ThreatSense

ThreatSense je technologie, která využívá široký komplex metod detekce hrozeb. Je proaktivní a chrání váš systém během prvotní fáze šíření nové hrozby. Tato technologie integruje analýzu kódu, emulaci kódu, obecné signatury a signatury virů, čímž výrazně zvyšuje bezpečnost systému. Skenovací jádro může současně kontrolovat více datových toků, čímž maximalizuje efektivitu a míru detekce. Technologie ThreatSense může navíc úspěšně eliminovat rootkity.

Pro více informací o automatické kontrole zaváděných při startu přejděte do kapitoly Kontrola po startu.

Najdete zde několik modulů ESET Mail Security využívajících technologii ThreatSense. Odlišné bezpečnostní scénáře vyžadují rozdílné konfigurace. ThreatSense můžete konfigurovat individuálně pro následující moduly ochrany:

•Ochrana transportu zpráv

•Kontrola databáze poštovních schránek

•Ochrana databáze schránek

•Antimalware a Antispyware

•Ochrana souborů v reálném čase

•Kontrola zařízení

•Kontrola při nečinnosti

•Kontrola souborů zaváděných při startu počítače

•Ochrana dokumentů

•Ochrana poštovní schránky

•Ochrany přístupu na web

Parametry ThreatSense jsou rozdílně vyladěny pro každý modul. Jejich změna může mít vliv na výkon systému. Například úprava nastavení, která vždy zajistí kontrolu runtime archivů, nebo zapnutí rozšířené heuristiky v modulu Ochrany souborů v reálném čase, mohou zpomalit systém, protože tyto metody obvykle kontrolují pouze nově vytvořené soubory. Doporučujeme ponechat výchozí parametry ThreatSense beze změny pro všechny moduly, s výjimkou Kontroly počítače.

Objekty ke kontrole

Určete si, které počítačové komponenty a soubory budou pomocí technologie ThreatSense kontrolovány.

Operační paměť

Kontrola přítomnosti hrozeb, které mohou být zavedeny v operační paměti počítače.

Boot sektory/UEFI

Kontrola přítomnosti boot virů v MBR sektorech disků, kde se nachází tzv. zavaděč operačního systému. V případě virtuálního počítače Hyper-V je jeho disk MBR kontrolován v režimu jen pro čtení.

WMI databáze

Prohledává WMI databáze, vyhledává odkazy na infikované soubory nebo malware vložený jako datový soubor.

Registr systému

Prohledá systémový registr, všechny klíče a podklíče, vyhledá odkazy na infikované soubory nebo škodlivý kód vložený jako data.

Kontrolovat poštovní soubory (standardně)

Program podporuje následující rozšíření: DBX (Outlook Express) a EML.

Archivy

Program podporuje následující rozšíření: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO, BIN, NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE a další.

Samorozbalovací archivy

Samorozbalovací archivy – archivy které nepotřebují pro své rozbalení jiné programy. Jedná se o SFX (Self-extracting) archivy.

Runtime packery

Po spuštění jsou runtime packery (na rozdíl od standardních archivních typů) dekomprimovány v paměti. Kromě podpory tradičních statických archivátorů (UPX, yoda, ASPack, FSG…) podporuje skener díky emulaci kódu i mnoho jiných typů archivátorů.

V případě ochrany databáze schránek jsou zprávy (například ve formátu .eml files) přiložené v příloze e-mailu automaticky kontrolovány bez ohledu na parametry vybrané v sekci Kontrolované objekty. Je to z důvodu, že Exchange Server zpracovává přiložené .eml soubory ještě předtím, než je odešlete ke kontrolu aplikaci ESET Mail Security. Plugin VSAPI získává extrahované soubory z přílohy .eml namísto přijetí původního souboru .eml.

Možnosti kontroly

V této sekci můžete vybrat metody, které se použijí při kontrole počítače na přítomnost infiltrace. Dostupné jsou následující možnosti:

Heuristika

Heuristika je algoritmus, který analyzuje (nežádoucí) aktivity programů. Výhodou heuristiky je schopnost odhalit i takový škodlivý software, který v době poslední aktualizace antivirového programu ještě neexistoval nebo nebyl znám.

Rozšířená heuristika/DNA vzorky

Rozšířená heuristika používá jedinečný heuristický algoritmus vyvinutý společností ESET, který dokáže detekovat počítačové červy a trojské koně napsané ve vyšších programovacích jazycích. Používání rozšířené heuristiky výrazně zvyšuje detekční schopnosti produktů ESET. Vzorky zajišťují přesnou detekci virů. S využitím automatického aktualizačního systému mají nové vzorky uživatelé k dispozici do několika hodin od objevení hrozby. Nevýhodou vzorků je detekce pouze známých virů (nebo jejich mírně pozměněných verzí).

Léčení

Nastavení léčení ovlivňuje chování virového skeneru. Ochrana v reálném čase i další moduly mají k dispozici níže uvedené úrovně řešení události.

Vždy vyřešit infekci

V tomto režimu se program pokusí vyléčit detekované objekty bez zásahu uživatele. Výjimku tvoří systémové soubory. Pokud nelze detekci vyléčit, bude detekovaný objekt ponechán v původním umístění.

Pokud je to bezpečné, vyřešit infekci, jinak ponechat

V tomto režimu se program pokusí vyléčit detekované objekty bez zásahu uživatele. Pokud nelze detekci vyléčit v systémových souborech nebo archivech obsahujícími neinfikované i infikovanými soubory zároveň, bude detekovaný objekt ponechán v původním umístění.

Pokud je to bezpečné, vyřešit infekci, jinak se dotázat

V tomto režimu se program pokusí vyléčit detekované objekty. Pokud ESET Mail Security nedokáže v některých případech provést automatickou akci, výběr akce bude přenechán na uživateli (odstranění nebo ignorování detekce). Toto nastavení je doporučené pro většinu případů.

Vždy se dotázat uživatele

ESET Mail Security neprovede žádnou automatickou akci. Výběr akce bude přenechán na uživateli.

Výjimky

Přípona souboru je součástí jeho názvu a je oddělena tečkou. Přípona označuje typ a obsah souboru. V této části nastavení parametrů ThreatSense můžete nastavit typy souborů, které budou vyloučeny z kontroly.

Ostatní

Při konfiguraci ThreatSense pro Volitelnou kontrolu počítače jsou v sekci Ostatní dostupné také následující možnosti:

Kontrolovat alternativní datové proudy (platí pouze pro kontrolu počítače)

Alternativní datové proudy (resource/data forks) používané systémem NTFS jsou běžným způsobem neviditelné asociace k souborům a adresářům. Mnoho infiltrací je proto využívá na své maskování před případným odhalením.

Spustit kontrolu na pozadí s nízkou prioritou

Každá kontrola počítače využívá určité množství systémových zdrojů. Pokud právě pracujete s programy náročnými na výkon procesoru, přesunutím kontroly na pozadí jí můžete přiřadit nižší prioritu a získat více prostředků pro ostatní aplikace.

Zapisovat všechny objekty do protokolu

Pokud je tato možnost aktivní, do protokolu se zapíší všechny zkontrolované soubory, i když nejsou infikované.

Zapnout Smart optimalizaci

Při zapnuté Smart optimalizaci je použito nejoptimálnější nastavení pro zajištění maximální efektivity kontroly při současném zachování vysoké rychlosti. Každý modul ochrany kontroluje objekty inteligentně a používá odlišné metody, které aplikuje na specifické typy souborů. Pokud je Smart optimalizace vypnuta, použije se při nastavení kontroly pouze uživatelské nastavení jádra ThreatSense.

Zachovat čas přístupu k souborům

Po vybrání této možnosti nebude při kontrole souboru změněn čas přístupu, ale bude ponechán původní (vhodné při používání na zálohovacích systémech).

Omezení

V sekci Omezení můžete nastavit maximální velikost objektů, archivů a úroveň zanoření, které se budou testovat na přítomnost škodlivého kódu:

Standardní nastavení objektů

Tato možnost je standardně aktivní a znamená, že nejsou aplikovány žádné limity a ESET Mail Security neuplatňuje níže definovaná nastavení.

Maximální velikost objektu – umožňuje definovat maximální hodnotu velikosti objektu, který bude kontrolován.

Definuje největší možnou velikost souborů, které budou zkontrolovány. Modul ochrany bude kontrolovat pouze objekty s velikostí menší, než je definovaná hodnota. Doporučujeme, aby tuto hodnotu měnili jen pokročilí uživatelé, kteří mají důvod vyloučení větších objektů z kontroly. Standardní hodnota: neomezeno.

Maximální čas kontroly objektu (v sekundách)

Definuje maximální povolený čas na kontrolu objektu. Pokud uživatel nastaví hodnotu, modul ochrany přestane kontrolovat objekt po uplynutí nastavené doby, bez ohledu na to, zda byla kontrola objektu dokončena či nikoli. Standardní hodnota: neomezeno.

Nastavení kontroly archivů

Pro změnu nastavení nejprve vypněte možnost Standardní nastavení kontroly archivů.

Úroveň vnoření archivů

Definuje maximální hloubku vnoření při kontrole archivů. Výchozí hodnota: 10. Pro objekty detekované ochranou transportu zpráv musíte nastavit požadovanou úroveň vnoření + 1. První úroveň je totiž samotný e-mail.

Nastavíte-li úroveň vnoření na 3, archiv se třemi vnořeními bude transportní ochranou zkontrolován pouze do druhé úrovně. Proto pokud chcete transportní ochranou kontrolovat archivy do třetí úrovně vnoření, je nutné do pole úroveň vnoření archivů zadat hodnotu 4.

Maximální velikost souboru v archivu

Pomocí této možnosti nastavíte maximální reálnou velikost souborů v archivech (po jejich rozbalení), které budou zkontrolovány. Standardní hodnota: neomezeno.

Nedoporučujeme měnit výchozí hodnoty. Za normálních okolností by neměl být důvod k jejich přenastavení.

˄˅