Параметры ThreatSense

   Содержание Указатель Поиск  

ThreatSense — это технология, состоящая из множества сложных способов обнаружения угроз. Это упреждающая технология, т. е. она защищает от новой угрозы уже в начале ее распространения. При этом используются: анализ и эмуляция кода, универсальные сигнатуры и сигнатуры вирусов. Вместе все эти средства значительно повышают уровень безопасности компьютера. Модуль сканирования может контролировать несколько потоков данных одновременно, что делает количество обнаруживаемых угроз и эффективность максимальными. Кроме того, технология ThreatSense успешно уничтожает руткиты.

note_icon_note ПРИМЕЧАНИЕ.

Сведения об автоматической проверке файлов при запуске см. в разделе Сканирование при запуске.

Для модуля ThreatSense можно настроить несколько параметров сканирования:

типы и расширения файлов, подлежащих сканированию;

сочетание различных способов обнаружения;

уровни очистки и т. д.

Чтобы открыть окно параметров, щелкните элемент Настройка параметров модуля ThreatSense в окне Дополнительные настройки любого модуля, использующего технологию ThreatSense (см. ниже). Для разных сценариев обеспечения безопасности могут требоваться различные конфигурации. Поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты.

Сканирование с помощью Hyper-V

Защита файловой системы в режиме реального времени

Сканирование в состоянии простоя

Сканирование файлов, исполняемых при запуске системы

Защита документов

Защита почтового клиента

Защита доступа в Интернет

Параметры ThreatSense хорошо оптимизированы для каждого из модулей, а их изменение значительно влияет на поведение системы. Например, если настроить сканирование программ сжатия исполняемых файлов или включить расширенную эвристику в модуле защиты файловой системы в реальном времени, работа системы может замедлиться (обычно только новые файлы сканируются с применением этих способов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».

Сканируемые объекты

В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.

Оперативная память — выполняется сканирование на наличие угроз, которые атакуют оперативную память системы.

Загрузочные секторы: загрузочные секторы сканируются на наличие вирусов в основной загрузочной записи. Основная загрузочная запись диска виртуальной машины Hyper-V сканируется в режиме только для чтения.

Почтовые файлы — программа поддерживает расширения DBX (Outlook Express) и EML.

Архивы — программа поддерживает расширения ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE и многие другие.

Самораспаковывающиеся архивы — самораспаковывающиеся архивы (файлы с расширением SFX) — это архивы, которым для распаковки не нужны специальные программы.

Программы сжатия исполняемых файлов — в отличие от стандартных типов архивов, программы сжатия, будучи выполненными, распаковываются в память. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические программы сжатия (UPX, yoda, ASPack, FGS и т. д.), но и множество других типов таких программ.

Параметры сканирования

Выберите способы сканирования системы на предмет заражений. Доступны указанные ниже варианты.

Эвристический анализ — анализ вредоносной активности программ с помощью специального алгоритма. Главным достоинством этого метода является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующей базе данных сигнатур вирусов.

Расширенный эвристический анализ/сигнатуры распределенных сетевых атак: для расширенного эвристического анализа используется уникальный эвристический алгоритм компании ESET, который оптимизирован для обнаружения компьютерных червей и троянских программ и написан на высокоуровневых языках программирования. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает наличие новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).

Очистка

Параметры очистки определяют поведение модуля сканирования при очистке зараженных файлов. Предусмотрено три уровня очистки.

Без очистки: зараженные файлы не будут очищаться автоматически. Программа выводит на экран окно предупреждения и предлагает пользователю выбрать действие. Этот уровень предназначен для более опытных пользователей, знающих о действиях, которые следует предпринимать в случае заражения.

Обычная очистка: программа пытается автоматически очистить или удалить зараженный файл на основе предварительно определенного действия (в зависимости от типа заражения). Обнаружение и удаление зараженных файлов сопровождается уведомлением, отображающимся в правом нижнем углу экрана. Если невозможно выбрать правильное действие автоматически, программа предложит выбрать другое действие. То же самое произойдет в том случае, если предварительно определенное действие невозможно выполнить.

Тщательная очистка: программа очищает или удаляет все зараженные файлы. Исключение составляют только системные файлы. Если очистить файл невозможно, программа предложит пользователю выбрать, какое действие следует выполнить.

note_icon_warning ВНИМАНИЕ!

Если в архиве содержатся зараженные файлы, существует два варианта его обработки. В режиме по умолчанию (Обычная очистка) архив удаляется целиком, если все файлы в нем заражены. В режиме Тщательная очистка архив удаляется, если он содержит по крайней мере один зараженный файл, независимо от состояния остальных файлов.

note_icon_important ВАЖНО!

Если узел Hyper-V работает под управлением Windows Server 2008 R2, не поддерживаются варианты Обычная очистка и Тщательная очистка. Сканирование дисков виртуальной машины выполняется в режиме только для чтения, очистка не производится. Какой бы уровень очистки ни был выбран, сканирование всегда выполняется в режиме только для чтения.

Исключения

Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел параметров модуля ThreatSense позволяет определить типы файлов, которые не нужно сканировать.

Другое

При настройке модуля ThreatSense также доступны представленные ниже параметры раздела Другое.

Сканировать альтернативные потоки данных (ADS) — альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.

Запускать фоновое сканирование с низким приоритетом — каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.

Регистрировать все объекты — если этот флажок установлен, в файле журнала будет содержаться информация обо всех просканированных файлах, в том числе незараженных. Например, если в архиве найден вирус, в журнале также будут перечислены незараженные файлы из архива.

Включить оптимизацию Smart: при включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense конкретных модулей.

Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранить исходное значение времени доступа к сканируемым файлам, а не обновлять их (например, для использования с системами резервного копирования данных).

icon_section Ограничения

В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.

Параметры объектов

Параметры объектов по умолчанию — включите для использования настроек по умолчанию (без ограничений). ESET File Security будет игнорировать пользовательские настройки.

Максимальный размер объекта: определяет максимальный размер объектов, подлежащих сканированию. Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Этот параметр рекомендуется менять только опытным пользователям, у которых есть веские основания для исключения больших объектов из сканирования. Значение по умолчанию: не ограничено.

Максимальное время сканирования, в секундах — определяет максимальное значение времени сканирования объекта. Если значение здесь укажет пользователь, модуль защиты от вирусов прекратит сканирование объекта по истечении указанного времени вне зависимости от того, было ли сканирование завершено. Значение по умолчанию: не ограничено.

Настройки сканирования архивов

Уровень вложенности архивов: определяет максимальную глубину проверки архивов. Значение по умолчанию: 10. Для объектов, обнаруженных защитой почтового транспорта, фактическая глубина вложенности составляет +1 уровень, поскольку архив, вложенный в почтовое сообщение, считается первым уровнем. Например, если указан уровень вложенности 3, файл архива с уровнем вложенности 3 будет сканироваться на транспортном уровне только до фактического уровня 2. Поэтому, если необходимо сканировать архивы защитой почтового транспорта до уровня 3, установите для параметра Уровень вложенности архивов значение 4.

Максимальный размер файла в архиве — этот параметр позволяет задать максимальный размер файлов в архиве (при их извлечении), которые должны сканироваться. Значение по умолчанию: не ограничено.

note_icon_note ПРИМЕЧАНИЕ.

Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины.