Parametry skenovacího jádra ThreatSense

ThreatSense je název technologie, kterou tvoří soubor komplexních metod detekce infiltrace. Tato technologie je proaktivní a poskytuje tak ochranu i během prvních hodin šíření nové hrozby. K odhalení hrozeb využívá kombinaci několika metod (analýza kódu, emulace kódu, generické signatury, virové signatury), čímž efektivně spojuje jejich výhody. Detekční jádro je schopné kontrolovat několik datových toků paralelně a maximalizovat tak svůj výkon a účinnost detekce. Technologie ThreatSense dokáže účinně bojovat také s rootkity.

icon_details_hoverPoznámka:

Pro více informací o automatické kontrole zaváděných při startu přejděte do kapitoly Kontrola po startu.

Ve skenovacím jádru ThreatSense můžete definovat následující parametry:

Typu souborů a přípon, které se mají kontrolovat,
Kombinace různých metod detekce,
Úrovně léčení apod.

Pro zobrazení nastavení klikněte na záložku Parametry skenovacího jádra ThreatSense v Rozšířeném nastavení jakéhokoli modulu, který používá ThreatSense technologii (viz níže).  Pro různé druhy ochrany se používá různá úroveň nastavení. ThreatSense je možné konfigurovat individuálně pro následující moduly:

Rezidentní ochrana souborového systému,
Ochrana dokumentů,
Ochrana poštovních klientů,
Ochrana přístupu na web,
Kontrola počítače.

Parametry ThreatSense jsou optimalizovány speciálně pro každý modul a jejich změna může mít výrazný dopad na výkon systému. Příkladem může být zpomalení systému při povolení kontroly runtime archivů a rozšířené heuristiky pro rezidentní ochranu souborů (standardně jsou kontrolovány pouze nově vytvářené soubory). Proto doporučujeme ponechat původní nastavení ThreatSense pro všechny druhy ochran kromě Kontroly počítače.

Kontrolované objekty

V této sekci můžete vybrat součásti počítače a soubory, které budou testovány na přítomnost infiltrace.

Operační paměť – kontrola přítomnosti hrozeb, které mohou být zavedeny v operační paměti počítače.

Boot sektory – kontrola přítomnosti boot virů v MBR sektorech disků, kde se nachází tzv. zavaděč operačního systému.

Poštovní soubory – podporovány jsou DBX (Outlook Express) a EML soubory.

Archivy – podporovány jsou formáty ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO, BIN, NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE a jiné.

Samorozbalovací archivy – archivy které nepotřebují pro své rozbalení jiné programy. Jedná se o SFX (Self-extracting) archivy.

Runtime archivy – runtime archivy se na rozdíl od klasických archivů po spuštění rozbalí v paměti počítače. Kromě podpory tradičních statických archivátorů (UPX, yoda, ASPack, FSG,...) program podporuje díky emulaci kódu i mnoho jiných typů archivátorů.

Možnosti kontroly

V sekci Možnosti kontroly můžete vybrat metody, které se použijí pro ověřování přítomnosti infiltrace. Dostupné jsou následující možnosti:

Heuristika – heuristika je algoritmus, který analyzuje (nežádoucí) aktivity programů. Výhodou heuristiky je schopnost odhalit i takový škodlivý software, který v době poslední aktualizace antivirového programu ještě neexistoval nebo nebyl znám. Nevýhodou je nízká pravděpodobnost falešného poplachu.

Rozšířená heuristika/DNA vzorky – rozšířená heuristika se skládá z unikátních heuristických algoritmů vyvinutých společností ESET optimalizovaných pro detekci škodlivých kódů napsaných ve vyšších programovacích jazycích. Používání rozšířené heuristiky výrazně zvyšuje detekční schopni produktů ESET. Vzorky zajišťují přesnou detekci virů. S využitím automatického aktualizačního systému mají nové vzorky uživatelé k dispozici do několika hodin od objevení hrozby. Nevýhodou vzorků je detekce pouze známých virů.

Potenciálně nechtěné aplikace jsou programy, které sice nemusí představovat bezpečnostní riziko, ale mohou mít negativní dopad na výkon počítače. Tyto aplikace se obvykle do systému nainstalují až po souhlasu uživatele. Jejich instalací dojde k určitým změnám v chování počítačového systému oproti stavu bez instalace příslušné aplikace. Mezi tyto změny v systému patří zejména:

zobrazování oken (pop-up, reklamy), které by se jinak nezobrazovaly,
aktivace a spuštění skrytých procesů,
zvýšená spotřeba systémových prostředků,
změny výsledků vyhledávání,
komunikace se servery výrobce aplikace.

 

Varování - Nalezena potenciální hrozba
Potenciálně nechtěné aplikace – Nastavení
Potenciálně nechtěné aplikace – Software wrappery

Varování - Nalezena potenciální hrozba

Při detekování potenciálně nechtěné aplikace se zobrazí dialogové okno s možností výběru akce:

1.Vyléčit/Odpojit – vybráním této možnosti zabráníte spuštění nebo stažení aplikace, a zabráníte tak infiltraci systému.
2.Žádná akce – po vybrání této možnosti se do vašeho systému dostane potenciální hrozba.
3.Pokud chcete danou aplikaci používat a nechcete aby vás produkt ESET upozorňoval na potenciální riziko, klikněte na Zobrazit možnosti a zaškrtněte možnost Vyloučit z detekce.

PUA_INTERACTIVE

Pokud bude detekována potenciálně nechtěná aplikace a není možné ji vyléčit, při komunikaci dané aplikace se vzdálenou stranou se zobrazí upozornění Adresa byla zablokována. Zároveň se tato informace zapíše do protokolu a více informací naleznete v hlavním menu programu na záložce Nástroje > Protokoly > Filtrované webové stránky.

PUA_NOTIFICATION

Potenciálně nechtěné aplikace – Nastavení

Již při instalaci produktu ESET se můžete rozhodnout, zda chcete být upozorňováni na potenciálně nechtěné aplikace:

INSTALLATION_DETECTION

MONITOR_RED VAROVÁNÍ:

Potenciálně nechtěné aplikace mohou do vašeho systému doinstalovat adware, toolbary nebo další aplikace, které mohou ve vašem systému provádět nechtěné a nebezpečné operace.

Nastavení detekce těchto aplikací můžete kdykoli změnit v nastavení programu. Pro úpravu detekce postupujte podle následujících kroků:

1.Otevřete hlavní okno produktu ESET. Pokud nevíte jak, postupujte podle tohoto návodu.
2.Stiskněte klávesu F5 a zobrazte Rozšířená nastavení.
3.Přejděte na záložku Antivirus, kde jsou dostupné následující možnosti: Zapnout detekci potenciálně nechtěných aplikací, Zapnout detekci potenciálně zneužitelných aplikací a Zapnout detekci podezřelých aplikací. Pro uložení změn klikněte na tlačítko OK.

CONFIG_ANTIVIRUS

Potenciálně nechtěné aplikace – Software wrappery

Software wrapper představuje speciální typ úpravy aplikace, který používají některé softwarové portály. Vámi požadovanou aplikaci nestahujete napřímo, ale prostřednictvím nástroje třetí strany. Tyto nástroje kromě požadované aplikace do systému instalují adware nebo toolbary. Kromě originální aplikace se mohou tyto nástroje, které dále mohou měnit domovskou stránku ve vašem prohlížeči a ovlivňovat výsledky vyhledávání. Protože softwarové portály v drtivé většině neinformují koncového uživatele, že ke stažení aplikace dojde prostřednictvím nástroje třetí strany, společnost ESET detekuje tyto tzv. software wrappery jako potenciálně nechtěné aplikace. V takovém případě máte na výběr, zda chcete pokračovat ve stahování nebo si najdete jiný zdroj, ze kterého si stáhnete nemodifikovaný instalační balíček.

Nejnovější verzi této kapitoly naleznete v ESET Databázi znalostí.

Více informací naleznete ve Virové encyklopedii.

Potenciálně zneužitelné aplikacePotenciálně zneužitelné aplikace jsou komerční a legitimní aplikace například pro zobrazení vzdálené pracovní plochy, dešifrování kódů a hesel nebo tzv. keyloggery (programy na monitorování stisknutých kláves). Detekce těchto aplikací je standardně vypnuta.

ESET LiveGrid® – prostřednictvím této reputační technologie jsou kontrolované soubory ověřovány vůči cloudového systému ESET LiveGrid® s cílem dosažení přesnější detekce a zrychlení kontroly.

Léčení

Nastavení léčení ovlivňuje chování virové skeneru. K dispozici jsou 3 úrovně léčení detekovaných infikovaných souborů:

Neléčit infikované soubory nebudou automaticky léčeny. Při detekci se zobrazí varovné okno s možností výběru akce, která se má provést. Tato úroveň je navržena pro pokročilé uživatele, kteří vědí, jak postupovat v případě infiltrace.

Standardní úroveň léčení program se pokusí infikované soubory automaticky léčit, nebo odstranit na základě předdefinované akce (v závislosti na typu infiltrace). Informace o detekci a odstranění infikovaného souboru je zobrazena informační bublinou v pravém dolním rohu obrazovky. Pokud program nedokáže automaticky vybrat správnou akci, zobrazí se okno s možností výběru akce. Možnost výběru akce se zobrazí také v případě, když se předdefinovanou akci nepodaří provést.

Přísné léčení program vyléčí nebo odstraní všechny infikované soubory. Výjimku tvoří systémové soubory. Pokud je nelze vyléčit, zobrazí se výběr akce, která se má provést.

MONITOR_RED VAROVÁNÍ:

Při detekci infiltrace v archivu, bude při standardním a přísném léčení odstraněn celý archiv. Při standardním léčení bude archiv odstraněn, pouze pokud obsahuje samotný soubor s infiltrací. Při přísném léčení bude archiv odstraněn i v případě, že kromě infiltrace obsahuje další korektní soubory.

Výjimky

Přípona je část názvu souboru oddělená tečkou. Přípona určuje typ a obsah souboru (například dokument.txt označuje textový dokument). V této části nastavení ThreatSense nastavíte typy souborů, které chcete vyloučit z kontroly.

Ostatní

Při konfiguraci parametrů skenovacího jádra ThreatSense jsou v sekci Ostatní k dispozici následující možnosti:

Kontrolovat alternativní datové proudy (ADS) – alternativní datové proudy (ADS) používané systémem NTFS jsou běžným způsobem neviditelné asociace k souborům a složkám. Mnoho virů je proto využívá jako maskování před případným odhalením.

Spustit kontrolu na pozadí s nízkou prioritou – každá kontrola počítače využívá určité množství systémových zdrojů. Pokud právě pracujete s programy náročnými na výkon procesoru, přesunutím kontroly na pozadí jí můžete přiřadit nižší prioritu a získat více prostředků pro ostatní aplikace.

Zapisovat všechny objekty do protokolu – pokud je tato možnost aktivní, do protokolu se zapíší všechny zkontrolované soubory, i když nejsou infikované. Například, při nalezení infiltrace v archivu, se do protokolu zapíší všechny soubory z archivu, i když jsou čisté.

Používat Smart optimalizaci – při zapnuté Smart optimalizaci je použito nejoptimálnější nastavení pro zajištění maximální efektivity kontroly při současném zachování vysoké rychlosti. Každý modul ochrany kontroluje objekty inteligentně a používá odlišné metody, které aplikuje na specifické typy souborů. Pokud je Smart optimalizace vypnuta, použije se pouze uživatelské nastavení jádra ThreatSense.

Zachovat čas přístupu k souborům – při kontrole souboru nebude změněn čas přístupu, ale bude ponechán původní (vhodné při používání na zálohovacích systémech).

Omezení

V sekci Omezení můžete nastavit maximální velikost objektů, archivů a úroveň zanoření, které se budou testovat na přítomnost škodlivého kódu:

Nastavení objektů

Maximální velikost objektu – umožňuje definovat maximální hodnotu velikosti objektu, který bude kontrolován. Daný modul antiviru bude kontrolovat pouze objekty s menší velikostí než je definovaná hodnota. Tyto hodnoty doporučujeme měnit pouze pokročilým uživatelům, kteří chtějí velké objekty vyloučit z kontroly. Standardní hodnota: neomezeno.

Maximální čas kontroly objektu (v sekundách) – definuje maximální povolený čas na kontrolu objektu. Pokud nastavíte určitou hodnotu, po překročení této hodnoty skončí probíhající antivirová kontrola objektu bez ohledu na to, zda byla dokončena. Objekt může zůstat nezkontrolován. Standardní hodnota: neomezeno.

Nastavení archivů

Úroveň vnoření archivů – specifikuje maximální úroveň vnoření do archivu při antivirové kontrole. Standardní hodnota: 10.

Maximální velikost souboru v archivu – specifikuje maximální velikost rozbaleného souboru v archivu, který je kontrolován. Standardní hodnota: neomezeno.

icon_details_hoverPoznámka:

Antivirus standardně používá předdefinované hodnoty, které doporučujeme měnit pouze ve zvláštních případech.