ThreatSense
ThreatSense 是由許多複雜威脅偵測方法組成。此技術是主動式的,也就是說該技術也可在新威脅擴散初期提供防護。其使用代碼分析、代碼模擬、一般資料庫和病毒資料庫的組合,共同合作以大幅增強系統安全性。掃描引擎可以同時控制數個資料串流,以最大化效能及偵測率。此外,ThreatSense 技術還可以成功消除 Rootkit。
ThreatSense 引擎設定選項可讓您指定數個掃描參數:
•要掃描的檔案類型及副檔名
•各種偵測方法的組合
•清除的層級等
若要進入設定視窗,請按一下任何使用 ThreatSense 技術之模組的進階設定視窗中的 [ThreatSense] (查看下方)。不同的安全情況可能需要不同的設定。瞭解這一點之後,就可針對下列防護模組,分別進行 ThreatSense 配置:
•即時檔案系統防護
•閒置狀態掃描
•啟動掃描
•文件防護
•電子郵件用戶端防護
•Web 存取防護
•電腦掃描
每個模組的 ThreatSense 參數都已高度最佳化,其修改對系統作業有很大影響。例如,將參數變更為一律掃描運行時間壓縮器,或在即時檔案系統防護模組中啟用進階啟發式可能會導致系統速度減慢 (通常,使用這些方法僅掃描新建立的檔案)。除了「電腦掃描」之外,我們建議您不要變更任何模組的預設 ThreatSense 參數。
要掃描的物件
此區段可讓您定義要掃描是否有入侵的電腦元件及檔案。
[作業記憶體] – 掃描攻擊系統作業記憶體的威脅。
開機磁區/UEFI – 掃描開機磁區的主要開機記錄中是否有惡意軟體。請在字彙中閱讀更多有關 UEFI 的資訊。
電子郵件檔案 – 程式支援下列副檔名:DBX (Outlook Express) 及 EML。
[壓縮檔] – 程式支援下列副檔名:ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE 及許多其他副檔名。
[自我解壓檔 ] – 自我解壓檔 (SFX) 是可以自行解壓縮的壓縮檔。
加殼技術虛擬機偵測 – 執行之後,加殼技術虛擬機偵測 (不同於標準壓縮檔類型) 會在記憶體中解壓縮。除了標準靜態壓縮器 (UPX, yoda, ASPack, FSG 等),掃描器還能透過使用代碼模擬,辨識幾種其他類型的壓縮器。
掃描選項
選取在掃描系統是否有入侵時使用的方法。可用選項如下:
[啟發式[ – 啟發式是分析程式 (惡意) 活動的演算法。這項技術的主要優點是可以識別不存在或先前偵測引擎不瞭解的惡意軟體。缺點是有錯誤警示的可能性 (很小)。
[進階啟發式/DNA 簽章] - 進階啟發式是 ESET 開發的獨特啟發式演算法,經過最佳化以偵測電腦蠕蟲及特洛伊木馬程式,並以高階程式設計語言撰寫。使用進階啟發式能大幅提高 ESET 產品的威脅偵測功能。簽章可以可靠地偵測及識別病毒。採用自動更新系統,發現威脅數個小時之後便有可用的新病毒碼。病毒碼的缺點是僅偵測瞭解的病毒 (或這些病毒略微修改的版本)。
清除
清除設定會決定 ESET Small Business Security 在清除物件期間的行為。清除層級有 4 個:
ThreatSense 具有下列修復 (即,清除) 層級。
ESET Small Business Security 中的修復
清除層級 |
說明 |
|---|---|
一律修復偵測 |
清除物件時嘗試修復偵測,不需要任何使用者介入。在某些少見的情況下 (例如,系統檔案),如果無法修復偵測,回報的物件會保持在原始位置。 |
如果安全無虞則修復偵測,否則請保留 |
清除物件時嘗試修復偵測,不需要任何使用者介入。在某些情況下 (例如,同時具有乾淨或受感染檔案的系統檔案或壓縮檔),如果無法修復偵測,回報的物件會保持在原始位置。 |
如果安全無虞則修復偵測,否則請詢問 |
清除物件時嘗試修復偵測。在某些情況下,如果無法執行任何動作,使用者會收到互動警告且必須選取修復的動作 (例如,刪除或忽略)。建議對大多數情況使用此設定。 |
一律詢問使用者 |
使用者會在清除物件時收到互動視窗,而且必須選取修復動作 (例如,刪除或忽略)。此層級是針對其他進階使用者而設計的,這些進階使用者瞭解偵測時需採取哪些步驟。 |
排除
副檔名是檔案名稱中以句點隔開的部份。副檔名定義檔案的類型及內容。ThreatSense 設定的此區段可讓您定義要掃描的檔案類型。
請勿掃描沒有副檔名的檔案—如果啟用的話,將不會掃描沒有副檔名的檔案。
其他
配置指定電腦掃描的 ThreatSense 引擎參數時,[其他] 區段也有以下可用選項:
多執行緒掃描—啟用此選項可利用更多 CPU 核心進行更快速的掃描。如果停用的話,掃描將在單一 CPU 核心上執行,這可能會減慢掃描程序。
[掃描替代資料串流 (ADS)] – NTFS 檔案系統使用的替代資料串流是使用一般掃描技術無法看到的檔案及資料夾關聯。許多入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測。
以低優先順序執行背景掃描 – 每個掃描序列都會消耗大量的系統資源。如果處理的程式佔有大量的系統資源,則可以啟動低優先順序背景掃描,從而節省應用程式的資源。
[記錄所有物件] – 掃描防護記錄將顯示自我解壓檔中所有掃描的檔案,即使未受到感染的檔案也會顯示 (可能產生許多掃描防護記錄資料,因而增加掃描防護記錄檔案的大小)。
啟用智慧型最佳化 – 啟用「智慧型最佳化」時,會使用最佳設定以確保最有效率的掃描層級,同時維持最快的掃描速度。各種防護模組都會聰明地掃描,利用不同的掃描方式並將其套用至特定的檔案類型。如果停用「智慧型最佳化」,則當執行掃描時,只會套用特定模組的 ThreatSense 核心中使用者定義的設定。
保存最後一次的存取時間郵戳 – 選取此選項,以保留掃描檔案的原始存取時間,而不會更新該時間 (例如,以用於資料備份系統)。
限制
[限制] 區段可讓您指定物件的大小上限,以及要掃描的巢狀保存檔層級:
物件設定
物件大小上限 – 定義要掃描的物件大小上限。然後,指定的防毒模組只會掃描小於所指定大小的物件。只有進階使用者基於特定的理由,才應變更此選項來排除掃描較大物件。
物件的掃描時間上限 (秒) – 定義掃描容器物件的時間值上限 (例如 RAR/ZIP 壓縮檔或具有多個附件的電子郵件)。此設定不適用於獨立檔案。如果已輸入使用者定義的值,且已經過指定時間,則掃描將儘快停止,不論容器物件中每個檔案的掃描是否已完成。
如果壓縮檔帶有大型檔案,掃描將不會比擷取壓縮檔中的檔案更早結束 (例如,當使用者定義的變數為 3 秒,而檔案擷取需要 5 秒)。該時間經過後,將不會掃描壓縮檔中的其餘檔案。
若要限制掃描時間 (包括較大的壓縮檔),請在壓縮檔中使用 [物件大小上限] 和 [壓縮檔中檔案的大小上限] (不建議,因為可能存在安全風險)。
壓縮檔掃描設定
壓縮檔巢狀層級 – 指定壓縮檔掃描的深度上限。預設值:10.
壓縮檔中檔案的大小上限 – 此選項可讓您指定要掃描的壓縮保存檔中,所包含檔案的大小上限 (解壓縮時)。最大值是 3 GB。
|
我們不建議變更預設值;在正常情況下,應該沒有要修改的理由。 |
