ThreatSense
ThreatSense ประกอบด้วยวิธีการตรวจหาภัยคุกคามที่ซับซ้อนหลายรูปแบบ เทคโนโลยีนี้เป็นการป้องกันในเชิงรุก ซึ่งหมายความว่าจะมีการป้องกันตั้งแต่ช่วงต้นที่มีการแพร่กระจายของภัยคุกคามใหม่ เทคโนโลยีนี้จะใช้การผสมผสานของการวิเคราะห์รหัส การจำลองรหัส ฐานข้อมูลทั่วไป และฐานข้อมูลไวรัส ซึ่งทำงานร่วมกันอย่างสอดคล้อง เพื่อเพิ่มประสิทธิภาพของการรักษาความปลอดภัยให้กับระบบได้อย่างมาก กลไกการสแกนสามารถควบคุมสตรีมข้อมูลต่างๆ ได้พร้อมกัน ซึ่งเพิ่มประสิทธิภาพและอัตราการตรวจพบสูงสุด นอกจากนี้ เทคโนโลยี ThreatSense ยังช่วยกำจัดรูทคิทด้วย
ตัวเลือกการตั้งค่าของเทคโนโลยี ThreatSense ช่วยให้ผู้ใช้สามารถระบุพารามิเตอร์การสแกนต่างๆ ได้:
•ประเภทไฟล์และนามสกุลที่จะสแกน
•การใช้วิธีการตรวจหาต่างๆ ร่วมกัน
•ระดับการกำจัด เป็นต้น
หากต้องการเปิดหน้าต่างการตั้งค่า ให้คลิก ThreatSense ใน การตั้งค่าขั้นสูง สำหรับโมดูลที่ใช้เทคโนโลยี ThreatSense (โปรดดูด้านล่าง) สถานการณ์ของการรักษาความปลอดภัยที่ต่างกันอาจต้องใช้การกำหนดค่าที่ต่างกัน โปรดทราบว่า ThreatSense สามารถกำหนดค่าแยกกันได้สำหรับโมดูลการป้องกันต่อไปนี้:
•การป้องกันระบบไฟล์แบบเรียลไทม์
•การสแกนขณะอยู่ในสถานะไม่ใช้งาน
•การสแกนเมื่อเริ่มต้น
•การป้องกันเอกสาร
•การป้องกันอีเมลไคลเอ็นต์
•การป้องกันการเข้าถึงเว็บ
•การสแกนคอมพิวเตอร์
พารามิเตอร์ ThreatSense มีการปรับให้เหมาะสำหรับแต่ละโมดูลมากที่สุด อีกทั้งการแก้ไขเหล่านี้จะมีผลกับการทำงานของระบบมากด้วยเช่นกัน ตัวอย่างเช่น การเปลี่ยนพารามิเตอร์เพื่อให้สแกนรันไทม์แพ็คเกอร์เสมอ หรือเปิดใช้การวิเคราะห์พฤติกรรมขั้นสูงในโมดูลการป้องกันระบบไฟล์แบบเรียลไทม์อาจทำให้ระบบทำงานช้าลง (โดยปกติ โปรแกรมจะสแกนเฉพาะไฟล์ที่สร้างขึ้นใหม่โดยใช้วิธีการเหล่านี้) เราขอแนะนำให้คุณคงพารามิเตอร์ ThreatSense เริ่มต้นไว้สำหรับโมดูลทั้งหมด ยกเว้นการสแกนคอมพิวเตอร์
วัตถุที่จะสแกน
ส่วนนี้จะช่วยให้คุณสามารถกำหนดว่าจะสแกนหาการแฝงตัวจากองค์ประกอบและไฟล์คอมพิวเตอร์ใด
หน่วยความจำที่ใช้งาน – สแกนหาภัยคุกคามที่โจมตีหน่วยความจำที่ใช้งานของระบบ
ส่วนการบูต/UEFI – การสแกนบูตเซคเตอร์สำหรับมัลแวร์ที่มีอยู่ในบันทึกการบูตหลัก อ่านเพิ่มเติมเกี่ยวกับ UEFI ในประมวลศัพท์
ไฟล์อีเมล – โปรแกรมสนับสนุนนามสกุลไฟล์ต่อไปนี้: DBX (Outlook Express) และ EML
อาร์ไคฟ์ – โปรแกรมสนับสนุนนามสกุลไฟล์ต่อไปนี้: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE และอื่นๆ อีกมากมาย
อาร์ไคฟ์แบบคลายตัวเอง - อาร์ไคฟ์แบบคลายตัวเอง หรือ Self-extracting archives (SFX) คืออาร์ไคฟ์ที่สามารถคลายตัวเองได้
รันไทม์แพ็คเกอร์ – หลังจากเรียกใช้แล้ว รันไทม์แพ็คเกอร์ (ไม่เหมือนกับประเภทที่เก็บเอกสารมาตรฐาน) จะคลายออกในหน่วยความจำ นอกเหนือจากแพ็คเกอร์คงที่แบบมาตรฐาน (UPX, yoda, ASPack, FSG เป็นต้น) เครื่องมือสแกนจะสามารถจดจำประเภทหรือแพ็คเกอร์อื่นๆ เพิ่มเติมผ่านการใช้การจำลองรหัส
ตัวเลือกการสแกน
เลือกวิธีที่ใช้เมื่อสแกนหาการแฝงตัวบนระบบ ตัวเลือกที่ใช้ได้มีดังนี้:
การวิเคราะห์พฤติกรรม – การวิเคราะห์พฤติกรรมเป็นอัลกอริทึมที่วิเคราะห์การทำงาน (ที่เป็นอันตราย) ของโปรแกรม ข้อได้เปรียบสำคัญของเทคโนโลยีนี้คือความสามารถในการระบุซอฟต์แวร์ที่เป็นอันตรายซึ่งไม่มีอยู่ก่อนหน้านั้น หรือไม่เป็นที่รู้จักของกลไกตรวจหาก่อนหน้า ข้อเสียคือมีโอกาสที่จะเกิดการเตือนผิดพลาด (แม้จะน้อยมากก็ตาม)
วิเคราะห์พฤติกรรมขั้นสูง/ลายเซ็น DNA - การวิเคราะห์พฤติกรรมขั้นสูงเป็นอัลกอริทึมการวิเคราะห์พฤติกรรมขั้นสูงที่พัฒนาโดย ESET ปรับให้เหมาะสมกับการตรวจหาเวิร์มของคอมพิวเตอร์และม้าโทรจัน และเขียนในภาษาที่ใช้เขียนโปรแกรมระดับสูง การใช้การวิเคราะห์พฤติกรรมขั้นสูงจะช่วยเพิ่มความสามารถในการตรวจหาภัยคุกคามของผลิตภัณฑ์ ESET ได้เป็นอย่างมาก ฐานข้อมูลไวรัสสามารถตรวจหาและระบุไวรัสได้อย่างเชื่อถือได้ การใช้ระบบอัพเดทอัตโนมัติ ทำให้ฐานข้อมูลใหม่ใช้ได้หลังจากค้นพบภัยคุกคามเพียงไม่กี่ชั่วโมง ข้อเสียของฐานข้อมูลไวรัสคือ ระบบจะตรวจหาไวรัสเฉพาะที่รู้จักเท่านั้น (หรือเวอร์ชันที่มีการแก้ไขเล็กน้อยของไวรัสเหล่านี้)
การกำจัด
การตั้งค่าการกำจัด จะเป็นตัวกำหนดการทำงานของ ESET Security Ultimate ขณะกำจัดวัตถุ การกำจัดมี 4 ระดับ:
ThreatSense มีระดับการปรับปรุงแก้ไข (เช่น การกำจัด) ดังต่อไปนี้
การปรับปรุงแก้ไขใน ESET Security Ultimate
ระดับการกำจัด |
คำอธิบาย |
---|---|
แก้ไขการตรวจหาเสมอ |
ให้พยายามปรับปรุงแก้ไขการตรวจหาขณะล้างวัตถุโดยไม่มีการแทรกแซงจากผู้ใช้ปลายทาง ในบางกรณีที่เกิดได้ยาก (ตัวอย่างเช่น ไฟล์ระบบ) หากการตรวจหาไม่สามารถปรับปรุงแก้ไขได้ วัตถุที่รายงานจะถูกทิ้งไว้ในตำแหน่งเดิม แนะนำให้ตั้ง |
ปรับปรุงแก้ไขการตรวจหาว่าปลอดภัยหรือไม่ นอกเหนือจากนั้นให้เก็บไว้ |
การพยายามปรับปรุงแก้ไขการตรวจหาขณะกำจัดวัตถุโดยไม่มีการแทรกแซงจากผู้ใช้ปลายทาง ในบางกรณี (ตัวอย่างเช่น ไฟล์ระบบหรือไฟล์เก็บถาวร ที่มีทั้งไฟล์ที่ไม่ติดและติดไวรัส) หากการตรวจหาไม่สามารถปรับปรุงแก้ไขได้ วัตถุที่รายงานจะถูกทิ้งไว้ในตำแหน่งเดิม |
ปรับปรุงแก้ไขการตรวจหาว่าปลอดภัยหรือไม่ นอกเหนือจากนั้นให้ถาม |
การพยายามแก้ไขการตรวจหาขณะล้างวัตถุ ในบางกรณี หากไม่มีการกระทำใดสามารถทำได้ ผู้ใช้ปลายทางจะได้รับหน้าต่างโต้ตอบและต้องเลือกการดำเนินการการปรับปรุงแก้ไข (ตัวอย่างเช่น ลบ หรือ เพิกเฉย) แนะนำให้ใช้การตั้งค่านี้ในกรณีทั่วไป |
ถามผู้ใช้ปลายทางเสมอ |
ผู้ใช้ปลายทางจะได้รับหน้าต่างโต้ตอบขณะล้างวัตถุและต้องเลือกการดำเนินการการปรับปรุงแก้ไข (ตัวอย่างเช่น ลบ หรือ เพิกเฉย) ระดับนี้ได้รับการออกแบบสำหรับผู้ใช้ขั้นสูงขึ้นซึ่งรู้ว่าควรใช้วิธีใดเมื่อมีการตรวจหา |
การยกเว้น
นามสกุลเป็นส่วนหนึ่งของชื่อไฟล์ ซึ่งคั่นด้วยเครื่องหมายจุด นามสกุลจะกำหนดประเภทและเนื้อหาของไฟล์ ส่วนนี้ของการตั้งค่า ThreatSense จะช่วยให้คุณสามารถกำหนดประเภทไฟล์ที่จะสแกน
อื่นๆ
เมื่อกำหนดค่าพารามิเตอร์กลไก ThreatSenseสำหรับการสแกนคอมพิวเตอร์ตามต้องการ จะสามารถใช้ตัวเลือกในส่วน อื่นๆ ได้ดังต่อไปนี้:
สแกนสตรีมข้อมูลสำรอง (ADS) – สตรีมข้อมูลสำรองที่ใช้งานโดยระบบไฟล์ NTFS เป็นการเชื่อมโยงไฟล์และโฟลเดอร์ซึ่งจะไม่ปรากฏสำหรับเทคนิคการสแกนทั่วไป การแฝงตัวจำนวนมากพยายามหลีกเลี่ยงการตรวจหานี้ โดยปลอมแปลงตัวเองเป็นสตรีมข้อมูลสำรอง
เรียกใช้การสแกนเบื้องหลังโดยมีลำดับความสำคัญต่ำ – ลำดับการสแกนแต่ละลำดับจะใช้ทรัพยากรของระบบจำนวนหนึ่ง หากคุณทำงานกับโปรแกรมที่ใช้ทรัพยากรระบบจำนวนมาก คุณสามารถเปิดใช้การสแกนเบื้องหลังที่มีลำดับความสำคัญต่ำ และประหยัดทรัพยากรไว้สำหรับแอพพลิเคชันของคุณ
บันทึกวัตถุทั้งหมด – บันทึกการสแกน จะแสดงไฟล์ที่สแกนแล้วทั้งหมดในอาร์ไคฟ์ที่ขยายในตัว รวมถึงไฟล์ที่ไม่ติดไวรัส (อาจสร้างข้อมูลบันทึกการสแกนจำนวนมากและเพิ่มขนาดไฟล์บันทึกการสแกน)
เปิดใช้งานการเพิ่มประสิทธิภาพแบบสมาร์ท – เมื่อเปิดใช้การเพิ่มประสิทธิภาพแบบสมาร์ท ระบบจะใช้การตั้งค่าที่มีประสิทธิภาพที่สุดเพื่อให้แน่ใจว่าการสแกนจะมีประสิทธิภาพและความเร็วสูงสุดไปพร้อมกัน ซึ่งโมดูลการป้องกันต่างๆ จะสแกนข้อมูลอย่างชาญฉลาด โดยใช้ประโยชน์จากวิธีการสแกนต่างๆ และนำมาใช้งานกับประเภทไฟล์ที่ระบุ หากคุณปิดใช้งานการเพิ่มประสิทธิภาพแบบสมาร์ท เราจะใช้เฉพาะการตั้งค่าที่ผู้ใช้กำหนดไว้ในแกน ThreatSense ของโมดูลเฉพาะเมื่อทำการสแกนเท่านั้น
เก็บบันทึกการลงเวลาเข้าถึงล่าสุด – เลือกตัวเลือกนี้เพื่อเก็บเวลาแรกเริ่มที่เข้าถึงไฟล์ที่สแกนแทนการอัพเดทเวลาเหล่านั้น (ตัวอย่างเช่น สำหรับใช้กับระบบสำรองข้อมูล)
ขีดจำกัด
ส่วนขีดจำกัดช่วยให้คุณสามารถระบุขนาดสูงสุดของวัตถุ และระดับของอาร์ไคฟ์ที่ซ้อนที่จะสแกน:
การตั้งค่าวัตถุ
ขนาดวัตถุสูงสุด – กำหนดขนาดสูงสุดของวัตถุที่จะสแกน โมดูลป้องกันไวรัสที่กำหนดจะสแกนเฉพาะวัตถุที่เล็กกว่าขนาดที่ระบุเท่านั้น ผู้ที่สามารถแก้ไขตัวเลือกนี้ควรเป็นผู้ใช้ขั้นสูง ซึ่งอาจมีเหตุผลบางอย่างสำหรับการยกเว้นวัตถุขนาดใหญ่จากการสแกน ค่าเริ่มต้น: ไม่จำกัด
เวลาสแกนสูงสุดสำหรับวัตถุ (วินาที) – กำหนดค่าสูงสุดสำหรับสแกนไฟล์ในวัตถุที่มีการบรรจุ (เช่น อาร์ไคฟ์ RAR/ZIP หรืออีเมลที่มีไฟล์แนบหลายรายการ) การตั้งค่านี้จะไม่ถูกปรับใช้สำหรับไฟล์สแตนด์อโลน การสแกนจะหยุดทันทีหากมีการระบุค่าที่ผู้ใช้กำหนดและพ้นระยะเวลาดังกล่าว โดยไม่คำนึงว่าการสแกนแต่ละไฟล์ในวัตถุที่มีการบรรจุจะเสร็จสิ้นแล้วหรือไม่
ในกรณีที่อาร์ไคฟ์บรรจุไฟล์ขนาดใหญ่ การสแกนจะหยุดช้ากว่าไฟล์ที่ถูกดึงข้อมูลจากอาร์ไคฟ์ (ตัวอย่างเช่น เมื่อตัวแปรที่ผู้ใช้กำหนดคือ 3 วินาที แต่การดึงข้อมูลของไฟล์คือ 5 วินาที) ไฟล์ที่เหลือในอาร์ไคฟ์จะไม่ถูกสแกนเมื่อพ้นระยะเวลาดังกล่าว
หากต้องการจำกัดเวลาในการสแกน ซึ่งรวมถึงอาร์ไคฟ์ขนาดใหญ่ ให้ใช้ ขนาดวัตถุสูงสุด และ ขนาดไฟล์สูงสุดในอาร์ไคฟ์ (ไม่แนะนำให้ใช้เนื่องจากความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้นได้)
ค่าเริ่มต้น: ไม่จำกัด
ตั้งค่าการสแกนอาร์ไคฟ์
ระดับการซ้อนของอาร์ไคฟ์ – ระบุความลึกสูงสุดของการสแกนอาร์ไคฟ์ ค่าเริ่มต้น: 10
ขนาดไฟล์สูงสุดในอาร์ไคฟ์ – ตัวเลือกนี้ช่วยให้คุณสามารถระบุขนาดไฟล์สูงสุดสำหรับไฟล์ที่อยู่ในอาร์ไคฟ์ (เมื่อดึงข้อมูล) ที่จะสแกนได้ ค่าเริ่มต้น: ไม่จำกัด ค่าสูงสุดคือ 3 GB
เราไม่แนะนำให้แก้ไขค่าเริ่มต้น เนื่องจากไม่มีเหตุผลใดที่จะต้องแก้ไขค่านี้ในสถานการณ์ปกติ |