ThreatSense
ThreatSense — это технология, состоящая из множества сложных методов обнаружения угроз. Эта технология является упреждающей, т. е. она защищает от новой угрозы уже в начале ее распространения. При этом используется сочетание анализа и моделирования кода, обобщенных сигнатур и сигнатур вирусов, которые совместно значительно повышают уровень безопасности компьютера. Модуль сканирования может контролировать несколько потоков данных одновременно, что делает эффективность и количество обнаруживаемых угроз максимальными. Технология ThreatSense также успешно уничтожает руткиты.
Для модуля ThreatSense можно настроить несколько параметров сканирования:
- Расширения и типы файлов, подлежащих сканированию;
- Сочетание различных методов обнаружения;
- уровни очистки и т. д.
Чтобы открыть окно параметров, щелкните ThreatSense в окне расширенных параметров любого модуля, использующего технологию ThreatSense (см. ниже). Разные сценарии обеспечения безопасности могут требовать различных настроек. Поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты.
- Защита в режиме реального времени
- Сканирование в состоянии простоя
- Сканирование при запуске
- Защита документов
- Защита почтового клиента
- Защита доступа в Интернет;
- Сканирование компьютера
Параметры ThreatSense хорошо оптимизированы для каждого из модулей, а их изменение значительно влияет на поведение системы. Например, изменение параметров сканирования упаковщиков в режиме реального времени или включение расширенной эвристики в модуле защиты файловой системы в режиме реального времени может замедлить работу системы (обычно только новые файлы сканируются с применением этих методов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».
Сканируемые объекты
В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.
Оперативная память: сканирование на наличие угроз, которые атакуют оперативную память системы.
Загрузочные секторы/UEFI. Загрузочные секторы сканируются на наличие вредоносных программ в основной загрузочной записи. Дополнительные сведения о UEFI см. в глоссарии.
Почтовые файлы. DBX (Outlook Express) и EML
Архивы. Программа поддерживает такие расширения, как ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE, и многие другие.
Самораспаковывающиеся архивы. Тип архивов (SFX), содержимое которых может извлекаться автоматически.
Программы сжатия исполняемых файлов: в отличие от стандартных типов архивов, программы сжатия исполняемых файлов после запуска распаковываются в памяти. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические упаковщики (UPX, yoda, ASPack, FSG и т. д.), но и множество других типов упаковщиков.
Параметры сканирования
Выберите способы сканирования системы на предмет заражений. Доступны следующие варианты:
Эвристический анализ: анализ вредоносной активности программ с помощью специального алгоритма. Главным достоинством этого метода является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующей версии модуля обновления. Недостатком же является вероятность (очень небольшая) ложных тревог.
Расширенный эвристический анализ/сигнатуры распределенных сетевых атак: для расширенного эвристического анализа используется уникальный эвристический алгоритм компании ESET, который оптимизирован для обнаружения компьютерных червей и троянских программ и написан на высокоуровневых языках программирования. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает наличие новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).
Очистка
Параметры очистки определяют поведение ESET Endpoint Security при очистке объектов.
Исключения
Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел ThreatSense позволяет определить типы файлов, подлежащих сканированию.
Другое
При настройке модуля ThreatSense для сканирования компьютера по требованию также доступны описанные ниже параметры из раздела Другое.
Сканировать альтернативные потоки данных (ADS): альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.
Запускать фоновое сканирование с низким приоритетом: каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.
Журнал всех объектов. Журнал проверки отображает все отсканированные файлы в самораспаковывающихся архивах, даже незараженные (может создавать большое количество данных журнала сканирования и увеличивать размер его файла).
Включить оптимизацию Smart: при включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense каждого модуля.
Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранить исходное значение времени доступа к сканируемым файлам, а не обновлять их (например, для использования с системами резервного копирования данных).
Ограничения
В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.
Параметры объектов
Максимальный размер объекта: определяет максимальный размер объектов, подлежащих сканированию. Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Этот параметр рекомендуется менять только опытным пользователям, у которых есть веские основания для исключения из сканирования больших объектов. Значение по умолчанию: Не ограничено.
Максимальная продолжительность сканирования объекта (с): определяет максимальное значение времени для сканирования файлов в объекте-контейнере (например, в архиве RAR/ZIP или в электронном письме с несколькими вложениями). Эта настройка не применяется к отдельным файлам. Если пользователь укажет собственное значение и указанное время истечет, сканирование будет остановлено как можно скорее вне зависимости от того, завершено ли сканирование каждого файла в объекте-контейнере. Если речь идет об архиве с большими файлами, сканирование будет прекращено не раньше, чем произойдет извлечение файла из архива (например, когда пользователь задал значение в 3 секунды, но извлечение файла занимает 5 секунд). По истечении этого времени остальные файлы в архиве сканироваться не будут. Чтобы ограничить время сканирования, в том числе для архивов большого размера, используйте параметры Максимальный размер объекта и Максимальный размер файла в архиве (не рекомендуется в связи с возможными проблемами безопасности). Значение по умолчанию: Не ограничено.
Настройки сканирования архивов
Уровень вложенности архивов: определяет максимальную глубину проверки архивов. Значение по умолчанию: 10.
Максимальный размер файла в архиве: этот параметр позволяет задать максимальный размер файлов в архиве (при их извлечении), которые должны сканироваться. Максимальное значение — 3 ГБ.
Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины. |