ThreatSense
Technologia ThreatSense obejmuje wiele zaawansowanych metod wykrywania zagrożeń. Jest ona proaktywna, co oznacza, że zapewnia ochronę już od pierwszych godzin rozprzestrzeniania się nowego zagrożenia. Stosowana jest w niej kombinacja kilku metod (analiza kodu, emulacja kodu, sygnatury rodzajowe, sygnatury wirusów), które razem znacznie zwiększają bezpieczeństwo systemu. Aparat skanowania może kontrolować kilka strumieni danych jednocześnie, co zwiększa do maksimum skuteczność i wskaźnik wykrywalności. Ponadto technologia ThreatSense skutecznie eliminuje programy typu rootkit.
Opcje ustawień technologii ThreatSense pozwalają określić kilka parametrów skanowania:
•typy i rozszerzenia plików, które mają być skanowane;
•kombinacje różnych metod wykrywania;
•poziomy leczenia itp.
Aby otworzyć okno konfiguracji, należy kliknąć opcję ThreatSense w oknie Ustawienia zaawansowane każdego modułu, w którym wykorzystywana jest technologia ThreatSense (zobacz poniżej). Różne scenariusze zabezpieczeń mogą wymagać różnych konfiguracji. Mając to na uwadze, technologię ThreatSense można konfigurować indywidualnie dla następujących modułów ochrony:
•Ochrona systemu plików w czasie rzeczywistym
•Skanowanie w trakcie bezczynności
•Skanowanie przy uruchamianiu
•Ochrona dokumentów
•Ochrona programów poczty e-mail
•Ochrona dostępu do stron internetowych
•Skanowanie komputera
Parametry technologii ThreatSense są w wysokim stopniu zoptymalizowane pod kątem poszczególnych modułów, a ich modyfikacja może znacząco wpływać na działanie systemu. Na przykład ustawienie opcji skanowania spakowanych programów za każdym razem lub włączenie zaawansowanej heurystyki w module ochrony systemu plików w czasie rzeczywistym może spowodować spowolnienie działania systemu (normalnie tymi metodami skanowane są tylko nowo utworzone pliki). Zaleca się pozostawienie niezmienionych parametrów domyślnych technologii ThreatSense dla wszystkich modułów z wyjątkiem modułu Skanowanie komputera.
Skanowane obiekty
W sekcji Obiekty można określić, które pliki i składniki komputera będą skanowane w poszukiwaniu infekcji.
Pamięć operacyjna — umożliwia skanowanie w poszukiwaniu zagrożeń atakujących pamięć operacyjną komputera.
Sektory startowe/UEFI — umożliwia skanowanie sektorów startowych w poszukiwaniu szkodliwego oprogramowania w głównym rekordzie rozruchowym. Więcej informacji na temat interfejsu UEFI można znaleźć w słowniczku.
Pliki poczty — program obsługuje następujące rozszerzenia: DBX (Outlook Express) oraz EML.
Archiwa — program obsługuje następujące rozszerzenia: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE i wiele innych.
Archiwa samorozpakowujące — archiwa samorozpakowujące (SFX) to archiwa, które rozpakowują się same.
Programy pakujące w czasie wykonywania — po uruchomieniu — w odróżnieniu od archiwów standardowych — dekompresują swoją zawartość do pamięci. Poza standardowymi statycznymi programami spakowanymi (UPX, yoda, ASPack, FSG itd.) skaner umożliwia również rozpoznawanie innych typów programów spakowanych, dzięki emulowaniu ich kodu.
Opcje skanowania
Tu można wybrać metody stosowane podczas skanowania systemu w poszukiwaniu infekcji. Dostępne są następujące opcje:
Heurystyka— heurystyka jest metodą analizy pozwalającą wykrywać działanie szkodliwych programów. Główną zaletą tej technologii jest to, że umożliwia wykrywanie szkodliwego oprogramowania, które nie istniało lub nie było znane w chwili pobierania poprzedniej wersji silnika detekcji. Wadą może być ryzyko (niewielkie) wystąpienia tzw. fałszywych alarmów.
Zaawansowana heurystyka/sygnatury DNA — zaawansowana heurystyka jest oparta na unikatowym algorytmie heurystycznym opracowanym przez firmę ESET. Został on napisany w językach programowania wysokiego poziomu i zoptymalizowany pod kątem wykrywania robaków i koni trojańskich. Zastosowanie zaawansowanej heurystyki znacząco usprawnia wykrywanie zagrożeń w produktach ESET. Sygnatury pozwalają niezawodnie wykrywać i identyfikować wirusy. Dzięki systemowi automatycznej aktualizacji nowe sygnatury są udostępniane w ciągu kilku godzin od stwierdzenia zagrożenia. Wadą sygnatur jest to, że pozwalają wykrywać tylko znane wirusy (lub ich nieznacznie zmodyfikowane wersje).
Leczenie
Ustawienia leczenia określają sposób działania programu ESET Safe Server podczas prób leczenia obiektów. Istnieją 4 poziomy leczenia:
ThreatSense obejmuje następujące poziomy naprawy (leczenia):
Naprawa w produkcie ESET Safe Server
Poziom leczenia |
Opis |
---|---|
Zawsze naprawiaj wykrycie |
Podjęcie próby naprawy podczas leczenia obiektów bez interwencji użytkownika. W niektórych rzadkich przypadkach (np. plików systemowych), jeśli nie można naprawić wykrycia, zgłoszony obiekt pozostanie w pierwotnej lokalizacji. |
Napraw wykrycie, jeśli to bezpieczne — w przeciwnym razie pozostaw |
Podjęcie próby naprawy podczas leczenia obiektów bez interwencji użytkownika. W niektórych przypadkach (np. plików systemowych lub archiwów zawierających zarówno czyste, jak i zainfekowane pliki), kiedy zagrożenia nie można naprawić, obiekt pozostanie w pierwotnej lokalizacji. |
Napraw wykrycie, jeśli to bezpieczne — w przeciwnym razie spytaj |
Podjęcie próby naprawienia wykrytego zagrożenia podczas leczenia obiektów. W niektórych przypadkach, jeśli nie można wykonać żadnej akcji, użytkownikowi zostanie wyświetlony alert interaktywny umożliwiający wybór czynności zaradczej (np. usunięcia lub zignorowania). To ustawienie jest zalecane w większości przypadków. |
Zawsze pytaj użytkownika |
Użytkownik końcowy widzi interaktywne okno podczas leczenia obiektów i musi wybrać akcję naprawczą (na przykład usunąć lub zignorować). Ten poziom jest przeznaczony dla bardziej zaawansowanych użytkowników, którzy wiedzą, jakie kroki należy podjąć w przypadku wykrycia. |
Wyłączenia
Rozszerzenie jest częścią nazwy pliku oddzieloną kropką. Określa ono typ i zawartość pliku. Ta sekcja ustawień ThreatSense umożliwia określanie typów plików, które mają być skanowane.
Inne
Podczas konfigurowania parametrów technologii ThreatSense dotyczących skanowania komputera na żądanie w sekcji Inne dostępne są również następujące opcje:
Skanuj alternatywne strumienie danych (ADS) — alternatywne strumienie danych używane w systemie plików NTFS to skojarzenia plików i folderów, których nie można sprawdzić za pomocą standardowych technik skanowania. Wiele wirusów stara się uniknąć wykrycia, udając alternatywne strumienie danych.
Uruchom skanowanie w tle z niskim priorytetem — każde skanowanie wymaga użycia pewnej ilości zasobów systemowych. W przypadku używania programów, które wymagają dużej ilości zasobów systemowych, można uruchomić skanowanie w tle z niskim priorytetem, oszczędzając zasoby dla innych aplikacji.
Zapisuj w dzienniku informacje o wszystkich obiektach — dziennik skanowania będzie obejmować informacje o wszystkich skanowanych plikach w archiwach samorozpakowujących (nawet o tych niezainfekowanych). Może to spowodować wygenerowanie dużej ilości danych w dzienniku skanowania oraz zwiększenie rozmiaru pliku dziennika skanowania.
Włącz inteligentną optymalizację — po włączeniu funkcji Inteligentna optymalizacja używane są optymalne ustawienia, które zapewniają połączenie maksymalnej skuteczności z największą szybkością skanowania. Poszczególne moduły ochrony działają w sposób inteligentny, stosując różne metody skanowania w przypadku różnych typów plików. Jeśli funkcja inteligentnej optymalizacji jest wyłączona, podczas skanowania są stosowane jedynie określone przez użytkownika dla poszczególnych modułów ustawienia technologii ThreatSense.
Zachowaj znacznik czasowy ostatniego dostępu — wybranie tej opcji pozwala zachować oryginalny znacznik czasowy dostępu do plików zamiast przeprowadzania ich aktualizacji (na przykład na potrzeby systemów wykonywania kopii zapasowych danych).
Limity
W sekcji Limity można określić maksymalny rozmiar obiektów i poziomy zagnieżdżonych archiwów, które mają być skanowane:
Ustawienia obiektów
Maksymalny rozmiar obiektu — określa maksymalny rozmiar obiektów do skanowania. Dany moduł antywirusowy będzie skanować tylko obiekty o rozmiarze mniejszym niż określony. Ta opcja powinna być modyfikowana tylko przez zaawansowanych użytkowników, którzy mają określone powody do wyłączenia większych obiektów ze skanowania. Wartość domyślna: bez limitu.
Maksymalny czas skanowania dla obiektu (s) — określa maksymalny czas skanowania plików w obiekcie kontenera (np. w archiwum RAR/ZIP lub w wiadomości e-mail z wieloma załącznikami). To ustawienie nie dotyczy samodzielnych plików. Jeśli czas podany przez użytkownika w tym polu upłynie, skanowanie zostanie zatrzymane przy najbliższej okazji, bez względu na to, czy przeskanowano wszystkie pliki w obiekcie kontenera.
W przypadku archiwów z dużymi plikami skanowanie może zostać zatrzymane dopiero po wyodrębnieniu pliku z archiwum (np. zmienna zdefiniowana przez użytkownika to 3 sekundy, a wyodrębnianie pliku trwa 5 sekund). Po upłynięciu tego czasu pozostałe pliki w archiwum nie zostaną przeskanowane.
Aby skrócić czas skanowania, w tym w przypadku większych archiwów, skorzystaj z opcji Maksymalny rozmiar obiektu i Maksymalny rozmiar pliku w archiwum (niezalecane ze względu na możliwe zagrożenia bezpieczeństwa).
Wartość domyślna: bez ograniczeń.
Ustawienia skanowania archiwów
Poziom zagnieżdżania archiwów — określa maksymalną głębokość skanowania archiwów. Wartość domyślna: 10.
Maksymalny rozmiar pliku w archiwum — ta opcja pozwala określić maksymalny rozmiar plików, które mają być skanowane w rozpakowywanych archiwach. Wartość maksymalna: 3 GB.
Nie zalecamy modyfikowania wartości domyślnych. W zwykłych warunkach nie ma potrzeby ich zmieniać. |