ThreatSense je názov technológie, ktorú tvorí súbor komplexných metód detekcie infiltrácie. Táto technológia je proaktívna, poskytuje ochranu aj počas prvých hodín šírenia novej hrozby. Na odhalenie hrozieb využíva kombináciu niekoľkých metód (analýza kódu, emulácia kódu, generické signatúry, vírusové signatúry), čím efektívne spája ich výhody. Detekčné jadro je schopné kontrolovať niekoľko dátových tokov paralelne a maximalizovať tak svoj výkon a účinnosť detekcie. Technológia ThreatSense dokáže účinne bojovať aj s rootkitmi.
|
|
Podrobnejšie informácie o automatickej kontrole po štarte nájdete v kapitole Kontrola pri štarte.
|
Samotné nastavenia ThreatSense umožňujú nastaviť niekoľko parametrov kontroly:
•výber typu súborov a prípon, ktoré si želáte kontrolovať,
•výber kombinácie rôznych metód detekcie,
•výber úrovne liečenia a pod.
Ak si chcete zobraziť okno s parametrami, kliknite na sekciu Parametre ThreatSense v Rozšírených nastaveniach (F5) ktoréhokoľvek modulu, ktorý využíva technológiu ThreatSense (pozrite zoznam modulov nižšie). Pre rôzne druhy ochrany sa používa rôzna úroveň nastavenia. Technológiu ThreatSense možno osobitne nastaviť pre tieto moduly ochrany:
•Ochrana prenosu e-mailov
•Manuálna kontrola databáz e-mailových schránok
•Ochrana databáz e‑mailových schránok
•Kontrola Hyper‑V
•Rezidentná ochrana súborového systému
•Detekcia malvéru
•Kontrola v nečinnosti
•Kontrola pri štarte
•Ochrana dokumentov
•Ochrana e-mailových klientov
•Ochrana prístupu na web
Parametre ThreatSense sú pre každý modul odlišné. Ich zmena môže mať značný vplyv na celkový výkon systému. Príkladom môže byť spomalenie systému pri povolení kontroly runtime packerov a pokročilej heuristiky pre rezidentnú ochranu súborového systému (týmto spôsobom sa zvyčajne kontrolujú iba novovytvorené súbory). Preto odporúčame ponechať pôvodné nastavenia ThreatSense nezmenené pre všetky moduly ochrany okrem Kontroly počítača.
Táto sekcia umožňuje nastaviť, ktoré komponenty počítača a súborového systému budú testované na prítomnosť infiltrácie.
Operačná pamäť
Kontroluje prítomnosť hrozieb, ktoré útočia na operačnú pamäť systému.
Zavádzacie sektory/UEFI
Kontrola zavádzacích sektorov na prítomnosť vírusov v tzv. zavádzači operačného systému (MBR). V prípade virtuálneho počítača vytvoreného v prostredí Hyper-V bude MBR disku tohto počítača kontrolovaný v režime iba na čítanie.
Databáza WMI
Skontroluje sa celá databáza WMI s cieľom nájsť odkazy na infikované súbory alebo malvér vložený ako dáta.
Systémová databáza Registry
Skontroluje sa celá systémová databáza Registry, všetky kľúče a podkľúče s cieľom nájsť odkazy na infikované súbory alebo malvér vložený ako dáta.
E-mailové súbory
Program podporuje nasledujúce prípony: DBX (Outlook Express) a EML súbory.
Archívy
Program podporuje nasledujúce prípony: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE a iné.
Samorozbaľovacie archívy
Archívy, ktoré nepotrebujú pre svoje rozbalenie iné programy. Ide o SFX (self-extracting) archívy.
Runtime packery
Runtime packery sa na rozdiel od štandardných archívov rozbalia po spustení v pamäti počítača. Okrem štandardných statických packerov (UPX, yoda, ASPack, FSG atď.) program vďaka emulácii kódu podporuje aj veľa iných typov packerov.
|
|
V rámci funkcie Ochrana databáz e-mailových schránok sú priložené e-mailové súbory (napr. súbory .eml files) kontrolované bez ohľadu na nastavenia použité v sekcii Objekty na kontrolu. Je to preto, lebo Exchange Server spracováva priložený súbor .eml predtým, ako je podrobený kontrole programom ESET Mail Security. Doplnok VSAPI získava extrahované súbory z prílohy .eml namiesto použitia pôvodného súboru .eml.
|
|
V sekcii Možnosti kontroly môžete upraviť nastavenia pokročilých metód detekcie používaných pri kontrole systému na prítomnosť infiltrácií. Na výber sú tieto možnosti:
Heuristika
Heuristika je algoritmus, ktorý analyzuje aktivitu aplikácií. Výhodou heuristiky je schopnosť odhaliť aj taký škodlivý softvér, ktorý v dobe poslednej aktualizácie detekčného jadra programu ešte neexistoval alebo nebol známy.
Pokročilá heuristika/DNA vzorky
Pokročilá heuristika je jedinečný algoritmus heuristiky vyvinutý spoločnosťou ESET, ktorý je optimalizovaný na odhaľovanie počítačových červov a trójskych koní písaných vo vyšších programovacích jazykoch. Použitie pokročilej heuristiky značne zvyšuje schopnosť produktov ESET detegovať hrozby. Vzorky umožňujú spoľahlivo nájsť a pomenovať nové vírusy. Vďaka pravidelnej aktualizácii sú čerstvé vzorky k dispozícii zvyčajne už o niekoľko hodín. Nevýhodou je, že táto metóda odhaľuje iba známe vírusy alebo ich čiastočne pozmenené verzie.
|
Nastavenia liečenia určujú správanie kontroly pri liečení infikovaných súborov. Rezidentná ochrana a ďalšie moduly ochrany ponúkajú nasledujúce úrovne liečenia.
Vždy vyriešiť detekciu
Program sa pokúsi o liečenie detegovaného objektu bez akéhokoľvek zásahu zo strany používateľa. Výnimkou sú systémové súbory. Keď liečenie nie je možné vykonať, detegovaný objekt sa ponechá v pôvodnom umiestnení.
Vyriešiť detekciu a ak to nie je možné, ponechať ju
Program sa pokúsi o liečenie detegovaného objektu bez akéhokoľvek zásahu zo strany používateľa. Keď nie je možné vykonať liečenie na systémových súboroch alebo archívoch (s infikovanými aj neškodnými súbormi), detegovaný objekt sa ponechá v pôvodnom umiestnení.
Vyriešiť detekciu a ak to nie je možné, spýtať sa
Program sa pokúsi o liečenie detegovaného objektu. Ak ESET Mail Security nedokáže v niektorých prípadoch vykonať automatickú akciu, výber akcie (odstránenie alebo ignorovanie detekcie) sa prenechá na používateľa. Toto nastavenie sa odporúča vo väčšine prípadov.
Vždy sa spýtať koncového používateľa
ESET Mail Security nevykoná žiadnu automatickú akciu. Výber akcie sa prenechá na používateľa.
|
Prípona je časť názvu súboru spravidla oddelená bodkou. Prípona určuje typ a obsah súboru. V tejto časti nastavení ThreatSense parametrov môžete zadefinovať, ktoré typy súborov budú vylúčené z kontroly.
Ostatné
Pri konfigurácii parametrov ThreatSense v časti Kontrola počítača sú v sekcii Iné k dispozícii aj tieto možnosti:
Kontrolovať alternatívne dátové prúdy (ADS)
Alternatívne dátové prúdy používané súborovým systémom NTFS sú asociácie súborov a priečinkov, ktoré sú neviditeľné pre bežné techniky kontroly. Veľký počet vírusov ich preto využíva na svoje maskovanie pred prípadným odhalením.
Kontroly na pozadí vykonávať s nízkou prioritou
Každá kontrola počítača využíva nezanedbateľný výkon počítača. Ak pracujete s programami, ktoré do vysokej miery zaťažujú systém, môžete aktivovať kontrolu na pozadí s nízkou prioritou a uvoľniť tak prostriedky pre svoje aplikácie.
Zapisovať všetky objekty do protokolu
Ak je povolená táto možnosť, v protokole kontroly budú zobrazené všetky skontrolované súbory vrátane tých, ktoré sú bezpečné.
Zapnúť Smart optimalizáciu
Pri zapnutej Smart optimalizácii sa použijú optimálne nastavenia pre zabezpečenie najefektívnejšej úrovne kontroly pri zachovaní najvyššej možnej rýchlosti kontroly. Moduly ochrany pri kontrole dômyselne využívajú rozdielne metódy kontroly na rôzne typy súborov. Ak je Smart optimalizácia vypnutá, pri kontrole sú použité len používateľské nastavenia jadra ThreatSense pre konkrétne moduly.
Zachovať čas posledného prístupu k súborom
Pri kontrole súboru nebude zmenený čas prístupu, ale bude ponechaný pôvodný (vhodné pri používaní zálohovacích systémov).
|
Obmedzenia určujúce hranice veľkostí objektov a archívov, ktoré sa budú testovať na prítomnosť vírusov:
Predvolené nastavenie objektov
Budú použité predvolené nastavenia (bez obmedzení). ESET Mail Security bude ignorovať vaše vlastné nastavenia.
Maximálna veľkosť objektu
Určuje maximálnu veľkosť kontrolovaných objektov. Daný modul ochrany bude kontrolovať len objekty s menšou veľkosťou, ako je definovaná hodnota. Tieto hodnoty odporúčame modifikovať len pokročilým používateľom, ktorí chcú veľké objekty vylúčiť z kontroly. Predvolená hodnota: neobmedzená.
Maximálny čas kontroly objektu (v sekundách)
Definuje maximálny povolený čas pre kontrolu objektov. Ak používateľ definuje určitú hodnotu, potom modul ochrany pri kontrole objektu po prekročení tejto hodnoty skončí prebiehajúcu kontrolu bez ohľadu na kompletnosť kontroly. Predvolená hodnota: neobmedzená.
Nastavenie kontroly archívov
Ak chcete robiť zmeny v nastaveniach kontroly archívov, zrušte výber možnosti Predvolené nastavenie kontroly archívov.
Úroveň vnorenia archívov
Určuje maximálnu hĺbku kontroly archívov. Predvolená hodnota: 10. Pre objekty detegované Ochranou prenosu e-mailov je potrebná úroveň vnorenia +1. Prvá úroveň je totiž samotný e-mail.
|
|
Ak máte úroveň vnorenia nastavenú na 3, archív s úrovňou vnorenia 3 bude kontrolovaný na prenosovej vrstve len po úroveň 2. Preto ak chcete mať archívy kontrolované Ochranou prenosu e-mailov po úroveň 3, nastavte hodnotu pre Úroveň vnorenia archívov na 4.
|
Maximálna veľkosť súboru v archíve
Táto možnosť vám dovolí nastaviť maximálnu veľkosť kontrolovaných súborov obsiahnutých v archívoch (po rozbalení). Predvolená hodnota: neobmedzená.
|
|
Neodporúčame meniť predvolené hodnoty, za normálnych okolností nie je žiadny dôvod na ich zmenu.
|
|