ThreatSense 是由許多複雜威脅偵測方法組成之技術。此技術是主動式的,也就是說該技術也可在新威脅擴散初期提供防護。其使用代碼分析、代碼模擬、一般資料庫和病毒資料庫的組合,共同合作以大幅增強系統安全性。掃描引擎可以同時控制數個資料串流,以最大化效能及偵測率。ThreatSense 技術還可以順利消除 rootkit。
|
|
如需有關自動啟動檔案檢查的詳細資訊,請參閱啟動掃描。
|
ThreatSense 引擎設定選項可讓您指定數個掃描參數:
•要掃描的檔案類型及副檔名
•各種偵測方法的組合
•清除層級等
若要進入設定視窗,請按一下任何使用 ThreatSense 技術之任何模組的 [進階設定](F5) 視窗中的 [ThreatSense 引擎參數設定] (如下所示)。不同的安全情況可能需要不同的設定。瞭解這一點之後,就可針對下列防護模組,分別進行 ThreatSense 配置:
•郵件傳輸防護
•指定信箱資料庫防護
•信箱資料庫防護
•Hyper-V 掃描
•即時檔案系統防護
•惡意軟體掃描
•閒置狀態掃描
•啟動掃描
•文件防護
•電子郵件用戶端防護
•Web 存取防護
每個模組的 ThreatSense 參數都已高度最佳化,其修改對系統作業有很大影響。例如,將參數變更為一律掃描運行時間壓縮器,或在即時檔案系統防護模組中啟用進階啟發式可能會導致系統速度減慢 (通常,使用這些方法僅掃描新建立的檔案)。除了「電腦掃描」之外,我們建議您不要變更任何模組的預設 ThreatSense 參數。
此區段可讓您定義要掃描的電腦元件及檔案,以確定是否有入侵。
作業記憶體
掃描攻擊系統作業記憶體的威脅。
開機磁區/UEFI
掃描開機磁區的 MBR (主要開機記錄) 中是否有病毒。若為 Hyper-V 虛擬機器,其磁碟 MBR 是以唯讀模式進行掃描。
WMI 資料庫
掃描整個 WMI 資料庫,搜尋參考資料如受感染的檔案或內嵌為資料的惡意軟體。
系統登錄
掃描系統登錄、所有機碼和子機碼,搜尋參考資料如受感染的檔案或內嵌為資料的惡意軟體。
電子郵件檔案
程式支援下列副檔名:DBX (Outlook Express) 和 EML。
壓縮檔
程式支援下列副檔名:ARJ、BZ2、CAB、CHM、DBX、GZIP、ISO/BIN/NRG、LHA、MIME、NSIS、RAR、SIS、TAR、TNEF、UUE、WISE、ZIP、ACE 及許多其他副檔名。
自解壓縮檔
自我解壓檔 (SFX) 是不需要特定程式 (壓縮程式) 即可自行解壓縮的壓縮檔。
加殼技術虛擬機偵測
執行之後,加殼技術虛擬機偵測 (不同於標準壓縮檔類型) 會在記憶體中解壓縮。除了標準靜態壓縮器 (UPX、yoda、ASPack、FSG 等),掃描器還能透過使用代碼模擬,辨識幾種其他類型的壓縮器。
|
|
針對信箱資料庫防護功能,無論 [要掃描的物件] 下方的設定為何,都會掃描附加電子郵件的檔案 (例如 .eml files)。這是因為 Exchange Server 在將其提交給 ESET Mail Security 進行掃描之前,會剖析附加的 .eml 檔案。VSAPI 外掛程式會從 .eml 附件取得解壓縮檔案,而不會接收原始的 .eml 檔案。
|
|
選取在掃描系統是否有入侵時使用的方法。可用選項如下:
啟發式
啟發式是分析程式 (惡意) 活動的演算法。這項技術的主要優點,在於可以識別不存在或偵測引擎先前不瞭解的惡意軟體。
進階啟發式/DNA 簽章
進階啟發式是由 ESET 開發的獨特啟發式演算法所組成,經過最佳化以偵測電腦蠕蟲及特洛伊木馬程式,並以高階程式設計語言撰寫。使用進階啟發式能大幅提高 ESET 產品的威脅偵測能力。簽章可以可靠地偵測及識別病毒。採用自動更新系統,發現威脅數個小時之後便有可用的新病毒碼。病毒碼的缺點是僅偵測瞭解的病毒 (或這些病毒略微修改的版本)。
|
清除設定會決定在掃描器清除受感染檔案期間的行為。即時防護和其他防護模組具有以下修復 (即清除) 級別。
一律補救偵測
清除物件時嘗試修復偵測,不需要任何使用者介入。系統檔案是例外。如果無法修復偵測,該類物件會保持在原始位置。
若安全則補救偵測,若不安全則繼續
清除物件時嘗試修復偵測,不需要任何使用者介入。如果無法修復系統檔案或壓縮檔 (同時具有乾淨或受感染檔案) 的偵測,回報的物件會保持在原始位置。
若安全則補救偵測,若不安全則詢問
清除物件時嘗試修復偵測。在某些情況下,如果 ESET Mail Security 無法執行自動操作,將提示您選擇動作 (刪除或忽略)。大多數情況下,建議使用此設定。
一律詢問使用者
ESET Mail Security 不會嘗試自動操作。系統將提示您選擇動作。
|
副檔名是檔案名稱中以句點隔開的部份。副檔名定義檔案的類型及內容。此 ThreatSense 參數設定的區段可讓您定義要從掃描排除的檔案類型。
其他
配置 [指定電腦掃描] 的 ThreatSense 引擎參數設定時,[其他] 區段也有以下可用選項:
掃描替代資料串流 (ADS)
NTFS 檔案系統使用的替代資料串流是使用一般掃描技術無法看到的檔案及資料夾關聯。許多入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測。
以低優先級別執行背景掃描
以低優先順序執行背景掃描 - 每個掃描序列都會消耗大量的系統資源。如果處理的程式佔有大量的系統資源,則可以啟動低優先順序背景掃描,從而節省應用程式的資源。
記錄所有物件
如果已選取此選項,防護記錄檔案會顯示所有已掃描的檔案(即使檔案未受感染)。
啟用智慧型最佳化
啟用「智慧型最佳化」時,會使用最佳設定以確保最有效率的掃描層級,同時維持最快的掃描速度。各種防護模組都會聰明地掃描,利用不同的掃描方式並將其套用至特定的檔案類型。若停用「智慧型最佳化」,則當執行掃描時,只會套用特定模組的 ThreatSense 核心中使用者定義的設定。
保存最後一次的存取時間郵戳
選取此選項,以保留掃描檔案的原始存取時間,而不會更新該時間 (例如,以用於資料備份系統)。
|
[限制] 區段可讓您指定物件的大小上限,以及要掃描的巢狀保存檔層級:
預設物件設定
- 啟用以使用預設設定 (無限制)。ESET Mail Security 將會忽略您的自訂設定。
物件大小上限
定義要掃描的物件大小上限。然後,指定的防護模組只會掃描小於所指定大小的物件。只有進階使用者基於特定的理由,才應變更此選項來排除掃描較大物件。預設值:無限制。
物件的掃描時間上限 (秒)
定義掃描物件的時間值上限。如果已在這裡輸入使用者定義的值,則當該時間到期,防護模組會停止掃描物件,無論掃描是否完成。預設值:無限制。
壓縮檔掃描設定
若要修改壓縮檔掃描設定,請取消選取 [預設壓縮檔掃描設定]。
壓縮檔巢狀層級
指定壓縮檔掃描的深度上限。預設值:10.針對信箱傳輸防護偵測到的物件,實際巢狀層級為 +1,因為電子郵件中的壓縮檔附件視為第一層級。
|
|
若您將巢狀層級設為 3,則只會在傳輸層達到實際層級 2 時,掃描巢狀層級 3 的壓縮檔。因此,若您想要信箱傳輸防護達到層級 3 時掃描壓縮檔,請將 [壓縮檔巢狀層級] 的值設為 4。
|
壓縮檔中檔案的大小上限
此選項可讓您指定要掃描的壓縮保存檔中,所包含檔案的大小上限 (解壓縮時)。預設值:無限制。
|
|
我們不建議變更預設值;在正常情況下,應該沒有要修改的理由。
|
|
