ThreatSense
ThreatSense består av många avancerade hotidentifieringsmetoder. ThreatSense är en proaktiv metod vilket innebär att den kan skydda datorn mot tidig spridning av ett nytt hot. Genom att kombinera kodanalys, kodemulering, generiska signaturer, virussignaturer och använda dem tillsammans ökas systemsäkerheten avsevärt. Genomsökningsmotorn kan kontrollera flera dataströmmar samtidigt vilket maximerar effektiviteten och upptäcktsfrekvensen. ThreatSense-tekniken eliminerar även framgångsrikt rootkits.
med alternativen för inställning av ThreatSense går det att ange ett antal olika genomsökningsparametrar:
•Filtyper och tillägg som genomsöks
•En kombination av olika identifieringsmetoder
•Rensningsnivåer, osv.
Öppna inställningsfönstret genom att klicka på ThreatSense i Avancerade inställningar för moduler som använder ThreatSense-teknik (se nedan). Olika säkerhetsscenarier kan kräva olika konfigurationer. Det går därmed att individuellt konfigurera följande skyddsmoduler i ThreatSense:
•Skydd av filsystemet i realtid
•Genomsökning vid inaktivitet
•Startskanner
•Dokumentskydd
•Skydd av e-postklienter
•Webbåtkomstskydd
•Genomsökning av datorn
ThreatSense-parametrarna är starkt optimerade för varje modul och ändringar av dem kan märkbart påverka systemets funktion. Att till exempel ändra parametrarna så att internt packade filer alltid söks igenom eller att aktivera avancerad heuristik i modulen för skydd av filsystemet i realtid kan resultera i att systemet blir långsammare (normalt används dessa metoder endast för genomsökning av nyskapade filer). Vi rekommenderar att lämna ThreatSense-standardparametrarna oförändrade för alla moduler utom för genomsökningsmodulen.
Objekt som ska genomsökas
I det här avsnittet går det att definiera vilka komponenter och filer på datorn som genomsöks efter infiltrationer.
Arbetsminne – söker efter hot som angriper systemets arbetsminne.
Startsektorer/UEFI – genomsöker startsektorerna efterskadlig kod i MBR (master boot record). Läs mer om UEFI i ordlistan.
E-postfiler – programmet stöder följande filnamnstillägg: DBX (Outlook Express) och EML.
Arkiv – programmet stöder följande filnamnstillägg: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE och många andra.
Självuppackande arkiv – självuppackande arkiv (SFX) är arkiv som kan extrahera sig själva.
Internt packade filer – när internt packade filer (till skillnad från standardarkivtyper) körs dekomprimeras de i minnet. Förutom statiska arkiverare av standardtyp (UPX, yoda, ASPack, FSG osv.) känner skannern igen många fler typer av arkiverare genom kodemulering.
Genomsökningsalternativ
Välj vilka metoder som ska användas för att söka efter infiltrationer i systemet. Följande alternativ finns tillgängliga:
Heuristik – heuristik är en algoritm som analyserar (skadliga) aktiviteter i program. Huvudfördelen med tekniken är möjligheten att identifiera skadlig programvara som inte fanns eller som inte var känd av den tidigare detekteringsmotorn. Nackdelen är (en mycket liten) risk för falska larm.
Avancerad heuristik/DNA-signaturer – avancerad heuristik är en unik heuristikalgoritm som utvecklats av ESET och som optimerats för att upptäcka datormaskar och trojanska hästar som skrivits på programmeringsspråk på hög nivå. Genom att använda avancerad heuristik blir ESET-produkterna bättre på att detektera hot. Signaturer används för att pålitligt detektera och identifiera virus. Med det automatiska uppdateringssystemet är nya signaturer tillgängliga inom några timmar efter att ett hot identifierades. Nackdelen med signaturer är att de bara detekterar virus de känner till (eller lätt ändrade versioner av dessa virus).
Rensning
Inställningarna för rensning anger hur ESET Small Business Security fungerar under rensning av infekterade objekt. Det finns fyra rensningsnivåer:
ThreatSense har följande åtgärdsnivåer (det vill säga rensningsnivåer).
Åtgärd i ESET Small Business Security
Rensningsnivå |
Beskrivning |
---|---|
Åtgärda alltid detektering |
Försök att åtgärda detekteringen när du rensar objekt utan några åtgärder från slutanvändaren. I vissa sällsynta fall (till exempel systemfiler) lämnas det rapporterade objektet på sin ursprungliga plats om detekteringen inte kan åtgärdas. |
Åtgärda detektering om det är säkert, behåll annars |
Försök att åtgärda detekteringen när du rensar objekt utan några åtgärder från slutanvändaren. I vissa fall (till exempel systemfiler eller arkiv med både rena och infekterade filer) lämnas det rapporterade objektet på sin ursprungliga plats om en detektering inte kan åtgärdas. |
Åtgärda detektering om det är säkert, fråga annars |
Försök att åtgärda detekteringen när du rensar objekt. I vissa fall, om ingen åtgärd kan utföras, får slutanvändaren en interaktiv avisering och måste välja en åtgärd (till exempel ta bort eller ignorera). Den här inställningen rekommenderas i de flesta fall. |
Fråga alltid slutanvändaren |
Ett interaktivt fönster visas för slutanvändaren när objekt rensas och en åtgärd måste väljas (till exempel ta bort eller ignorera). Denna nivå är avsedd för mer avancerade användare som vet vilka som ska åtgärder vidtas i händelse av detektering. |
Undantag
En filändelse är den del av filnamnet som kommer efter punkten. Ett filändelse definierar filens typ och innehåll. I det här avsnittet för ThreatSense-inställningarna kan du definiera vilka typer av filer som ska genomsökas.
Övrigt
När du konfigurerar parameterinställningarna för ThreatSense-motorn för en Genomsökning av datorn på begäran är följande alternativ i avsnittet Andra också tillgängliga:
Genomsök alternativa dataströmmar (ADS) – de alternativa dataströmmarna som används av filsystemet NTFS består av fil- och mappassociationer som inte är synliga för vanliga genomsökningsmetoder. Många infiltrationsförsök maskerar sig som alternativa dataströmmar för att undvika upptäckt.
Kör genomsökningar i bakgrunden med låg prioritet – varje genomsökningssekvens kräver en viss mängd systemresurser. Om du arbetar med program som kräver mycket systemresurser kan du aktivera genomsökning i bakgrunden med låg prioritet och spara resurser till dina program.
Logga alla objekt – i genomsökningsloggen visas alla genomsökta filer i självuppackande arkiv, även sådana som inte är infekterade (detta kan generera mycket genomsökningsloggdata och öka genomsökningsloggfilens storlek).
Aktivera Smart optimering – med aktiverad smart optimering används de optimala inställningarna för effektivast genomsökning och bibehåller samtidigt den högsta genomsökningshastigheten. De olika skyddsmodulerna genomsöker intelligent och använder olika genomsökningsmetoder och tillämpar dem på vissa filtyper. Om smart optimering är inaktiverad tillämpas endast de användardefinierade inställningarna i ThreatSense-kärnan när en genomsökning utförs.
Bevara tidsstämpeln för senaste åtkomst – markera det här alternativet om du vill behålla den ursprungliga åtkomsttiden för genomsökta filer i stället för att uppdatera dem (t.ex. för användning med system för säkerhetskopiering av data).
Begränsningar
Under Begränsningar kan du ange en maximal storlek på objekt och nivåer på de nästlade arkiv som ska genomsökas:
Objektinställningar
Maximal objektstorlek – anger maximal storlek på objekt som ska genomsökas. Den angivna antivirusmodulen kommer endast att genomsöka objekt som är mindre än den angivna storleken. Alternativet ska endast ändras av avancerade användare som kan ha särskilda anledningar till att undanta större objekt från genomsökning. Standardvärde: obegränsat.
Maximal tid för genomsökning av objekt (sek.) – definierar det maximala tidsvärdet för genomsökning av filer i ett behållarobjekt (till exempel ett RAR/ZIP-arkiv eller ett e-postmeddelande med flera bilagor). Den här inställningen gäller inte för fristående filer. Om ett användardefinierat värde har angetts och den tiden har förflutit stoppas en genomsökning så snart som möjligt, oavsett om genomsökningen av varje fil i ett behållarobjekt har slutförts.
När det gäller ett arkiv med stora filer stoppas genomsökningen tidigast då en fil från arkivet extraheras (till exempel när en användardefinierad variabel är 3 sekunder, men extraheringen av en fil tar 5 sekunder). Resten av filerna i arkivet kommer inte att genomsökas när den tiden har förflutit.
Om du vill begränsa genomsökningstiden, inklusive större arkiv, använder du Maximal objektstorlek och Maximal filstorlek i arkivet (rekommenderas inte på grund av möjliga säkerhetsrisker).
Standardvärde: obegränsat.
Inställningar för genomsökning av arkiv
Antal nästlade arkiv – anger maximalt djup vid arkivgenomsökningen. Standardvärde: 10.
Maximal filstorlek i arkivet – ange maximal filstorlek för filer i arkiven (efter att de extraherats) som genomsöks. Maxvärdet är 3 GB.
Vi rekommenderar inte att ändra standardvärdena, eftersom det i regel inte finns någon anledning att ändra dem. |