ThreatSense
ThreatSense est constitué de nombreuses méthodes complexes de détection de menaces. C'est une technologie proactive : elle fournit une protection dès le début de la propagation d'une nouvelle menace. Elle utilise une combinaison d'analyse de code, d'émulation de code, de signatures génériques et de signatures de virus qui se conjuguent pour améliorer sensiblement la sécurité du système. Ce moteur d'analyse est capable de contrôler plusieurs flux de données simultanément, optimisant ainsi l'efficacité et le taux de détection. La technologie ThreatSense parvient également à supprimer les rootkits.
les options de configuration de la technologie ThreatSense permettent de spécifier plusieurs paramètres d'analyse :
•Les types de fichiers et les extensions à analyser ;
•La combinaison de plusieurs méthodes de détection ;
•Les niveaux de nettoyage, etc.
Pour ouvrir la fenêtre de configuration, cliquez sur ThreatSense dans les Configurations avancées de chaque module utilisant la technologie ThreatSense (reportez-vous aux informations ci-dessous). Différents scénarios de sécurité peuvent nécessiter des configurations différentes. Dans cette optique, ThreatSense est configurable individuellement pour les modules de protection suivants :
•Protection en temps réel du système de fichiers
•Analyse en cas d'inactivité
•Analyse au démarrage
•Protection des documents
•Protection du client de messagerie
•Protection de l’accès Web
•Analyse de l'ordinateur
Les paramètres ThreatSense sont spécifiquement optimisés pour chaque module et leur modification peut avoir une incidence significative sur le fonctionnement du système. Par exemple, en modifiant les paramètres pour toujours analyser les Fichiers exécutables compressés par un compresseur d’exécutables ou pour autoriser l'heuristique avancée dans la protection en temps réel du système de fichiers, vous pouvez dégrader les performances du système (normalement, seuls les fichiers nouvellement créés sont analysés par ces méthodes). Il est donc recommandé de ne pas modifier les paramètres par défaut de ThreatSense pour tous les modules, à l'exception du module Analyse de l'ordinateur.
Objets à analyser
Cette section permet de définir les fichiers et les composants de l'ordinateur qui vont faire l'objet d'une analyse visant à rechercher les éventuelles infiltrations.
Mémoire vive – Lance une analyse visant à rechercher les menaces qui attaquent la mémoire vive du système.
Secteurs d'amorçage/UEFI – Analyse les secteurs d'amorçage afin de détecter la présence éventuelle de logiciels malveillants dans l'enregistrement d'amorçage principal. Pour plus d'informations sur UEFI, consultez le glossaire.
Fichiers des courriers électroniques – Le programme prend en charge les extensions suivantes : DBX (Outlook Express) et EML.
Archives – Le programme prend en charge les extensions suivantes : ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE et de nombreuses autres extensions.
Archives auto-extractibles – Les archives auto-extractibles (SFX) sont des archives qui sont extraites automatiquement.
Compresseurs d'exécutables – Contrairement aux archiveurs standard, ces compresseurs se décompressent en mémoire. Outre les compacteurs statiques standard (UPX, yoda, ASPack, FSG, etc.), l'analyseur peut reconnaître plusieurs autres types de compacteurs via l'utilisation de l'émulation de code.
Options d’analyse
Sélectionnez les méthodes à utiliser lors de la recherche d'infiltrations dans le système. Les options disponibles sont les suivantes :
Heuristique – La méthode heuristique utilise un algorithme d'analyse de l'activité (malveillante) des programmes. Elle présente l'avantage d'identifier un code malveillant qui n'existait pas ou qui n'était pas connu par la version antérieure du moteur de détection. Cette méthode présente néanmoins l'inconvénient d'une probabilité (très faible) de fausses alarmes.
Heuristique avancée/Signatures ADN – La méthode heuristique avancée utilise un algorithme heuristique unique développé par ESET, optimisé pour la détection des vers d'ordinateur et des chevaux de Troie, et écrit dans un langage de programmation de haut niveau. L'utilisation de la méthode heuristique avancée accroît de manière significative les possibilités de détection des menaces des produits ESET. Les signatures peuvent détecter et identifier les virus avec grande efficacité. Grâce au système de mise à jour automatique, les nouvelles signatures peuvent être disponibles dans les quelques heures qui suivent la détection des menaces. L'inconvénient des signatures est qu'elles ne détectent que les virus qu'elles connaissent (ou leurs versions légèrement modifiées).
Nettoyage
Les paramètres de nettoyage déterminent le comportement d'ESET Internet Security lors du nettoyage des objets. Quatre niveaux de nettoyage sont possibles :
ThreatSense comporte les niveaux de correction (nettoyage, par exemple) suivants :
Correction dans ESET Internet Security
Niveau de nettoyage |
Description |
---|---|
Toujours corriger la détection |
Tentative de correction de la détection tout en nettoyant les objets sans aucune intervention de l'utilisateur final. Dans certains cas rares (par exemple, les fichiers système), si la détection ne peut pas être corrigée, l'objet signalé est conservé à son emplacement d'origine. |
Corriger la détection si cette opération est sûre. Sinon, conserver |
Tentative de correction de la détection lors du nettoyage des objets sans aucune intervention de la part de l'utilisateur final. Dans certains cas (fichiers système ou archives contenant à la fois des fichiers nettoyés et des fichiers infectés), si une détection ne peut pas être corrigée, l'objet signalé est laissé à son emplacement d'origine. |
Corriger la détection si cette opération est sûre. Sinon, demander à l'utilisateur |
Tentative de correction de la détection lors du nettoyage des objets. Dans certains cas, si aucune action ne peut être exécutée, l'utilisateur final reçoit une alerte interactive. Il doit alors sélectionner une action corrective (supprimer ou ignorer, par exemple). Ce paramètre est recommandé dans la plupart des cas. |
Toujours demander à l'utilisateur final |
Une fenêtre interactive s'affiche lors du nettoyage des objets et l'utilisateur final doit sélectionner une action corrective (supprimer ou ignorer, par exemple). Ce niveau a été conçu pour les utilisateurs expérimentés qui connaissent les mesures à prendre en cas de détection. |
Exclusions
L'extension est la partie du nom de fichier située après le point. Elle définit le type et le contenu du fichier. Cette section de la configuration d'ThreatSense vous permet de définir les types de fichiers à analyser.
Autre
Lorsque vous configurez les paramètres du moteur ThreatSense pour l'analyse à la demande d'un ordinateur, vous disposez également des options de la section Autre suivantes :
Analyser les flux de données alternatifs (ADS) – Les flux de données alternatifs (ADS) utilisés par le système de fichiers NTFS sont des associations de fichiers et de dossiers que les techniques d'analyse ordinaires ne permettent pas de détecter. De nombreuses infiltrations tentent d'éviter la détection en se faisant passer pour des flux de données alternatifs.
Exécuter les analyses en arrière-plan avec une priorité faible – Toute séquence d'analyse consomme une certaine quantité de ressources système. Si vous utilisez des programmes qui exigent une grande quantité de ressources système, vous pouvez activer l’analyse en arrière-plan à faible priorité de manière à réserver des ressources pour vos applications.
Consigner tous les objets – Le journal d'analyse affiche tous les fichiers analysés dans des archives auto-extractibles, même ceux qui ne sont pas infectés (peut générer beaucoup de données et augmenter la taille du fichier du journal d'analyse).
Activer l'optimisation intelligente – Lorsque cette option est sélectionnée, les paramètres optimaux sont utilisés de manière à garantir le niveau d'analyse le plus efficace tout en conservant la meilleure vitesse d'analyse. Les différents modules de protection proposent une analyse intelligente en utilisant différentes méthodes et en les appliquant à des types de fichiers spécifiques. Si l'option Activer l'optimisation intelligente est désactivée, seuls les paramètres définis par l'utilisateur dans le noyau ThreatSense des différents modules sont appliqués lors de la réalisation d'une analyse.
Conserver la date et l'heure du dernier accès – Sélectionnez cette option pour conserver l'heure d'accès d'origine des fichiers analysés au lieu de les mise à jour (par exemple, pour les utiliser avec des systèmes de sauvegarde de données).
Limites
La section Limites permet de spécifier la taille maximale des objets et les niveaux d'imbrication des archives à analyser :
Paramètres d’objet
Taille maximale d'objet – Définit la taille maximale des objets à analyser. Le module antivirus n'analyse que les objets d'une taille inférieure à celle spécifiée. Cette option ne doit être modifiée que par des utilisateurs expérimentés et qui ont des raisons particulières d'exclure de l'analyse des objets de plus grande taille. Valeur par défaut : illimité.
Durée d’analyse maximale pour l’objet (s) – Définit la durée maximale de l’analyse des fichiers dans un objet conteneur (tel qu’une archive RAR/ZIP ou un e-mail avec plusieurs pièces jointes). Ce paramètre ne s’applique pas aux fichiers autonomes. Si une valeur définie par l'utilisateur a été spécifiée et que le temps s'est écoulé, une analyse s'arrêtera dès que possible, que l'analyse de chaque fichier d'un objet conteneur soit terminée ou non.
Dans le cas d'une archive contenant des fichiers volumineux, l'analyse s'arrêtera dès qu'un fichier de l'archive sera extrait (par exemple, lorsqu'une variable définie par l'utilisateur est de 3 secondes, mais que l'extraction d'un fichier prend 5 secondes). Le reste des fichiers de l'archive ne sera pas analysé lorsque ce temps sera écoulé.
Pour limiter le temps d'analyse, y compris pour les archives plus volumineuses, utilisez les options Taille d’objet maximale et Taille maximale du fichier dans l'archive (non recommandé en raison d'éventuels risques de sécurité).
Valeur par défaut : illimitée.
Configuration de l’analyse d’archive
Niveau d'imbrication des archives – Spécifie la profondeur maximale d'analyse des archives. Valeur par défaut : 10.
Taille maximale de fichier dans l'archive – Cette option permet de spécifier la taille maximale des fichiers (après extraction) à analyser contenus dans les archives. La valeur maximale est 3 Go.
Il n'est pas recommandé de modifier les valeurs par défaut. Dans des circonstances normales, il n'y a aucune raison de le faire. |