ThreatSense
ThreatSense prevede numerosi metodi di rilevamento di minacce complesse. Questa tecnologia è proattiva, ovvero fornisce protezione anche durante le prime ore di diffusione di una nuova minaccia. Il programma utilizza una combinazione di analisi del codice, emulazione del codice, firme generiche e firme antivirali che operano in modo integrato per potenziare enormemente la protezione del sistema. Il motore di controllo è in grado di controllare contemporaneamente diversi flussi di dati, ottimizzando l'efficienza e la velocità di rilevamento. La tecnologia ThreatSense è inoltre in grado di eliminare i rootkit.
Le opzioni di configurazione del motore ThreatSense consentono all’utente di specificare vari parametri di controllo:
•Tipi ed estensioni dei file da controllare
•Combinazione di diversi metodi di rilevamento
•Livelli di pulizia e così via.
Per aprire la finestra di configurazione, fare clic su ThreatSense in Configurazione avanzata per i moduli che utilizzano la tecnologia ThreatSense (vedere sotto). Scenari di protezione diversi potrebbero richiedere configurazioni diverse. Partendo da questo presupposto, ThreatSense è configurabile singolarmente per i seguenti moduli di protezione:
•Protezione file system in tempo reale
•Controllo stato di inattività
•Controllo all'avvio
•Protezione documenti
•Protezione client di posta
•Protezione accesso Web
•Controllo del computer
I parametri di ThreatSense vengono ottimizzati per ciascun modulo e la relativa modifica può influire in modo significativo sul funzionamento del sistema. Ad esempio, la modifica dei parametri per il controllo degli eseguibili compressi o per consentire l'euristica avanzata nel modulo della protezione file system in tempo reale potrebbe causare un rallentamento del sistema (questi metodi di controllo vengono applicati generalmente solo ai file di nuova creazione). È quindi consigliabile non modificare i parametri predefiniti di ThreatSense per tutti i moduli, ad eccezione di Controllo del computer.
Oggetti da controllare
Questa sezione consente all'utente di definire i componenti e i file del computer nei quali verranno ricercate le infiltrazioni.
Memoria operativa: ricerca le minacce che attaccano la memoria operativa del sistema.
Settori di avvio/UEFI: controlla i settori di avvio alla ricerca di malware nel record di avvio principale. Per ulteriori informazioni su UEFI, consultare il glossario.
File di e-mail: il programma supporta le seguenti estensioni: DBX (Outlook Express) e EML.
Archivi: il programma supporta le seguenti estensioni ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE e molte altre.
Archivi autoestraenti: si tratta di archivi (SFX) in grado di eseguire automaticamente l'estrazione del proprio contenuto.
Eseguibili compressi: dopo essere stati eseguiti, gli eseguibili compressi (diversamente dai tipi di archivi standard) si decomprimono nella memoria. Oltre agli eseguibili compressi statici standard (UPX, yoda, ASPack, FSG e così via), lo scanner è in grado di riconoscere numerosi altri tipi di programmi di compressione grazie all'utilizzo dell'emulazione del codice.
Opzioni di controllo
Selezionare i metodi utilizzati durante la ricerca di infiltrazioni nel sistema. Sono disponibili le seguenti opzioni:
Euristica: l'euristica è un algoritmo che analizza l'attività (dannosa) dei programmi. Il vantaggio principale offerto da questa tecnologia consiste nella capacità di identificare software dannosi precedentemente inesistenti o non conosciuti dalla versione precedente del motore di rilevamento. Lo svantaggio è una probabilità (minima) di falsi allarmi.
Euristica avanzata/Firme DNA: l'euristica avanzata si basa su un algoritmo di euristica esclusivo sviluppato da ESET, ottimizzato per il rilevamento dei worm e dei trojan horse e scritto in linguaggi di programmazione di alto livello. L'utilizzo dell'euristica avanzata determina un aumento esponenziale delle capacità di rilevamento delle minacce dei prodotti ESET. Le firme sono in grado di rilevare e identificare i virus in modo affidabile. Grazie al sistema di aggiornamento automatico, le nuove firme sono disponibili entro poche ore dal rilevamento di una minaccia. Lo svantaggio delle firme consiste nel fatto che tali strumenti rilevano solo i virus conosciuti (o versioni leggermente diverse di questi virus).
Pulizia
Le impostazioni di pulizia determinano il comportamento di ESET Internet Security durante la pulizia degli oggetti. Sono disponibili 4 livelli di pulizia:
ThreatSense offre i seguenti livelli di correzione (ad es. pulizia).
Correzione in ESET Internet Security
Livello di pulizia |
Descrizione |
---|---|
Correggi sempre l’infezione |
Tentativo di correzione del rilevamento durante la pulizia degli oggetti senza alcun intervento da parte dell'utente finale. In alcuni rari casi (ad esempio, file di sistema), se il rilevamento non può essere corretto, l'oggetto segnalato viene lasciato nella posizione originale. |
Correggi infezione se l’operazione è sicura, altrimenti mantieni |
Tentativo di correzione del rilevamento durante la pulizia degli oggetti senza alcun intervento da parte dell'utente finale. In alcuni casi (ad esempio, file di sistema o archivi con file puliti e infetti), se non è possibile correggere un rilevamento, l'oggetto segnalato viene lasciato nella posizione originale. |
Correggi l’infezione se l’operazione è sicura, altrimenti chiedi |
Tentativo di correzione del rilevamento durante la pulizia degli oggetti. In alcuni casi, se non è possibile eseguire alcuna azione, l'utente finale riceve un avviso interattivo e deve selezionare un'azione correttiva (ad esempio, Elimina o Ignora). Questa impostazione è consigliata nella maggior parte dei casi. |
Chiedi sempre all'utente finale |
L'utente finale visualizza una finestra interattiva durante la pulizia degli oggetti e deve selezionare un'azione di correzione (p. es., Rimuovi o Ignora). Questo livello è stato pensato per gli utenti più avanzati che conoscono la procedura da adottare in caso di rilevamento. |
Esclusioni
Un'estensione è la parte del nome di un file delimitata da un punto. Un'estensione definisce il tipo e il contenuto di un file. Questa sezione della configurazione di ThreatSense consente di definire i tipi di file da sottoporre a controllo.
Altro
Quando si configurano i parametri del motore ThreatSense per l’esecuzione di un Controllo computer su richiesta, nella sezione Altro sono disponibili anche le seguenti opzioni:
Controlla flussi di dati alternativi (ADS): i flussi di dati alternativi utilizzati dal file system NTFS sono associazioni di file e cartelle invisibili alle normali tecniche di controllo. Molte infiltrazioni tentano di eludere il rilevamento camuffandosi in flussi di dati alternativi.
Esegui controlli in background con priorità bassa: ogni sequenza di controllo utilizza una determinata quantità di risorse del sistema. Se si utilizzano programmi che necessitano di un carico elevato di risorse di sistema, è possibile attivare il controllo in background con priorità bassa e risparmiare risorse per le applicazioni.
Registra tutti gli oggetti: nel Rapporto del controllo verranno mostrati tutti i file controllati negli archivi autoestraenti, anche quelli non infetti (si potrebbero generare molti dati del rapporto del controllo e aumentarne di conseguenza le dimensioni).
Attiva ottimizzazione intelligente: al fine di garantire un livello di controllo ottimale, l'attivazione dell'ottimizzazione intelligente consente l'utilizzo delle impostazioni più efficienti mantenendo nel contempo la velocità di controllo più elevata. I vari moduli di protezione eseguono il controllo in modo intelligente, utilizzando metodi di controllo differenti e applicandoli a tipi di file specifici. Se l’ottimizzazione intelligente è disabilitata, durante l’esecuzione di un controllo vengono applicate solo le impostazioni definite dall’utente nella memoria centrale di ThreatSense per i moduli specifici.
Mantieni indicatore data e ora dell'ultimo accesso: selezionare questa opzione per mantenere l'ora di accesso originale ai file controllati anziché aggiornarli (ad esempio, per l'utilizzo con sistemi di backup di dati).
Limiti
La sezione Limiti consente all'utente di specificare la dimensione massima degli oggetti e i livelli di nidificazione degli archivi sui quali eseguire il controllo:
Impostazioni oggetti
Dimensione massima oggetto: definisce la dimensione massima degli oggetti su cui eseguire il controllo. Il modulo antivirus specifico eseguirà unicamente il controllo degli oggetti di dimensioni inferiori rispetto a quelle specificate. Questa opzione dovrebbe essere modificata solo da utenti esperti che abbiano ragioni particolari per escludere oggetti di maggiori dimensioni dal controllo. Valore predefinito: illimitato.
Durata massima del controllo dell’oggetto (sec.): definisce il valore temporale massimo per il controllo dei file in un oggetto contenitore (ad esempio, un archivio RAR/ZIP o un’e-mail con allegati multipli). Questa impostazione non si applica ai file indipendenti. Se è stato inserito un valore definito dall’utente e il tempo è trascorso, il controllo di ciascun file in un oggetto contenitore si interrompe il prima possibile, indipendentemente dal fatto che sia stato completato.
Nel caso di un archivio con file di grandi dimensioni, il controllo si interrompe non prima dell’estrazione di un file dall’archivio (ad esempio, se una variabile definita dall’utente è 3 secondi, ma l’estrazione di un file richiede 5 secondi). Al termine di tale intervallo di tempo, non verrà eseguito il controllo degli altri file presenti nell’archivio.
Per limitare la durata del controllo, anche relativamente ad archivi di maggiori dimensioni, utilizzare Dimensioni massime dell’oggetto e Dimensioni massime del file in archivio (scelta non consigliata a causa di possibili rischi per la protezione).
Valore predefinito: illimitato.
Configurazione controllo degli archivi
Livello di nidificazione degli archivi: specifica il livello massimo di controllo degli archivi. Valore predefinito: 10.
Dimensione massima file in archivio: questa opzione consente all'utente di specificare le dimensioni massime dei file contenuti all'interno degli archivi, i quali, una volta estratti, saranno sottoposti a controllo. Il valore predefinito è 3 GB.
Si consiglia di non modificare i valori predefiniti. In circostanze normali, non vi sono motivi particolari per eseguire tale operazione. |