ThreatSense – це технологія, у якій використовується багато складних методів виявлення загрози. Вона проактивна, тобто забезпечує захист під час раннього розповсюдження нової загрози. Технологія використовує поєднання аналізу коду, емуляції коду, загальних і вірусних сигнатур, що працюють разом заради значного поліпшення безпеки системи. Ядро сканування може одночасно керувати кількома потоками даних, що підвищує ефективність і частоту виявлення. Технологія ThreatSense також успішно усуває руткіти.
У налаштуваннях ядра ThreatSense можна задати кілька параметрів сканування:
•Типи й розширення файлів, які потрібно сканувати
•Комбінації різних методів виявлення
•Рівні очистки тощо
Щоб відкрити вікно налаштувань, клацніть налаштування параметрів модуля ThreatSense у вікні Додаткові параметри (F5) будь-якого модуля, що використовує технологію ThreatSense (див. нижче). Різні сценарії безпеки можуть потребувати різних конфігурацій. Пам’ятайте: ThreatSense можна налаштувати окремо для наведених нижче модулів захисту.
•Захист передачі пошти
•Захист бази даних поштових скриньок
•Захист бази даних поштової скриньки
•Сканування Hyper-V
•Захист файлової системи в режимі реального часу
•Сканування шкідливого ПЗ
•Сканування в неактивному стані
•Сканування під час запуску
•Захист документів
•Захист поштового клієнта
•Захист доступу до Інтернету
Параметри ThreatSense максимально оптимізовані для кожного модуля, а їх зміна може істотно вплинути на роботу системи. Наприклад, якщо змінити параметри на постійне сканування упакованих програм або ввімкнути розширену евристику в модулі захисту файлової системи в режимі реального часу, це може призвести до сповільнення роботи системи (за допомогою цих методів зазвичай скануються лише нові файли). Рекомендуємо не змінювати параметри ThreatSense за замовчуванням для всіх модулів, крім сканування комп’ютера.
У цьому розділі можна визначити компоненти комп’ютера й файли, які скануватимуться на наявність заражень.
Оперативна пам’ять
Перевірка на наявність загроз, орієнтованих на оперативну пам’ять комп’ютера.
Завантажувальні сектори/UEFI
Перевірка завантажувальних секторів на наявність вірусів у головному завантажувальному записі (MBR). MBR диска віртуальної машини Hyper-V сканується в режимі лише для читання.
База даних WMI
Сканування всієї бази даних WMI, пошук посилань на інфіковані файли або шкідливе програмне забезпечення, вбудоване у вигляді даних.
Системний реєстр
Сканування всього системного реєстру, усіх розділів і підрозділів, пошук посилань на інфіковані файли або шкідливе програмне забезпечення, вбудоване у вигляді даних.
Файли електронної пошти
Програма підтримує такі розширення: DBX (Outlook Express) і EML.
Архіви
Програма підтримує такі розширення: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE та багато інших.
Саморозпакувальні архіви
Саморозпакувальні архіви (SFX) – це архіви, для розпакування яких не потрібні спеціальні програми.
Упаковані програми
Після виконання упаковані програми (на відміну від стандартних типів архіву) розпаковуються в пам’яті. Крім стандартних статичних пакувальників (UPX, yoda, ASPack, FSG тощо), сканер може розпізнати кілька додаткових типів пакувальників завдяки емуляції коду.
|
|
З функцією захисту бази даних поштових скриньок вкладені файли електронної пошти (наприклад, .eml files) скануються незалежно від налаштувань у розділі Об’єкти для сканування. Це зумовлено тим, що Exchange Server аналізує вкладений файл .eml перед надсиланням ESET Mail Security для сканування. Плагін VSAPI отримує видобуті файли з вкладення .eml, а не вихідний файл .eml.
|
|
Виберіть методи сканування системи на наявність заражень. Доступні вказані нижче опції:
Евристичний аналіз
Евристика – це алгоритм, який аналізує зловмисні дії програм. Основна перевага цієї технології – здатність виявляти шкідливе програмне забезпечення, якого не існувало за попереднього ядра виявлення або про яке нічого не було відомо.
Розширений евристичний аналіз/Родові сигнатури
У розширеному евристичному аналізі реалізовано унікальний евристичний алгоритм, розроблений компанією ESET та оптимізований для виявлення комп’ютерних черв’яків і троянських програм, написаних мовами програмування високого рівня. Використання розширеного евристичного аналізу значно збільшує можливості продуктів ESET із виявлення загроз. Сигнатури можуть надійно виявляти й ідентифікувати віруси. Завдяки автоматичній системі оновлення нові сигнатури стають доступні протягом кількох годин після виявлення загрози. Недоліком сигнатур є те, що вони виявляють лише відомі їм віруси (або трохи змінені версії цих вірусів).
|
Параметри очистки визначають поведінку сканера під час очистки інфікованих файлів. Модулі захисту в режимі реального часу й інших типів захисту мають наведені нижче рівні виправлення (очистки).
Завжди виправляти виявлені об’єкти
Спробувати виправити виявлений об’єкт під час очистки без втручання користувача. Виключення – системні файли. Такі об’єкти залишаються у вихідному розташуванні, якщо виявлений об’єкт неможливо виправити.
Виправляти виявлений об’єкт, якщо він безпечний, а в іншому разі – залишати
Спробувати виправити виявлений об’єкт під час очистки без втручання користувача. Якщо виявлений об’єкт не вдається виправити для системних файлів або архівів (із чистими й інфікованими файлами), він залишається у вихідному розташуванні.
Виправляти виявлений об’єкт, якщо він безпечний, а в іншому разі – запитувати
Спробувати виправити виявлений об’єкт під час очистки. У деяких випадках, коли ESET Mail Security не може виконати автоматичну дію, вам буде запропоновано вибрати дію (видалити або ігнорувати). Цей параметр рекомендовано в більшості випадків.
Завжди запитувати кінцевого користувача
ESET Mail Security не виконуватиме автоматичну дію. Вам буде запропоновано вибрати дію.
|
Розширення – це частина імені файлу, відокремлена крапкою. Розширення визначає тип і вміст файлу. У цьому розділі налаштування параметрів ThreatSense можна визначити типи файлів, які потрібно виключити зі сканування.
Інше
Під час налаштування параметрів ядра ThreatSense для сканування комп’ютера за вимогою доступні також наведені нижче опції в розділі Інше.
Перевіряти альтернативні потоки даних (ADS)
Файлова система NTFS використовує альтернативні потоки даних, тобто асоціації файлів і папок, невидимі для звичайних методик перевірки. Багато загроз намагаються уникнути виявлення, маскуючись під альтернативні потоки даних.
Запуск фонової перевірки з низьким пріорітетом
Кожна послідовність сканування потребує певний обсяг ресурсів системи. Якщо запущено програму, яка спричиняє значне використання ресурсів системи, можна активувати фонову перевірку з низьким пріоритетом і зберегти ресурси для програм.
Реєструвати всі об'єкти
Якщо вибрано цю опцію, у журналі відображатимуться всі скановані файли, навіть неінфіковані.
Увімкнути Smart-оптимізацію
Якщо Smart-оптимізацію ввімкнено, то для забезпечення найефективнішого рівня сканування та підтримання максимальної швидкості сканування використовуватимуться оптимальні параметри. Модулі захисту використовують різні розумні методи сканування й застосовують їх до певних типів файлів. Якщо Smart-оптимізацію вимкнено, під час сканування застосовуватимуться лише визначені користувачем параметри ядра ThreatSense певних модулів.
Зберегти час останньго доступу
Виберіть цю опцію, щоб зафіксувати час першого доступу до сканованих файлів, а не час їх оновлення (наприклад, для використання в системах резервного копіювання).
|
У розділі "Обмеження" можна вказати максимальний розмір об’єктів і рівнів вкладених архівів, які потрібно сканувати:
Параметри об'єкта за замовчуванням
Увімкніть, щоб використовувати параметри за замовчуванням (без обмежень). ESET Mail Security ігноруватиме спеціальні параметри.
Максимальний розмір об'єкта
Визначає максимальний розмір об’єктів, які потрібно сканувати. Після цього модуль захисту скануватиме лише ті об’єкти, розмір яких не перевищує визначений. Цю опцію слід змінювати лише досвідченим користувачам, які можуть мати особливі причини для виключення зі сканування більших об’єктів. Значення за замовчуванням – необмежено.
Максимальний час перевірки об’єкта (сек.)
Визначає максимальний час сканування об’єкта. Якщо тут указано значення, визначене користувачем, модуль захисту перестане перевіряти об’єкт після закінчення відповідного періоду часу, незалежно від того, чи було завершено сканування. Значення за замовчуванням – необмежено.
Параметри перевірки архівів
Щоб змінити параметри сканування архівів, зніміть прапорець Параметри сканування архівів за замовчуванням.
Глибина архіву
Визначає максимальну глибину сканування архіву. За замовчуванням використовується файл: 10. Для об’єктів, виявлених захистом передавання пошти, фактичний рівень вкладення становить +1, оскільки архівні вкладення в електронному листі вважаються першим рівнем.
|
|
Якщо встановлено рівень вкладення 3, файл архіву з таким рівнем вкладення скануватиметься лише на рівні передавання до фактичного рівня 2. Тому, щоб архіви сканувалися захистом передавання пошти до рівня 3, установіть значення 4 для параметра Рівень вкладення архіву.
|
Максимальний розмір файлу в архіві
Цей параметр дає змогу вказати максимальний розмір файлів, що містяться в архівах (після видобування), які потрібно просканувати. Значення за замовчуванням – необмежено.
|
|
Не рекомендуємо змінювати значення за замовчуванням – за нормальних умов для цього немає потреби.
|
|
