idh_config_threat_sense.html

ThreatSense Параметры

ThreatSense — это технология, в которой реализован ряд сложных методов обнаружения угроз. Эта технология является упреждающей, т. е. защищает от новой угрозы уже в самом начале ее распространения. А сочетание анализа и моделирования кода, применения обобщенных сигнатур и сигнатур вирусов позволяет значительно повысить уровень безопасности компьютера. Модуль сканирования способен контролировать несколько потоков данных одновременно, благодаря чему максимизируются эффективность и количество обнаруживаемых угроз. ThreatSense обеспечивает к тому же успешное уничтожение руткитов.

ThreatSense для модуля можно настроить несколько параметров сканирования:

расширения и типы файлов, подлежащие сканированию;
сочетание различных методов обнаружения угроз;
уровни очистки и т. д.

Чтобы открыть окно параметров, щелкните Параметры ThreatSense в окне «Дополнительные настройки» любого модуля, использующего технологию ThreatSense (см. ниже). Разные сценарии обеспечения безопасности могут требовать различных настроек. Поэтому технологию ThreatSense можно настроить отдельно для каждого из перечисленных далее модулей защиты.

Защита файловой системы в режиме реального времени.
Сканирование в состоянии простоя.
Сканирование файлов, исполняемых при запуске системы.
Защита документов.
Защита почтового клиента.
Защита доступа в Интернет.
Сканирование компьютера.

ThreatSense параметры хорошо оптимизированы для каждого из модулей, а их изменение значительно влияет на поведение системы. Например, изменение параметров сканирования упаковщиков в режиме реального времени или включение расширенной эвристики в модуле защиты файловой системы в режиме реального времени может замедлить работу системы (обычно только новые файлы сканируются с применением этих методов). Рекомендуется не изменять параметры ThreatSense по умолчанию ни для каких модулей, кроме модуля «Сканирование компьютера».

Сканируемые объекты

В этом разделе можно указать компоненты и файлы компьютера, которые будут сканироваться на наличие заражений.

Оперативная память: выполняется сканирование на наличие угроз, направленных на оперативную память системы.

Загрузочные секторы: загрузочные секторы сканируются на наличие вирусов в основной загрузочной записи.

Почтовые файлы: программа поддерживает расширения DBX (Outlook Express) и EML.

Архивы: программа поддерживает расширения ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE и многие другие.

Самораспаковывающиеся архивы: самораспаковывающиеся архивы (файлы с расширением SFX) — это архивы, для распаковки которых не нужны специальные программы.

Упаковщики: в отличие от архивов стандартных типов, запущенные упаковщики исполняемых файлов распаковываются прямо в оперативную память. Благодаря эмуляции кода модуль сканирования распознает не только стандартные статические упаковщики (UPX, yoda, ASPack, FGS и т. д.), но и множество других типов упаковщиков.

Параметры сканирования

Выберите способы сканирования системы на предмет заражений. Доступны указанные ниже варианты.

Эвристический анализ: анализ злонамеренной деятельности программ с помощью специального алгоритма. Главным достоинством этого метода является способность идентифицировать вредоносные программы, сведения о которых отсутствуют в существующей базе данных сигнатур вирусов. Недостатком же является вероятность (очень небольшая) ложных тревог.

Расширенная эвристика/DNA/Сигнатуры Smart: метод расширенной эвристики базируется на уникальном эвристическом алгоритме, разработанном компанией ESET, оптимизированном для обнаружения компьютерных червей и троянских программ и реализованном на языках программирования высокого уровня. Использование расширенной эвристики значительным образом увеличивает возможности продуктов ESET по обнаружению угроз. С помощью сигнатур осуществляется точное обнаружение и идентификация вирусов. Система автоматического обновления обеспечивает доступность новых сигнатур через несколько часов после обнаружения угрозы. Недостатком же сигнатур является то, что они позволяют обнаруживать только известные вирусы (или их незначительно модифицированные версии).

Потенциально нежелательное приложение — это программа, которая содержит рекламу, устанавливает панели инструментов или выполняет другие неясные функции. В некоторых ситуациях может показаться, что преимущества такого потенциально нежелательного приложения перевешивают риски. Поэтому компания ESET помещает эти приложения в категорию незначительного риска, в отличие от других вредоносных программ, например троянских программ или червей.

Предупреждение — обнаружена потенциальная угроза
Потенциально нежелательные приложения — параметры
Потенциально нежелательные приложения — оболочки

Предупреждение — обнаружена потенциальная угроза

Когда обнаруживается потенциально нежелательное приложение, вы можете самостоятельно решить, какое действие нужно выполнить.

1.Очистить/отключить: действие прекращается, и потенциальная угроза не попадает в систему.
2.Пропустить: эта функция позволяет потенциальной угрозе проникнуть на компьютер.
3.Чтобы разрешить приложению и впредь работать на компьютере без прерываний, щелкните элемент Расширенные параметры и установите флажок Исключить из обнаружения.

Если обнаружено потенциально нежелательное приложение и его невозможно очистить, в правом нижнем углу экрана отобразится окно уведомлений Адрес заблокирован. Для получения дополнительных сведений об этом событии перейдите из главного меню в раздел Служебные программы > Дополнительные средства > Файлы журналов > Отфильтрованные веб-сайты.

PUA_NOTIFICATION

Потенциально нежелательные приложения — параметры

При установке программы ESET можно включить обнаружение потенциально нежелательных приложений (см. изображение ниже).

INSTALLATION_DETECTION

MONITOR_RED Потенциально нежелательные приложения могут устанавливать рекламные программы и панели инструментов или содержать рекламу и другие нежелательные и небезопасные программные компоненты.

Эти параметры можно в любое время изменить в разделе параметров программы. Чтобы включить или отключить обнаружение потенциально нежелательных, небезопасных или подозрительных приложений, следуйте приведенным ниже инструкциям.

1.Откройте программу ESET. Как открыть программу ESET на моем компьютере?
2.Нажмите клавишу F5, чтобы перейти к разделу Дополнительные настройки.
3.Щелкните элемент Антивирус и на свое усмотрение включите или отключите параметры Включить обнаружение потенциально нежелательных приложений, Включить обнаружение потенциально опасных приложений и Включить обнаружение подозрительных приложений. Чтобы сохранить настройки, нажмите кнопку ОК.

Потенциально нежелательные приложения — оболочки

Оболочка — специальное приложение, используемое на некоторых файлообменных ресурсах. Это стороннее средство, устанавливающее программу, которую нужно загрузить, в комплекте с другим программным обеспечением, например панелью инструментов или рекламной программой, которые могут изменить домашнюю страницу браузера или параметры поиска. При этом файлообменные ресурсы часто не уведомляют поставщиков программного обеспечения или получателей загруженных файлов о внесенных изменениях, а отказаться от этих изменений непросто. Именно поэтому компания ESET считает оболочки потенциально нежелательными приложениями и дает пользователям возможность отказаться от их загрузки.

Обновленную версию данной страницы справки см. в этой статье базы знаний ESET.

Потенциально опасные приложения. Потенциально опасные приложения — это обозначение для не являющихся вредоносными коммерческих программ, таких как средства удаленного доступа, приложения для взлома паролей и клавиатурные шпионы (программы, записывающие каждое нажатие клавиши на клавиатуре). По умолчанию этот параметр отключен.

Очистка

Параметры очистки определяют поведение модуля сканирования при очистке зараженных файлов. Предусмотрено три уровня очистки.

Без очистки: зараженные файлы не будут очищаться автоматически. Программа выводит на экран окно предупреждения и предлагает пользователю выбрать действие. Этот уровень предназначен для более опытных пользователей, которые знают о действиях, которые следует предпринимать в случае заражения.

Обычная очистка: программа пытается автоматически очистить или удалить зараженный файл на основе предварительно определенного действия (в зависимости от типа заражения). Обнаружение и удаление зараженных файлов сопровождается уведомлением, отображающимся в правом нижнем углу экрана. Если невозможно выбрать правильное действие автоматически, программа предложит выбрать другое действие. То же самое произойдет в том случае, если предварительно определенное действие невозможно выполнить.

Тщательная очистка: программа очищает или удаляет все зараженные файлы. Исключение составляют только системные файлы. Если очистка невозможна, на экран выводится окно предупреждения, в котором пользователю предлагается выполнить определенное действие.

Предупреждение. Если в архиве содержатся зараженные файлы, существует два варианта обработки архива. В стандартном режиме (при стандартной очистке) целиком удаляется архив, все файлы в котором заражены. В режиме Тщательная очистка удаляется архив, в котором заражен хотя бы один файл, независимо от состояния остальных файлов.

Исключения

Расширением называется часть имени файла, отделенная от основной части точкой. Оно определяет тип файла и его содержимое. Этот раздел параметров ThreatSense позволяет определить типы файлов, подлежащих сканированию.

Другое

При настройке параметров модуля ThreatSense для сканирования компьютера по требованию также доступны описанные ниже параметры из раздела Другое.

Сканировать альтернативные потоки данных (ADS): альтернативные потоки данных, используемые файловой системой NTFS, — это связи файлов и папок, которые не обнаруживаются при использовании обычных методов сканирования. Многие заражения маскируются под альтернативные потоки данных, пытаясь избежать обнаружения.

Запускать фоновое сканирование с низким приоритетом: каждый процесс сканирования потребляет некоторое количество системных ресурсов. Если пользователь работает с ресурсоемкими программами, можно активировать фоновое сканирование с низким приоритетом и высвободить тем самым ресурсы для других приложений.

Регистрировать все объекты: если этот флажок установлен, в файле журнала будет содержаться информация обо всех просканированных файлах, в том числе незараженных. Например, если в архиве найден вирус, в журнале также будут перечислены незараженные файлы из архива.

Включить интеллектуальную оптимизацию: при включенной оптимизации Smart используются оптимальные параметры для обеспечения самого эффективного уровня сканирования с сохранением максимально высокой скорости. Разные модули защиты выполняют интеллектуальное сканирование, применяя отдельные методы для различных типов файлов. Если оптимизация Smart отключена, при сканировании используются только пользовательские настройки ядра ThreatSense каждого модуля.

Сохранить отметку о времени последнего доступа: установите этот флажок, чтобы сохранять исходную отметку о времени доступа к сканируемым файлам, не обновляя ее (например, для использования с системами резервного копирования данных).

icon_section Ограничения

В разделе «Ограничения» можно указать максимальный размер объектов и уровни вложенности архивов для сканирования.

Параметры объектов

Максимальный размер объекта: определяет максимальный размер объектов, подлежащих сканированию. Данный модуль защиты от вирусов будет сканировать только объекты меньше указанного размера. Этот параметр рекомендуется менять только опытным пользователям, у которых есть веские основания для исключения из сканирования больших объектов. Значение по умолчанию: не ограничено.

Максимальное время сканирования объекта (с): определяет максимальное время, в течение которого будет сканироваться объект. Если пользователь укажет здесь собственное значение, модуль защиты от вирусов прекратит сканирование объекта по истечении указанного времени вне зависимости от того, завершено ли сканирование. Значение по умолчанию: не ограничено.

Настройки сканирования архивов

Уровень вложенности архивов: определяет максимальную глубину сканирования архивов. Значение по умолчанию: 10.

Максимальный размер файла в архиве: этот параметр позволяет задать максимальный размер подлежащих сканированию файлов в архиве (имеется в виду размер, который будут иметь извлеченные файлы). Значение по умолчанию: не ограничено.

ПРИМЕЧАНИЕ. Не рекомендуется изменять значения по умолчанию, так как обычно для этого нет особой причины.


Все страницы справочникаНа главную