ThreatSense ist eine Technologie, die verschiedene Methoden zur Erkennung von Bedrohungen verwendet. Die Technologie arbeitet proaktiv, d. h. sie schützt das System auch während der ersten Ausbreitung eines neuen Angriffs. Eingesetzt wird eine Kombination aus Code-Analyse, Code-Emulation, allgemeinen Signaturen und Virussignaturen verwendet, die zusammen die Systemsicherheit deutlich erhöhen. Die Prüfengine kann verschiedene Datenströme gleichzeitig kontrollieren und so die Effizienz und Erkennungsrate steigern. Die ThreatSense-Technologie entfernt auch erfolgreich Rootkits.
in den Einstellungen für ThreatSense können Sie verschiedene Prüfparameter festlegen:
•Dateitypen und -erweiterungen, die geprüft werden sollen
•Die Kombination verschiedener Erkennungsmethoden
•Säuberungsstufen usw.
Um das Einstellungsfenster zu öffnen, klicken Sie im Fenster Erweiterte Einstellungen (F5) auf ThreatSense-Einstellungen. Dies gilt für beliebige Module, die ThreatSense verwenden (siehe unten). Verschiedene Sicherheitsszenarien erfordern unterschiedliche Konfigurationen. Daher können Sie ThreatSense für die folgenden Schutzmodule individuell konfigurieren:
•Mail-Transport-Schutz
•On-Demand-Postfach-Datenbankschutz
•Postfachdatenbank-Schutz
•Hyper-V-Scan
•Echtzeit-Dateischutz
•Malware-Prüfungen
•Prüfen im Leerlaufbetrieb
•Prüfung der Systemstartdateien
•Dokumentenschutz
•E-Mail-Client-Schutz
•Web-Schutz
Die ThreatSense-Parameter sind für jedes Modul optimal eingerichtet. Eine Veränderung der Einstellungen kann den Systembetrieb deutlich beeinflussen. So kann zum Beispiel eine Änderung der Einstellungen für das Prüfen laufzeitkomprimierter Dateien oder die Aktivierung der Advanced Heuristik im Modul „Echtzeit-Dateischutz“ dazu führen, dass das System langsamer arbeitet (normalerweise werden mit diesen Methoden nur neu erstellte Dateien geprüft). Es wird empfohlen, die Standard-Parameter für ThreatSense in allen Modulen unverändert beizubehalten. Änderungen sollten nur im Modul „Computer prüfen“ vorgenommen werden.
In diesem Bereich können Sie festlegen, welche Dateien und Komponenten Ihres Computers auf Schadcode gescannt werden sollen.
Arbeitsspeicher
Scannt nach Bedrohungen für den Arbeitsspeicher des Systems.
Bootsektoren/UEFI
Scannt die Bootsektoren auf Viren im Master Boot Record. Im Fall von virtuellen Hyper-V-Computern wird der Laufwerks-MBR im schreibgeschützten Modus geprüft.
WMI-Datenbank
Scannt die gesamte WMI-Datenbank und sucht nach Verweisen auf infizierte Dateien oder als Daten eingebettete Malware.
System-Registry
Scannt die gesamte Systemregistrierung, inklusive aller Schlüssel und Unterschlüssel. Sucht nach Verweisen auf infizierte Dateien oder als Daten eingebettete Malware.
E-Mail-Dateien
Folgende Erweiterungen werden vom Programm unterstützt: DBX (Outlook Express) und EML.
Archive
Folgende Erweiterungen werden vom Programm unterstützt: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE und viele andere.
Selbstentpackende Archive
Selbstentpackende Archive (SFX) sind Archive, die ohne externe Programme dekomprimiert werden können.
Laufzeitkomprimierte Dateien
Im Unterschied zu Standardarchiven werden laufzeitkomprimierte Dateien nach dem Start im Arbeitsspeicher dekomprimiert. Neben statischen laufzeitkomprimierten Dateiformaten (UPX, yoda, ASPack, FSG usw.) kann die Prüfung durch Code-Emulation viele weitere SFX-Typen erkennen.
|
|
Der Postfach-Datenbankschutz prüft angehängte E-Mail-Dateien (z. B. .eml files) unabhängig von der Einstellung unter Zu scannende Objekte. Dies liegt daran, dass der Exchange Server die angehängte .eml-Datei prüft, bevor sie zur Prüfung an ESET Mail Security weitergegeben wird. Das VSAPI-Plug-In erhält die extrahierten Dateien aus dem .eml-Anhang anstelle der .eml-Originaldatei.
|
|
Wählen Sie die Methoden aus, mit denen das System auf Infiltrationen gescannt werden soll. Folgende Optionen stehen zur Verfügung:
Heuristik
Heuristische Methoden sind Verfahren, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Malware Scan Engine verzeichnet sind.
Advanced Heuristik/DNA-Signaturen
Advanced Heuristik beschreibt besondere heuristische Verfahren, die von ESET entwickelt wurden, um eine verbesserte Erkennung von Würmern und Trojanern zu ermöglichen und um Schadprogramme zu finden, die in höheren Programmiersprachen geschrieben wurden. Mit Advanced Heuristik werden die Fähigkeiten von ESET-Produkten zur Erkennung von Bedrohungen beträchtlich gesteigert. Mit Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Signaturen haben den Nachteil, dass nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.
|
Die Säuberungseinstellungen legen fest, wie sich der Scanner beim Säubern infizierter Dateien verhält. Für den Echtzeit-Schutz und andere Schutzmodule sind die folgenden Behebungs- oder Säuberungsstufen verfügbar.
Ereignis immer beheben
Es wird versucht, Ereignisse beim Säubern von Objekten ohne Benutzereingriff zu beheben. Eine Ausnahme sind Systemdateien. Diese Objekte verbleiben an ihrem ursprünglichen Speicherort, falls ein Ereignis nicht behoben werden kann.
Ereignis beheben, falls sicher, andernfalls beibehalten
Es wird versucht, Ereignisse beim Säubern von Objekten ohne Benutzereingriff zu beheben. Wenn ein Ereignis für Systemdateien oder Archive, die saubere und infizierte Dateien enthalten, nicht behoben werden kann, verbleibt das gemeldete Objekt an seinem ursprünglichen Speicherort.
Ereignis beheben, falls sicher, andernfalls nachfragen
Versucht, das Ereignis beim Säubern von Objekten zu beheben. Wenn ESET Mail Security keine automatische Aktion ausführen kann, werden Sie unter Umständen aufgefordert, eine Aktion auszuwählen (löschen oder ignorieren). Diese Einstellung wird für die meisten Fälle empfohlen.
Immer den Endbenutzer fragen
ESET Mail Security versucht nicht, eine automatische Aktion auszuführen. Sie werden aufgefordert, eine Aktion auszuwählen.
|
Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt einer Datei. In diesem Teil der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die nicht gescannt werden sollen.
Sonstige
Bei der Konfiguration der Einstellungen für ThreatSense für eine On-Demand-Prüfung des Computers sind folgende Optionen im Abschnitt Sonstige verfügbar:
Alternative Datenströme (ADS) prüfen
Bei den von NTFS-Dateisystemen verwendeten alternativen Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Scan-Techniken nicht erkannt werden. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um nicht erkannt zu werden.
Hintergrundprüfungen mit geringer Priorität ausführen
Jeder Scanvorgang nimmt eine bestimmte Menge von Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, welche die Systemressourcen stark beanspruchen, können Sie einen Hintergrund-Scan mit geringer Priorität aktivieren, um Ressourcen für die Anwendungen zu sparen.
Alle Objekte in Log aufnehmen
Wenn Sie diese Option auswählen, enthält die Logdatei alle gescannten Dateien, und nicht nur infizierte Dateien.
Smart-Optimierung aktivieren
Die Smart-Optimierung verwendet die optimalen Einstellungen, um möglichst effiziente Scanvorgänge bei höchster Geschwindigkeit zu gewährleisten. Die verschiedenen Schutzmodule scannen intelligent und verwenden unterschiedliche Scanmethoden für die jeweiligen Dateitypen. Wenn die Smart-Optimierung deaktiviert ist, werden nur die benutzerdefinierten Einstellungen im ThreatSense-Kern der entsprechenden Module für die Prüfung verwendet.
Datum für 'Geändert am' beibehalten
Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu aktualisieren.
|
Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen, die geprüft werden sollen:
Standard-Einstellungen Objektprüfung
Aktivieren Sie diese Option, um die Standardeinstellungen zu verwenden (keine Einschränkungen). ESET Mail Security ignoriert Ihre benutzerdefinierten Einstellungen.
Maximale Objektgröße
Definiert die maximale Größe der zu scannenden Objekte. Das entsprechende Schutzmodul scannt nur Elemente, die kleiner als die angegebene Maximalgröße sind. Diese Option sollte nur von erfahrenen Benutzern geändert werden, die größere Elemente aus bestimmten Gründen vom Scannen ausschließen möchten. Der Standardwert ist unbegrenzt.
Maximale Scanzeit pro Objekt (Sek.)
Definiert die maximale Scan-Dauer für Elemente. Wenn hier ein benutzerdefinierter Wert eingegeben wurde, beendet das Schutzmodul das Scannen von Elementen, sobald diese Zeit abgelaufen ist, egal ob der Scanvorgang abgeschlossen wurde. Der Standardwert ist unbegrenzt.
Einstellungen für Archivprüfung
Deaktivieren Sie die Option Standardeinstellungen Archivprüfung, um die Scaneinstellungen für Archive zu ändern.
Archiv-Verschachtelungstiefe
Legt die maximale Tiefe der Virenprüfung von Archiven fest. Standardwert: 10. Für Objekte mit Mail-Transportschutz gilt die Verschachtelungstiefe +1, da der Archivanhang in einer E-Mail bereits als erste Ebene gilt.
|
|
Wenn Sie die Verschachtelungstiefe auf 3 festgelegt haben, werden Archivdateien mit der Verschachtelungstiefe 3 auf der Transportebene nur bis zur Ebene 2 geprüft. Wenn der Mail-Transportschutz Archive bis zur Ebene 3 prüfen soll, müssen Sie den Wert für die Archiv-Verschachtelungstiefe auf 4 festlegen.
|
Maximalgröße von Dateien im Archiv
Mit dieser Option können Sie die maximale Dateigröße für Dateien in Archiven (nach der Extraktion) angeben, die geprüft werden sollen. Der Standardwert ist unbegrenzt.
|
|
Die Standardwerte sollten nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund.
|
|
