ThreatSense — это технология, состоящая из множества сложных способов обнаружения угроз. Это упреждающая технология, т. е. она защищает от новой угрозы уже в начале ее распространения. При этом используются: анализ и эмуляция кода, универсальные сигнатуры и сигнатуры вирусов. Вместе все эти средства значительно повышают уровень безопасности компьютера. Модуль сканирования может контролировать несколько потоков данных одновременно, что делает количество обнаруживаемых угроз и эффективность максимальными. Кроме того, технология ThreatSense успешно уничтожает руткиты.
Для модуля ThreatSense можно настроить несколько параметров сканирования:
•типы и расширения файлов, подлежащих сканированию;
•сочетание различных способов обнаружения;
•уровни очистки и т. д.
Чтобы открыть окно параметров, щелкните элемент ThreatSense в окне расширенные параметры (F5) любого модуля, использующего технологию ThreatSense (см. ниже). Для разных сценариев обеспечения безопасности могут требоваться различные конфигурации. Поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты.
•Защита почтового транспорта
•Защита базы данных почтовых ящиков по требованию
•Защита базы данных почтовых ящиков
•Сканирование Hyper-V
•Защита файловой системы в режиме реального времени
•Процессы сканирования вредоносных программ
•Сканирование в состоянии простоя
•Сканирование файлов, исполняемых при запуске системы
•Защита документов
•Защита почтового клиента
•Защита доступа в Интернет
Параметры ThreatSense хорошо оптимизированы для каждого из модулей, а их изменение значительно влияет на поведение системы. Например, если настроить сканирование программ сжатия исполняемых файлов или включить расширенную эвристику в модуле защиты файловой системы в реальном времени, работа системы может замедлиться (обычно только новые файлы сканируются с применением этих способов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».
В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.
Оперативная память
Сканирование на наличие угроз, которые атакуют оперативную память системы.
Загрузочные секторы/UEFI
Загрузочные секторы сканируются на наличие вирусов в основной загрузочной записи. Основная загрузочная запись диска виртуальной машины Hyper-V сканируется в режиме только для чтения.
База данных WMI
Сканирование всей базы данных WMI, поиск ссылок на зараженные файлы или вредоносные программы, внедренные в виде данных.
Системный реестр
Сканирование системного реестра, всех разделов и подразделов, поиск ссылок на зараженные файлы или вредоносные программы, внедренные в виде данных.
Почтовые файлы
Программа поддерживает расширения: DBX (Outlook Express) и EML.
Архивы
Программа поддерживает расширения: Программа поддерживает расширения ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE и многие другие.
Самораспаковывающиеся архивы
Самораспаковывающиеся архивы (файлы с расширением SFX) — это архивы, которым для распаковки не нужны специальные программы.
Упаковщики
В отличие от стандартных типов архивов, программы сжатия, будучи выполненными, распаковываются в память. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические программы сжатия (UPX, yoda, ASPack, FGS и т. д.), но и множество других типов таких программ.
|
|
Для функции защиты базы данных почтовых ящиков вложенные почтовые файлы (например, .eml files) сканируются вне зависимости от того, как настроен соответствующий параметр в разделе Сканируемые объекты. Это обусловлено тем, что сервер Exchange Server анализирует вложенные файлы (в формате .eml), прежде чем средство ESET Mail Security отправляет его на сканирование. Вместо исходного файла в формате .eml подключаемый модуль VSAPI получает файлы, извлеченные из вложения .eml.
|
|
Выберите способы сканирования системы на предмет заражений. Доступны указанные ниже варианты.
Эвристический анализ
Эвристический анализ — это анализ вредоносной активности программ с помощью специального алгоритма. Главным преимуществом этой технологии является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующем модуле обнаружения.
Расширенный эвристический анализ/распределенные сетевые атаки сигнатуры
Для расширенного эвристического анализа используется уникальный эвристический алгоритм компании ESET, который оптимизирован для обнаружения компьютерных червей и троянских программ и написан на высокоуровневых языках программирования. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает наличие новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).
|
Настройки очистки определяют поведение сканера при очистке зараженных файлов. Защита в реальном времени и другие модули защиты имеют следующие уровни исправления (т. е. очистки).
Всегда исправлять обнаружение
Пытаться исправлять обнаружение при очистке объектов без какого-либо вмешательства пользователя. Исключение составляют системные файлы. Такие объекты остаются в исходном расположении, если обнаружение не может быть исправлено.
Исправлять обнаружение, если это безопасно, в ином случае не вмешиваться
Пытаться исправлять обнаружение при очистке объектов без какого-либо вмешательства пользователя. Если обнаружение не может быть исправлено в случае системных файлов или архивов (с чистыми и зараженными файлами), обнаруженный объект остается в исходном расположении.
Исправлять обнаружение, если это безопасно, в ином случае спрашивать
Пытаться исправлять обнаружение при очистке объектов. В некоторых случаях, если ESET Mail Security не может выполнить автоматическое действие, пользователю предлагается выбрать действие (удалить или пропустить). Эта настройка рекомендуется для большинства случаев.
Всегда спрашивать у конечного пользователя
ESET Mail Security не выполняет никаких автоматических действий. Выбрать действие предлагается пользователю.
|
Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел параметров модуля ThreatSense позволяет определить типы файлов, которые не нужно сканировать.
Другое
При настройке модуля ThreatSense также доступны представленные ниже параметры раздела Другое.
Сканировать альтернативные потоки данных (ADS)
Альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.
Запускать фоновое сканирование с низким приоритетом
Каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.
Регистрировать все объекты
Если этот параметр выбран, в журнал будут записываться все просканированные файлы, включая незараженные.
Включить интеллектуальную оптимизацию
При включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense конкретных модулей.
Сохранить отметку о времени последнего доступа
Установите этот флажок, чтобы сохранить исходное значение времени доступа к сканируемым файлам, а не обновлять их (например, для использования с системами резервного копирования данных).
|
В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.
Параметры объектов по умолчанию
Включите для использования настроек по умолчанию (без ограничений). ESET Mail Security будет игнорировать пользовательские настройки.
Максимальный размер объекта
Определяет максимальный размер объектов, подлежащих сканированию. Данный модуль защиты будет сканировать только объекты меньше указанного размера. Эту опцию рекомендуется изменять только опытным пользователям, у которых есть веские основания для исключения больших объектов из сканирования. Значение по умолчанию: не ограничено.
Максимальная продолжительность сканирования объекта (с)
Определяет максимальное значение времени сканирования объекта. Если значение здесь укажет пользователь, модуль защиты прекратит сканирование объекта по истечении указанного времени, вне зависимости от того, было ли сканирование завершено. Значение по умолчанию: не ограничено.
Настройки сканирования архивов
Чтобы изменить параметры сканирования архивов, снимите флажок Параметры сканирования архивов по умолчанию.
Уровень вложенности архивов
Определяет максимальную глубину проверки архивов. Значение по умолчанию: 10. Для объектов, обнаруженных защитой почтового транспорта, фактическая глубина вложенности составляет +1 уровень, поскольку архив, вложенный в почтовое сообщение, считается первым уровнем.
|
|
Если указан уровень вложенности 3, файл архива с уровнем вложенности 3 будет сканироваться на транспортном уровне только до фактического уровня 2. Поэтому, если необходимо сканировать архивы защитой почтового транспорта до уровня 3, установите для параметра Уровень вложенности архивов значение 4.
|
Максимальный размер файла в архиве
Этот параметр позволяет задать максимальный размер файлов в архиве (когда они извлечены), которые должны сканироваться. Значение по умолчанию: не ограничено.
|
|
Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины.
|
|
