ThreatSense
ThreatSense מורכב ממספר שיטות לזיהוי איומים. טכנולוגיה זו פועלת באופן יזום, והמשמעות היא שהיא גם מספקת הגנה במהלך ההתפשטות המוקדמת של איום חדש. היא משתמשת בשילוב של ניתוח קוד, הדמיית קוד, חתימות גנריות וחתימות וידאו, אשר פועלים יחדיו כדי לשפר משמעותית את בטיחות המערכת. מנוע הסריקה מסוגל לשלוט במספר הזרמות נתונים בו-זמנית, ובכך מאפשר להשיג את היעילות וקצב הזיהוי המרביים. טכנולוגיית ThreatSense אף מסלקת תוכניות rootkit בהצלחה.
אפשרויות ההגדרה של מנוע ThreatSense מאפשרות לך לציין מספר פרמטרי סריקה:
- סוגי וסיומות קבצים שיש לסרוק
- שילוב שיטות הזיהוי השונות
- רמות הניקוי, וכו'.
כדי לפתוח את חלון ההגדרות, לחץ על ThreatSense בהגדרות מתקדמות עבור כל מודול שמשתמש בטכנולוגיית ThreatSense (ראה להלן). תרחישי אבטחה שונים עשויים להצריך הגדרות תצורה שונות. לאור זאת, את ThreatSense ניתן להגדיר בנפרד עבור כל אחד ממודולי ההגנה הבאים:
- הגנה בזמן אמת על מערכת קבצים
- סריקה במצב לא פעיל
- סריקה בעת אתחול המערכת
- הגנה על מסמכים
- הגנה על לקוח דוא"ל
- הגנת גישה לאינטרנט
- סריקת מחשב
הפרמטרים של ThreatSense עברו אופטימיזציה עבור כל מודול ומודול, ושינוי שלהם עלול להשפיע משמעותית על פעולת המערכת. לדוגמה, שינוי הפרמטרים כך שיסרקו תמיד אורזים של זמן ריצה, או באופן שיאפשר היריסטיקה מתקדמת במודול ההגנה על מערכת קבצים בזמן אמת, עשויים להוביל להאטה בפעילות המערכת (בדרך-כלל רק קבצים חדשים שנוצרו נסרקים בשיטות אלו). מומלץ להשאיר את פרמטרי ברירת המחדל של ThreatSense ללא שינוי עבור כל המודולים, למעט סריקת מחשב.
אובייקטים לסריקה
מקטע זה מאפשר לך להגדיר אילו רכיבי מחשב וקבצים ייסרקו לאיתור חדירות.
זיכרון הפעלה – סריקה לאיתור איומים שתוקפים את זיכרון ההפעלה של המערכת.
סקטורי אתחול/UEFI – סריקת סקטורי האתחול לאיתור תוכנות זדוניות ברשומת האתחול המרכזית. קרא עוד על UEFI במילון.
קובצי דוא"ל – התוכנית תומכת בסיומות הבאות: DBX (Outlook Express) ו-EML.
קובצי ארכיון – התוכנית תומכת בסיומות הבאות: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE ובסיומות רבות אחרות.
קובצי ארכיון בחילוץ עצמי – קובצי ארכיון בחילוץ עצמי (SFX) הם קובצי ארכיון שמסוגלים לחלץ את עצמם.
אורזים של זמן ריצה – לאחר הפעלתם, אורזים של זמן ריצה (בשונה מסוגי ארכיון רגילים) נחלצים בזיכרון. בנוסף לאורזים סטטיים רגילים (UPX, yoda, ASPack, FSG וכו'), הסורק מסוגל לזהות מספר סוגים נוספים של אורזים באמצעות הדמיית קוד.
אפשרויות סריקה
בחר באילו שיטות תתבצע סריקת המערכת לאיתור חדירות. האפשרויות הבאות זמינות:
היריסטיקה – היריסטיקה היא אלגוריתם המנתח את הפעילות (הזדונית) של תוכניות. היתרון העיקרי של טכנולוגיה זו הוא היכולת לזהות תוכנה זדונית שלא הייתה קיימת, או שלא כוסתה על-ידי הגרסאות הקודמות של מודול מנגנון האיתור. החיסרון הוא הסתברות (נמוכה מאוד) של התראות שווא.
היריסטיקה מתקדמת/חתימות DNA – היריסטיקה מתקדמת היא אלגוריתם היריסטיקה ייחודי שפותח על-ידי ESET, שעבר אופטימיזציה לזיהוי תולעי מחשב וסוסים טרויאניים ונכתב בשפות תכנות ברמה גבוהה. השימוש בהיריסטיקה מתקדמת משפר במידה רבה את יכולות זיהוי האיומים של מוצרי ESET. החתימות מסוגלות לגלות ולזהות וירוסים בצורה מהימנה. באמצעות מערכת העדכון האוטומטית, חתימות חדשות זמינות בתוך שעות ספורות מרגע שהתגלה איום. חסרונן של החתימות הוא שהן מזהות רק וירוסים שהן מכירות (או גרסאות של הווירוסים הללו בשינוי קל).
ניקוי
הגדרות הניקוי קובעות את אופן הפעולה של ESET NOD32 Antivirus בעת ניקוי אובייקטים. ישנן 4 רמות ניקוי:
ThreatSense כולל את רמות התיקון (כלומר, הניקוי) הבאות.
תיקון ב-ESET NOD32 Antivirus
דרגת ניקוי |
תיאור |
---|---|
תקן את האיתור תמיד |
נסה לתקן את האיתור בעת ניקוי אובייקטים ללא התערבות של משתמש הקצה. במקרים נדירים (לדוגמה, קובצי מערכת), אם לא ניתן לתקן את האיתור, האובייקט המדווח נשאר במיקומו המקורי. |
תקן את האיתור אם בטוח, אחרת השאר |
נסה לתקן את האיתור בעת ניקוי אובייקטים ללא התערבות של משתמש הקצה. במקרים מסוימים (לדוגמה, קובצי מערכת או ארכיונים עם קבצים נקיים ונגועים), אם לא ניתן לתקן איתור, האובייקט המדווח נשאר במיקומו המקורי. |
תקן את האיתור אם בטוח, אחרת שאל |
נסה לתקן את האיתור בעת ניקוי אובייקטים. במקרים מסוימים, אם לא ניתן לבצע פעולה, משתמש הקצה מקבל התראה אינטראקטיבית ועליו לבחור בפעולת תיקון (לדוגמה, הסרה או התעלמות). הגדרה זו מומלצת במרבית המקרים. |
שאל תמיד את משתמש הקצה |
משתמש הקצה מקבל חלון אינטראקטיבי בעת ניקוי אובייקטים ועליו לבחור פעולת תיקון (לדוגמה, הסרה או התעלמות). רמה זו תוכנה עבור משתמשים מתקדמים, שיודעים באילו פעולות לנקוט במקרה של איתור. |
החרגות
סיומת היא החלק של שם הקובץ שמופרד ממנו באמצעות נקודה. סיומת מגדירה את סוג הקובץ ותכולתו. במקטע זה של הגדרות ThreatSense אפשר להגדיר את סוגי הקבצים לסריקה.
אחר
בעת הגדרת התצורה של פרמטרי מנוע ThreatSense לסריקת מחשב לפי דרישה, האפשרויות הבאות במקטע אחר זמינות אף הן:
סריקת הזרמות נתונים חלופיות (ADS) – הנתונים החלופיות שבהן משתמשת מערכת הקבצים NTFS הן שיוכים של קובץ ותיקייה שאינם גלויים לשיטות סריקה רגילות. חדירות רבות מנסות להימנע מזיהוי על-ידי התחזות להזרמות נתונים חלופיות.
הפעלת סריקות ברקע עם עדיפות נמוכה – רצף סריקה צורך כמות מסוימת של משאבי מערכת. אם אתה עובד עם תוכניות שמטילות עומס גבוה על משאבי המערכת, באפשרותך להפעיל סריקה ברקע עם עדיפות נמוכה ולחסוך במשאבים עבור היישומים שלך.
תעד את כל האובייקטים – יומן הסריקות יציג את כל הקבצים שנסרקו בארכיונים של חילוץ עצמי, גם את אלה שלא הושפעו (הדבר עלול ליצור נתונים רבים ביומן הסריקות ולהגדיל את קובץ יומן הסריקות).
אפשור מיטוב חכם – כאשר המיטוב החכם מופעל, המערכת משתמשת בהגדרות האופטימליות ביותר כדי להבטיח את רמת הסריקה היעילה ביותר יחד עם שמירה על מהירויות הסריקה הגבוהות ביותר. מודולי ההגנה השונים סורקים באופן חכם, תוך שימוש בשיטות סריקה שונות והחלתן על סוגי קבצים ספציפיים. אם המיטוב החכם מושבת, רק ההגדרות שקובע המשתמש בליבת ThreatSense של המודולים המסוימים מוחלות בעת ביצוע סריקה.
שמירת חותמת זמן של הגישה האחרונה – בחר באפשרות זו כדי לשמור על זמן הגישה המקורי של קבצים שנסרקו במקום לעדכן אותו (לדוגמה, לשימוש עם מערכות גיבוי נתונים).
הגבלות
מקטע ההגבלות מאפשר לך לציין את הגודל המרבי של אובייקטים ורמות הארכיונים המקוננים שיש לסרוק:
הגדרות אובייקטים
גודל אובייקט מרבי – הגדרת הגודל המרבי של אובייקטים שייסרקו. במצב זה, מודול האנטי-וירוס הנתון יסרוק רק אובייקטים שקטנים מהגודל שצוין. את האפשרות הזו אמורים לשנות רק משתמשים מתקדמים, שעשויות להיות להם סיבות ספציפיות לאי-הכללת קבצים גדולים בסריקה. ערך ברירת המחדל: ללא הגבלה.
זמן סריקה מרבי לאובייקט (שניות) – הגדרת ערך הזמן המרבי לסריקה של קבצים באובייקט של גורם מכיל (כגון ארכיון RAR/ZIP או הודעת דוא"ל עם מספר קבצים מצורפים). הגדרה זו אינה חלה על קבצים נפרדים. אם הוזן ערך שמוגדר על-ידי משתמש והזמן הזה חלף, הסריקה תסתיים בהקדם האפשרי, בין אם הסריקה של כל קובץ באובייקט של גורם מכיל ובין אם היא לא הסתיימה.
במקרה של ארכיון המכיל קבצים רבים, הסריקה לא תסתיים לפני חילוץ של קובץ מהארכיון (לדוגמה, כאשר ערך שהוגדר על-ידי המשתמש הוא 3 שניות, אך החילוץ של קובץ נמשך 5 שניות). שאר הקבצים בארכיון לא ייסרקו בחלוף זמן זה.
כדי להגביל את זמן הסריקה, כולל קובצי ארכיון גדולים יותר, השתמש באפשרויות גודל אובייקט מקסימלי וגודל מקסימלי של קובץ בארכיון (לא מומלץ עקב סיכוני אבטחה אפשריים).
ערך ברירת המחדל: ללא הגבלה.
הגדרות סריקת ארכיון
רמת קינון ארכיון – העומק המרבי של סריקת הארכיון. ערך ברירת המחדל: 10.
הגודל המרבי של קובץ בארכיון – עם אפשרות זו אתה יכול לציין את גודל הקובץ המרבי עבור קבצים הנכללים בארכיונים (בעת חילוצם) שאותם יש לסרוק. הערך המרבי הוא 3GB.
לא מומלץ לשנות את ערכי ברירת המחדל; בנסיבות רגילות לא צריכה להיות סיבה לשנותם. |