ThreatSense
ThreatSense — это технология, состоящая из множества сложных методов обнаружения угроз. Эта технология является упреждающей, т. е. она защищает от новой угрозы уже в начале ее распространения. При этом используется сочетание анализа и моделирования кода, обобщенных сигнатур и сигнатур вирусов, которые совместно значительно повышают уровень безопасности компьютера. Модуль сканирования может контролировать несколько потоков данных одновременно, что делает эффективность и количество обнаруживаемых угроз максимальными. Технология ThreatSense также успешно уничтожает руткиты.
Для модуля ThreatSense можно настроить несколько параметров сканирования:
•Расширения и типы файлов, подлежащих сканированию;
•Сочетание различных методов обнаружения;
•Уровни очистки и т. д.
Чтобы открыть окно настройки, щелкните ThreatSense в разделе Расширенные параметры любого модуля, использующего технологию ThreatSense (см. ниже). Разные сценарии обеспечения безопасности могут требовать различных настроек. Поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты.
•Защита в режиме реального времени
•Сканирование в состоянии простоя
•Сканирование при запуске
•Защита документов
•Защита почтового клиента
•Защита доступа в Интернет;
•Сканирование компьютера
Параметры ThreatSense хорошо оптимизированы для каждого из модулей, а их изменение значительно влияет на поведение системы. Например, изменение параметров сканирования упаковщиков в режиме реального времени или включение расширенной эвристики в модуле защиты файловой системы в режиме реального времени может замедлить работу системы (обычно только новые файлы сканируются с применением этих методов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».
Сканируемые объекты
В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.
Оперативная память: сканирование на наличие угроз, которые атакуют оперативную память системы.
Загрузочные секторы/UEFI. Загрузочные секторы сканируются на наличие вредоносных программ в основной загрузочной записи. Дополнительные сведения о UEFI см. в глоссарии.
Почтовые файлы. DBX (Outlook Express) и EML
Архивы. Программа поддерживает такие расширения, как ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, и многие другие.
Самораспаковывающиеся архивы. Тип архивов (SFX), содержимое которых может извлекаться автоматически.
Программы сжатия исполняемых файлов: в отличие от стандартных типов архивов, программы сжатия исполняемых файлов после запуска распаковываются в памяти. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические упаковщики (UPX, yoda, ASPack, FSG и т. д.), но и множество других типов упаковщиков.
Параметры сканирования
Выберите способы сканирования системы на предмет заражений. Доступны следующие варианты:
Эвристический анализ: анализ вредоносной активности программ с помощью специального алгоритма. Главным достоинством этого метода является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующей версии модуля обновления. Недостатком же является вероятность (очень небольшая) ложных тревог.
Расширенный эвристический анализ/сигнатуры распределенных сетевых атак: для расширенного эвристического анализа используется уникальный эвристический алгоритм компании ESET, который оптимизирован для обнаружения компьютерных червей и троянских программ и написан на высокоуровневых языках программирования. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает наличие новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).
Очистка
Параметры очистки определяют поведение ESET NOD32 Antivirus при очистке объектов. Предусмотрено четыре уровня очистки.
ThreatSense имеет такие уровни исправления проблем (т. е. очистки):
Исправление в ESET NOD32 Antivirus
Уровень очистки |
Описание |
---|---|
Всегда исправлять обнаружения |
Пытаться исправлять обнаружения при очистке объектов без вмешательства конечного пользователя. В некоторых случаях (например, с системными файлами), если обнаружение не удается исправить, обнаруженный объект оставляется в исходном расположении. |
Исправлять обнаружения, если это безопасно, в другом случае оставить |
Пытаться исправлять обнаружения при очистке объектов без вмешательства конечного пользователя. В некоторых случаях (например, системные файлы или архивы, которые содержат и чистые, и зараженные файлы), если обнаружение не удается исправить, обнаруженный объект остается в исходном расположении. |
Исправлять обнаружения, если это безопасно, в другом случае спрашивать |
Пытаться исправлять обнаружения при очистке объектов. В некоторых случаях, если ни одно из действий выполнить невозможно, конечный пользователь получает интерактивное предупреждение, в котором следует выбрать действие по исправлению (например, удалить или проигнорировать). Этот параметр рекомендуется в большинстве случаев. |
Всегда спрашивать у конечного пользователя |
Конечному пользователю отображается интерактивное окно при очистке объектов, и он должен выбрать действие по исправлению (например, удалить или пропустить). Этот уровень предназначен для более опытных пользователей, которые знают, какие действия следует предпринять в случае обнаружения. |
Исключения
Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел ThreatSense позволяет определить типы файлов, подлежащих сканированию.
Другое
При настройке параметров модуля ThreatSense для сканирования компьютера по требованию также доступны описанные ниже параметры из раздела Другое.
Сканировать альтернативные потоки данных (ADS): альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.
Запускать фоновое сканирование с низким приоритетом: каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.
Журнал всех объектов. Журнал проверки отображает все отсканированные файлы в самораспаковывающихся архивах, даже незараженные (может создавать большое количество данных журнала сканирования и увеличивать размер его файла).
Включить оптимизацию Smart: при включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense каждого модуля.
Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранить исходное значение времени доступа к сканируемым файлам, а не обновлять их (например, для использования с системами резервного копирования данных).
Ограничения
В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.
Параметры объектов
Максимальный размер объекта: определяет максимальный размер объектов, подлежащих сканированию. Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Этот параметр рекомендуется менять только опытным пользователям, у которых есть веские основания для исключения из сканирования больших объектов. Значение по умолчанию: Не ограничено.
Максимальная продолжительность сканирования объекта (с): определяет максимальное значение времени для сканирования файлов в объекте-контейнере (например, в архиве RAR/ZIP или в электронном письме с несколькими вложениями). Эта настройка не применяется к отдельным файлам. Если пользователь укажет собственное значение и указанное время истечет, сканирование будет остановлено как можно скорее вне зависимости от того, завершено ли сканирование каждого файла в объекте-контейнере.
Если речь идет об архиве с большими файлами, сканирование будет прекращено не раньше, чем произойдет извлечение файла из архива (например, когда пользователь задал значение в 3 секунды, но извлечение файла занимает 5 секунд). По истечении этого времени остальные файлы в архиве сканироваться не будут.
Чтобы ограничить время сканирования, в том числе для архивов большого размера, используйте параметры Максимальный размер объекта и Максимальный размер файла в архиве (не рекомендуется в связи с возможными проблемами безопасности).
Значение по умолчанию: Не ограничено.
Настройки сканирования архивов
Уровень вложенности архивов: определяет максимальную глубину проверки архивов. Значение по умолчанию: 10.
Максимальный размер файла в архиве: этот параметр позволяет задать максимальный размер файлов в архиве (при их извлечении), которые должны сканироваться. Максимальное значение — 3 ГБ.
Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины. |