ThreatSense 参数

ThreatSense 包括许多复杂的威胁检测方法。 此技术具有某种主动性防护功能,也就是说,它可在新威胁开始传播的较早阶段提供防护。 该技术采用代码分析、代码仿真、一般的识别码、病毒库的组合,以显著提高系统安全性。 扫描引擎可同时控制多个数据流,最大限度地提高效率和检测速度。ThreatSense 技术还可成功消除 Rootkit。

ThreatSense 引擎设置选项允许您指定若干扫描参数:

要扫描的文件类型和扩展名

不同检测方法的组合

清除级别等。

要进入设置窗口,请单击 ThreatSense 参数,它位于使用 ThreatSense 技术的任何模块的“高级设置”窗口中(请参见下文)。 不同的安全情形可能要求不同的配置。 考虑到这一点,可针对下列防护模块对 ThreatSense 进行单独配置:

文件系统实时防护

空闲状态下扫描

开机扫描

文档防护

电子邮件客户端防护

Web 访问保护

计算机扫描

ThreatSense 参数已针对每个模块进行了高度优化,对其进行修改可能会明显影响系统操作。 例如,将参数更改为始终扫描运行时加壳程序,或在文件系统实时防护模块中启用高级启发式扫描,可能会造成系统运行缓慢(通常,只有在扫描新建文件时才使用这些方法)。 我们建议您保留所有模块(“计算机扫描”除外)的默认 ThreatSense 参数。

要扫描的对象

此部分使您可以定义要扫描的计算机组件和文件,以查找渗透。

系统内存 - 扫描攻击系统的系统内存的威胁。

引导区/UEFI - 扫描引导区以检查主引导记录中是否存在病毒。在词汇表中阅读有关 UEFI 的更多信息

电子邮件文件 - 该程序支持以下扩展名:DBX (Outlook Express) 和 EML。

压缩文件 - 该程序支持以下扩展名:ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE 以及许多其他扩展名。

自解压文件 - 自解压文件 (SFX) 是可提取自身的压缩文件。

加壳程序 - 执行后,加壳程序在内存中解压,这一点与标准压缩文件类型不同。 除了标准静态加壳程序(UPX, yoda, ASPack, FSG 等),扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序。

扫描选项

选择在扫描系统中的渗透时所用的方法。 有以下选项可供使用:

启发式扫描 - 启发式扫描是一种分析(恶意)程序行为的算法。 此技术的主要优点是能够识别过去不存在或以前的病毒库未涵盖的恶意软件。 缺点是可能发出虚假警报(尽管可能性很小)。

高级启发式扫描/DNA 病毒库 - 高级启发式扫描是一种独特的启发式扫描算法,该算法由 ESET 开发,针对检测使用高级编程语言编写的计算机蠕虫和木马进行了优化。 使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能。 病毒库可以可靠地检测和识别病毒。 利用自动更新系统,可以在发现威胁后的数小时内提供新病毒库。 该病毒库的缺点是只能检测到它所知道的病毒(或在这些病毒基础上略做修改的版本)。

清除

清除设置决定在清除被感染文件的过程中扫描程序的行为。共有 3 个清除级别:

不清除 - 不会自动清除被感染文件。程序会显示一个警告窗口,允许用户选择操作。此级别旨在用于更高级的用户,他们了解在渗透事件中应采取哪些步骤。

正常清除 - 程序将根据预定义操作(取决于渗透类型)尝试自动清除或删除被感染文件。屏幕右下角的通知指示检测到或删除了被感染文件。如果无法自动选择正确操作,程序将提供其他后续操作。如果预定义的操作无法完成,也会出现相同的情况。

严格清除 - 程序将清除或删除所有被感染文件。 唯一例外的是系统文件。 如果无法清除被感染文件,将弹出一个警告窗口,提示用户选择操作。

warning

警告

如果压缩文件包含一个或多个被感染的文件,有两种选择方式来处理该压缩文件。 在标准模式(正常清除)中,如果压缩文件包含的所有文件都被感染,则将删除整个压缩文件。 在严格清除模式中,即使压缩文件只包含一个被感染文件,则无论被压缩的其他文件是什么状态,都将删除该压缩文件。

排除

扩展名是用句点分隔的文件名的一部分。扩展名定义文件的类型和内容。ThreatSense 参数设置的此部分允许您定义要扫描的文件类型。

其他

配置 ThreatSense 引擎参数设置以进行手动扫描计算机时,其他部分中的以下选项也可用:

扫描交换数据流 (ADS) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联。 许多渗透试图通过伪装成交换数据流来避开检测。

以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源。 如果您使用高系统资源负载的程序,则可以激活低优先级后台扫描,并为应用程序节约资源。

记录所有对象 - 如果选中此选项,日志文件将显示包括未感染文件在内的所有已扫描文件。例如,如果压缩文件中发现渗透,日志还将列出压缩文件中包含的干净文件。

启用智能优化 - 启用智能优化后,使用最优化的设置可确保最高效的扫描级别,同时可保持最高的扫描速度。各种保护模块可进行智能化扫描,使用不同的扫描方法并将它们应用到特定的文件类型。如果禁用了智能优化,则在执行扫描时仅应用特定模块的 ThreatSense 核心中用户定义的设置。

保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间(例如数据备份系统所使用的访问时戳)。

icon_section 限制

限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数:

对象设置

最大对象大小 - 定义要扫描对象的最大大小。给定的病毒防护模块将仅扫描小于指定大小的对象。此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改。默认值:无限制

对象的最长扫描时间(秒) - 定义用于对象扫描的最大时间值。如果在此输入用户定义的值,时间用完后病毒防护模块将停止扫描对象,而不管扫描是否完成。默认值:无限制

压缩文件扫描设置

压缩文件嵌套层数 - 指定压缩文件扫描的最大深度。默认值: 10.

压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件(当解压缩时)中所包含文件的最大文件大小。默认值:无限制

note

注释

不建议更改默认值,正常情况下应该没有修改它的理由。