ThreatSense
ThreatSenseは、ウイルスを検出する多数の複雑な方法から構成される技術です。この技術は事前対応型なので、新しいウイルスが広がる初期の段階でも保護することができます。この技術では、システムのセキュリティを大幅に強化するために連携して動作するコード分析、コードエミュレーション、汎用シグネチャ、ウイルスシグネチャを組み合わせて使用します。検査エンジンは、複数のデータストリームを同時に検査して、最大限の効率および検出率を確保することができます。また、ThreatSense技術によってルートキットを除去することもできます。
ThreatSenseエンジン設定オプションを使用すると、さまざまな検査パラメータを指定できます。
•検査するファイルの種類および拡張子
•さまざまな検出方法の組み合わせ
•駆除のレベルなど
設定ウィンドウを開くには、ThreatSense技術を使用する任意のモジュール(下記を参照)の詳細設定にあるThreatSenseをクリックします。セキュリティシナリオごとに異なる設定が必要になることがあります。これを念頭に、ThreatSenseは、次の保護モジュールについて個々に設定することができます。
•リアルタイム検査
•アイドル状態検査
•スタートアップ検査の設定
•ドキュメント保護
•電子メールクライアント保護
•Webアクセス保護
•コンピューターの検査
ThreatSenseのパラメーターは機能ごとに高度に最適化されているので、パラメーターを変更すると、システムの動作に大きく影響することがあります。たとえば、常にランタイム圧縮形式をスキャンするようにパラメーターを変更するか、リアルタイムファイル保護機能のアドバンスドヒューリスティックを有効にすると、システムの処理速度が低下することがあります(通常は、新しく作成されたファイルのみがこれらの方法を使用してスキャンされます)。コンピューターの検査を除く全ての機能について、ThreatSenseの既定のパラメーターを変更しないことをお勧めします。
検査するオブジェクト
このセクションでは、感染を検査するコンピュータのコンポーネントおよびファイルを定義できます。
システムメモリ - システムメモリーを攻撃対象とするマルウェアを検査します。
ブートセクター/UEFI - ブートセクターのマスターブートレコードにおけるマルウェアの存在を検査します。用語集のUEFIの詳細をお読みください。
電子メールファイル - プログラムは以下の拡張子をサポートします。DBX (Outlook Express)およびEML。
アーカイブ - 拡張子ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACEなどがサポートされます。
自己解凍アーカイブ - 自己解凍アーカイブ(SFX)は自分自身を展開できるアーカイブです。
圧縮された実行形式 - 圧縮された実行形式(標準の解凍形式とは異なる)は、実行後メモリー内で解凍されます。スキャナでは、コードのエミュレーションによって、標準の静的圧縮形式(UPX, yoda, ASPack, FSGなど)のほかにも多数の圧縮形式を認識できます。
検査オプション
システムの侵入を検査するときに使用する方法を選択します。使用可能なオプションは次のとおりです。
ヒューリスティック - ヒューリスティックは、悪意のあるプログラムの活動を分析するアルゴリズムです。この技術の主な利点は、前には存在しなかったり、これまでの検出エンジンのバージョンで特定されていなかったりした悪意のあるソフトウェアを特定できる点です。欠点は、非常に少ないとはいえ、誤検出の可能性がある点です。
アドバンスドヒューリスティック/DNA署名 - アドバンスドヒューリスティックは、ESETが開発した独自のヒューリスティックアルゴリズムで構成されます。このアルゴリズムは、コンピューターワームやトロイの木馬を検出するために最適化され、高度なプログラミング言語で記述されています。アドバンスドヒューリスティックを使用すると、ESET製品の脅威検出機能が大幅に高まります。シグネチャは確実にウイルスを検出し、特定することができます。自動アップデートシステムを利用することにより、新しいシグネチャを使用するためのウイルス検出時間を短縮できます。シグネチャの欠点は、既知のウイルス(またはこれらのウイルスの多少の変更が加えられたバージョン)しか検出しない点です。
駆除
駆除設定により、感染ファイルからウイルスを駆除するときのESET Internet Securityの動作が決まります。駆除には、4つのレベルがあります。
ThreatSenseには、次の修復(駆除など)レベルがあります。
ESET Internet Securityでの修復
駆除レベル |
説明 |
---|---|
常に検出を修正する |
ユーザー操作なしで、オブジェクトの駆除中に検出の修復を試みます。ごく一部の場合(システムファイルなど)で、検出を修正できない場合は、報告されたオブジェクトは元の場所に残されます。 |
安全な場合は検出を修正する、そうでない場合は保持する |
ユーザー操作なしで、オブジェクトの駆除中に検出の修復を試みます。一部の場合(システムファイルや、感染していないファイルと感染したファイルの両方を含むアーカイブなど)で、検出を修正できない場合は、報告されたオブジェクトは元の場所に残されます。 |
安全な場合は検出を修正する、そうでない場合は確認する |
オブジェクトの駆除中に検出の修復を試みます。一部の場合で、アクションを実行できない場合は、エンドユーザーにインタラクティブアラートが表示され、エンドユーザーが修復アクション(削除または無視など)を選択する必要があります。ほとんどの場合、この設定が推奨されます。 |
常にエンドユーザーに確認する |
エンドユーザーは、オブジェクトの駆除中に対話型ウィンドウが表示され、修復アクション(削除または無視など)を選択する必要があります。このレベルは、検出された場合に実行する手順を理解している上級ユーザー向けに設計されています。 |
除外
拡張子は、ファイル名の一部であり、ピリオドで区切られています。拡張子は、ファイルの種類と内容を規定します。このThreatSense設定のセクションでは、検査するファイルの種類を指定します。
その他
オンデマンドコンピューターの検査でThreatSenseエンジンパラメーター設定を設定する場合は、その他セクションの次のオプションも利用できます。
代替データストリーム(ADS)を検査 - NTFSファイルシステムによって使用される代替データストリームは、通常の検査技術では検出できないファイルとフォルダの関連付けです。多くのマルウェアが、自らを代替データストリームに見せかけることによって、検出を逃れようとします。
低優先でバックグラウンドで検査 - 検査が行われるたびに、一定の量のシステムリソースが使用されます。システムリソースにかなりの負荷がかかるプログラムを使用している場合、優先度が低い検査をバックグラウンドで実行することによって、アプリケーションのためにリソースを節約することができます。
すべてのオブジェクトをログに記録する – 検査ログには、自己解凍アーカイブで、感染していないファイルも含め、すべての検査されたファイルが表示されます(大量の検査ログデータが生成され、検査ログファイルのサイズが大きくなることがあります)。
スマート最適化を有効にする - スマート最適化を有効にすると、スキャンの速度を最高に保ちながら最も効率的なスキャンレベルが確保されるように、最適な設定が使用されます。さまざまな保護モジュールで高度に検査を行い、それぞれで異なる検査方法を使用して、それらを特定のファイルタイプに適用します。スマート最適化を無効にすると、特定のモジュールのThreatSenseコアのユーザー定義設定のみが検査の実行時に適用されます。
最終アクセスのタイムスタンプを保持 - データバックアップシステムでの利用などを考慮して、検査済みファイルへのアクセス日時を更新せずに元のまま保持するには、このオプションを選択します。
制限
[制限]セクションでは、検査対象のオブジェクトの最大サイズおよびネストされたアーカイブのレベルを指定できます。
オブジェクトの設定
オブジェクトの最大サイズ - 検査対象のオブジェクトの最大サイズを定義します。これにより、ウイルス対策機能では、指定した値より小さいサイズのオブジェクトのみが検査されます。上級ユーザーが大きいオブジェクトを検査から除外する必要がある場合のみ、このオプションを変更してください。既定値は無制限です。
オブジェクトの最大検査時間(秒) - コンテナーオブジェクト(RAR/ZIPアーカイブや複数の添付ファイルを含む電子メールなど)のファイルを検査する最大時間の値を定義します。この設定は、スタンドアロンファイルには適用されません。ユーザー定義の値が指定され、その時間が経過すると、コンテナーオブジェクトの各ファイルの検査が完了したかどうかに関係なく、検査が可能な限りすぐに停止します。
大きなファイルを含むアーカイブの場合、検査はアーカイブからファイルが展開された後すぐに停止します(たとえば、ユーザー定義変数が3秒で、ファイルの展開には5秒かかる場合)。アーカイブの残りのファイルは、その時間が経過した後は検査されません。
大きなアーカイブを含む検査時間を制限するには、最大オブジェクトサイズとアーカイブのファイルの最大サイズを使用します(セキュリティ上のリスクの可能性があるため推奨されません)。
既定値は無制限です。
アーカイブ検査の設定
スキャン対象の下限ネストレベル - アーカイブの検査の最大レベルを指定します。既定値:10.
アーカイブのファイルの最大サイズ - このオプションでは、検査対象のアーカイブ(抽出された場合)に含まれているファイルの最大サイズを指定できます。最大値は3 GBです。
一般的な環境では既定値を変更する理由はないので、その値を変更しないことをお勧めします。 |