ThreatSense 技术包括许多复杂的威胁检测方法。此技术具有某种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防护。该技术采用代码分析、代码仿真、一般的识别码、病毒库的组合,以显著提高系统安全性。扫描引擎可同时控制多个数据流,最大限度地提高效率和检测速度。ThreatSense 技术还可成功去除 Rootkit。
|
|
有关自动启动文件检查的详细信息,请参阅启动扫描。
|
ThreatSense 引擎设置选项允许您指定若干扫描参数:
•要扫描的文件类型和扩展名
•不同检测方法的组合
•清除级别等。
若要进入设置窗口,请单击 ThreatSense 引擎参数设置,它位于使用 ThreatSense 技术的任何模块的高级设置 (F5) 窗口中(请参阅下文)。不同的安全情形可能要求不同的配置。考虑到这一点,可针对下列防护模块对 ThreatSense 进行单独配置:
•邮件传输防护
•手动邮箱数据库防护
•邮箱数据库防护
•Hyper-V 扫描
•文件系统实时防护
•恶意软件扫描
•空闲状态下扫描
•开机扫描
•文档防护
•电子邮件客户端防护
•Web 访问保护
ThreatSense 参数已针对每个模块进行了高度优化,对其进行修改可能会明显影响系统操作。例如,将参数更改为始终扫描加壳程序,或在实时文件系统防护模块中启用高级启发式扫描,可能会造成系统性能下降(通常,只有在扫描新建文件时才使用这些方法)。我们建议您保留所有模块(“计算机扫描”除外)的默认 ThreatSense 参数。
通过此部分,可以定义将对其扫描以查找渗透的计算机组件和文件。
系统内存
扫描攻击操作系统内存的威胁。
引导区/UEFI
扫描引导区以检查 MBR(主引导记录)中是否存在病毒。如果运行的是 Hyper-V 虚拟机,将以只读模式扫描其磁盘 MBR。
WMI 数据库
扫描整个 WMI 数据库,以搜索对被感染文件或嵌入为数据的恶意软件的引用。
系统注册表
扫描系统注册表、所有密钥和子项,以搜索对被感染文件或嵌入为数据的恶意软件的引用。
电子邮件文件
该程序支持以下扩展名:DBX (Outlook Express) 和 EML。
压缩文件
该程序支持以下扩展名:ARJ、BZ2、CAB、CHM、DBX、GZIP、ISO/BIN/NRG、LHA、MIME、NSIS、RAR、SIS、TAR、TNEF、UUE、WISE、ZIP、ACE 以及很多其他扩展名。
自解压文件
自解压文件 (SFX) 是指不需要专门程序对自身进行解压的压缩文件。
加壳程序
执行后,加壳程序在内存中解压,这一点与标准压缩文件类型不同。除了标准静态加壳程序(UPX、yoda、ASPack、FSG 等),扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序。
|
|
对于邮箱数据库防护功能,将扫描作为附件的电子邮件文件(例如 .eml files),而无需考虑要扫描的对象下的设置。这是因为 Exchange Server 先解析附加的 .eml 文件,然后再提交该文件以供 ESET Mail Security 扫描。VSAPI 插件从 .eml 附件提取文件,而不是接收原始的 .eml 文件。
|
|
选择在扫描系统中的渗透时所用的方法。有以下选项可供使用:
启发式扫描
启发式扫描是一种分析(恶意)程序行为的算法。此技术的主要优点是能够识别过去不存在或以前的检测引擎无法识别的恶意软件。
高级启发式扫描/DNA 签名
高级启发式扫描具有一种独特的启发式扫描算法,该算法由 ESET 开发,它使用高级编程语言编写而成,对检测计算机蠕虫和木马进行了优化。使用高级启发式扫描显著提高了 ESET 产品的威胁检测能力。病毒库可以可靠地检测和识别病毒。利用自动更新系统,可以在发现威胁后的数小时内提供新病毒库。该病毒库的缺点是只能检测到它所知道的病毒(或在这些病毒基础上略做修改的版本)。
|
清除设置确定扫描程序在清除被感染文件时的行为。实时防护和其他防护模块具有以下修复(即清除)级别。
始终消除检测
在没有任何用户干预的情况下清除对象时,尝试修复检测。系统文件是一个例外。如果无法修复检测,则此类对象会保留在其原始位置。
安全时消除检测,否则保留
在没有任何用户干预的情况下清除对象时,尝试修复检测。如果无法修复对系统文件或存档(带有干净文件和被感染文件)的检测,则报告的对象会保留在其原始位置。
安全时消除检测,否则询问
在清除对象时,尝试修复检测。在某些情况下,如果 ESET Mail Security 无法执行自动操作,则系统会提示您选择一个操作(删除或忽略)。在大多数情况下,建议使用此设置。
始终询问最终用户
ESET Mail Security 不会尝试执行任何自动操作。系统会提示您选择一个操作。
|
扩展名是用句点分隔的文件名的一部分。扩展名定义文件的类型和内容。ThreatSense 参数设置的此部分允许您定义不扫描的文件类型。
其他
配置 ThreatSense 引擎参数设置以进行手动计算机扫描时,其他部分中的以下选项也可用:
扫描交换数据流 (ADS)
NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联。许多渗透试图通过伪装成交换数据流来避开检测。
以低优先级运行后台扫描
每个扫描序列都会消耗一定量的系统资源。如果使用高系统资源负载的程序,则可以激活低优先级后台扫描,从而为应用程序节省资源。
记录所有对象
如果选择了此选项,则日志文件将显示包括未感染文件在内的所有已扫描文件。
启用智能优化
启用智能优化后,优化设置可用于确保最高效的扫描级别,同时可保持最高的扫描速度。各种防护模块可进行智能化扫描,从而可使用不同扫描方法并将它们应用到特定文件类型。如果禁用了智能优化,则在执行扫描时仅应用特定模块的 ThreatSense 核心中用户定义的设置。
保留上一个访问时戳
选中此选项可以保留已扫描文件的最初访问时间,而不是更新时间(例如,数据备份系统所使用的访问时戳)。
|
限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数:
默认对象设置
- 允许使用默认设置(无限制)。ESET Mail Security 将忽略您的自定义设置。
最大对象大小
定义要扫描对象的最大大小。给定的防护模块将仅扫描小于指定大小的对象。此选项应仅由高级用户进行更改,他们可能对排除扫描大型对象有具体原因。默认值:无限制。
对象的最长扫描时间(秒)
定义用于扫描对象的最大时间值。如果在此处输入用户定义的值,则该时间过后防护模块将停止扫描对象,而不管扫描是否完成。默认值:无限制。
压缩文件扫描设置
若要修改压缩文件扫描设置,请取消选中默认压缩文件扫描设置。
压缩文件嵌套层数
指定压缩文件扫描的最大深度。默认值:10.对于邮件传输防护检测到的对象,实际嵌套层数为 +1,因为电子邮件中的压缩文件附件被视为第一层。
|
|
如果将嵌套层数设置为 3,则嵌套层数为 3 的压缩文件将在传输层上只扫描到其实际层数 2。因此,如果想要邮件传输防护扫描压缩文件到层数 3,请将压缩文件嵌套层数设置为 4。
|
压缩文件中的最大文件大小
此选项允许您指定要扫描的压缩文件(当解压缩时)中所包含文件的最大文件大小。默认值:无限制。
|
|
不建议更改默认值,正常情况下应该没有修改它的理由。
|
|
