Ustawienia parametrów technologii ThreatSense

Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit.

Za pomocą opcji ustawień parametrów technologii ThreatSense można określić kilka parametrów skanowania:

Typy i rozszerzenia plików, które mają być skanowane;
Kombinacje różnych metod wykrywania;
Poziomy leczenia itp.

Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia parametrów technologii ThreatSense, znajdujący się w oknie Ustawienia zaawansowane każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Mając to na uwadze, technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony:

Ochrona systemu plików w czasie rzeczywistym
Skanowanie w trakcie bezczynności
Skanowanie przy uruchamianiu
Ochrona dokumentów
Ochrona programów poczty e-mail
Ochrona dostępu do stron internetowych
Skanowanie komputera

Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania spakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodami skanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera.

Skanowane obiekty

W sekcji Obiekty można określić, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji.

Pamięć operacyjna — umożliwia skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera.

Sektory startowe — umożliwia skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym.

Pliki poczty — program obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML.

Archiwa — program obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych.

Archiwa samorozpakowujące — archiwa samorozpakowujące się (SFX) to archiwa, które nie wymagają do dekompresji żadnych specjalnych programów.

Programy spakowane — po uruchomieniu — w odróżnieniu od archiwów standardowych — dekompresują swoją zawartość do pamięci. Poza standardowymi statycznymi programami spakowanymi (UPX, yoda, ASPack, FSG itd.) skaner umożliwia również rozpoznawanie innych typów programów spakowanych, dzięki emulowaniu ich kodu.

Opcje skanowania

Tu można wybrać metody stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje:

Heurystyka — heurystyka jest metodą analizy pozwalającą wykrywać działanie szkodliwych programów. Główną zaletą tej technologii jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które w chwili pobierania ostatniej aktualizacji bazy danych sygnatur wirusów jeszcze nie istniało lub nie było znane. Wadą może być ryzyko (niewielkie) wystąpienia tzw. fałszywych alarmów.

Zaawansowana heurystyka/DNA/Inteligentne sygnatury — zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątem wykrywania robaków i koni trojańskich. Zastosowanie zaawansowanej heurystyki znacząco usprawnia wykrywanie zagrożeń w produktach firmy ESET. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy. Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin od stwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznacznie zmodyfikowane wersje).

Potencjalnie niepożądana aplikacja to program, który zawiera oprogramowanie typu adware, instaluje paski narzędzi lub wykonuje inne niejasne działania. W niektórych sytuacjach użytkownik może uznać, że korzyści związane z potencjalnie niepożądaną aplikacją są większe niż zagrożenia. Z tego powodu ESET przydziela takim aplikacjom kategorię niskiego ryzyka w porównaniu do innych typów złośliwego oprogramowania, takich jak konie trojańskie czy robaki.

Ostrzeżenie — znaleziono potencjalne zagrożenie
Potencjalnie niepożądane aplikacje — ustawienia
Potencjalnie niepożądane aplikacje — otoki oprogramowania

Ostrzeżenie — znaleziono potencjalne zagrożenie

W przypadku wykrycia potencjalnie niepożądanej aplikacji użytkownik ma możliwość wybrania czynności:

1.Wylecz/Rozłącz: ta opcja przerywa wykonywanie czynności i uniemożliwia potencjalnemu zagrożeniu przedostanie się do systemu.
2.Brak czynności: ta opcja umożliwia potencjalnemu zagrożeniu przedostanie się do systemu.
3.Aby w przyszłości umożliwić uruchamianie aplikacji na komputerze bez zakłóceń, należy kliknąć opcję Więcej informacji/Pokaż opcje zaawansowane i zaznaczyć pole wyboru obok opcji Wyłącz z wykrywania.

PUA_INTERACTIVE

W przypadku wykrycia potencjalnie niepożądanej aplikacji, której nie można wyleczyć, w prawym dolnym rogu ekranu zostanie wyświetlone okno powiadomienia Adres został zablokowany. Więcej informacji na temat tego zdarzenia można znaleźć, przechodząc z menu głównego do opcji Narzędzia > Pliki dziennika > Filtrowane witryny internetowe.

PUA_NOTIFICATION

Potencjalnie niepożądane aplikacje — ustawienia

Podczas instalowania produktu ESET można zdecydować, czy włączone ma być wykrywanie potencjalnie niepożądanych aplikacji, jak widać poniżej:

INSTALLATION_DETECTION

MONITOR_RED OSTRZEŻENIE

Potencjalnie niepożądane aplikacje mogą instalować oprogramowanie typu adware i paski narzędzi lub obejmować inne niepożądane i niebezpieczne funkcje.

Te ustawienia można zmienić w dowolnym momencie w ustawieniach programu. Aby włączyć lub wyłączyć wykrywanie potencjalnie niepożądanych, niebezpiecznych lub podejrzanych aplikacji, należy wykonać poniższe instrukcje:

1.Otwórz produkt ESET. Otwieranie produktu ESET
2.Naciśnij klawisz F5, by uzyskać dostęp do obszaru Ustawienia zaawansowane.
3.Kliknij opcję Ochrona antywirusowa i zgodnie z własnym uznaniem włącz lub wyłącz opcje Włącz wykrywanie potencjalnie niepożądanych aplikacji, Włącz wykrywanie potencjalnie niebezpiecznych aplikacji oraz Włącz wykrywanie podejrzanych aplikacji. Potwierdź, klikając przycisk OK.

CONFIG_ANTIVIRUS

Potencjalnie niepożądane aplikacje — otoki oprogramowania

Otoka oprogramowania to szczególnego typu modyfikacja aplikacji stosowana na niektórych stronach internetowych obsługujących hosting plików. To narzędzie strony trzeciej, które instaluje oprogramowanie pobrane przez użytkownika, instalując jednak przy tym dodatkowe oprogramowanie, takie jak paski narzędzi i oprogramowanie typu adware. Dodatkowe oprogramowanie może również modyfikować ustawienia strony głównej oraz wyszukiwania w przeglądarce użytkownika. Ponadto strony obsługujące hosting plików często nie powiadamiają dostawcy oprogramowania ani użytkownika pobierającego pliki o wprowadzonych modyfikacjach, a zrezygnowanie z tych modyfikacji jest zwykle utrudnione. Z tego względu oprogramowanie ESET klasyfikuje otoki oprogramowania jako jeden z rodzajów potencjalnie niepożądanych aplikacji, oferując użytkownikom możliwość zaakceptowania lub zrezygnowania z pobierania.

Zaktualizowaną wersję tej strony pomocy zawiera ten artykuł bazy wiedzy ESET.

Potencjalnie niebezpieczne aplikacjepotencjalnie niebezpieczne aplikacje to klasyfikacja używana w odniesieniu do komercyjnych, legalnych programów, takich jak narzędzia do dostępu zdalnego, aplikacje służące do łamania haseł oraz programy zapisujące znaki wpisywane na klawiaturze (ang. keylogger). Domyślnie opcja ta jest wyłączona.

Leczenie

Ustawienia leczenia określają sposób działania skanera w stosunku do zainfekowanych plików. Istnieją 3 poziomy leczenia:

Brak leczenia — Zainfekowane pliki nie będą automatycznie leczone. Wyświetlane jest okno z ostrzeżeniem, a użytkownik może wybrać czynność do wykonania. Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie czynności należy wykonać w razie wystąpienia infekcji.

Leczenie normalne — program próbuje automatycznie wyleczyć lub usunąć zarażony plik zgodnie ze wstępnie zdefiniowaną czynnością (zależnie od typu infekcji). O wykryciu i usunięciu zainfekowanego pliku informuje powiadomienie wyświetlane w prawym dolnym rogu ekranu. Jeśli automatyczne wybranie właściwej czynności nie będzie możliwe, w programie będą dostępne inne czynności kontynuacyjne. Aplikacja zadziała tak samo także wtedy, gdy nie będzie możliwe wykonanie wstępnie zdefiniowanej czynności.

Leczenie dokładne — program leczy lub usuwa wszystkie zarażone pliki. Jedyny wyjątek stanowią pliki systemowe. Jeśli ich wyleczenie nie jest możliwe, użytkownik jest monitowany o wybranie odpowiedniej czynności w oknie z ostrzeżeniem.

MONITOR_RED OSTRZEŻENIE

Jeśli archiwum zawiera zarażone pliki, problem można rozwiązać na dwa sposoby. W trybie standardowym (Leczenie standardowe) usunięcie całego archiwum nastąpi w sytuacji, gdy będą zarażone wszystkie znajdujące się w nim pliki. W trybie Leczenie dokładne całe archiwum zostanie usunięte po wykryciu pierwszego zarażonego pliku, niezależnie od stanu pozostałych plików w tym archiwum.

Wyłączenia

Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają być skanowane.

Inne

Podczas konfigurowania ustawień parametrów technologii ThreatSense dotyczących skanowania komputera na żądanie w sekcji Inne dostępne są również następujące opcje:

Skanuj alternatywne strumienie danych (ADS) — alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych.

Uruchom skanowanie w tle z niskim priorytetem — każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie w tle z niskim priorytetem, oszczędzając zasoby dla innych aplikacji.

Zapisuj w dzienniku informacje o wszystkich obiektach — wybranie tej opcji powoduje, że w pliku dziennika są zapisywane informacje o wszystkich skanowanych plikach, nawet tych niezainfekowanych. Jeśli na przykład infekcja zostanie znaleziona w archiwum, w dzienniku zostaną uwzględnione również pliki niezainfekowane zawarte w tym archiwum.

Włącz inteligentną optymalizację — po włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniają połączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochrony działają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśli funkcja inteligentnej optymalizacji jest wyłączona, podczas skanowania są stosowane jedynie określone przez użytkownika dla poszczególnych modułów ustawienia technologii ThreatSense.

Zachowaj znacznik czasowy ostatniego dostępu — wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzania ich aktualizacji (na przykład na potrzeby systemów wykonywania kopii zapasowych danych).

icon_section Limity

W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane:

Ustawienia obiektów

Maksymalny rozmiar obiektu — określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanych użytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartość domyślna: bez limitu.

Maksymalny czas skanowania dla obiektu (s) — określa maksymalny czas skanowania obiektu. W przypadku wprowadzenia wartości zdefiniowanej przez użytkownika moduł antywirusowy zatrzyma skanowanie obiektu po upływie danego czasu, niezależnie od tego, czy skanowanie zostało ukończone. Wartość domyślna: bez limitu.

Ustawienia skanowania archiwów

Poziom zagnieżdżania archiwów — określa maksymalną głębokość skanowania archiwów. Wartość domyślna: 10.

Maksymalny rozmiar pliku w archiwum — ta opcja pozwala określić maksymalny rozmiar plików, które mają być skanowane w rozpakowywanych archiwach. Wartość domyślna: bez limitu.

icon_details_hoverUWAGA

Nie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać.