Параметри ThreatSense

   Зміст Покажчик Шукати  

ThreatSense – це технологія, яка складається з багатьох комплексних методів виявлення загроз. Вона проактивна, тобто забезпечує захист навіть у перші години поширення нової загрози. У ній поєднуються різні методи (аналіз коду, емуляція коду, родові сигнатури, сигнатури вірусів), які працюють узгоджено, що суттєво підвищує рівень захисту системи. Підсистема сканування може контролювати одночасно кілька потоків даних, підвищуючи ефективність і швидкість виявлення. Окрім того, технологія ThreatSense успішно знищує руткіти.

У налаштуваннях підсистеми ThreatSense можна задати кілька параметрів сканування:

типи й розширення файлів, які потрібно сканувати;
комбінацію різних методів виявлення;
рівні очистки тощо.

Щоб відкрити вікно параметрів, натисніть Параметри ThreatSense у вікні додаткових параметрів будь-якого модуля, у якому використовується технологія ThreatSense (її описано нижче). Для різних сценаріїв інколи потрібно налаштувати індивідуальні конфігурації. Зважаючи на це, підсистему ThreatSense можна налаштовувати окремо для кожного з таких модулів захисту:

захисту файлової системи в режимі реального часу;
сканування в неактивному стані;
сканування під час запуску;
захисту документів;
захисту поштового клієнта;
захисту доступу до Інтернету;
перевірки комп’ютера.

Параметри ThreatSense оптимізовано для кожного модуля, тому їх змінення може суттєво вплинути на роботу системи. Наприклад, якщо ввімкнути обов’язкове сканування упакованих програм або розширену евристику для модуля захисту файлової системи в режимі реального часу, робота системи може значно сповільнитися (зазвичай такі методи використовуються лише для сканування щойно створених файлів). Не рекомендуємо змінювати параметри ThreatSense за замовчуванням для всіх модулів, окрім перевірки комп’ютера.

Перевірити об’єкти

У цьому розділі можна визначати компоненти комп’ютера та файли, які скануватимуться на наявність загроз.

Оперативна пам’ять – сканування на предмет загроз, орієнтованих на оперативну пам’ять комп’ютера.

Завантажувальні сектори – сканування завантажувальних секторів на наявність вірусів у головному завантажувальному записі.

Файли електронної пошти – програма підтримує такі розширення: DBX (Outlook Express) і EML.

Архіви – програма підтримує такі розширення: ARJ, BZ2, CAB, CHM, DBX, GZIP, ISO/BIN/NRG, LHA, MIME, NSIS, RAR, SIS, TAR, TNEF, UUE, WISE, ZIP, ACE та багато інших.

Саморозпакувальні архіви (SFX) – архіви, для розпакування яких не потрібні спеціалізовані програми.

Упаковані програми – після виконання ці програми (на відміну від стандартних типів архіву) розпаковуються в пам’яті. Окрім стандартних статичних пакувальників (UPX, yoda, ASPack, FGS та інших), сканер здатен розпізнати кілька додаткових типів пакувальників завдяки емуляції коду.

Опції сканування

Виберіть методи сканування системи на наявність проникнень. Можна вибрати один із наведених нижче варіантів.

Евристика – алгоритм, який аналізує зловмисні дії програм. Основна перевага цієї технології – можливість виявляти шкідливе програмне забезпечення, яке не існувало під час формування попередньої вірусної бази даних або не ввійшло в неї. Недолік – (дуже мала) імовірність помилкових сигналів.

Розширена евристика/DNA/Smart-підписи – у розширеній евристиці реалізовано унікальний евристичний алгоритм, розроблений компанією ESET, який оптимізовано для виявлення комп’ютерних черв’яків, троянських програм і написано мовами програмування високого рівня. Використання розширеної евристики значно розширює можливості продуктів ESET для виявлення загроз. Сигнатури – надійний засіб виявлення й визначення вірусів. Автоматична система оновлення дає змогу отримувати нові сигнатури протягом кількох годин із моменту виявлення загрози. Недолік використання сигнатур полягає в тому, що визначити можна лише відомі віруси (або їх дещо змінені версії).

Потенційно небажаною є програма, що містить рекламу, інсталює панелі інструментів або має інше незрозуміле призначення. Проте в деяких випадках переваги від використання потенційно небажаної програми для користувача переважають ризики. Саме тому система безпеки ESET відносить такі програми до категорії зниженого ризику порівняно з іншими типами зловмисного ПЗ, наприклад троянами чи черв’яками.

Увага! Знайдено потенційну загрозу
Потенційно небажані програми – параметри
Потенційно небажані програми – приховані програмні надбудови

Увага! Знайдено потенційну загрозу

Коли виявлено потенційно небажану програму, ви можете вибрати, яку дію потрібно виконати.

1.Очистити/Відключити: застосування цієї опції завершує дію та запобігає проникненню потенційної загрози в систему.
2.Ігнорувати: ця опція дозволить потенційній загрозі потрапити в систему.
3.Щоб у майбутньому певна програма без проблем запускалася на комп’ютері, натисніть Додаткові опції й установіть прапорець Виключити з перевірки.

Коли виявлено потенційно небажану програму, яку не вдається очистити, у нижньому правому куті екрана відображається вікно сповіщення Адресу заблоковано. Щоб дізнатися докладніше про менеджер подій, відкрийте в головному меню Інструменти > Інші інструменти > Журнали > Відфільтровані веб-сайти.

PUA_NOTIFICATION

Потенційно небажані програми – параметри

Під час інсталяції продукту ESET можна самостійно ввімкнути виявлення потенційно небажаних програм, як показано нижче.

INSTALLATION_DETECTION

MONITOR_RED Потенційно небажані програми можуть поширювати рекламу, інсталювати панелі інструментів або містити інші небажані або небезпечні функції.

Відповідні параметри можна в будь-який час змінити в налаштуваннях програми. Щоб увімкнути чи вимкнути виявлення потенційно небажаних, небезпечних або підозрілих програм, дотримуйтеся наведених нижче інструкцій.

1.Відкрийте продукт ESET. Як відкрити продукт ESET
2.Натисніть клавішу F5, щоб відкрити меню Додаткові параметри.
3.Натисніть Антивірус і на власний розсуд увімкніть або вимкніть параметри Увімкнути виявлення потенційно небажаних програм, Увімкнути виявлення потенційно небезпечних програм і Увімкнути виявлення підозрілих програм. Підтвердьте зміни, натиснувши OK.

Потенційно небажані програми – приховані програмні надбудови

Прихована програмна надбудова – особливий тип зміни програми, що використовується на деяких файлових хостингах. Це інструмент стороннього виробника, що інсталює потрібну програму разом із додатковим програмним забезпеченням (наприклад, панеллю інструментів або рекламою). Додаткове ПЗ також може вносити зміни в домашню сторінку веб-браузера й налаштування пошуку. Власники файлових хостингів часто не сповіщають виробника ПЗ або користувача про внесені зміни й не дають змоги безпосередньо запобігти виконанню небажаних дій. Саме тому система безпеки ESET класифікує приховані програмні надбудови як потенційно небажане ПЗ, щоб користувачі самостійно приймали рішення про необхідність продовження завантаження.

Оновлену інформацію можна прочитати в цій статті бази знань ESET.

Потенційно небезпечні програми – характеристика, яка застосовується до комерційних легальних програм (їх описано в розділі Потенційно небезпечні програми). До них належать такі програми, як засоби віддаленого доступу, програми для зламу паролів і клавіатурні шпигуни (програми, які записують кожне натискання клавіш, зроблене користувачем). За замовчуванням цей параметр вимкнуто.

Очистка

Параметри очистки визначають поведінку сканера під час очистки інфікованих файлів. Існує 3 рівні очистки.

Без очистки – інфіковані файли не очищуються автоматично. Програма відкриє вікно попередження та дозволить користувачу вибрати дію. Цей рівень розрахований на досвідчених користувачів, які знають, як діяти у випадку виникнення загрози.

Стандартне очищення – програма спробує автоматично очистити або видалити інфікований файл на основі попередньо визначеної дії (залежно від типу проникнення). Під час виявлення та видалення інфікованого файлу в правому нижньому кутку екрана з’являється сповіщення. Якщо неможливо вибрати правильну дію автоматично, програма пропонує низку дій на вибір. Програма поводиться так само, якщо неможливо виконати дію, указану в налаштуваннях.

Ретельна очистка – програма очистить або видалить усі інфіковані файли. Єдині виключення – системні файли. Якщо їх неможливо очистити, користувачу пропонується вибрати дію, зазначену у вікні попередження.

Попередження. Якщо архів містить інфіковані файли, можливі два варіанти його обробки. У стандартному режимі (Стандартна очистка) увесь архів видаляється, якщо всі файли в ньому інфіковані. У режимі Ретельна очистка архів видаляється, якщо містить хоча б один інфікований файл, незалежно від стану інших файлів у ньому.

Виключення

Розширення – це частина імені файлу, відокремлена крапкою. Розширення визначає тип і вміст файлу. Цей розділ налаштування параметрів підсистеми ThreatSense дає змогу визначити типи файлів, які потрібно сканувати.

Інше

Під час налаштування параметрів підсистеми ThreatSense для сканування комп’ютера за вимогою доступні також наведені нижче опції розділу Інше.

Перевіряти альтернативні потоки даних (ADS) – файлова система NTFS використовує альтернативні потоки даних, тобто асоціації файлів і папок, невидимі для звичайних методик перевірки. Багато загроз намагаються обійти виявлення, маскуючись як альтернативні потоки даних.

Запускати фонові перевірки з низьким пріоритетом – на кожну процедуру сканування витрачається певний обсяг ресурсів системи. Якщо запущено програму, яка спричиняє значне використання ресурсів системи, можна активувати фонову перевірку з низьким пріоритетом і зберегти ресурси для програм.

Реєструвати всі об’єкти – якщо цей параметр вибрано, у журналі буде відображено всі проскановані файли, навіть неінфіковані. Наприклад, якщо проникнення знайдено в архіві, у журналі будуть також чисті файли, які містилися в ньому.

Увімкнути Smart-оптимізацію – коли Smart-оптимізацію ввімкнуто, система використовує оптимальні параметри для забезпечення найефективнішого рівня сканування, одночасно підтримуючи найвищу швидкість цього процесу. Різноманітні модулі захисту виконують інтелектуальне сканування, використовуючи різні методи й застосовуючи їх до відповідних типів файлів. Якщо Smart-оптимізацію вимкнуто, під час сканування застосовуються лише визначені користувачем у ядрі ThreatSense параметри для окремих модулів.

Зберегти час останнього доступу – установіть цей прапорець, щоб зберігати початковий час доступу до сканованих файлів, а не оновлювати їх (наприклад, якщо цього потребує робота систем резервного копіювання даних).

icon_section Обмеження

У розділі "Обмеження" можна вказати максимальний розмір об’єктів і число рівнів вкладених архівів, які необхідно сканувати.

Параметри об’єкта

Максимальний розмір об’єкта – визначає максимальний розмір об’єктів, які потрібно сканувати. Після встановлення цього параметра відповідний антивірусний модуль скануватиме лише об’єкти, розмір яких не перевищуватиме зазначений. Цей параметр рекомендується змінювати тільки досвідченим користувачам і лише за потреби виключити з перевірки великі об’єкти. Значення за замовчуванням: необмежено.

Максимальний час перевірки об’єкта (с) – визначає максимальний час перевірки об’єкта. Якщо в це поле введено користувацьке значення, після завершення відповідного часу антивірусний модуль припинить перевірку об’єкта, незалежно від того, чи закінчилася вона. Значення за замовчуванням: необмежено.

Параметри перевірки архівів

Глибина архіву – визначає максимальну глибину сканування архіву. Значення за замовчуванням: 10.

Максимальний розмір файлу в архіві – за допомогою цього параметра можна вказати максимальний розмір для файлів (умовно видобутих), які потрібно просканувати в архівах. Значення за замовчуванням: необмежено.

ПРИМІТКА. Змінювати значення за замовчуванням не рекомендується, оскільки за нормальних обставин для цього немає причин.