ThreatSense
ThreatSense – це технологія, яка складається з багатьох комплексних методів виявлення загроз. Вона проактивна, тобто забезпечує захист навіть у перші години поширення нової загрози. У ній поєднуються різні методи (аналіз коду, емуляція коду, родові сигнатури, сигнатури вірусів), які працюють узгоджено, що суттєво підвищує рівень захисту системи. Підсистема сканування може контролювати одночасно кілька потоків даних, тим самим збільшуючи ефективність системи та швидкість виявлення загроз. Окрім того, технологія ThreatSense успішно знищує руткіти.
У налаштуваннях підсистеми ThreatSense можна задати кілька параметрів сканування:
•типи й розширення файлів, які потрібно сканувати;
•комбінація різних методів виявлення;
•рівні очистки тощо.
Щоб відкрити вікно параметрів, натисніть ThreatSense у вікні додаткових параметрів будь-якого модуля, у якому використовується технологія ThreatSense (її описано нижче). Для різних сценаріїв інколи потрібно налаштувати індивідуальні конфігурації. Зважаючи на це, підсистему ThreatSense можна налаштовувати окремо для кожного з таких модулів захисту:
•Захист файлової системи в режимі реального часу
•Сканування в неактивному стані
•Сканування під час запуску
•Захист документів
•Захист поштового клієнта
•Захист доступу до Інтернету
•Сканування комп'ютера
Параметри ThreatSense оптимізовано для кожного модуля, тому їх змінення може суттєво вплинути на роботу системи. Наприклад, якщо ввімкнути обов’язкове сканування упакованих програм або розширену евристику для модуля захисту файлової системи в режимі реального часу, робота системи може значно сповільнитися (зазвичай такі методи використовуються лише для сканування щойно створених файлів). Не рекомендуємо змінювати параметри ThreatSense за замовчуванням для всіх модулів, окрім перевірки комп’ютера.
Перевірити об’єкти
У цьому розділі можна визначати компоненти комп’ютера та файли, які скануватимуться на наявність проникнень.
Оперативна пам’ять: сканування на предмет проникнень, орієнтованих на оперативну пам’ять комп’ютера.
Завантажувальні сектори/UEFI: сканування завантажувальних секторів на наявність шкідливого програмного забезпечення в головному завантажувальному записі. Докладніше про UEFI див. в глосарії.
Файли електронної пошти: програма підтримує такі розширення: DBX (Outlook Express) і EML.
Архіви: програма підтримує розширення ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE та багато інших.
Саморозпакувальні архіви: ці архіви (SFX) можуть розпаковуватися самостійно.
Упаковані програми: після виконання ці програми (на відміну від стандартних типів архіву) розпаковуються в пам’яті. Окрім стандартних статичних пакувальників (UPX, yoda, ASPack, FSG та інших), сканер здатен розпізнати кілька додаткових типів пакувальників завдяки емуляції коду.
Опції сканування
Виберіть методи сканування системи на наявність проникнень. Доступні наведені нижче варіанти:
Евристика: алгоритм, який аналізує зловмисні дії програм. Основна перевага цієї технології – можливість виявляти шкідливе програмне забезпечення, яке не існувало під час формування попередньої версії обробника виявлення або не було в ній зареєстроване. Недолік – (дуже мала) імовірність помилкових сигналів.
Розширені евристики/DNA-підписи – у розширеній евристиці реалізовано унікальний евристичний алгоритм, розроблений компанією ESET, який оптимізовано для виявлення комп’ютерних черв’яків, троянських програм і написано мовами програмування високого рівня. Використання розширеної евристики значно розширює можливості продуктів ESET для виявлення загроз. Сигнатури – надійний засіб виявлення й визначення вірусів. Автоматична система оновлення дає змогу отримувати нові сигнатури протягом кількох годин із моменту виявлення загрози. Недолік використання сигнатур полягає в тому, що визначити можна лише відомі віруси (або їх дещо змінені версії).
Очистка
Параметри очистки визначають поведінку ESET Safe Server під час очистки інфікованих об’єктів. Існує 4 рівні очистки.
ThreatSense має такі рівні виправлення (очищення):
Виправлення в ESET Safe Server
Рівень очистки |
Опис |
---|---|
Завжди виправляти виявлені об’єкти |
Спробувати виправити виявлений об’єкт під час очищення об’єктів без втручання кінцевого користувача. У деяких випадках (наприклад, для системних файлів) виявлений об’єкт неможливо виправити, тому він залишатиметься у вихідному розташуванні. |
Виправити виявлені об’єкти, якщо безпечно. В іншому разі залишити все як є |
Спробувати виправити виявлений об’єкт під час очищення об’єктів без втручання кінцевого користувача. У деяких випадках (наприклад, системні файли або архіви з чистими та інфікованими файлами), якщо виявлений об’єкт не можна виправити, він залишається у вихідному розташуванні. |
Виправити виявлені об’єкти, якщо безпечно. В іншому разі надіслати запит |
Спробувати виправлення виявленого об’єкта під час очищення об’єктів. У деяких випадках, коли жодну операцію виконати неможливо, кінцевий користувач отримує інтерактивне сповіщення, де необхідно вибрати операцію виправлення (наприклад, видалити або пропустити). Цей параметр рекомендовано в більшості випадків. |
Завжди запитувати кінцевого користувача |
Під час очищення об’єктів для кінцевого користувача відкривається вікно, у якому необхідно вибрати операцію виправлення (наприклад, видалити або пропустити). Цей рівень призначений для більш досвідчених користувачів, які знають, що потрібно зробити у випадку виявлення. |
Виключення
Розширення – це частина імені файлу, відокремлена крапкою. Розширення визначає тип і вміст файлу. Цей розділ налаштування підсистеми ThreatSense дає змогу визначити типи файлів, які потрібно сканувати.
Інше
Під час налаштування параметрів підсистеми ThreatSense для сканування комп’ютера за вимогою доступні також наведені нижче опції розділу Інше.
Перевіряти альтернативні потоки даних (ADS) – файлова система NTFS використовує альтернативні потоки даних, тобто асоціації файлів і папок, невидимі в разі застосування звичайних методів перевірки. Багато загроз намагаються обійти виявлення, маскуючись як альтернативні потоки даних.
Запускати фонові перевірки з низьким пріоритетом: на кожну процедуру сканування витрачається певний обсяг ресурсів системи. Якщо запущено програму, яка спричиняє значне використання ресурсів системи, можна активувати фонову перевірку з низьким пріоритетом і зберегти ресурси для програм.
Реєструвати всі об’єкти: у журналі сканування будуть відображені всі файли, проскановані в саморозпакувальних архівах, навіть неінфіковані (можуть генеруватися великі об’єми даних, що збільшуватиме розмір файлу журналу).
Увімкнути Smart-оптимізацію: коли Smart-оптимізацію ввімкнено, система використовує оптимальні параметри для забезпечення найефективнішого рівня сканування, одночасно підтримуючи найвищу швидкість цього процесу. Різноманітні модулі захисту виконують інтелектуальне сканування, використовуючи різні методи й застосовуючи їх до відповідних типів файлів. Якщо Smart-оптимізацію вимкнуто, під час сканування застосовуються лише визначені користувачем у ядрі ThreatSense параметри для певних модулів.
Зберегти час останнього доступу: установіть цей прапорець, щоб зберігати початковий час доступу до сканованих файлів, а не оновлювати їх (наприклад, якщо цього потребує робота систем резервного копіювання даних).
Обмеження
У розділі "Обмеження" можна вказати максимальний розмір об’єктів і число рівнів вкладених архівів, які необхідно сканувати.
Параметри об’єкта
Максимальний розмір об’єкта: визначає максимальний розмір об’єктів, які потрібно сканувати. Після встановлення цього параметра відповідний антивірусний модуль скануватиме лише об’єкти, розмір яких не перевищуватиме зазначений. Цей параметр рекомендується змінювати тільки досвідченим користувачам, у яких може виникнути потреба виключити з перевірки великі об’єкти. Значення за замовчуванням: необмежено.
Максимальний час перевірки об’єкта (с): визначає максимальний час перевірки файлів у контейнері (наприклад, архіві RAR/ZIP або електронному листі з кількома вкладеннями). Не застосовується для окремих файлів. Якщо в поле введено користувацьке значення, після завершення часу перевірка завершиться за найближчої можливості, навіть якщо в контейнері залишаться неперевірені файли.
Якщо в архіві містяться великі файли, перевірка завершиться лише після того, як з архіву буде видобуто файл (наприклад, якщо користувач указав 3 секунди, а на видобування потрібно щонайменше 5 секунд). Інші файли в архіві не будуть перевірятися після завершення вказаного часу.
Щоб обмежити час перевірки, зокрема для великих архівів, скористайтеся параметрами Максимальний розмір об’єкта й Максимальний розмір файлу в архіві (не рекомендується через ризики для безпеки).
Значення за замовчуванням: необмежено.
Параметри перевірки архівів
Глибина архіву: визначає максимальну глибину сканування архіву. За замовчуванням використовується файл: 10.
Максимальний розмір файлу в архіві: за допомогою цього параметра можна вказати максимальний розмір для файлів, що містяться в архівах (у видобутому стані), які потрібно просканувати. Максимальне значення 3 ГБ.
Змінювати значення за замовчуванням не рекомендується, оскільки за нормальних обставин для цього немає причин. |