Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Korzystając z tej technologii skanowania, można kontrolować kilka strumieni danych jednocześnie, maksymalizując skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense pomyślnie eliminuje programy typu rootkit.
Za pomocą opcji ustawień parametrów technologii ThreatSense można określić kilka parametrów skanowania:
•Typy i rozszerzenia plików, które mają być skanowane;
•kombinacje różnych metod wykrywania;
•Poziomy leczenia itp.
Aby otworzyć okno konfiguracji, należy kliknąć przycisk Ustawienia parametrów technologii w oknie Ustawienia zaawansowane (F5) każdego modułu, w którym wykorzystywana jest technologia ThreatSense (patrz poniżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Mając to na uwadze, technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony:
•Ochrona przesyłania poczty
•Ochrona bazy danych skrzynek pocztowych na żądanie
•Ochrona bazy danych skrzynek pocztowych
•Skanowanie środowiska Hyper-V
•Ochrona systemu plików w czasie rzeczywistym
•Skanowania w poszukiwaniu szkodliwego oprogramowania
•Skanowanie w trakcie bezczynności
•Skanowanie przy uruchamianiu
•Ochrona dokumentów
•Ochrona programów poczty e-mail
•Ochrona dostępu do stron internetowych
Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania spakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodami skanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera.
Ta sekcja pozwala określić, które komponenty komputera i pliki będą skanowane w poszukiwaniu infekcji.
Pamięć operacyjna
Skanowanie w poszukiwaniu szkodliwego oprogramowania, które atakuje pamięć operacyjną komputera.
Sektory startowe/UEFI
Umożliwia skanowanie sektorów startowych w poszukiwaniu wirusów w głównym rekordzie rozruchowym. W przypadku maszyny wirtualnej w środowisku Hyper-V główny rekord rozruchowy dysku tej maszyny jest skanowany w trybie tylko do odczytu.
Baza danych WMI
Skanuje całą bazę danych WMI, wyszukując odniesienia do zainfekowanych plików lub szkodliwego oprogramowania osadzonego jako dane.
Rejestr systemowy
Skanuje rejestr systemowy, wszystkie klucze i podklucze, szukając odniesień do zainfekowanych plików lub szkodliwego oprogramowania osadzonego jako dane.
Pliki poczty
Program obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML.
Archiwa
Program obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych.
Archiwa samorozpakowujące
Archiwa samorozpakowujące (SFX) to archiwa, które nie wymagają do dekompresji żadnych specjalnych programów.
Programy spakowane
Po uruchomieniu — w odróżnieniu od archiwów standardowych — dekompresują swoją zawartość do pamięci. Poza standardowymi statycznymi programami spakowanymi (UPX, yoda, ASPack, FSG itd.) skaner umożliwia również rozpoznawanie innych typów programów spakowanych, dzięki emulowaniu ich kodu.
|
|
W przypadku ochrony bazy danych skrzynek pocztowych pliki załączników (np. .eml files) są skanowane niezależnie od ustawienia opcji Skanowane obiekty. Jest to spowodowane tym, że serwer Exchange analizuje załączony plik .eml przed przekazaniem go do skanowania przez program ESET Mail Security. Dodatek VSAPI otrzymuje pliki wyodrębnione z załącznika .eml, a nie oryginalny plik .eml.
|
|
Tu można wybrać metody stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje:
Heurystyka
Heurystyka jest metodą analizy pozwalającą wykrywać działanie szkodliwych programów. Główną zaletą tej technologii jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które wcześniej nie istniało lub nie było znane przez poprzedni silnik detekcji.
Zaawansowana heurystyka/DNA sygnatury
Zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątem wykrywania robaków i koni trojańskich. Zastosowanie zaawansowanej heurystyki w produktach firmy ESET znacząco usprawnia wykrywanie zagrożeń. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy. Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin od stwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznacznie zmodyfikowane wersje).
|
Ustawienia czyszczenia określają zachowanie skanera podczas czyszczenia zainfekowanych plików. Ochrona w czasie rzeczywistym i inne moduły ochronne mają następujące poziomy remediacji (tj. czyszczenia).
Zawsze naprawiaj wykrycie
Spróbuj naprawić wykrycie podczas czyszczenia obiektów bez interwencji użytkownika. Pliki systemowe są wyjątkiem. Takie obiekty pozostają w ich pierwotnym miejscu, jeśli wykrycie nie może zostać naprawione.
Naprawiaj wykrycia, jeśli to bezpieczne. W innym wypadku zachowaj
Spróbuj naprawić wykrycie podczas czyszczenia obiektów bez interwencji użytkownika. Jeśli nie można naprawić wykrycia plików systemowych lub archiwów (z czystymi i zainfekowanymi plikami), zgłoszony obiekt jest przechowywany w oryginalnej lokalizacji.
Naprawiaj wykrycia, jeśli to bezpieczne. W innym wypadku pytaj
Spróbuj naprawić wykrycie podczas czyszczenia obiektów. W niektórych przypadkach, jeśli ESET Mail Security nie można wykonać akcji automatycznej, zostanie wyświetlony monit o wybranie akcji (usunięcie lub zignorowanie). To ustawienie jest zalecane w większości przypadków.
Zawsze pytaj użytkownika
Żadna automatyczna akcja nie zostanie podjęta przez program ESET Mail Security. Zostanie wyświetlony monit o wybranie akcji.
|
Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta część ustawień parametrów technologii ThreatSense umożliwia określanie typów plików, które mają zostać wyłączone ze skanowania.
Inne
Podczas konfigurowania ustawień parametrów technologii ThreatSense dotyczących skanowania komputera na żądanie w sekcji Inne dostępne są również następujące opcje:
Skanuj alternatywne strumienie danych (ADS)
Alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, maskując się jako alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetem
Każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie w tle z niskim priorytetem, oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku informacje o wszystkich obiektach
Jeśli ta opcja jest zaznaczona, w pliku dziennika wyświetlane będą wszystkie przeskanowane pliki, nawet niezainfekowane.
Włącz inteligentną optymalizację
Po włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniają połączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochrony działają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśli opcja Inteligentna optymalizacja jest wyłączona, podczas skanowania są używane tylko ustawienia określone przez użytkownika w rdzeniu ThreatSense danego modułu.
Zachowaj znacznik czasowy ostatniego dostępu
Wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzania ich aktualizacji (na przykład na potrzeby systemów wykonywania kopii zapasowych danych).
|
W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane:
Domyślne ustawienia obiektów
Po włączeniu używane są ustawienia domyślne (brak limitów). Program ESET Mail Security będzie ignorować ustawienia niestandardowe.
Maksymalny rozmiar obiektu
Określa maksymalny rozmiar obiektów do skanowania. Dany moduł ochrony będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanych użytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartość domyślna: bez limitu.
Maksymalny czas skanowania dla obiektu (s)
Określa maksymalny czas skanowania obiektu. W przypadku wprowadzenia wartości zdefiniowanej przez użytkownika moduł ochrony zatrzyma skanowanie obiektu po upływie danego czasu niezależnie od tego, czy skanowanie zostało ukończone. Wartość domyślna: bez limitu.
Ustawienia skanowania archiwów
Aby zmodyfikować ustawienia skanowania archiwów, należy anulować zaznaczenie opcji Domyślne ustawienia skanowania archiwów.
Poziom zagnieżdżania archiwów
Określa maksymalną głębokość skanowania archiwów. Wartość domyślna: 10. W przypadku obiektów wykrywanych przez funkcję ochrony przesyłania poczty rzeczywiste poziomy zagnieżdżenia są zawsze o +1 wyższe, ponieważ załączniki w postaci plików archiwum w wiadomościach e-mail są traktowane jako poziom 1.
|
|
Na przykład w przypadku ustawienia poziomu zagnieżdżenia 3 plik archiwum z poziomem zagnieżdżenia 3 zostanie przeskanowany w warstwie przesyłania tylko do rzeczywistego poziomu, czyli 2. Aby więc funkcja ochrony przesyłania poczty skanowała archiwa do poziomu 3, należy ustawić Poziom zagnieżdżania archiwów o wartości 4.
|
Maksymalny rozmiar pliku w archiwum
Ta opcja umożliwia określenie maksymalnego rozmiaru plików, które mają być skanowane w rozpakowywanych archiwach. Wartość domyślna: bez limitu.
|
|
Nie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać.
|
|
