ThreatSense
ThreatSense 包括许多复杂的威胁检测方法。此技术具有某种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防护。该技术采用代码分析、代码仿真、一般的识别码、病毒库的组合,以显著提高系统安全性。扫描引擎可同时控制多个数据流,最大限度地提高效率和检测速度。ThreatSense 技术还可成功消除 Rootkit。
ThreatSense 引擎设置选项允许指定若干扫描参数:
•要扫描的文件类型和扩展名
•不同检测方法的组合
•清除级别等
要打开设置窗口,请在高级设置中单击 ThreatSense,以显示任何使用 ThreatSense 技术的模块(见下文)。不同的安全情形可能要求不同的配置。考虑到这一点,可针对下列防护模块对 ThreatSense 进行单独配置:
•文件系统实时防护
•空闲状态下扫描
•开机扫描
•文档防护
•电子邮件客户端防护
•Web 访问保护
•计算机扫描
ThreatSense 参数已针对每个模块进行了高度优化,对其进行修改可能会明显影响系统操作。例如,将参数更改为始终扫描运行时加壳程序,或在文件系统实时防护模块中启用高级启发式扫描,可能会造成系统运行缓慢(通常,只有在扫描新建文件时才使用这些方法)。我们建议您保留所有模块(“计算机扫描”除外)的默认 ThreatSense 参数。
要扫描的对象
此部分使您可以定义要扫描的计算机组件和文件,以查找渗透。
系统内存 - 扫描攻击系统的系统内存的威胁。
引导区/UEFI - 扫描引导区以检查主引导记录中是否存在恶意软件。在词汇表中阅读有关 UEFI 的更多信息。
电子邮件文件 - 该程序支持以下扩展名:DBX (Outlook Express) 和 EML。
压缩文件 - 该程序支持以下扩展名:ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE 以及许多其他扩展名。
自解压文件 - 自解压文件 (SFX) 是可提取自身的压缩文件。
加壳程序 - 执行后,加壳程序在内存中解压,这一点与标准压缩文件类型不同。除了标准静态加壳程序(UPX, yoda, ASPack, FSG 等),扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序。
扫描选项
选择在扫描系统中的渗透时所用的方法。以下选项可用:
启发式扫描 - 启发式扫描是一种分析(恶意)程序行为的算法。此技术的主要优点是能够识别过去不存在或以前的检测引擎版本无法识别的恶意软件。缺点是可能发出虚假警报(尽管可能性很小)。
高级启发式扫描/DNA 病毒库 - 高级启发式扫描是一种独特的启发式扫描算法,该算法由 ESET 开发,针对检测使用高级编程语言编写的计算机蠕虫和木马进行了优化。使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能。病毒库可以可靠地检测和识别病毒。利用自动更新系统,可以在发现威胁后的数小时内提供新病毒库。该病毒库的缺点是只能检测到它所知道的病毒(或在这些病毒基础上略做修改的版本)。
清除
清理设置决定在清除对象时 ESET NOD32 Antivirus 的行为。共有 4 个清理级别:
ThreatSense 具有以下消除(即清除)级别:
ESET NOD32 Antivirus 中的修复
清除级别 |
说明 |
---|---|
始终修复检测 |
在清除对象时尝试修复检测,而无需任何最终用户干预。在极少数情况下(例如,系统文件),如果无法修复检测,则报告的对象将保留在其原始位置。 |
如果安全,则修复检测,否则保留 |
清除对象时尝试修复检测,而无需任何最终用户干涉。在某些情况下(例如,具有干净和受感染文件的系统文件或存档),如果无法修复检测,则报告的对象将保留在其原始位置。 |
如果安全,则修复检测,否则询问 |
在清除对象时尝试修复检测。在某些情况下,如果不能执行任何操作,则最终用户将收到一条交互警告并且必须选择一个修复操作(例如,删除或忽略)。大多数情况下建议使用此设置。 |
始终询问最终用户 |
最终用户在清除对象时会收到一个交互式窗口,必须选择修复操作(例如,删除或忽略)。此级别旨在面向更高级的用户,他们了解在检测事件中应采取哪些步骤。 |
排除
扩展名是用句点分隔的文件名的一部分。扩展名定义文件的类型和内容。ThreatSense 设置的此部分允许您定义要扫描的文件类型。
其他
当为手动计算机扫描配置 ThreatSense 引擎参数时,其他部分中的以下选项也可用:
扫描交换数据流 (ADS) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联。许多渗透试图通过伪装成交换数据流来避开检测。
以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源。如果您使用高系统资源负载的程序,则可以激活低优先级后台扫描,并为应用程序节约资源。
记录所有对象 - 扫描日志将显示自解压存档中的所有已扫描文件,甚至包括未感染的文件(可能会生成大量扫描日志数据并增加扫描日志文件的大小)。
启用智能优化 - 启用智能优化后,最优化的设置将用于确保最高效的扫描级别,同时保持最高的扫描速度。各种保护模块将进行智能化扫描,以便使用不同的扫描方法并将它们应用到特定的文件类型。如果禁用了智能优化,则在执行扫描时将仅在特定模块的 ThreatSense 核心中应用用户定义的设置。
保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间(例如数据备份系统所使用的访问时戳)。
限制
限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数:
对象设置
最大对象大小 - 定义要扫描对象的最大大小。给定的病毒防护模块将仅扫描小于指定大小的对象。此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改。默认值:无限制。
对象的最长扫描时间(秒) - 定义扫描容器对象(例如 RAR/ZIP 压缩文件或附带多个附件的电子邮件)中文件的最长时间值。此设置不适用于独立文件。如果已指定用户定义的值并且该时间已经过去,则无论容器对象中每个文件的扫描是否完成,扫描都将尽快停止。
对于内含大文件的压缩文件,扫描将在提取压缩文件中的文件之前立即停止(例如,当用户定义的变量为 3 秒,但文件提取需要 5 秒时)。在此时间过后,将不会扫描压缩文件中的其余文件。
要限制扫描时间(包括较大的压缩文件),请使用最大对象大小和压缩文件中的最大文件大小(由于可能存在安全风险,不建议使用)。
默认值:无限制。
压缩文件扫描设置
压缩文件嵌套层数 - 指定压缩文件扫描的最大深度。默认值:10。
压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件(当解压缩时)中所包含文件的最大文件大小。最大值为 3 GB。
不建议更改默认值,正常情况下应该没有修改它的理由。 |