrolovať,
•kombinácie rôznych metód detekcie,
•úrovne liečenia atď.
Pre zobrazenie okna s nastaveniami kliknite na ThreatSense v Rozšírených nastaveniach príslušných modulov využívajúcich technológiu ThreatSense (pozrite nižšie). Odlišné bezpečnostné scenáre si vyžadujú rôzne nastavenia. Technológia ThreatSense je osobitne nastaviteľná pre tieto moduly:
•Rezidentná ochrana súborového systému
•Kontrola v nečinnosti
•Kontrola pri štarte
•Ochrana dokumentov
•Ochrana e‑mailových klientov
•Ochrana prístupu na web
•Kontrola počítača
Parametre ThreatSense sú pre každý modul odlišné. Zmeny v nastavení týchto parametroch môžu výrazne ovplyvniť celkový výkon systému. Príkladom môže byť povolenie pokročilej heuristiky v rámci modulu rezidentnej ochrany súborového systému a voľba vždy kontrolovať runtime archívy, čo môže viesť k spomaleniu systému (pri predvolenom nastavení sú pri týchto metódach kontrolované iba novovytvorené súbory). Preto odporúčame ponechať pôvodné nastavenia ThreatSense pre všetky moduly ochrany okrem Kontroly počítača.
Objekty na kontrolu
Táto sekcia umožňuje nastaviť, ktoré komponenty počítača a súborového systému budú testované na prítomnosť infiltrácií.
Operačná pamäť – slúži na kontrolu prítomnosti hrozieb, ktoré môžu byť zavedené v operačnej pamäti počítača.
Zavádzacie sektory/UEFI – kontroluje zavádzacie sektory na prítomnosť malvéru v hlavnom zavádzacom zázname. Viac o UEFI sa dočítate v slovníku pojmov.
E-mailové súbory – program podporuje nasledujúce prípony súborov: DBX (Outlook Express) a EML.
Archívy – program podporuje nasledujúce prípony: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE a mnoho ďalších.
Samorozbaľovacie archívy – archívy, ktoré nepotrebujú pre svoje rozbalenie iné programy. Ide o SFX (self-extracting) archívy.
Runtime archívy – runtime archívy sa na rozdiel od štandardných archívov po spustení rozbalia v pamäti počítača. Okrem štandardných statických archívov (UPX, yoda, ASPack, FSG atď.) dokáže program rozpoznať vďaka emulácii kódu aj veľa iných typov archívov.
Možnosti kontroly
V tejto sekcii môžete nastaviť, ktoré metódy detekcie sa použijú pri kontrole systému na prítomnosť infiltrácií. K dispozícii sú nasledujúce možnosti:
Heuristika – heuristika je algoritmus, ktorý analyzuje (škodlivú) aktivitu programov. Výhodou heuristiky je schopnosť odhaliť aj taký škodlivý softvér, ktorý v dobe poslednej aktualizácie modulu detekčného jadra programu ešte neexistoval alebo nebol pokrytý. Nevýhodou je (veľmi malá) pravdepodobnosť „falošného poplachu“.
Pokročilá heuristika/DNA vzorky – pokročilá heuristika je jedinečný algoritmus vyvinutý spoločnosťou ESET, ktorý je optimalizovaný pre odhaľovanie počítačových červov a trójskych koní písaných vo vyšších programovacích jazykoch. Použitie pokročilej heuristiky značne zvyšuje možnosti rozpoznávania vírusov a malvéru. Vzorky umožňujú spoľahlivo odhaliť a identifikovať nové vírusy. Vďaka pravidelnej aktualizácii sú nové vzorky k dispozícii zvyčajne už do niekoľkých hodín od objavenia hrozby. Nevýhodou je, že táto metóda odhaľuje iba vírusy na základe známych vzoriek, prípadne ich čiastočne pozmenené verzie.
Liečenie
Nastavenia liečenia určujú správanie programu ESET NOD32 Antivirus pri čistení infikovaných súborov. Sú dostupné 4 úrovne liečenia:
ThreatSense poskytuje nasledujúce úrovne nápravy (t. j. liečenia) v prípade detegovaných objektov:
Liečenie v ESET NOD32 Antivirus
Úroveň liečenia |
Popis |
---|---|
Vždy vyriešiť detekciu |
Program sa pokúsi o liečenie detegovaného objektu bez akéhokoľvek zásahu zo strany koncového používateľa. V niektorých zriedkavých prípadoch (napríklad pri systémových súboroch), keď liečenie nie je možné vykonať, sa detegovaný objekt ponechá v pôvodnom umiestnení. |
Vyriešiť detekciu a ak to nie je možné, ponechať ju |
Program sa pokúsi o liečenie detegovaného objektu bez akéhokoľvek zásahu zo strany koncového používateľa. V niektorých prípadoch (napríklad pri systémových súboroch alebo archívoch s infikovanými aj neškodnými súbormi), keď liečenie nie je možné vykonať, sa detegovaný objekt ponechá v pôvodnom umiestnení. |
Vyriešiť detekciu a ak to nie je možné, spýtať sa |
Program sa pokúsi o liečenie detegovaného objektu. V niektorých prípadoch, keď nie je možné vykonať žiadnu akciu, sa koncovému používateľovi zobrazí interaktívne upozornenie, v ktorom si musí zvoliť požadovanú akciu (napríklad odstrániť alebo ignorovať detegovaný objekt). Toto nastavenie sa odporúča vo väčšine prípadov. |
Vždy sa spýtať koncového používateľa |
Koncovému používateľovi sa pri liečení objektov zobrazí interaktívne okno, v ktorom si musí zvoliť požadovanú akciu (napríklad odstrániť alebo ignorovať detegovaný objekt). Táto úroveň liečenia je určená pre pokročilých používateľov, ktorí vedia, ako postupovať pri detekciách. |
Vylúčenia
Prípona je časť názvu súboru, spravidla oddelená bodkou. Prípona určuje typ a obsah súboru. V tejto časti nastavení ThreatSense zvolíte, ktoré typy súborov budú kontrolované.
Ostatné
V rámci konfigurácie parametrov ThreatSense pre Manuálnu kontrolu počítača sú v sekcii Iné k dispozícii aj nasledujúce možnosti:
Kontrolovať alternatívne dátové prúdy (ADS) – alternatívne dátové prúdy používané systémom NTFS sú asociácie k súborom a adresárom, ktoré sú pre bežné spôsoby kontroly neviditeľné. Veľký počet vírusov ich preto využíva na svoje maskovanie a ukrytie sa pred prípadným odhalením.
Kontroly na pozadí vykonávať s nízkou prioritou – každá kontrola počítača využíva isté množstvo systémových prostriedkov. Ak práve pracujete s programami náročnými na výkon počítača, presunutím kontroly na pozadie jej môžete priradiť nižšiu prioritu a získať tým viac systémových prostriedkov pre svoje aplikácie.
Zapisovať všetky objekty do protokolu – protokol kontroly zobrazí všetky skontrolované súbory v samorozbaľovacích archívoch, a to aj súbory, ktoré neboli infikované (môže tak dochádzať ku generovaniu veľkého množstva dát a viesť k veľkému súboru protokolu kontroly).
Zapnúť Smart optimalizáciu – pri zapnutej Smart optimalizácii sa použijú optimálne nastavenia na zabezpečenie najefektívnejšej úrovne kontroly pri zachovaní najvyššej možnej rýchlosti kontroly. Moduly ochrany pri kontrole dômyselne využívajú rozdielne metódy kontroly pre rôzne typy súborov. Ak je Smart optimalizácia vypnutá, pri kontrole sú použité len používateľské nastavenia jadra ThreatSense pre konkrétne moduly.
Zachovať čas posledného prístupu k súborom – pri kontrole súboru nebude zmenený čas prístupu, ale bude ponechaný pôvodný (vhodné pri používaní zálohovacích systémov).
Obmedzenia
V sekcii Obmedzenia môžete nastaviť maximálnu veľkosť kontrolovaných objektov a maximálnu hĺbku kontroly v archívoch.
Nastavenie objektov
Maximálna veľkosť objektu – definuje maximálnu veľkosť skenovaného objektu. Daný modul antivírusu bude kontrolovať len objekty s menšou veľkosťou, ako je definovaná hodnota. Tieto hodnoty odporúčame meniť len pokročilým používateľom, ktorí chcú veľké objekty z určitého dôvodu vylúčiť z kontroly. Predvolená hodnota: neobmedzené.
Maximálny čas kontroly objektu (v sekundách) – definuje maximálny povolený čas na kontrolu súborov v objekte kontajnera (napr. archívy RAR/ZIP alebo e‑mail s viacerými prílohami). Toto nastavenie sa netýka samostatných súborov. Ak používateľ zadefinuje určitú hodnotu, po prekročení uvedeného času sa prebiehajúca kontrola skončí bez ohľadu na to, či bol skontrolovaný každý súbor v objekte kontajnera.
V prípade archívu s veľkými súbormi sa kontrola zastaví až po extrahovaní súboru z archívu (napríklad keď používateľ zadefinuje premennú 3 sekundy, ale extrakcia súboru trvá 5 sekúnd). Po uplynutí tohto času sa zostávajúce súbory v archíve nebudú kontrolovať.
Na obmedzenie času kontroly (aj v prípade väčších archívov) použite možnosť Maximálna veľkosť objektu a Maximálna veľkosť súboru v archíve (neodporúča sa z dôvodu možných bezpečnostných rizík).
Predvolená hodnota: neobmedzené.
Nastavenie kontroly archívov
Úroveň vnorenia archívov – špecifikuje maximálny počet vnorených archívov, do ktorého bude prebiehať antivírusová kontrola. Predvolená hodnota: 10.
Maximálna veľkosť súboru v archíve – špecifikuje maximálnu veľkosť rozbalených súborov v archíve, ktoré sa majú kontrolovať. Maximálna hodnota je 3 GB.
Neodporúčame meniť predvolené hodnoty, za normálnych okolností nie je žiadny dôvod na ich zmenu. |