ThreatSense 参数
ThreatSense 包括许多复杂的威胁检测方法。此技术具有某种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防护。该技术采用代码分析、代码仿真、一般的识别码、病毒库的组合,以显著提高系统安全性。扫描引擎可同时控制多个数据流,最大限度地提高效率和检测速度。ThreatSense 技术还可成功消除 Rootkit。
ThreatSense 引擎设置选项允许指定若干扫描参数:
•要扫描的文件类型和扩展名
•不同检测方法的组合
•清除级别等
不同的安全情形可能要求不同的配置。考虑到这一点,可针对下列防护模块对 ThreatSense 进行单独配置:
•文件系统实时防护
•恶意软件扫描
•Web 访问保护
•电子邮件客户端防护
ThreatSense 参数已针对每个模块进行了高度优化。对其进行修改可能会明显影响系统操作。例如,将参数更改为始终扫描运行时加壳程序,或在文件系统实时防护模块中启用高级启发式扫描,可能会造成系统运行缓慢(通常,只有在扫描新建文件时才使用这些方法)。
要扫描的对象
此部分使您可以定义要扫描的计算机组件和文件,以查找渗透。
电子邮件文件 - 该程序支持以下扩展名:DBX (Outlook Express) 和 EML。
压缩文件 - 该程序支持以下扩展名:ARJ、BZ2、CAB、CHM、DBX、GZIP、ISO/BIN/NRG、LHA、MIME、NSIS、RAR、SIS、TAR、TNEF、UUE、WISE、ZIP、ACE 以及很多其他扩展名。
自解压文件 - 自解压文件 (SFX) 是可提取自身的压缩文件。
加壳程序 - 执行后,加壳程序在内存中解压,这一点与标准压缩文件类型不同。除了标准静态加壳程序(例如,UPX、yoda、ASPack、FSG)之外,扫描程序还可以通过代码仿真来识别其他几种加壳程序。
扫描选项
选择在扫描系统中的渗透时所用的方法。有以下选项可供使用:
启发式扫描 - 启发式扫描是一种分析(恶意)程序行为的算法。高级启发式扫描显著提高了对 ESET 产品的威胁检测能力。病毒库可以可靠地检测和识别病毒。缺点是可能发出虚假警报(尽管可能性很小)。
高级启发式扫描/DNA 病毒库 - 高级启发式扫描是一种独特的启发式扫描算法,该算法由 ESET 开发,针对检测使用高级编程语言编写的计算机蠕虫和木马进行了优化。使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能。病毒库可以可靠地检测和识别病毒。利用自动更新系统,可以在发现威胁后的数小时内提供新病毒库。该病毒库的缺点是只能检测到它所知道的病毒(或在这些病毒基础上略做修改的版本)。
清除
ThreatSense 参数具有以下清除级别:
清除级别 |
说明 |
---|---|
不清除 |
最终用户在清除对象时会收到一个交互式窗口,必须选择一个操作(例如,删除或忽略)。此级别专为更高级的用户设计,他们知道发生检测时应采取哪些步骤。 |
正常清除 |
清除对象时尝试清除检测,而无需任何最终用户干涉。在某些情况下(例如,包含干净文件和受感染文件的系统文件或存档),如果无法清除检测,则报告对象会在无法清除检测的情况下保留在其原始位置。 |
严格清除 |
清除对象时尝试清除检测,而无需任何最终用户干涉。在极少数情况下(例如,系统文件),报告的对象会在无法清除检测的情况下保留在其原始位置。 |
彻底清除 |
在清除对象时尝试清除检测。在某些情况下,如果不能执行任何操作,则最终用户会收到一条交互警报并且必须选择一个清除操作(例如,删除或忽略)。大多数情况下建议使用此设置。 |
删除 |
尝试删除所有被感染文件,而无需任何最终用户干预。 |
排除
扩展名是用句点分隔的文件名的一部分。扩展名定义文件的类型和内容。ThreatSense 参数设置的此部分允许您定义不想扫描的文件类型。
其他
配置 ThreatSense 引擎参数设置以进行手动扫描计算机时,其他部分中的以下选项也可用:
扫描交换数据流 (ADS) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联。许多渗透试图通过伪装成交换数据流来避开检测。
以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源。如果您使用高系统资源负载的程序,则可以激活低优先级后台扫描,并为应用程序节约资源。
启用智能优化 - 启用智能优化后,最优化的设置将用于确保最高效的扫描级别,同时保持最高的扫描速度。各种保护模块将进行智能化扫描,以便使用不同的扫描方法并将它们应用到特定的文件类型。如果禁用了智能优化,则在执行扫描时将仅在特定模块的 ThreatSense 核心中应用用户定义的设置。
保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间(例如数据备份系统所使用的访问时戳)。
限制
限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数:
对象设置
禁用默认对象设置旁边的滑块,以配置以下选项:
最大对象大小 - 定义要扫描对象的最大大小。如果在此输入用户定义的值,时间用完后病毒防护模块将停止扫描对象,而不管扫描是否完成。此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改。默认值:无限制。
对象的最长扫描时间(秒) - 定义用于对象扫描的最大时间值。如果在此输入用户定义的值,时间用完后病毒防护模块将停止扫描对象,而不管扫描是否完成。默认值:无限制。
存档扫描设置
禁用默认存档扫描设置旁边的滑块,以配置以下选项:
压缩文件嵌套层数 - 指定压缩文件扫描的最大深度。默认值:10。
压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件(当解压缩时)中所包含文件的最大文件大小。默认值:无限制。
不建议更改默认值,正常情况下应该没有修改它的理由。 |