ThreatSense パラメータ

ThreatSenseは、ウイルスを検出する多数の複雑な方法から構成される技術です。この技術は事前対応型なので、新しいウイルスが広がる初期の段階でも保護することができます。この技術では、システムのセキュリティを大幅に強化するために連携して動作するコード分析、コードエミュレーション、汎用シグネチャ、ウイルスシグネチャを組み合わせて使用します。検査エンジンは、複数のデータストリームを同時に検査して、最大限の効率および検出率を確保することができます。また、ThreatSense技術によってルートキットを除去することもできます。

ThreatSenseエンジンの設定オプションを使用すると、ユーザーはさまざまな検査パラメーターを指定することができます。

検査するファイルの種類および拡張子
さまざまな検出方法の組み合わせ
駆除のレベルなど

設定ウィンドウにアクセスするには、ThreatSense技術を使用する任意の機能(下記を参照)の詳細設定ウィンドウにある[ThreatSenseパラメータ]をクリックします。セキュリティシナリオごとに異なる設定が必要になることがあります。これを念頭に、ThreatSenseは、次の保護モジュールについて個々に設定することができます。

リアルタイムファイルシステム保護
アイドル状態検査
スタートアップ検査
ドキュメント保護
電子メールクライアント保護
Webアクセス保護
コンピューターの検査

ThreatSenseのパラメーターは機能ごとに高度に最適化されているので、パラメーターを変更すると、システムの動作に大きく影響することがあります。たとえば、常にランタイム圧縮形式をスキャンするようにパラメーターを変更するか、リアルタイムファイル保護機能のアドバンスドヒューリスティックを有効にすると、システムの処理速度が低下することがあります(通常は、新しく作成されたファイルのみがこれらの方法を使用してスキャンされます)。コンピューターの検査を除く全ての機能について、ThreatSenseの既定のパラメーターを変更しないことをお勧めします。

検査するオブジェクト

このセクションでは、感染を検査するコンピューターのコンポーネントおよびファイルを定義できます。

システムメモリ - システムメモリを攻撃対象とするマルウェアを検査します。

ブートセクタ - マスターブートレコードにウイルスがないかどうかブートセクタを検査します。

電子メールファイル - プログラムは以下の拡張子をサポートします。DBX (Outlook Express)およびEML。

アーカイブ - プログラムは以下の拡張子をサポートします。ARJ、BZ2、CAB、CHM、DBX、GZIP、ISO/BIN/NRG、LHA、MIME、NSIS、RAR、SIS、TAR、TNEF、UUE、WISE、ZIP、ACE、およびその他多数。

自己解凍アーカイブ - 自己解凍アーカイブ(SFX)とは、解凍に特殊なプログラム(アーカイブ)を必要としないアーカイブです。

圧縮された実行形式 - 圧縮された実行形式(標準の解凍形式とは異なる)は、実行後メモリー内で解凍されます。スキャナでは、コードのエミュレーションによって、標準の静的圧縮形式(UPX、yoda、ASPack、FSGなど)のほかにも多数の圧縮形式を認識できます。

検査オプション

システムの侵入を検査するときに使用する方法を選択します。使用可能なオプションは次のとおりです。

ヒューリスティック - ヒューリスティックは、悪意のあるプログラムの活動を分析するアルゴリズムです。この技術の主な利点は、前には存在しなかったり、これまでのウイルス定義データベースで特定されていなかったりした悪意のあるソフトウェアを特定できる点です。欠点は、非常に少ないとはいえ、誤検出の可能性がある点です。

アドバンスドヒューリスティック - アドバンスドヒューリスティックは、ESETが開発した独自のヒューリスティックアルゴリズムで構成されます。このアルゴリズムは、コンピューターワームやトロイの木馬を検出するために最適化され、高度なプログラミング言語で記述されています。アドバンスドヒューリスティックを使用すると、ESET製品の脅威検出機能が大幅に高まります。シグネチャは確実にウイルスを検出し、特定することができます。自動アップデートシステムを利用することにより、新しいシグネチャを使用するためのウイルス検出時間を短縮できます。シグネチャの欠点は、既知のウイルス(またはこれらのウイルスの多少の変更が加えられたバージョン)しか検出しない点です。

望ましくない可能性があるアプリケーションは、アドウエアを含んだり、ツールバーをインストールしたり、その他の不明確なオブジェクトを含んだりするプログラムです。場合によっては、ユーザーが、リスクよりも望ましくない可能性があるアプリケーションを使用する利点があると感じることがあります。このため、このようなアプリケーションには、トロイの木馬やワームなどの他のタイプの悪意のあるソフトウェアと比べ、低いリスクのカテゴリが割り当てられています。

警告 - 潜在的な脅威が検出されました
望ましくない可能性があるアプリケーション - 設定
望ましくない可能性があるアプリケーション - ソフトウェアラッパー

警告 - 潜在的な脅威が検出されました

望ましくない可能性があるアプリケーションが検出されたら、実行するアクションを決定できます。

1.駆除/切断:アクションを終了し、システムに侵入する潜在的な脅威を防止します。
2.無視:このオプションでは、潜在的な脅威がシステムに入るのを許可します。
3.今後中断せずにコンピューターでアプリケーションを実行できるようにするには、詳細オプションをクリックし、検出から除外の横にあるチェックボックスをオンにします。

PUA_INTERACTIVE

望ましくない可能性があるアプリケーションが検出され、駆除できない場合は、画面の右下に[アドレスがブロックされました]通知ウィンドウが表示されます。このイベントの詳細については、メインメニューからツール > その他のツール > ログファイル > フィルタリングされたWebサイトに移動します。

PUA_NOTIFICATION

望ましくない可能性があるアプリケーション - 設定

ESET製品をインストールするときには、次のように、望ましくない可能性があるアプリケーションの検出を有効にするかどうかを決定できます。

INSTALLATION_DETECTION

MONITOR_RED 望ましくない可能性があるアプリケーションは、アドウェア、ツールバーをインストールしたり、他の望ましくない危険なプログラム機能を含んでいたりすることがあります。

これらの設定は、いつでも、プログラム設定で修正できます。望ましくない、危険、または不審なアプリケーションの検出を有効または無効にするには、次の手順に従ってください。

1.ESET製品を開きます。ESET製品を開く方法 (ESETナレッジベース:英語)
2.F5キーを押して、詳細設定にアクセスします。
3.ウイルス対策をクリックして、望ましくない可能性があるアプリケーションの検出を有効にする危険な可能性があるアプリケーションの検出を有効にする不審なアプリケーションの検出を有効にするから任意のオプションを有効または無効にします。OKをクリックして確認します。

CONFIG_ANTIVIRUS

望ましくない可能性があるアプリケーション - ソフトウェアラッパー

ソフトウェアラッパーは、特別なタイプのアプリケーション修正で、ファイルホスティングWebサイトの一部で使用されます。これは、ダウンロードするつもりのプログラムをインストールするサードパーティ製のツールですが、ツールバーやアドウェアなどの追加ソフトウェアもインスト-ルします。追加されたソフトウェアは、Webブラウザのホームページや検索設定を変更する場合があります。また、多くの場合、ファイルホスティングWebサイトはソフトウェアベンダーやダウンロード受信者に、修正が行われたことを通知しないため、簡単に修正をオプトアウトできません。このため、ESETはソフトウェアラッパーを望ましくない可能性があるアプリケーションのタイプに分類しています。ユーザーはダウンロードするかどうかを決定できます。

IDSと詳細オプションに関する最新のヘルプは、ESETナレッジベース(英語)の記事を参照してください。

安全でない可能性があるアプリケーション - 安全でない可能性があるアプリケーションは、リモートアクセスツール、パスワード解析アプリケーション、キーロガー(ユーザーが入力した各キーストロークを記録するプログラム)などの商業的かつ合法的なプログラムに対して使用される分類です。このオプションは、既定では無効になっています。

除外

拡張子は、ファイル名の一部であり、ピリオドで区切られています。拡張子は、ファイルの種類と内容を規定します。このThreatSenseパラメーター設定のセクションでは、スキャンするファイルの種類を指定する方法を説明します。

その他

オンデマンドコンピューターの検査でThreatSenseエンジンパラメータ設定を設定する場合は、[その他]セクションの次のオプションも設定できます

代替データストリーム(ADS)を検査 - NTFSファイルシステムによって使用される代替データストリームは、通常の検査技術では検出できないファイルとフォルダの関連付けです。多くのマルウェアが、自らを代替データストリームに見せかけることによって、検出を逃れようとします。

低優先でバックグラウンドで検査 - 検査が行われるたびに、一定の量のシステムリソースが使用されます。システムリソースにかなりの負荷がかかるプログラムを使用している場合、優先度が低い検査をバックグラウンドで実行することによって、アプリケーションのためにリソースを節約することができます。

すべてのオブジェクトをログに記録 - このチェックボックスをチェックすると、感染していないファイルを含め、スキャンされた全てのファイルがログファイルに表示されます。たとえば、アーカイブ内にマルウェアが見つかった場合は、アーカイブ内の駆除ファイルもリストされます。

スマート最適化を有効にする - スマート最適化を有効にすると、スキャンの速度を最高に保ちながら最も効率的なスキャンレベルが確保されるように、最適な設定が使用されます。さまざまな保護モジュールで高度に検査を行い、それぞれで異なる検査方法を使用して、それらを特定のファイルタイプに適用します。スマート最適化を無効にすると、特定のモジュールのThreatSenseコアのユーザー定義設定のみが検査の実行時に適用されます。

最終アクセスのタイムスタンプを保持 - データバックアップシステムでの利用などを考慮して、検査済みファイルへのアクセス日時を更新せずに元のまま保持するには、このオプションを選択します。

icon_section 制限

[制限]セクションでは、検査対象のオブジェクトの最大サイズおよびネストされたアーカイブのレベルを指定できます。

オブジェクトの設定

オブジェクトの最大サイズ - 検査対象のオブジェクトの最大サイズを定義します。これにより、ウイルス対策機能では、指定した値より小さいサイズのオブジェクトのみが検査されます。上級ユーザーが大きいオブジェクトを検査から除外する必要がある場合のみ、このオプションを変更してください。既定値:無制限

オブジェクトの最大検査時間(秒) - オブジェクトの検査の最長時間の値を定義します。ここでユーザー定義の値が入力されていると、検査が終わっているかどうかにかかわらず、その時間が経過するとウイルス対策機能は検査を停止します。既定値:無制限

アーカイブ検査の設定

スキャン対象の下限ネストレベル - アーカイブの検査の最大レベルを指定します。既定値: 10.

スキャン対象ファイルの最大サイズ - このオプションでは、検査対象のアーカイブ(抽出された場合)に含まれているファイルの最大サイズを指定できます。既定値:無制限

注意: 一般的な環境では既定値を変更する理由はないので、その値を変更しないことをお勧めします。