Hilfeinhalte durchsuchen

ThreatSense

Navigationshilfe

ESET Online-Hilfe > ESET Mail Security > Erweiterte Einstellungen > Geräteschutz > Echtzeit-Dateischutz > ThreatSense

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Die ThreatSense Parameter sind eine Technologie, die verschiedene komplexe Methoden zur Erkennung von Bedrohungen einsetzt. Sie schützt Ihr System bereits in der Anfangsphase der Ausbreitung neuer Bedrohungen proaktiv. Diese Technologie umfasst Codeanalyse, Code-Emulation, generische Signaturen und Virensignaturen und erhöht so die Systemsicherheit erheblich. Die Scan Engine kann mehrere Datenströme gleichzeitig scannen, um Effizienz und Erkennungsrate zu maximieren. Außerdem kann die ThreatSense Technologie Rootkits erfolgreich eliminieren.

Weitere Hinweise zur Prüfung der Systemstartdateien finden Sie unter Prüfung Systemstartdateien.

Die ThreatSense Technologie wird von mehreren ESET Mail Security Modulen eingesetzt. Verschiedene Sicherheitsszenarien erfordern unterschiedliche Konfigurationen. Daher können Sie ThreatSense für die folgenden Schutzmodule individuell konfigurieren:

•Mail-Transport-Schutz

•Postfachdatenbankprüfung

•Postfachdatenbank-Schutz

•Malware- und Spyware-Schutz

•Echtzeit-Dateischutz

•Geräte-Scan

•Scan im Leerlaufbetrieb

•Prüfung der Systemstartdateien

•Dokumentenschutz

•Postfachschutz

•Web-Schutz

Die ThreatSense Parameter werden für jedes Modul fein abgestimmt. Änderungen können sich auf die Systemleistung auswirken. Wenn Sie z. B. festlegen, dass Laufzeit-Packprogramme immer gescannt werden, oder wenn Sie die erweiterte Heuristik im Echtzeit-Dateisystem-Schutzmodul aktivieren, kann das System verlangsamt werden, da diese Methoden in der Regel nur neu erstellte Dateien scannen. Wir empfehlen, die Standardparameter von ThreatSense für alle Module mit Ausnahme des Computer-Scans unverändert zu lassen.

Zu prüfende Objekte

Sie können angeben, welche Computerkomponenten und Dateien mit der ThreatSense Technologie gescannt werden sollen.

Arbeitsspeicher

Scannt nach Bedrohungen für den Arbeitsspeicher des Systems.

Bootsektoren/UEFI

Scannt die Bootsektoren auf Viren im Master Boot Record. Im Fall von virtuellen Hyper-V-Computern wird der Laufwerks-MBR im schreibgeschützten Modus geprüft.

WMI-Datenbank

Scannt die gesamte WMI-Datenbank und sucht nach Verweisen auf infizierte Dateien oder als Daten eingebettete Malware.

System-Registry

Scannt die gesamte Systemregistrierung, inklusive aller Schlüssel und Unterschlüssel. Sucht nach Verweisen auf infizierte Dateien oder als Daten eingebettete Malware.

E-Mail-Dateien

Folgende Erweiterungen werden vom Programm unterstützt: DBX (Outlook Express) und EML.

Archive

Folgende Erweiterungen werden vom Programm unterstützt: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE und viele andere.

Selbstentpackende Archive

Selbstentpackende Archive (SFX) sind Archive, die ohne externe Programme dekomprimiert werden können.

Laufzeitkomprimierte Dateien

Im Unterschied zu Standardarchiven werden laufzeitkomprimierte Dateien nach dem Start im Arbeitsspeicher dekomprimiert. Neben statischen laufzeitkomprimierten Dateiformaten (UPX, yoda, ASPack, FSG usw.) kann die Prüfung durch Code-Emulation viele weitere SFX-Typen erkennen.

Der Postfach-Datenbankschutz prüft angehängte E-Mail-Dateien (z. B. .eml files) unabhängig von der Einstellung unter Zu scannende Objekte. Dies liegt daran, dass der Exchange Server die angehängte .eml-Datei prüft, bevor sie zur Prüfung an ESET Mail Security weitergegeben wird. Das VSAPI-Plug-In erhält die extrahierten Dateien aus dem .eml-Anhang anstelle der .eml-Originaldatei.

Prüfungseinstellungen

Wählen Sie die Methoden aus, mit denen das System auf Infiltrationen gescannt werden soll. Folgende Optionen stehen zur Verfügung:

Heuristik

Heuristische Methoden sind Verfahren, die (bösartige) Aktivitäten von Programmen analysieren. Auf diese Weise können auch bösartige Programme erkannt werden, die noch nicht in der Malware Scan Engine verzeichnet sind.

Advanced Heuristik/DNA-Signaturen

Advanced Heuristik beschreibt besondere heuristische Verfahren, die von ESET entwickelt wurden, um eine verbesserte Erkennung von Würmern und Trojanern zu ermöglichen und um Schadprogramme zu finden, die in höheren Programmiersprachen geschrieben wurden. Mit Advanced Heuristik werden die Fähigkeiten von ESET-Produkten zur Erkennung von Bedrohungen beträchtlich gesteigert. Mit Signaturen können Viren zuverlässig erkannt werden. Mit automatischen Updates sind Signaturen für neue Bedrohungen innerhalb weniger Stunden verfügbar. Signaturen haben den Nachteil, dass nur bekannte Viren und gering modifizierte Varianten bekannter Viren erkannt werden können.

Säubern

Die Säuberungseinstellungen legen fest, wie sich der Scanner beim Säubern infizierter Dateien verhält. Für den Echtzeit-Schutz und andere Schutzmodule sind die folgenden Behebungs- oder Säuberungsstufen verfügbar.

Ereignis immer beheben

Es wird versucht, Ereignisse beim Säubern von Objekten ohne Benutzereingriff zu beheben. Eine Ausnahme sind Systemdateien. Diese Objekte verbleiben an ihrem ursprünglichen Speicherort, falls ein Ereignis nicht behoben werden kann.

Ereignis beheben, falls sicher, andernfalls beibehalten

Es wird versucht, Ereignisse beim Säubern von Objekten ohne Benutzereingriff zu beheben. Wenn ein Ereignis für Systemdateien oder Archive, die saubere und infizierte Dateien enthalten, nicht behoben werden kann, verbleibt das gemeldete Objekt an seinem ursprünglichen Speicherort.

Ereignis beheben, falls sicher, andernfalls nachfragen

Versucht, das Ereignis beim Säubern von Objekten zu beheben. Wenn ESET Mail Security keine automatische Aktion ausführen kann, werden Sie unter Umständen aufgefordert, eine Aktion auszuwählen (löschen oder ignorieren). Diese Einstellung wird für die meisten Fälle empfohlen.

Immer den Endbenutzer fragen

ESET Mail Security versucht nicht, eine automatische Aktion auszuführen. Sie werden aufgefordert, eine Aktion auszuwählen.

Ausschlussfilter

Die Erweiterung ist der Teil des Dateinamens nach dem Punkt. Die Erweiterung definiert den Typ und den Inhalt einer Datei. In diesem Teil der ThreatSense-Einstellungen können Sie die Dateitypen festlegen, die nicht gescannt werden sollen.

Sonstiges

Bei der Konfiguration der ThreatSense Einstellungen für einen On-Demand-Computer-Scan sind folgende Optionen im Abschnitt Sonstige verfügbar:

Alternative Datenströme (ADS) prüfen

Bei den von NTFS-Dateisystemen verwendeten alternativen Datenströmen (ADS) handelt es sich um Datei- und Ordnerzuordnungen, die mit herkömmlichen Scan-Techniken nicht erkannt werden. Eingedrungene Schadsoftware tarnt sich häufig als alternativer Datenstrom, um nicht erkannt zu werden.

Hintergrundprüfungen mit geringer Priorität ausführen

Jeder Scanvorgang nimmt eine bestimmte Menge von Systemressourcen in Anspruch. Wenn Sie mit Anwendungen arbeiten, welche die Systemressourcen stark beanspruchen, können Sie einen Hintergrund-Scan mit geringer Priorität aktivieren, um Ressourcen für die Anwendungen zu sparen.

Alle Objekte in Log aufnehmen

Wenn Sie diese Option auswählen, enthält die Logdatei alle gescannten Dateien, und nicht nur infizierte Dateien.

Smart-Optimierung aktivieren

Die Smart-Optimierung verwendet die optimalen Einstellungen, um möglichst effiziente Scanvorgänge bei höchster Geschwindigkeit zu gewährleisten. Die verschiedenen Schutzmodule scannen intelligent und verwenden unterschiedliche Scanmethoden für die jeweiligen Dateitypen. Wenn die Smart-Optimierung deaktiviert ist, werden nur die benutzerdefinierten Einstellungen im ThreatSense-Kern der entsprechenden Module für die Prüfung verwendet.

Datum für 'Geändert am' beibehalten

Aktivieren Sie diese Option, um den Zeitpunkt des ursprünglichen Zugriffs auf geprüfte Dateien beizubehalten (z. B. für die Verwendung mit Datensicherungssystemen), anstatt ihn zu aktualisieren.

Grenzen

Im Bereich „Grenzen“ können Sie die Maximalgröße von Elementen und Stufen verschachtelter Archive festlegen, die geprüft werden sollen:

Standard-Einstellungen Objektprüfung

Aktivieren Sie diese Option, um die Standardeinstellungen zu verwenden (keine Einschränkungen). ESET Mail Security ignoriert Ihre benutzerdefinierten Einstellungen.

Maximale Objektgröße

Definiert die maximale Größe der zu scannenden Objekte. Das entsprechende Schutzmodul scannt nur Elemente, die kleiner als die angegebene Maximalgröße sind. Diese Option sollte nur von erfahrenen Benutzern geändert werden, die größere Elemente aus bestimmten Gründen vom Scannen ausschließen möchten. Der Standardwert ist unbegrenzt.

Maximale Scanzeit pro Objekt (Sek.)

Definiert die maximale Scan-Dauer für Elemente. Wenn hier ein benutzerdefinierter Wert eingegeben wurde, beendet das Schutzmodul das Scannen von Elementen, sobald diese Zeit abgelaufen ist, egal ob der Scanvorgang abgeschlossen wurde. Der Standardwert ist unbegrenzt.

Einstellungen für Archivprüfung

Deaktivieren Sie die Option Standardeinstellungen Archivprüfung, um die Scaneinstellungen für Archive zu ändern.

Archiv-Verschachtelungstiefe

Legt die maximale Tiefe der Virenprüfung von Archiven fest. Standardwert: 10. Für Objekte mit Mail-Transportschutz gilt die Verschachtelungstiefe +1, da der Archivanhang in einer E-Mail bereits als erste Ebene gilt.

Wenn Sie die Verschachtelungstiefe auf 3 festgelegt haben, werden Archivdateien mit der Verschachtelungstiefe 3 auf der Transportebene nur bis zur Ebene 2 geprüft. Wenn der Mail-Transportschutz Archive bis zur Ebene 3 prüfen soll, müssen Sie den Wert für die Archiv-Verschachtelungstiefe auf 4 festlegen.

Maximalgröße von Dateien im Archiv

Mit dieser Option können Sie die maximale Dateigröße für Dateien in Archiven (nach der Extraktion) angeben, die geprüft werden sollen. Der Standardwert ist unbegrenzt.

Die Standardwerte sollten nicht geändert werden; unter normalen Umständen besteht dazu auch kein Grund.

˄˅