ThreatSense je název technologie, kterou tvoří soubor komplexních metod detekce infiltrace. Tato technologie je proaktivní, poskytuje ochranu i během prvních hodin šíření nové hrozby. K odhalení hrozeb využívá kombinaci několika metod (analýza kódu, emulace kódu, generické signatury aj.), které efektivně kombinuje a zvyšuje tím bezpečnost systému. Skenovací jádro je schopné kontrolovat několik datových toků paralelně a tak maximalizovat svůj výkon a účinnost detekce. Technologie ThreatSense dokáže účinně odstraňovat i rootkity.
|
|
Pro více informací o automatické kontrole zaváděných při startu přejděte do kapitoly Kontrola po startu.
|
V nastavení skenovacího jádra ThreatSense můžete definovat následující parametry:
•Typu souborů a přípon, které se mají kontrolovat,
•Kombinace různých detekčních metod,
•Úrovně léčení apod.
Pro zobrazení nastavení klikněte na záložku Parametry skenovacího jádra ThreatSense v Rozšířených nastaveních (F5) jakéhokoli modulu, který tuto technologii používá (viz níže). Odlišné bezpečnostní scénáře vyžadují rozdílné konfigurace. V rámci technologie ThreatSense můžete konfigurovat následující moduly:
•Ochrana transportu zpráv
•Volitelná ochrana databáze poštovních schránek
•Ochrana databáze poštovních schránek
•Hyper-V kontrola
•Rezidentní ochrana souborového systému
•Kontroly škodlivých kódů
•Kontrola při nečinnosti
•Kontrola souborů zaváděných při startu počítače
•Ochrana dokumentů
•Ochrana poštovních klientů
•Ochrana přístupu na web
Parametry ThreatSense jsou optimalizovány speciálně pro každý modul a jejich změna může mít výrazný dopad na výkon systému. Příkladem může být zpomalení systému při povolení kontroly runtime archivů a rozšířené heuristiky pro rezidentní ochranu souborového systému (standardně jsou kontrolovány pouze nově vytvářené soubory). Proto doporučujeme ponechat původní nastavení ThreatSense parametrů. Určitou volnost v konfiguraci ponechává modul Kontrola počítače.
V této sekci můžete vybrat součásti počítače a soubory, které budou kontrolovány na přítomnost infiltrace.
Operační paměť
Kontrola přítomnosti hrozeb, které mohou být zavedeny v operační paměti počítače.
Boot sektory/UEFI
Kontrola přítomnosti boot virů v MBR sektorech disků, kde se nachází tzv. zavaděč operačního systému. V případě virtuálního počítače Hyper-V je jeho disk MBR kontrolován v režimu jen pro čtení.
WMI databáze
Prohledává WMI databáze, vyhledává odkazy na infikované soubory nebo malware vložený jako datový soubor.
Registr systému
Prohledá systémový registr, všechny klíče a podklíče, vyhledá odkazy na infikované soubory nebo škodlivý kód vložený jako data.
Kontrolovat poštovní soubory (standardně)
Program podporuje následující rozšíření: DBX (Outlook Express) a EML.
Archivy
Program podporuje následující rozšíření: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO, BIN, NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE a další.
Samorozbalovací archivy
Samorozbalovací archivy – archivy které nepotřebují pro své rozbalení jiné programy. Jedná se o SFX (Self-extracting) archivy.
Runtime packery
Po spuštění jsou runtime packery (na rozdíl od standardních archivních typů) dekomprimovány v paměti. Kromě podpory tradičních statických archivátorů (UPX, yoda, ASPack, FSG…) podporuje skener díky emulaci kódu i mnoho jiných typů archivátorů.
|
|
V případě ochrany databáze poštovních schránek jsou zprávy (například ve formátu .eml files) přiložené v příloze e-mailu automaticky kontrolovány bez ohledu na parametry vybrané v sekci Kontrolované objekty. Je to z důvodu, že Exchange Server zpracovává přiložené .eml soubory ještě předtím, než je odešlete ke kontrolu aplikaci ESET Mail Security. Modul plug-in VSAPI získává extrahované soubory z přílohy .eml namísto přijetí původního souboru .eml.
|
|
V této sekci můžete vybrat metody, které se použijí při kontrole počítače na přítomnost infiltrace. Dostupné jsou následující možnosti:
Heuristika
Heuristika je algoritmus, který analyzuje (nežádoucí) aktivity programů. Výhodou heuristiky je schopnost odhalit i takový škodlivý software, který v době poslední aktualizace antivirového programu ještě neexistoval nebo nebyl znám.
Rozšířená heuristika/DNA vzorky
Rozšířená heuristika používá jedinečný heuristický algoritmus vyvinutý společností ESET, který dokáže detekovat počítačové červy a trojské koně napsané ve vyšších programovacích jazycích. Používání rozšířené heuristiky výrazně zvyšuje detekční schopnosti produktů ESET. Vzorky zajišťují přesnou detekci virů. S využitím automatického aktualizačního systému mají nové vzorky uživatelé k dispozici do několika hodin od objevení hrozby. Nevýhodou vzorků je detekce pouze známých virů (nebo jejich mírně pozměněných verzí).
|
Nastavení léčení ovlivňuje chování virového skeneru. V případě rezidentní ochrana i dalších modulech jsou k dispozici níže uvedené úrovně léčení.
Vždy vyřešit infekci
V tomto režimu se program pokusí vyléčit detekované objekty bez zásahu uživatele. Výjimku tvoří systémové soubory. Pokud nelze detekci vyléčit, bude detekovaný objekt ponechán v původním umístění.
Pokud je to bezpečné, vyřešit infekci, jinak ponechat
V tomto režimu se program pokusí vyléčit detekované objekty bez zásahu uživatele. Pokud nelze detekci vyléčit v systémových souborech nebo archivech obsahujícími neinfikované i infikovanými soubory zároveň, bude detekovaný objekt ponechán v původním umístění.
Pokud je to bezpečné, vyřešit infekci, jinak se dotázat
V tomto režimu se program pokusí vyléčit detekované objekty. Pokud ESET Mail Security nedokáže v některých případech provést automatickou akci, výběr akce bude přenechán na uživateli (odstranění nebo ignorování detekce). Toto nastavení je doporučené pro většinu případů.
Vždy se dotázat uživatele
ESET Mail Security neprovede žádnou automatickou akci. Výběr akce bude přenechán na uživateli.
|
Přípona souboru je součástí jeho názvu a je oddělena tečkou. Přípona označuje typ a obsah souboru. V této části nastavení parametrů ThreatSense můžete nastavit typy souborů, které budou vyloučeny z kontroly.
Ostatní
Při konfiguraci parametrů Detekčního jádra ThreatSense jsou v sekci Ostatní k dispozici následující možnosti:
Kontrolovat alternativní datové proudy (platí pouze pro kontrolu počítače)
Alternativní datové proudy (resource/data forks) používané systémem NTFS jsou běžným způsobem neviditelné asociace k souborům a adresářům. Mnoho infiltrací je proto využívá na své maskování před případným odhalením.
Spustit kontrolu na pozadí s nízkou prioritou
Každá kontrola počítače využívá určité množství systémových zdrojů. Pokud právě pracujete s programy náročnými na výkon procesoru, přesunutím kontroly na pozadí jí můžete přiřadit nižší prioritu a získat více prostředků pro ostatní aplikace.
Zapisovat všechny objekty do protokolu
Pokud je tato možnost aktivní, do protokolu se zapíší všechny zkontrolované soubory, i když nejsou infikované.
Zapnout Smart optimalizaci
Při zapnuté Smart optimalizaci je použito nejoptimálnější nastavení pro zajištění maximální efektivity kontroly při současném zachování vysoké rychlosti. Každý modul ochrany kontroluje objekty inteligentně a používá odlišné metody, které aplikuje na specifické typy souborů. Pokud je Smart optimalizace vypnuta, použije se při nastavení kontroly pouze uživatelské nastavení jádra ThreatSense.
Zachovat čas přístupu k souborům
Po vybrání této možnosti nebude při kontrole souboru změněn čas přístupu, ale bude ponechán původní (vhodné při používání na zálohovacích systémech).
|
V sekci Omezení můžete nastavit maximální velikost objektů, archivů a úroveň zanoření, které se budou testovat na přítomnost škodlivého kódu:
Standardní nastavení objektů
Tato možnost je standardně aktivní a znamená, že nejsou aplikovány žádné limity a ESET Mail Security neuplatňuje níže definovaná nastavení.
Maximální velikost objektu – umožňuje definovat maximální hodnotu velikosti objektu, který bude kontrolován.
Definuje největší možnou velikost souborů, které budou zkontrolovány. Modul ochrany bude kontrolovat pouze objekty s velikostí menší, než je definovaná hodnota. Doporučujeme, aby tuto hodnotu měnili jen pokročilí uživatelé, kteří mají důvod vyloučení větších objektů z kontroly. Standardní hodnota: neomezeno.
Maximální čas kontroly objektu (v sekundách)
Definuje maximální povolený čas na kontrolu objektu. Pokud uživatel nastaví hodnotu, modul ochrany přestane kontrolovat objekt po uplynutí nastavené doby, bez ohledu na to, zda byla kontrola objektu dokončena či nikoli. Standardní hodnota: neomezeno.
Nastavení kontroly archivů
Pro změnu nastavení nejprve vypněte možnost Standardní nastavení kontroly archivů.
Úroveň vnoření archivů
Definuje maximální hloubku vnoření při kontrole archivů. Výchozí hodnota: 10. Pro objekty detekované ochranou transportu zpráv musíte nastavit požadovanou úroveň vnoření + 1. První úroveň je totiž samotný e-mail.
|
|
Nastavíte-li úroveň vnoření na 3, archiv se třemi vnořeními bude transportní ochranou zkontrolován pouze do druhé úrovně. Proto pokud chcete transportní ochranou kontrolovat archivy do třetí úrovně vnoření, je nutné do pole úroveň vnoření archivů zadat hodnotu 4.
|
Maximální velikost souboru v archivu
Pomocí této možnosti nastavíte maximální reálnou velikost souborů v archivech (po jejich rozbalení), které budou zkontrolovány. Standardní hodnota: neomezeno.
|
|
Nedoporučujeme měnit výchozí hodnoty. Za normálních okolností by neměl být důvod k jejich přenastavení.
|
|