ESET Smart Security Premium

Size: px

Start display at page:

Download "ESET Smart Security Premium"

斌禹
5 years ago
Views:

1 用户指南适用于产品版本 12.0 和更高版本 Microsoft Windows 10 / 8.1 / 8 / 7 / Vista / Home Server 2011 单击此处显示此文档的联机帮助版本

2 版权 2018 ESET, spol. s r. o. ESET Sma rt Securi ty Premi um 由 ESET, s pol. s r. o. 开发有关更多信息请访问 et.com 保留所有权利未经作者书面同意本文档的任何部分均不得复制存入检索系统或以任何形式或任何方式传播包括电子的机械的影印记录扫描或其他方式 ESET, s pol. s r. o. 保留未经事先通知即更改任何所述应用程序软件的权利全球客户支持 et.com/s upport 修订日期 2018/9/25

3 目录可移动磁盘 ESET Sm art Security Prem ium 此版本中的新功能设备控制设备控制规则编辑器添加设备控制规则我有哪些产品网络摄像机防护规则编辑器系统需求基于主机的入侵预防系统 (HIPS) 高级设置预防 HIPS 交互窗口检测到潜在的勒索软件行为安装游戏模式 Liv e installer Internet 防护脱机安装 W eb 访问保护输入许可证密钥使用许可证管理器高级设置常见安装问题产品激活输入许可证密钥升级到更新版本安装完成后的首次扫描基本 Web 协议 URL 地址管理电子邮件客户端防护电子邮件客户端电子邮件协议警报和通知电子邮件客户端集成电子邮件客户端防护配置 POP3 POP3S 过滤器反垃圾邮件防护入门指南协议过滤主程序窗口排除的应用程序更新排除的 IP 地址 Web 和电子邮件客户端添加 IPv4 地址信任区域设置添加 IPv6 地址防盗 SSL/ TLS 家长控制工具使用 ESET Sm art Security Prem ium 证书加密的网络通信已知证书列表 SSL/ TLS 过滤的应用程序列表计算机防护网络钓鱼防护检测引擎网络防护文件系统实时防护防火墙其他 ThreatSense 参数学习模式设置清除级别网络攻击防护何时修改实时防护配置防火墙配置文件检查实时防护已分配到网络适配器的配置文件实时防护不工作时如何应对配置和使用规则计算机扫描防火墙规则自定义扫描启动程序使用规则扫描进度配置区域扫描配置文件已知网络计算机扫描日志已知网络编辑器空闲状态下扫描网络验证服务器配置开机扫描日志记录自动启动文件检查建立连接检测排除使用 ESET 个人防火墙解决问题 ThreatSense 参数故障排除向导清除记录日志并从中创建规则或例外不扫描的文件扩展名从日志创建规则检测到威胁创建个人防火墙通知的例外文档防护高级 PCAP 日志记录... 71

4 使用协议过滤解决问题安全工具用户界面用户界面元素家长控制警报和通知类别高级设置网站例外访问设置更新程序程序菜单更新设置高级用户高级更新设置更新模式配置文件连接选项键盘快捷方式更新回滚如何创建更新任务诊断工具导入和导出设置 Password Manager ESET SysInspec tor 启用 Password Manager 解锁 Password Manager 禁用 Password Manager 支持的浏览器身份应用帐户 W eb 帐户菜单设置工具我的帐户主密码同步 Sec ure Data 简介安装入门加密虚拟驱动器 ESET SysInspec tor 介绍启动 ESET SysInspector 用户界面和应用程序的使用程序控件 ESET SysInspector 导航键盘快捷键比较命令行参数服务脚本生成服务脚本服务脚本结构执行服务脚本常见问题解答命令行词汇表加密可移动驱动器渗透类型已连接的家庭显示器病毒网络设备蠕虫网络摄像机防护木马 ESET Smart Sec urity Premium 中的工具 Rootk it 日志文件广告软件日志文件间谍软件运行进程加壳程序安全报告潜在的不安全应用程序查看活动潜在的不受欢迎应用程序网络连接僵尸网络 ESET SysInspector 远程攻击类型计划任务系统清理器 ESET SysRescue 基于云的防护可疑文件隔离区代理服务器电子邮件通知 DoS 攻击 DNS 投毒蠕虫攻击端口扫描 T CP 去同步化 SMB 中继 ICMP 攻击邮件格式 ESET 技术选择样本以供分析漏洞利用阻止程序 Microsoft Windows 更新高级内存扫描程序 ESET CMD 网络攻击防护 ESET Liv egrid

5 目录僵尸网络保护 Jav a 漏洞利用阻止程序银行和付款保护基于脚本的攻击防护勒索软件防护 UEFI 扫描程序电子邮件广告恶作剧欺诈识别垃圾邮件欺骗规则白名单黑名单例外列表服务器端控制常见问题如何更新 ESET Smart Sec urity Premium 如何从 PC 中删除病毒如何允许特定应用程序的通信如何为帐户启用家长控制如何在计划任务中创建新任务如何计划每周计算机扫描如何解锁高级设置

6 1. ESET Smart Security Premium ESET Smart Security Premium 代表了真正集成计算机安全的新方法最新版本的 ESET LiveGrid 扫描引擎与自定义防火墙和反垃圾邮件模块相结合提高了速度和精确性以保护您的计算机安全由此形成了一个能够对可能威胁您的计算机的攻击和恶意软件持续保持警戒状态的智能系统 ESET Smart Security Premium 是结合了最高防护与最少系统占用的完整安全解决方案我们的先进技术使用人工智能来防止病毒间谍软件木马蠕虫广告软件 Rootkit 和其他威胁的渗透且不会妨碍系统性能或中断计算机的运行功能和优点重新设计的用户界面此版本中的用户界面已基于可用性测试结果进行了大量重新设计和简化已仔细检查所有 GUI 用词和通知并且该界面现在支持从右到左的语言例如希伯来语和阿拉伯语在线帮助现在集成到 ESET Smart Security Premium 中并提供动态更新支持内容病毒和间谍软件防护主动检测和清除更多已知和未知病毒蠕虫木马和 Rootkit 即使是前所未见的恶意软件高级启发式扫描也可对其进行标志从而防止未知威胁并在恶意软件制造危害之前使其失效 Web 访问保护和网络钓鱼防护的功能是监视 Web 浏览器和远程服务器之间的通信包括 SSL 电子邮件客户端防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信定期更新定期更新检测引擎之前称为病毒库和程序模块是确保计算机保持最高安全级别的最佳方法 E S E T Liv egrid 云端信誉用户可以直接从 ESET Smart Security Premium 检查运行进程和文件的信誉设备控制自动扫描所有 U 盘内存卡和 CD/DVD 将根据磁盘的类型制造商大小和其他特性阻止可移动磁盘 HIP S 功能您可以更详细地自定义系统的行为为系统注册表活动进程和程序指定规则以及微调您的安全状态游戏模式推迟所有弹出窗口更新或其他系统占用量大的活动以为游戏或其他全屏活动保留系统资源 E S E T S mart S ec urit y P remium 中的功能银行和付款保护银行和付款保护提供了一个可供在访问网上银行或在线付款网关时使用的安全浏览器用于确保所有在线交易均在受信任且安全的环境中进行网络签名支持网络签名允许快速标识并阻止通过用户设备例如机器人传送的恶意通信以及漏洞利用软件包该功能可以视为僵尸网络保护的增强功能智能防火墙阻止未授权的用户访问您的计算机和使用您的个人数据 E S E T 反垃圾邮件垃圾邮件占全部电子邮件通信的比率高达 80% 反垃圾邮件防护即针对此问题提供保护 E S E T 防盗在计算机丢失或被盗的情况下 ESET 防盗能够扩展用户级别安全用户安装 ESET Smart Security Premium 和 ESET 防盗后其设备将在 Web 界面中列出 Web 界面允许用户在其设备上管理 ESET 防盗配置并管理防盗功能家长控制通过阻止各种网站类别可保护家庭成员不受潜在冒犯 Web 内容的干扰要使 ESET Smart Security Premium 的功能可用需激活许可证建议您在 ESET Smart Security Premium 许可证过期前的若干周内续订许可证 6

7 1.1 此版本中的新功能 ESET Smart Security Premium 的新版本包含以下改进一键单击日志记录只需单击一下即可创建高级日志统一可扩展固件接口 (UE FI) 扫描程序通过在操作系统启动之前检测并删除可能触发的威胁来提高恶意软件防护级别有关详细信息请单击此处高性能和低系统影响 - 此版本旨在高效使用系统资源从而使您可以在抵御新的威胁类型的同时尽情享受计算机的性能高级重组设置 ESET LiveGrid 设置移至检测引擎部分反垃圾邮件高级日志移至诊断部分等改进的屏幕阅读器支持 ESET Smart Security Premium 支持最受欢迎的屏幕阅读器 (JAWS NVDA Narrator) 拖放文件扫描 - 只需将文件或文件夹移动到标记区域即可手动扫描文件或文件夹 ESET Smart Security Premium 现在使用最小模块进行安装使安装轻量快捷安装并激活产品后模块开始下载 ESET Smart Security Premium 将在您连接到未受保护的无线网络或防护较弱的网络时通知您有关 ESET Smart Security Premium 中新功能的更多详细信息请阅读下面的 ESET 知识库文章此 ESET 家庭产品版本中的新功能 1.2 我有哪些产品 ESET 在新产品中提供多层安全性从强大而快速的病毒防护解决方案到具有最少系统占用的一体式安全解决方案 E S E T NOD32 A nt iv irus E S E T Int ernet S ec urit y E S E T S mart S ec urit y P remium 若要确定您安装了哪个产品请打开主程序窗口请参阅知识库文章您将在窗口顶部标题看到产品的名称下表详细介绍了每个特定产品中提供的功能 E S E T NOD32 A nt iv irus E S E T Int ernet S ec urit y E S E T S mart S ec urit y P remium 病毒防护??? 间谍软件防护??? 漏洞利用阻止程序??? 基于脚本的攻击防护??? 网络钓鱼防护??? Web 访问保护??? HIP S 包括防勒索软件防护??? 反垃圾邮件?? 防火墙?? 已连接的家庭显示器?? 网络摄像机防护?? 网络攻击防护?? 僵尸网络保护?? 银行和付款保护?? 家长控制?? 防盗?? 7

8 E S E T P as s word Manager? E S E T S ec ure Dat a? 注意可能并未针对您的语言地区提供上述某些产品 1.3 系统需求若要使 ESET Smart Security Premium 发挥最佳性能您的系统应满足以下硬件和软件要求支持的处理器 Intel 或 AMD x86-x64 支持的操作系统 Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Windows Windows Windows Windows Windows Windows Vista Home Server 位注意 ESET 防盗不支持 Microsoft Windows Home Server 1.4 预防使用计算机时尤其是浏览 Internet 时请记住世界上没有任何病毒防护系统可以完全消除渗透和攻击. 要提供最大保护和便利正确使用病毒防护解决方案和遵守一些有用规则非常重要定期更新根据 ThreatSense 的统计数据每天都会产生数以千计的新的独特渗透它们绕过现有安全措施以损害其他用户利益为代价给渗透者带来收益 ESET 研究实验室的专家每天分析这些威胁准备并发布更新以不断提高用户的保护级别要确保这些更新的最大有效性在系统上适当配置这些更新就显得非常重要有关如何配置更新的更多信息请参见更新设置章节下载安全补丁恶意软件的作者通常利用各种系统漏洞以提高恶意代码的传播效果出于这种考虑软件公司密切关注其应用程序中出现的任何漏洞并且定期发布可消除潜在威胁的安全更新的原因安全更新发布后需立即下载这非常重要 Microsoft Windows 和 Web 浏览器例如 Internet Explorer 程序是安全更新定期发布的两个程序示例备份重要数据恶意软件作者通常不关心用户需求恶意程序的活动常常导致操作系统故障和重要数据丢失定期将重要和敏感数据备份到外部存储器例如 DVD 或外部硬盘驱动器就显得非常重要这将使得发生系统故障时恢复数据更加简单快速定期扫描计算机查找病毒实时文件系统防护模块可检测更多已知和未知的病毒蠕虫木马和 Rootkit 这意味着每次您访问或打开文件时将对其进行扫描以查找恶意软件活动我们建议您每月至少运行一次计算机全面扫描这是因为恶意软件病毒库不断变化并且检测引擎每天会自行更新 8

9 遵循基本安全规则这是所有规则中最有用和最有效的一条始终保持谨慎现在许多渗透需要用户干预才能执行和船舶如果您打开新文件时比较谨慎可为自己节省清除渗透所需的大量时间和精力下面是一些实用指南不访问带有多个弹出窗口和闪烁广告的可疑网站谨慎安装免费软件代码包等只使用安全的程序只访问安全的 Internet 网站谨慎打开电子邮件附件尤其是批量发送的邮件和来自陌生发件人的邮件不要使用管理员帐户执行计算机的日常工作 9

2. 安装有多种方法可用于在您的计算机上安装 ESET Smart Security Premium 安装方法稍有差异具体取决于国家地区以及分发方式可以从 ESET 网站上下载 Live installer 此安装程序包通用于所有语言请选择一种所需的语言 Live installer 文件本身很小系统会自动下载安装 ESET Smart Security Premium

10 2. 安装有多种方法可用于在您的计算机上安装 ESET Smart Security Premium 安装方法稍有差异具体取决于国家地区以及分发方式可以从 ESET 网站上下载 Live installer 此安装程序包通用于所有语言请选择一种所需的语言 Live installer 文件本身很小系统会自动下载安装 ESET Smart Security Premium 所需的其他文件脱机安装 - 从产品 CD/DVD 进行安装时将使用此安装类型它将使用一个比 Live installer 文件更大的.exe 文件且无需 Internet 连接或其他文件即可完成安装重要信息在您安装 ESET Smart Security Premium 之前确保您的计算机上没有安装其他病毒防护程序如果在一台计算机上安装两个或更多病毒防护解决方案可能彼此冲突建议您卸载系统上的任何其他病毒防护程序请参见 ESET 知识库文章了解常见病毒防护软件的卸载工具列表提供英语和多个其他语言版本 2.1 Live installer 下载 Live installer 安装程序包后双击安装文件并遵循安装程序窗口中的逐步说明重要信息您必须连接到 Internet 才可进行此类安装从下拉菜单中选择所需的语言然后单击继续留出一些时间用于下载安装文件在您接受最终用户许可协议后系统会提示您配置 E S E T Liv egrid 和检测潜在不受欢迎的应用程序 E S E T Liv egrid 可帮助确保 ESET 能够及时且持续地获知新威胁从而保护我们的客户该系统允许向 ESET 研究实验室提交新的威胁这些威胁将在实验室进行分析处理并添加到检测引擎中默认情况下选择启用 E S E T Liv egrid 反馈系统(推荐) 这将激活此功能安装过程的下一步是配置潜在不受欢迎的应用程序检测潜在不受欢迎的应用程序未必是恶意的但可能对操作系统的运行产生不良影响参见潜在不受欢迎的应用程序章节了解更多详细信息单击安装开始安装过程可能需要一些时间单击完成以完成产品安装并开始激活过程注意安装并激活产品后模块开始下载正在初始化防护某些功能可能无法完全正常工作除非下载完成 10

11 注意如果有允许您安装其他版本产品的许可证则可以根据自己的偏好选择相应产品有关每个特定产品中的各项功能的详细信息请单击此处 2.2 脱机安装启动脱机安装 (.exe) 后安装向导将引导您完成设置过程从下拉菜单中选择所需的语言然后单击安装在您接受最终用户许可协议后系统会提示您输入许可证密钥或使用许可证管理器如果您还没有许可证请选择免费试用版以在一段有限时间内测试 ESET 产品或选择购买许可证或者您可以选择跳过激活以在没有激活的情况下继续安装稍后系统将提示您输入许可证密钥 11

12 2.2.1 输入许可证密钥安装向导根据您的许可证密钥选择要安装的产品并在安装期间显示产品名称要查看可使用您的许可证激活的产品列表请单击更改产品有关每个特定产品中的各项功能的详细信息请单击此处单击继续选择 E S E T Liv egrid 的首选设置和检测潜在不受欢迎的应用程序 E S E T Liv egrid 可帮助确保 ESET 能够及时且持续地获知新威胁从而保护我们的客户该系统允许向 ESET 研究实验室提交新的威胁这些威胁将在实验室进行分析处理并添加到检测引擎中潜在不受欢迎的应用程序未必是恶意的但可能对操作系统的运行产生不良影响参见潜在不受欢迎的应用程序章节了解更多详细信息单击安装开始安装过程可能需要一些时间单击完成以完成产品安装并开始激活过程注意安装并激活产品后模块开始下载正在初始化防护某些功能可能无法完全正常工作除非下载完成注意如果您拥有允许您在产品之间进行选择的许可证则可以根据自己的喜好安装产品有关每个特定产品中的各项功能的详细信息请单击此处有关安装步骤 E S E T Liv egrid 和检测潜在不受欢迎的应用程序的详细说明请遵循 Live installer 部分中的说明使用许可证管理器在选择使用许可证管理器后系统会要求您在新窗口中提供 my.eset.com 凭据输入您的 my.eset.com 凭据并单击登录即可在许可证管理器中使用许可证选择要激活的许可证单击继续将激活您的 ESET Smart Security Premium 注意如果您还没有 my.eset.com 帐户请通过单击创建帐户按钮进行注册注意如果您忘记了密码则单击忘记密码然后按照将您重定向到的网页上的步骤操作 ESET 许可证管理器可帮助您管理您的所有 ESET 许可证您可以轻松续订升级或扩展许可证并查看重要的许可证详细信息首先输入许可证密钥之后您将看到产品关联设备可用席位数和到期日期您可以停用或重命名特定设备在单击续订后系统会将您重定向到在线商店您可以通过在线商店确认购买并购买续订 12

13 如果要升级您的许可证例如从 ESET NOD32 Antivirus 升级到 ESET Smart Security Premium 或者想在其他设备上安装 ESET 安全产品系统会将您重定向到在线商店以完成购买在 ESET 许可证管理器中还可以添加其他许可证将产品下载到您的设备高级设置选择更改安装文件夹后系统将提示您为安装选择一个位置程序默认安装到以下目录 C:\Program Files\ESET\ESET Smart Security Premium\ 单击浏览可更改此位置不建议若要完成后续安装步骤 E S E T Liv egrid 和检测潜在不受欢迎的应用程序请按照 Live 安装程序部分中的说明操作请参阅 Live 安装程序依次单击继续和安装以完成安装 2.3 常见安装问题如果在安装期间发生问题请查看我们的常见安装错误和解决方案列表以查找有关您的问题的解决方案 2.4 产品激活完成安装后将提示您激活产品有几种激活产品的方法激活窗口中特定激活方案的可用性可能根据国家地区和分发方式 CD/DVD ESET 网页等而不同如果您购买了本产品的零售版则使用许可证密钥激活产品许可证密钥通常位于产品包装的内部或背面若要成功激活必须输入提供的许可证密钥许可证密钥 - 遵循 XXXX-XXXX-XXXX-XXXX-XXXX 或 XXXX-XXXXXXXX 格式的唯一字符串用于标识许可证所有者和激活许可证在选择使用许可证管理器后系统将要求您在新窗口中提供您的 my.eset.com 凭据如果您想在购买前先评估 ESET Smart Security Premium 则选择免费试用输入电子邮件地址和国家地区以在有限时间内激活 ESET Smart Security Premium 试用许可证将用电子邮件发送给您每位客户仅可激活一次试用许可证如果您没有许可证并且想购买请单击购买许可证它将引导您进入您当地的 ESET 经销商网站 13

14 2.5 输入许可证密钥自动更新对您的安全很重要 ESET Smart Security Premium 仅在使用您的许可证密钥激活后才接收更新如果您未在安装后输入您的许可证密钥将不会激活您的产品您可以在主程序窗口中更改您的许可证若要执行此操作请依次单击帮助和支持 > 激活许可证然后将随 ESET 安全产品一起收到的许可证数据输入到产品激活窗口中当输入您的许可证密钥时请务必按照其写入形式准确键入它您的许可证密钥是采用 XXXX-XXXX-XXXX-XXXX-XXXX 格式的唯一字符串用于标识许可证所有者和激活许可证我们建议您从您的注册电子邮件复制并粘贴许可证密钥以确保准确性 2.6 升级到更新版本发布 ESET Smart Security Premium 的新版本可改进功能或修复程序模块自动更新时无法修复的问题有多种方法可以升级到更新版本 1. 通过程序更新自动升级因为程序升级被分发给所有用户而且可能对某些系统配置产生影响所以会在长时间的测试之后才发布以确保所有可能的系统配置都能够工作如果发布后需要立刻升级到更新版本请使用以下方法之一 2. 通过单击检查更新在更新部分中在主程序窗口中手动进行升级 3. 通过针对以前的安装来下载和安装更新版本手动进行升级 14

15 2.7 安装完成后的首次扫描安装 ESET Smart Security Premium 后计算机扫描将在首次成功更新之后自动启动以检查是否存在恶意代码您也可以单击计算机扫描 > 扫描计算机来从主程序窗口手动启动计算机扫描有关计算机扫描的更多信息请参阅计算机扫描一节 15

16 3. 入门指南本章提供对 ESET Smart Security Premium 及其基本设置的初步概述 3.1 主程序窗口 ESET Smart Security Premium 的主程序窗口分为两个主要部分右侧的主窗口显示与左侧的主菜单中选定选项相关的信息以下是主菜单中选项的说明主页 - 提供有关 ESET Smart Security Premium 的防护状态的信息计算机扫描 - 配置并启动对计算机的扫描或创建自定义扫描更新 - 显示有关检测引擎更新的信息工具 - 提供对日志文件防护统计信息查看活动运行进程网络连接计划任务 ESET SysInspector 和 ESET SysRescue 设置 - 选择此选项可调整计算机 Internet 网络防护和安全工具的安全级别帮助和支持 - 使您能够访问帮助文件 ESET 知识库 ESET 网站和指向提交支持请求的链接主页屏幕包含有关计算机的当前防护级别的重要信息状态窗口显示 ESET Smart Security Premium 中的常用功能有关最近更新的信息以及程序的到期日期也位于此处绿色图标和绿色最高防护状态表示已确保最高防护程序工作不正常时如何应对如果主动防护模块正常工作其防护状态图标将为绿色红色惊叹号或橙色通知图标表明无法确保提供最大程度的防护将在主页下显示有关每个模块的保护状态的其他信息以及针对恢复完全防护的建议的解决方案若要更改各个模块的状态 16

请单击设置并选择所需模块红色图标和红色的无法确保提供最大程度的防护状态表示出现严重问题有几种原因可能显示此状态例如产品未激活 - 可以在主页中通过单击防护状态下的激活产品或立即购买来激活 ESET Smart Security Premium 检测引擎已过期 - 此错误将在几次尝试更新病毒库失败之后显示建议您检查更新设置此错误的最常见原因是错误输入验证数据或错误配置连接设置

17 请单击设置并选择所需模块红色图标和红色的无法确保提供最大程度的防护状态表示出现严重问题有几种原因可能显示此状态例如产品未激活 - 可以在主页中通过单击防护状态下的激活产品或立即购买来激活 ESET Smart Security Premium 检测引擎已过期 - 此错误将在几次尝试更新病毒库失败之后显示建议您检查更新设置此错误的最常见原因是错误输入验证数据或错误配置连接设置已禁用病毒和间谍软件防护 - 单击启用病毒和间谍软件防护可以重新启用病毒和间谍软件防护已禁用 E S E T 防火墙 - 此问题还会通过桌面上网络项目旁边的安全通知表示通过单击启用防火墙可以重新启用网络防护许可证已过期 - 此问题由红色防护状态图标表示许可证过期后该程序将无法更新按照警报窗口中的说明续订许可证橙色图标表示防护受到限制例如程序更新有问题或者许可证将要过期有几种原因导致可能显示此状态例如防盗功能优化警告 - 此设备未针对 ESET 防盗进行优化例如可能未在您的计算机上创建 Phantom 帐户在您将设备标记为丢失后自动触发的安全功能您可以使用 ESET 防盗 Web 界面中的优化功能创建 Phantom 帐户游戏模式处于活动状态 - 启用游戏模式将存在潜在安全风险启用此功能将禁用所有弹出窗口并停止所有计划任务您的许可证即将到期 - 此问题由系统时针旁边的防护状态图标显示惊叹号来表示许可证过期后程序将无法更新防护状态图标将变为红色如果使用建议的解决方案无法解决问题请单击帮助和支持访问帮助文件或搜索 ESET 知识库如果您仍需要帮助您可以提交支持请求 ESET 客户服务将快速响应您的问题并帮助找到解决方案 17

18 3.2 更新更新检测引擎和更新程序组件是系统防范恶意代码的重要组成部分请特别注意其配置和操作在主菜单中单击更新然后单击检查更新可检查是否有检测引擎更新如果在激活 ESET Smart Security Premium 的过程中未输入许可证密钥此时将提示您输入高级设置窗口从主菜单中单击设置然后单击高级设置或按键盘上的 F5 包含其他更新选项若要配置高级更新选项例如更新模式代理服务器访问和 LAN 连接请单击更新窗口中的特定选项卡 18

19 3.3 信任区域设置需要配置信任区域来保护您在网络环境中的计算机通过配置信任区域以允许共享可使其他用户访问您的计算机依次单击设置 > 网络防护 > 已连接的网络然后单击已连接的网络下方的链接将显示一个选项窗口可选择您的计算机在网络中的理想保护模式在安装好 ESET Smart Security Premium 后以及在每次计算机连接到新网络时将执行信任区域检测因此通常无需定义信任区域默认情况下在检测到新区域时将有一个对话窗口提示您为该区域设置保护级别警告信任区域配置不正确会带来计算机安全风险注意默认情况下信任区域的工作站有权访问共享文件和打印机传入 RPC 通信被启用且远程桌面共享可用有关此功能的更多详细信息请阅读以下 ESET 知识库文章 ESET Smart Security 中检测到的新网络连接 19

20 3.4 防盗为了在您的计算机丢失或被盗时对其进行保护请从以下选项中进行选择从而为您的计算机注册 ESET 防盗 1. 在成功激活后请单击启用防盗功能为您刚才注册的计算机启动 ESET 防盗功能 2. 如果您在 ESET Smart Security Premium 窗格的主页中看到 E S E T 防盗可用的消息则考虑为您的计算机激活该功能单击启用 E S E T 防盗为您的计算机注册 ESET 防盗 3. 从主程序窗口依次单击设置 > 安全工具单击 E S E T 防盗旁的然后按照弹出窗口中的说明操作注意 ESET 防盗不支持 Microsoft Windows Home Server 有关 ESET 防盗计算机关联的详细说明请参阅如何添加新设备 3.5 家长控制工具如果您在 ESET Smart Security Premium 中已启用了家长控制为保证家长控制的正常运行您还必须为所需的用户帐户配置家长控制如果家长控制处于活动状态而用户帐户没有配置那么主程序窗口的主页窗格中会显示家长控制未设置消息单击设置规则并参考家长控制一章了解有关如何为您的孩子设置具体限制以保护他们免受潜在冒犯材料影响的说明 20

21 4. 使用 ESET Smart Security Premium ESET Smart Security Premium 设置选项允许您调整计算机和网络的防护级别设置菜单分为以下部分计算机防护 Int ernet 防护网络防护安全工具单击组件可以调整相应防护模块的高级设置计算机防护设置允许您启用或禁用以下组件文件系统实时防护 - 在计算机上打开创建或运行所有文件时都将扫描文件是否带有恶意代码 HIP S - HIPS 系统监视操作系统内的事件并按照自定义的规则集进行响应游戏模式 - 启用或禁用游戏模式启用游戏模式后您将收到警告消息潜在安全风险主窗口将变为橙色网络摄像机防护 - 控制访问计算机连接的相机的进程和应用程序有关详细信息请单击此处 Int ernet 防护设置允许您启用或禁用以下组件 Web 访问保护 - 如果已启用将扫描所有通过 HTTP 或 HTTPS 的通信以查看是否有恶意软件电子邮件客户端防护 - 监视通过 POP3 和 IMAP 协议接收的通信反垃圾邮件防护 - 扫描不请自来的电子邮件即垃圾邮件网络钓鱼防护 - 过滤疑似散布意图操纵用户提交机密信息的内容的网站网络防护部分允许您启用或禁用防火墙网络攻击防护 (IDS) 和僵尸网络保护安全工具设置允许您调整以下模块 21

22 银行和付款保护家长控制防盗 Password Manager Secure Data 家长控制可以阻止可能包含潜在冒犯材料的网页此外家长可以禁止访问 40 个以上的预先定义的网站类别和超过 140 个子类别若要重新启用已禁用的安全组件请单击滑块以便它显示绿色复选标记注意当使用此方法禁用防护时所有禁用的防护模块将在计算机重新启动后启用在设置窗口的底部还提供了其他选项使用高级设置链接以为每个模块设置更详细的参数通过导入导出设置使用.xml 配置文件加载设置参数或将当前设置参数保存为配置文件 4.1 计算机防护单击设置窗口中的计算机防护查看所有防护模块的概述若要暂时关闭个别模块请单击对您的计算机的保护级别单击防护模块旁的单击注意这可能会降低访问该模块的高级设置 > 文件系统实时防护旁边的编辑排除以打开排除设置窗口此窗口允许您从扫描中排除文件和文件夹暂停病毒和间谍软件防护 - 禁用所有病毒和间谍软件防护模块当您禁用防护后将打开一个窗口您可以在其中使用时间间隔下拉菜单确定禁用防护的时间单击应用进行确认 22

23 4.1.1 检测引擎病毒防护通过控制文件电子邮件和 Internet 通信防范恶意系统攻击如果检测到带有恶意代码的威胁则病毒防护模块可以通过先阻止然后清除删除或将其移至隔离区来消除威胁用于所有防护模块例如文件系统实时防护 Web 访问保护等的扫描程序选项允许您启用或禁用对以下对象的检测潜在的不受欢迎应用程序 (PUA) 未必是恶意的但可能会对计算机性能造成不良影响请阅读词汇表中关于这些类型的应用程序的更多信息潜在的不安全应用程序是指有可能被滥用于恶意用途的合法商业软件潜在的不安全应用程序的示例包括远程访问工具密码破解应用程序以及按键记录器记录用户键盘输入信息的程序等此选项默认情况下被禁用请阅读词汇表中关于这些类型的应用程序的更多信息可疑应用程序包括使用加壳程序或保护程序压缩的程序这些类型的保护程序通常被恶意软件作者用来逃避检测反隐藏技术是一个复杂的系统它能够检测危险程序例如 rootkits 这些程序可在操作系统下隐藏自己这意味着使用普通测试技术很难检测到它们使用排除可将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除您需要排除某个对象的情况可能包括在扫描期间会使计算机速度变慢的大型数据库条目扫描或遇到与扫描冲突的软件若要从扫描中排除某个对象请参阅排除启用通过 A MS I 的高级扫描 - Microsoft Antimalware Scan Interface 工具允许应用程序开发人员开发新的恶意软件保护仅限 Windows 10 23

24 文件系统实时防护文件系统实时防护控制系统中所有与病毒防护相关的事件在计算机上打开创建或运行所有文件时都将扫描文件是否带有恶意代码文件系统实时防护在系统启动时启动默认情况下文件系统实时防护在系统启动时启动并提供不间断的扫描特殊情况下例如与其他实时扫描程序存在冲突可以通过在高级设置中取消文件系统实时防护 > 基本下的启用文件系统实时防护来禁用实时防护要扫描的介质默认情况下所有类型的介质均可扫描以检查是否存在潜在威胁本地驱动器 - 控制所有系统硬盘可移动磁盘 - 控制 CD/DVD USB 存储和蓝牙设备等网络驱动器 - 扫描所有映射的驱动器建议您使用默认设置且仅在特殊情况例如当扫描某些介质使数据传输速度显著降低时下修改这些设置扫描时间默认情况下所有文件都在打开创建或执行时进行扫描我们建议您保留这些默认设置因为它们可为计算机提供最高级别的实时防护打开文件 - 启用或禁用打开文件时的扫描创建文件 - 启用或禁用创建文件时的扫描执行文件 - 启用或禁用运行文件时的扫描可移动磁盘访问 - 启用或禁用访问具有存储空间的特定可移动磁盘触发的扫描文件系统实时防护检查所有类型的介质并由各种系统事件例如访问文件触发通过使用 ThreatSense 技术检测方法如 ThreatSense 引擎参数设置部分所述将文件系统实时防护配置为采用不同的方式对待新创建的文件和现有文件例如您可以将文件系统实时防护配置为更加密切地监视新创建的文件为确保在使用实时防护时占用最少的系统资源已扫描的文件不会重复扫描除非它们已被修改在每次检测引擎更新后会立刻重新扫描文件可使用智能优化控制此行为如果已禁用智能优化则所有文件在每次访问时都要进行扫描要修改此设置请按 F5 打开高级设置并依次展开检测引擎 > 文件系统实时防护依次单击 Threat S ens e 参数 > 其他然后选中或取消选中启用智能优化 24

25 其他 T hre a ts e ns e 参数用于新创建文件和新修改文件的其他 Threat S ens e 参数新建或修改的文件受感染的可能性相对于现有文件更高出于此原因程序将使用其他扫描参数检查这些文件 ESET Smart Security Premium 将可在发布检测引擎更新之前检测到新威胁的高级启发式扫描与基于病毒库的扫描方法结合使用除了新建文件系统还扫描自解压文件 (.sfx) 和加壳程序内部压缩的可执行文件默认情况下对压缩文件的扫描可深达第 10 个嵌套层而且不论其实际大小都会进行检查要修改压缩文件扫描设置请取消选择默认的压缩文件扫描设置用于已执行文件的其他 Threat S ens e 参数执行文件时采用高级启发式扫描 - 默认情况下执行文件时将使用高级启发式扫描启用后强烈建议您保持智能优化和 ESET LiveGrid 的启用状态以降低对系统性能的影响执行可移动磁盘上的文件时采用高级启发式扫描 - 高级启发式扫描将模拟虚拟环境中的代码并在允许从可移动磁盘运行该代码之前评估其行为清除级别实时防护有三种清除级别要访问清除级别设置请单击文件系统实时防护部分中的 Threat S ens e 引擎参数设置然后单击清除不清除 - 不会自动清除被感染文件程序会显示一个警告窗口允许用户选择操作此级别旨在用于更高级的用户他们了解在渗透事件中应采取哪些步骤正常清除 - 程序将根据预定义操作取决于渗透类型尝试自动清除或删除被感染文件屏幕右下角的通知指示检测到或删除了被感染文件如果无法自动选择正确操作程序将提供其他后续操作如果预定义的操作无法完成也会出现相同的情况严格清除 - 程序将清除或删除所有被感染文件唯一例外的是系统文件如果无法清除被感染文件将弹出一个警告窗口提示用户选择操作警告如果压缩文件包含一个或多个被感染的文件有两种选择方式来处理该压缩文件在标准模式正常清除中如果压缩文件包含的所有文件都被感染则将删除整个压缩文件在严格清除模式中即使压缩文件只包含一个被感染文件则无论被压缩的其他文件是什么状态都将删除该压缩文件何时修改实时防护配置实时防护是维护系统安全的最重要的组件修改其参数时请务必小心建议您仅在特定情况下修改其参数安装 ESET Smart Security Premium 后所有设置都会得到优化以便为用户提供最高级别的系统安全性若要恢复默认设置请单击窗口高级设置 > 检测引擎 > 文件系统实时防护中每个选项卡旁边的检查实时防护要验证实时防护是否工作是否在检测病毒请使用测试文件 eicar.com 此测试文件是一个可供所有病毒防护程序检测的无害文件此文件由 EICAR 欧洲计算机防病毒研究协会公司创建用于测试病毒防护程序的功能此文件可从以下网站下载注意执行实时防护检查前必须禁用防火墙如果启用防火墙防火墙将检测文件并阻止下载测试文件 25

26 实时防护不工作时如何应对在本章中我们将介绍使用实时防护时可能出现的问题以及如何排除这些故障实时防护被禁用如果用户无意中禁用了实时防护则需要重新启用它若要重新启用实时防护请导航至主程序窗口中的设置并单击计算机防护 > 文件系统实时防护如果实时防护未能在系统启动时启动通常是因为启用文件系统实时防护处于禁用状态若要确保启用此选项导航至高级设置 (F5) 然后依次单击检测引擎 > 文件系统实时防护如果实时防护功能不检测和清除渗透请确保您的计算机上未安装任何其他病毒防护程序如果同时安装了两个病毒防护程序它们可能会彼此冲突建议您先卸载系统上的任何其他病毒防护程序再安装 ESET 实时防护不启动如果系统启动时实时防护未启动且启用实时文件系统防护已经启用可能是因为与其他程序发生冲突要获取帮助以解决此问题请联系 ESET 客户服务计算机扫描手动扫描程序是病毒防护解决方案的一个重要组成部分它可以扫描计算机上的文件和文件夹从安全角度说计算机扫描应作为日常安全手段的一部分定期执行而不应仅在怀疑有渗透时执行这一点非常重要我们建议您定期执行系统的全面扫描以检测病毒这些病毒在写入到磁盘时无法由文件系统实时防护捕获如果文件系统实时防护此时处于禁用状态检测引擎未更新或者文件在保存到磁盘时未检测为病毒则会发生这种情况提供两种计算机扫描扫描计算机可快速扫描系统而无需指定扫描参数自定义扫描允许您选择预定义的旨在指向特定位置的扫描配置文件以及选择特定扫描目标扫描计算机扫描计算机允许您快速启动计算机扫描和清除被感染文件而无需用户干预扫描计算机的优势是便于操作不需要详细的扫描配置此扫描检查本地驱动器上的所有文件并自动清除或删除检测到的渗透清除级别被自动设置为默认值有关清除类型的更详细信息请参阅清除您还可以使用拖放扫描功能手动扫描文件或文件夹方法是单击文件或文件夹长按鼠标按钮的同时将鼠标指针移动到标记区域然后释放它在此之后应用程序会移动到前台以下扫描选项在高级扫描下提供自定义扫描自定义扫描允许您指定扫描参数如扫描目标和扫描方法等自定义扫描的优点在于可以详细配置参数配置可以保存到用户定义的扫描配置文件中这在使用相同的参数重复扫描时非常有用可移动磁盘扫描与扫描计算机类似快速启动对当前连接到计算机的可移动磁盘例如 CD/DVD/USB 的扫描这在您将 U 盘连接到计算机并想要扫描其内容是否存在恶意软件和其他潜在威胁时非常有用这一类型的扫描还可以这样启动单击自定义扫描? 从扫描目标下拉菜单中选择可移动磁盘然后单击扫描重复上次扫描允许您使用运行时的相同设置快速启动之前执行的扫描请参见扫描进度以了解有关扫描进程的更多信息 26

27 注意我们建议您每月至少运行一次计算机扫描在工具 > 更多工具 > 计划任务中可以将扫描配置为计划任务如何计划每周计算机扫描自定义扫描启动程序您可以使用客户扫描来扫描磁盘的特定部分而不是扫描整个磁盘若要执行此操作请依次单击高级扫描 > 自定义扫描然后从扫描目标下拉菜单中选择某个选项或者从文件夹树结构中选择特定的目标扫描目标下拉菜单可使您选择预定义的扫描目标按配置文件设置 - 选择由选定的扫描配置文件指定的目标可移动磁盘 - 选择磁盘 USB 存储设备和 CD/DVD 本地驱动器 - 选择所有系统硬盘网络驱动器 - 选择所有映射的网络驱动器不选择 - 取消所有选择若要快速导航到扫描目标或添加目标文件夹或文件请在文件夹列表下方的空白字段中输入目标目录仅当树结构中未选择任何目标并且扫描目标菜单设置为未选择时才可执行此操作您可以在以下位置配置扫描的清除参数高级设置 > 检测引擎 > 手动扫描 > Threat S ens e 参数 > 清除若要运行扫描但不进行清除操作请选择扫描但不清除扫描历史记录将保存到扫描日志当选择忽略排除时带有之前从扫描中排除的扩展名的文件也将进行扫描没有任何例外可以从扫描配置文件下拉菜单中选择要在扫描特定目标时所用的配置文件默认配置文件为智能扫描另外有两个预定义的扫描配置文件名为全面扫描和右键菜单扫描这些扫描配置文件使用不同的 ThreatSense 参数可用选项在高级设置 > 检测引擎 > 恶意软件扫描 > 手动扫描 > ThreatSense 参数中进行了介绍单击扫描以使用已设置的自定义参数执行扫描作为管理员扫描使您能够使用管理员帐户执行扫描如果当前用户没有权限来访问您要扫描的文件则使用此选项如果当前用户无法以管理员身份调用 UAC 操作则此按钮不可用注意通过单击显示日志您可以在扫描完成时查看计算机扫描日志 27

28 扫描进度扫描进度窗口显示扫描的当前状态以及有关已找到的包含恶意代码的文件数量的信息注意某些文件比如受密码保护的文件或仅由系统使用的文件通常为 pagefile.sys 多详细信息可在我们的知识库文章中找到和某些日志文件无法扫描很正常更扫描进度 - 进度条显示已扫描对象相对于待扫描对象的状态扫描进度状态根据扫描中包含的对象总数得出目标 - 当前扫描的对象的名称及其位置发现的威胁 - 显示在扫描期间扫描的文件发现的威胁和清除的威胁的总数暂停 - 暂停扫描继续 - 当扫描进度暂停时显示此选项单击继续可继续扫描停止 - 终止扫描滚动扫描日志 - 如果已启用扫描日志将随着新条目的添加自动向下滚动以便显示出最新的条目注意单击放大镜或箭头以显示有关当前运行的扫描的详细信息可以单击扫描计算机或自定义扫描来运行另一个并行扫描扫描后的操作 - 在计算机扫描完成后会触发计划的关机重新启动或睡眠扫描结束后确认关机对话窗口将打开 60 秒超时后关机 28

29 扫描配置文件可以保存您的首选扫描参数以用于将来的扫描建议您创建不同的配置文件带有各种扫描目标扫描方法和其他参数用于每次定期扫描要创建新配置文件请打开高级设置窗口 (F5) 并依次单击检测引擎 > 恶意软件扫描 > 手动扫描 > 配置文件列表配置文件管理器窗口包括列出现有扫描配置文件的选定配置文件下拉菜单以及可创建新配置文件的选项为了帮助您创建适合需求的扫描配置文件请参阅 ThreatSense 引擎参数设置部分查看扫描设置中每个参数的描述注意假设您想要创建自己的扫描配置文件而且扫描计算机配置部分适用但您不希望扫描加壳程序或潜在的不安全应用程序并且还希望应用严格清除在配置文件管理器窗口中输入新配置文件的名称并单击添加从选定的配置文件下拉菜单选择新的配置文件并调整剩余参数以满足要求然后单击确定以保存新配置文件计算机扫描日志计算机扫描日志可为您提供关于扫描的常规信息例如完成时间总扫描时间已找到的威胁数已扫描的对象数已扫描的磁盘文件夹和文件扫描的日期和时间检测引擎的版本空闲状态下扫描启用空闲状态下扫描 - 这将在您的计算机处于未使用状态时执行完整的计算机扫描默认情况下当计算机笔记本采用电池运行时不会运行空闲状态扫描程序您可以使用计算机使用蓄电池供电时仍然运行扫描功能来覆盖此设置打开启用日志记录以在日志文件部分中记录计算机扫描输出在主程序窗口中依次单击工具 > 更多工具 > 日志文件然后从日志下拉菜单中选择计算机扫描当您的计算机处于以下状态时将运行空闲状态检测关闭屏幕或屏幕保护程序计算机锁定用户注销单击 ThreatSense 参数以修改空闲状态扫描程序的扫描参数例如检测方法开机扫描在默认情况下自动启动文件检查将在系统启动时和检测引擎更新期间执行此扫描取决于计划任务配置和任务启动扫描选项是系统启动文件检查计划任务的一部分若要修改其设置请导航到工具 > 更多工具 > 计划任务依次单击自动启动文件检查? 编辑在最后一步中自动启动文件检查窗口将显示参见下一章了解更多详细信息有关计划任务创建和管理的详细说明请参见创建新任务 29

30 自动启动文件检查在创建系统启动文件检查计划任务时有几个选项可用于调整以下参数通常使用的文件下拉菜单基于保密的复杂算法指定在系统启动时运行的文件的扫描深度文件按照以下标准以降序排列所有注册文件扫描文件最多很少使用的文件通常使用的文件常用文件仅最常用文件扫描文件最少还包括两个特定组用户登录前运行的文件 - 包含未经用户登录即可访问的位置的文件包括几乎所有启动位置如服务浏览器帮助程序对象 winlogon 通知 Windows 计划任务条目已知 dll 等用户登录后运行的文件 - 包含仅在用户登录后才可访问的位置的文件包括仅由特定用户运行的文件通常是 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的文件上述每个组的要扫描文件列表是固定的扫描优先级 - 用于确定何时开始扫描的优先级别空闲时 - 仅在系统空闲时执行任务最低 - 在系统负载最低时较低 - 低系统负载正常 - 平均系统负载排除使用排除部分可将文件和文件夹排除在扫描之外要确保对所有对象进行威胁扫描我们建议您只在绝对有必要时才创建排除然而在某些情况下您可能需要排除某个对象例如在扫描期间会使计算机速度变慢的大型数据库条目或与扫描冲突的软件从扫描中排除对象的步骤 1. 单击添加 2. 输入对象的路径或在树结构中选择对象可使用通配符代表一组文件问号 (?) 代表单个可变字符星号 (*) 则代表包含零个或更多字符的可变字符串示例 30 如果要排除文件夹中的所有文件则键入文件夹路径并使用掩码要排除包括所有文件和子文件夹在内的整个驱动器使用掩码 D:\* 如果仅要排除 doc 文件则使用掩码 doc 如果可执行文件的名称中有特定数量的字符且字符各异并且您只知道第一个字符如 D 则使用以下格式 D????.exe 问号用于替代缺少未知的字符

注意如果某个文件满足不进行扫描的标准那么文件系统实时防护模块或计算机扫描模块就不会检测到该文件内的威胁列路径 - 已排除文件和文件夹的路径威胁 - 如果已排除文件旁有一个威胁的名称则表示该文件仅对给定威胁排除并不是全部排除如果该文件稍后被其他恶意软件感染将被病毒防护模块检测到

31 注意如果某个文件满足不进行扫描的标准那么文件系统实时防护模块或计算机扫描模块就不会检测到该文件内的威胁列路径 - 已排除文件和文件夹的路径威胁 - 如果已排除文件旁有一个威胁的名称则表示该文件仅对给定威胁排除并不是全部排除如果该文件稍后被其他恶意软件感染将被病毒防护模块检测到此类型的排除仅可用于特定类型的渗透它既可以在报告渗透的威胁警报窗口中创建单击显示高级选项然后选择从检测中排除也可以通过依次单击工具 > 更多工具 > 隔离然后右键单击隔离文件并从右键菜单中选择从检测中还原和排除来创建控件元素添加 - 选择不予检测的对象编辑 - 使您能够编辑选定的条目删除 - 删除选定的条目 31

32 T hre a ts e ns e 参数 ThreatSense 包括许多复杂的威胁检测方法此技术具有某种主动性防护功能也就是说它可在新威胁开始传播的较早阶段提供防护该技术采用代码分析代码仿真一般的识别码病毒库的组合以显著提高系统安全性扫描引擎可同时控制多个数据流最大限度地提高效率和检测速度 ThreatSense 技术还可成功消除 Rootkit ThreatSense 引擎设置选项允许您指定若干扫描参数要扫描的文件类型和扩展名不同检测方法的组合清除级别等要进入设置窗口请单击 Threat S ens e 参数它位于使用 ThreatSense 技术的任何模块的高级设置窗口中请参见下文不同的安全情形可能要求不同的配置考虑到这一点可针对下列防护模块对 ThreatSense 进行单独配置文件系统实时防护空闲状态下扫描开机扫描文档防护电子邮件客户端防护 Web 访问保护计算机扫描 ThreatSense 参数已针对每个模块进行了高度优化对其进行修改可能会明显影响系统操作例如将参数更改为始终扫描运行时加壳程序或在文件系统实时防护模块中启用高级启发式扫描可能会造成系统运行缓慢通常只有在扫描新建文件时才使用这些方法我们建议您保留所有模块计算机扫描除外的默认 ThreatSense 参数要扫描的对象此部分使您可以定义要扫描的计算机组件和文件以查找渗透系统内存 - 扫描攻击系统的系统内存的威胁引导区 - 扫描引导区以检查主引导记录中是否存在病毒电子邮件文件 - 该程序支持以下扩展名 DBX (Outlook Express) 和 EML 压缩文件 - 该程序支持以下扩展名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 以及很多其他扩展名自解压文件 - 自解压文件 (SFX) 是可提取自身的压缩文件加壳程序 - 执行后加壳程序在内存中解压这一点与标准压缩文件类型不同除了标准静态加壳程序 UPX yoda ASPack FSG 等扫描程序能够通过使用代码仿真来识别多种其他类型的加壳程序扫描选项选择在扫描系统中的渗透时所用的方法有以下选项可供使用启发式扫描 - 启发式扫描是一种分析恶意程序行为的算法此技术的主要优点是能够识别过去不存在或以前的病毒库未涵盖的恶意软件缺点是可能发出虚假警报尽管可能性很小高级启发式扫描 DNA 病毒库 - 高级启发式扫描是一种独特的启发式扫描算法该算法由 ESET 开发针对检测使用高级编程语言编写的计算机蠕虫和木马进行了优化使用高级启发式扫描显著提高了 ESET 产品的威胁检测功能病毒库可以可靠地检测和识别病毒利用自动更新系统可以在发现威胁后的数小时内提供新病毒库该病毒库的缺点是只能检测到它所知道的病毒或在这些病毒基础上略做修改的版本灰色软件或 PUA - 潜在不受欢迎的应用程序是广泛的一类软件其意图不像恶意软件如病毒或特洛伊木马那样具有明确的恶意但它可能安装其他不受欢迎的软件更改数字设备的行为或者执行用户未批准的活动或意外活动可能被视为灰色软件的类别包括显示广告的软件下载封装程序各种浏览器工具栏会产生误导行为的软件捆绑软件跟踪软件任何其他边界软件或者使用非法或至少是不道德的商业行为尽管看起来合法的并且可能被最终用户最终用户知道如果允许该软件安装它会执行哪些操作视为不需要的软件潜在的不安全应用程序是本身合法的可能为商业的软件但可能会被攻击者滥用对这些类型的应用程序的检测可以由 32

33 ESET 软件的用户启用或禁用在某些情况下用户可能觉得潜在的不受欢迎应用程序的好处多于风险为此与其他类型的恶意软件例如木马程序或蠕虫相比 ESET 将这些应用程序划分到较低风险类别中警告发现潜在威胁检测到潜在不受欢迎的应用程序后您可以确定采取哪种操作 1. 清除断开连接此选项将终止操作并阻止潜在的威胁进入系统 2. 忽略此选项允许潜在威胁进入系统 3. 若要使应用程序以后能够在计算机上运行而不受到打扰请单击高级选项然后选中从检测中排除旁的复选框当检测到潜在不受欢迎的应用程序并且无法清除它时将显示地址已被阻止通知有关此事件的详细信息请从主菜单导航至工具 > 日志文件 > 已过滤的网站 33

34 潜在的不受欢迎应用程序设置安装 ESET 产品时您可以确定是否启用潜在不受欢迎的应用程序检测如下所示警告潜在不受欢迎的应用程序可能安装广告软件工具栏或包含其他不受欢迎和不安全的程序功能可随时在程序设置中修改这些设置若要启用或禁用潜在不受欢迎不安全或可疑的应用程序检测请按照以下说明操作 1. 打开您的 ESET 产品如何打开我的 ESET 产品 2. 按 F5 键以访问高级设置 3. 单击病毒防护并根据您的偏好启用或禁用以下选项启用潜在的不受欢迎应用程序检测功能? 启用潜在不安全应用程序检测功能和启用可疑应用程序检测功能单击确定以确认 34

35 潜在的不受欢迎应用程序软件封装程序软件封装程序是由一些托管文件的网站使用的特殊类型的应用程序修改它是一种第三方工具可安装用户想要下载的程序但会添加附加软件例如工具栏或广告软件附加的软件可能还会更改您的 Web 浏览器主页和搜索设置此外托管文件的网站通常不会通知软件供应商或下载收件人已进行了修改并且通常会隐藏退出的选项基于这些原因 ESET 将软件封装程序归类为潜在的不受欢迎应用程序类型以使用户可以接受或不接受下载请参阅此 ESET 知识库文章了解此帮助页的更新版本潜在的不安全应用程序 - 潜在的不安全应用程序是一类用于商业目的的合法程序例如远程访问工具密码破解应用程序以及按键记录器用于记录用户的每次按键的程序此选项默认情况下处于禁用状态清除设置决定在清除被感染文件的过程中扫描程序的行为共有 3 个清除级别排除扩展名是用句点分隔的文件名的一部分扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义要扫描的文件类型其他配置 ThreatSense 引擎参数设置以进行手动扫描计算机时其他部分中的以下选项也可用扫描交换数据流 (A DS ) - NTFS 文件系统使用的交换数据流是对普通扫描技术不可见的文件和文件夹关联许多渗透试图通过伪装成交换数据流来避开检测以低优先级运行后台扫描 - 每个扫描序列都消耗一定量的系统资源如果您使用高系统资源负载的程序则可以激活低优先级后台扫描并为应用程序节约资源记录所有对象 - 如果选中此选项日志文件将显示包括未感染文件在内的所有已扫描文件例如如果压缩文件中发现渗透日志还将列出压缩文件中包含的干净文件启用智能优化 - 启用智能优化后使用最优化的设置可确保最高效的扫描级别同时可保持最高的扫描速度各种保护模块可进行智能化扫描使用不同的扫描方法并将它们应用到特定的文件类型如果禁用了智能优化则在执行扫描时仅应用特定模块的 ThreatSense 核心中用户定义的设置保存上一个访问时戳 - 选中此选项可以保留已扫描文件的最初访问时间而不是更新时间例如数据备份系统所使用的访问时戳 35

36 限制限制部分允许您指定要扫描的对象的最大大小和嵌套压缩文件的层数对象设置最大对象大小 - 定义要扫描对象的最大大小给定的病毒防护模块将仅扫描小于指定大小的对象此选项应仅由具有从扫描中排除大型对象的特定原因的高级用户更改默认值无限制对象的最长扫描时间(秒) - 定义用于对象扫描的最大时间值如果在此输入用户定义的值时间用完后病毒防护模块将停止扫描对象而不管扫描是否完成默认值无限制压缩文件扫描设置压缩文件嵌套层数 - 指定压缩文件扫描的最大深度默认值 10. 压缩文件中文件的最大大小 - 此选项允许您指定要扫描的压缩文件当解压缩时中所包含文件的最大文件大小默认值无限制注意不建议更改默认值正常情况下应该没有修改它的理由清除清除设置决定在清除被感染文件的过程中扫描程序的行为共有 3 个清除级别不扫描的文件扩展名扩展名是用句点分隔的文件名的一部分扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义要扫描的文件类型默认情况下扫描所有文件可将任何扩展名添加到不扫描的文件列表中如果对某些文件类型的扫描导致使用特定扩展名的程序运行不正常将这些文件排除出扫描之列有时是必要的例如在使用 Microsoft Exchange 服务器时建议排除.edb,.eml 和.tmp 扩展名使用添加和删除按钮可以允许或禁用对特定文件扩展名的扫描若要将新扩展名添加到列表请单击添加以将该扩展名键入到空白字段中例如 tmp 并单击确定当您选择输入多个值时您可以添加多个由行逗号或分号分隔的文件扩展名启用多项选择时扩展名将显示在列表中选择列表中的扩展名然后单击删除可从列表中删除该扩展名如果您希望编辑选定的扩展名请单击编辑可以使用特殊符号? 问号此问号表示任意符号注意为了在 Windows 操作系统中可以查看文件的确切扩展名如果存在必须在控制面板 > 文件夹选项 > 查看选项卡下取消选中隐藏已知文件类型的扩展名选项并应用此更改检测到威胁威胁可通过各种渠道进入系统如网页共享文件夹电子邮件或可移动设备 USB 外部磁盘 CD DVD 软盘等标准行为作为 ESET Smart Security Premium 处理威胁的常见示例可以使用以下功能检测威胁 36 文件系统实时防护 Web 访问保护电子邮件客户端防护手动扫描计算机

如果被感染文件被锁定或正在被系统进程使用通常只在释放后通常是系统重新启动后删除多个威胁如果在计算机扫描期间没有清除任何被感染文件或清除级别设置为不清除则会出现一个警报窗口提示您为这些文件选择相应操作为文件选择相应操作分别为列表中的每个文件设置操作

37 每个功能使用标准清除级别将尝试清除文件并移动到隔离区或终止连接通知窗口显示在屏幕右下角的通知区域有关清除级别和行为的详细信息请参阅清除清除和删除如果文件系统实时防护没有预定义操作程序将显示一个警报窗口提示您从中选择一个选项一般会有清除? 删除和不操作等选项不建议选择不操作这样将不会清除被感染文件除非您确信该文件无害只是检测失误所致如果文件遭到了病毒攻击该病毒在被清除文件上附加了恶意代码请应用清除如果是这种情况请首先尝试清除被感染文件使其恢复到初始状态如果文件全部由恶意代码组成将删除该文件如果被感染文件被锁定或正在被系统进程使用通常只在释放后通常是系统重新启动后删除多个威胁如果在计算机扫描期间没有清除任何被感染文件或清除级别设置为不清除则会出现一个警报窗口提示您为这些文件选择相应操作为文件选择相应操作分别为列表中的每个文件设置操作然后单击完成删除压缩文件中的文件在默认清除模式下仅当压缩文件只包含被感染文件而没有干净文件时才会删除整个压缩文件换言之如果还包含无害的干净文件就不会删除压缩文件执行严格清除扫描时请小心严格清除已启用时即使压缩文件只包含一个被感染文件无论压缩文件中其他文件的状态如何都将删除该压缩文件 37

如果您的计算机有被恶意软件感染的迹象例如速度下降常常停止响应等建议您执行以下操作打开 ESET Smart Security Premium 并单击计算机扫描单击扫描计算机有关详细信息请参阅计算机扫描扫描完成后查看日志中已扫描文件被感染文件和已清除文件的数量如果您只希望扫描磁盘的某一部分请单击自定义扫描然后选择要扫描的目标以查找病毒 4.1.

检测引擎 > 恶意软件扫描 > 文档防护然后单击集成到系统开关注意此功能由使用 Microsoft Antivirus API 的应用程序例如 Microsoft Office 2000 和更高版本或 Microsoft Internet Explorer 5.0 和更高版本激活 4.1.

38 如果您的计算机有被恶意软件感染的迹象例如速度下降常常停止响应等建议您执行以下操作打开 ESET Smart Security Premium 并单击计算机扫描单击扫描计算机有关详细信息请参阅计算机扫描扫描完成后查看日志中已扫描文件被感染文件和已清除文件的数量如果您只希望扫描磁盘的某一部分请单击自定义扫描然后选择要扫描的目标以查找病毒文档防护文档防护功能会在打开 Microsoft Office 文档之前对其进行扫描还会扫描通过 Internet Explorer 自动下载的文件如 Microsoft ActiveX 元素文档防护提供文件系统实时防护之外的另一层防护可以将其禁用以在无法处理大量 Microsoft Office 文档的系统上增强性能若要激活文档防护打开高级设置窗口按 F5 > 检测引擎 > 恶意软件扫描 > 文档防护然后单击集成到系统开关注意此功能由使用 Microsoft Antivirus API 的应用程序例如 Microsoft Office 2000 和更高版本或 Microsoft Internet Explorer 5.0 和更高版本激活可移动磁盘 ESET Smart Security Premium 提供自动可移动磁盘 (CD/DVD/USB/...) 扫描此模块允许您扫描插入的媒体如果计算机管理员希望防止用户使用带有不请自来内容的可移动磁盘此模块将很有用插入可移动磁盘后要采取的操作 - 选择将可移动磁盘插入到计算机 (CD/DVD/USB) 后将执行的默认操作如果选择了显示扫描选项将显示通知允许您选择所需操作不扫描 - 将不执行任何操作同时将关闭检测到新设备窗口自动设备扫描 - 将执行已插入可移动磁盘设备的手动计算机扫描显示扫描选项 - 打开可移动磁盘设置部分插入可移动磁盘后将显示以下对话框立即扫描 - 这将触发对可移动磁盘的扫描稍后扫描 - 将推迟对可移动磁盘的扫描设置 - 打开高级设置始终使用选择的选项 - 选中后在其他时间插入可移动磁盘时将执行相同的操作此外 ESET Smart Security Premium 具有设备控制功能允许您为给定计算机上的外部设备使用定义规则在设备控制部分可找到有关设备控制的更多详细信息 38

39 4.1.3 设备控制设备控制 ESET Smart Security Premium 提供自动设备 (CD/DVD/USB/...) 控制此模块允许您阻止或调整扩展的过滤器权限并定义用户访问和使用给定设备的能力如果计算机管理员不希望使用包含不请自来的内容的设备此模块将很有用支持的外部设备磁盘存储 HDD USB 可移动磁盘 CD/DVD USB 打印机 FireWire 存储蓝牙设备智能卡读卡器刻录设备调制解调器 LPT/COM 端口便携式设备麦克风所有设备类型可以在高级设置 (F5) > 设备控制中修改设备控制设置选项打开集成到系统旁的开关激活 ESET Smart Security Premium 中的设备控制功能要使此更改生效需要重新启动计算机启用设备控制后规则将变为活跃状态以允许您打开规则编辑器窗口注意您可以创建将应用不同规则的不同设备组也可以只创建一个设备组该设备组将应用带有读写或只读操作的规则这确保在无法识别的设备连接到计算机时设备控制会阻止它们如果插入受现有规则阻止的设备将显示通知窗口并且不会授予对设备的访问权限网络摄像机防护打开集成到系统旁边的开关可激活 ESET Smart Security Premium 中的网络摄像机防护功能启用网络摄像机防护后规则将变为活动状态允许您打开规则编辑器窗口 39

40 设备控制规则编辑器设备控制规则编辑器窗口显示现有规则允许精确控制用户连接到计算机的外部设备可以按照用户或用户组根据规则配置中可指定的其他设备参数允许或阻止特定设备规则列表包含规则的多个说明例如名称外部设备类型将外部设备连接到计算机后执行的操作以及日志严重级别单击添加或编辑管理规则单击复制使用用于其他所选规则的预定义选项创建新规则单击规则时显示的 XML 字符串可以复制到剪贴板以帮助系统管理员导出导入这些数据并使用它们例如在 ESET Remote Administrator 中按住 CTRL 并单击可以选择多个规则和对所有所选规则应用操作例如删除或上下移动列表已启用复选框禁用或启用规则当不希望永久删除规则以免未来可能要使用时此功能将很有用控制通过规则实现规则排序顺序决定其优先级高优先级规则位于顶部从 ESET Smart Security Premium 主窗口的工具可以查看日志条目 > 更多工具 > 日志文件设备控制日志记录了所有发生设备控制触发的情况 40

4.1.3.2 添加设备控制规则设备控制规则定义满足规则条件的设备连接到计算机时将采取的操作在名称字段中输入规则说明以更好识别单击已启用规则旁的开关以禁用或启用此规则当您不希望永久删除此规则时这很有用设备类型从下拉菜单中选择外部设备类型磁盘存储便携式设备蓝牙 FireWire/.

41 添加设备控制规则设备控制规则定义满足规则条件的设备连接到计算机时将采取的操作在名称字段中输入规则说明以更好识别单击已启用规则旁的开关以禁用或启用此规则当您不希望永久删除此规则时这很有用设备类型从下拉菜单中选择外部设备类型磁盘存储便携式设备蓝牙 FireWire/... 设备类型信息收集自操作系统可在设备连接到计算机后在系统设备管理器中查看存储设备包括通过 USB 或 FireWire 连接的外部磁盘或传统存储卡读卡器智能卡读卡器包括具有嵌入式集成电路的所有智能卡读卡器如 SIM 卡或身份验证卡成像设备示例包括扫描仪或照相机由于这些设备仅提供有关其操作而非用户的信息因此只能全局阻止它们操作可以允许或阻止访问非存储设备相比之下存储设备规则允许选择以下权限设置之一读写 - 将允许对设备的完全访问权限阻止 - 将阻止对设备的访问只读 - 仅允许对设备进行读取访问警告 - 每次连接设备时系统都会通知用户这是否得到允许或受到阻止并且将记录日志条目系统不会记住设备在以后连接同一设备时仍会显示通知注意不是所有操作权限都可用于所有设备类型如果是存储类型的设备则所有四项操作均可用对于非存储设备只有三项操作可用例如只读操作对蓝牙不可用因此这意味着只能允许阻止或警告蓝牙设备标准类型 - 选择设备组或设备下面显示的其他参数可用于微调规则并根据设备定制所有参数都不区分大小写供应商 - 按供应商名称或 ID 过滤型号 - 设备的给定名称序列号 - 外部设备通常具有自己的序列号如果是 CD/DVD 则这是给定介质的序列号而不是 CD 驱动器 41

42 注意如果未定义这些参数在匹配时规则将忽略这些字段所有文本字段中的过滤参数都不区分大小写并且不支持通配符? 注意若要查看有关设备的信息请为此类设备创建规则将该设备连接到计算机然后检查设备控制日志中的设备详细信息日志记录严重级别 ESET Smart Security Premium 将所有重要事件保存到日志文件中用户可通过主菜单直接查看日志文件依次单击工具 > 日志文件然后从日志下拉菜单中选择设备控制始终 - 记录所有事件诊断 - 记录微调程序所需的信息信息 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息无 - 不记录任何日志可以通过将规则添加到用户列表来将规则限制为特定用户或用户组添加 - 打开对象类型: 用户或组对话框该窗口可用来选择需要的用户删除 - 从过滤器中删除选定用户注意所有设备均可按用户规则进行过滤例如成像设备不提供用户信息仅提供操作信息网络摄像机防护规则编辑器此窗口显示现有规则并允许控制基于您执行的操作访问计算机网络摄像机的应用程序和进程可用操作包括阻止访问询问允许访问基于主机的入侵预防系统 (H IP S ) 警告对 HIPS 设置的更改仅应由有经验的用户进行 HIPS 设置的错误配置可能会导致系统不稳定基于主机的入侵防御系统 (HIPS) 可保护您的系统以免恶意软件和任何不受欢迎的活动试图对您的计算机产生不利影响 HIPS 利用高级行为分析并配合网络过滤的检测功能来监视正在运行的进程文件和注册表项 HIPS 独立于文件系统实时防护并且不是防火墙它仅监视在操作系统中运行的进程 HIPS 设置可以在高级设置 (F5) > 检测引擎 > HIP S > 基本下找到 HIPS 状态已启用已禁用显示在设置 > 计算机防护下的 ESET Smart Security Premium 主程序窗口内 42

43 ESET Smart Security Premium 使用内置的自我保护技术作为 HIPS 的一部分以防止恶意软件损坏或禁用病毒和间谍软件防护自我保护可保护关键系统及 ESET 的进程注册表项和文件免于篡改启用受保护的服务 - 启用内核保护 Windows 高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范后者旨在通过迷惑或加密方法来逃过反恶意软件产品的检测默认情况下启用高级内存扫描程序请阅读词汇表中关于此类防护的更多信息漏洞利用阻止程序旨在强化那些经常被漏洞利用的应用程序类型例如 Web 浏览器 PDF 阅读器电子邮件客户端和 MS Office 组件默认情况下启用漏洞利用阻止程序请阅读词汇表中关于此类防护的更多信息勒索软件防护是作为 HIPS 功能的一部分工作的另一层保护必须启用 LiveGrid 信誉系统才能使勒索软件防护工作请在此处阅读关于此类防护的详细信息可以使用以下四种模式之一执行过滤自动模式 - 启用操作除了保护系统的预定义规则所阻止的操作智能模式 - 仅通知用户极为可疑的事件交互模式 - 将提示用户确认操作基于策略的模式 - 操作被阻止学习模式 - 启用操作并在每次操作后创建规则可在规则编辑器中查看以此模式创建的规则但其优先级低于手动创建的规则或在自动模式下创建的规则的优先级当您从 HIPS 过滤模式下拉菜单中选择学习模式后学习模式结束时间设置将变为可用选择要采用学习模式的时间范围最长持续时间为 14 天当指定的持续时间过去后将会提示您编辑当 HIPS 处于学习模式中时所创建的规则还可以选择其他过滤模式或推迟决定并继续使用学习模式学习模式到期之后设置的模式 - 在学习模式到期后选择将使用的过滤模式 HIPS 系统监控操作系统内的事件并根据类似于防火墙所使用的规则作出相应的反应单击规则旁边的编辑以打开 HIPS 规则管理窗口在 HIPS 规则窗口中您可以选择添加编辑或删除规则在下面的示例中我们将演示如何限制不需要的应用程序行为 43

1. 命名规则并从操作下拉菜单选择阻止 2. 打开通知用户开关以在每次应用规则时显示通知 3. 选择至少一个将为其应用规则的操作在源应用程序窗口中从下拉菜单中选择所有应用程序以将新规则应用于尝试在指定的应用程序上执行任何选定的应用程序操作的所有应用程序 4. 选择修改其他应用程序的状态所有操作在产品帮助中都有介绍可按 F1 键进行访问. 5.

44 1. 命名规则并从操作下拉菜单选择阻止 2. 打开通知用户开关以在每次应用规则时显示通知 3. 选择至少一个将为其应用规则的操作在源应用程序窗口中从下拉菜单中选择所有应用程序以将新规则应用于尝试在指定的应用程序上执行任何选定的应用程序操作的所有应用程序 4. 选择修改其他应用程序的状态所有操作在产品帮助中都有介绍可按 F1 键进行访问. 5. 从下拉菜单中选择特定应用程序然后添加一个或几个要保护的应用程序 6. 单击完成保存新规则高级设置以下选项用于调试和分析应用程序的行为始终允许加载驱动程序 - 始终允许加载选定的驱动程序而不管配置的过滤模式是什么除非明确地通过用户规则阻止记录所有阻止的操作 - 所有阻止的操作将写入到 HIPS 日志中当启动应用程序发生更改时发送通知 - 每次应用程序添加到系统启动或从中删除时显示桌面通知有关此帮助页的更新版本请参阅我们的知识库文章 44

45 H IP S 交互窗口如果规则的默认操作设置为询问每次触发该规则时将显示对话窗口您可以选择拒绝或允许操作如果在给定时间不选择操作将基于规则选择新操作此对话窗口使您能够基于 HIPS 检测到的任何新操作创建规则然后定义允许或拒绝此操作的条件单击详细信息可访问具体参数的设置用这种方式创建的规则被认为等同于手动创建的规则所以从对话窗口创建的规则可以比触发该对话窗口的规则更笼统这意味着在创建这样的规则后相同的操作可以触发相同的窗口在应用程序退出之前记住操作将使系统在规则或过滤模式发生更改 HIPS 模块更新或系统重新启动之前始终使用此操作允许拒绝发生这三项操作中的任意一项后将删除临时规则检测到潜在的勒索软件行为当检测到潜在的勒索软件行为时将显示此交互窗口您可以选择拒绝或允许操作此对话窗口允许您提交文件以供分析或从检测中排除单击详细信息可查看特定的检测参数 45

46 重要信息必须启用 ESET Live Grid 才能使勒索软件防护正常工作游戏模式游戏模式是为那些需要不中断其使用软件不希望被弹出窗口打扰并希望尽量减少 CPU 使用的用户提供的功能游戏模式还可以用于不能被病毒防护活动中断的演示启用此功能后将禁用所有弹出窗口同时完全停止计划任务的活动系统保护仍在后台运行但是不需要任何用户交互您可以在主程序窗口的设置 > 计算机防护下单击或游戏模式旁边的来启用或禁用游戏模式启用游戏模式将存在潜在安全风险因此任务栏上的防护状态将变成橙色并显示警告您还将在主程序窗口中看到此警告您将在该窗口中看到橙色的游戏模式处于活动状态在高级设置 (F5) > 工具 > 游戏模式下激活以全屏模式运行应用程序时自动启用游戏模式以便当您启动全屏应用程序时立即启动游戏模式并在您退出应用程序时立即停止该模式激活自动禁用游戏模式前等待的时间可定义自动禁用游戏模式前的时间量注意如果防火墙处于交互模式下同时已启用游戏模式您可能会在连接到 Internet 时遇到麻烦如果您启动连接到 Internet 的游戏这将出现问题通常将提示您确认此类操作如果未定义通信规则或例外但是在游戏模式中已经禁用了用户交互若要允许通信请为可能遇到此问题的任何应用程序定义通信规则或者在防火墙中使用其他过滤模式请记住如果启用了游戏模式同时您转到一个可能存在安全风险的网页或应用程序它可能会被阻止而不会出现任何解释或警告因为用户交互已被禁用 4.2 Internet 防护通过单击 Int ernet 防护可在设置窗格中找到 Web 和电子邮件配置可以从这里访问更详细的程序设置 46

Internet 连接是个人计算机的一项标准功能不幸地是 Internet 已成为了散布恶意代码的主要媒介出于此原因仔细考虑 Web 访问保护设置就变得很重要单击打开 Web/电子邮件网络钓鱼防护反垃圾邮件防护设置电子邮件客户端防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信使用电子邮件客户端的插件程序 ESET Smart Security Premium

47 Internet 连接是个人计算机的一项标准功能不幸地是 Internet 已成为了散布恶意代码的主要媒介出于此原因仔细考虑 Web 访问保护设置就变得很重要单击打开 Web/电子邮件网络钓鱼防护反垃圾邮件防护设置电子邮件客户端防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信使用电子邮件客户端的插件程序 ESET Smart Security Premium 可以控制所有出入电子邮件客户端的通信 POP3 MAPI IMAP 和 HTTP 反垃圾邮件防护可过滤不请自来的电子邮件当您单击齿轮在反垃圾邮件防护旁时将提供以下选项配置 - 打开电子邮件客户端反垃圾邮件防护的高级设置用户的白名单/ 黑名单/ 例外列表 - 打开一个对话窗口可在其中添加编辑或删除视为安全或不安全的电子邮件地址根据此处定义的规则将不会扫描来自这些地址的电子邮件或将其视为垃圾邮件单击用户的例外列表以添加编辑或删除可能为欺诈且用于发送垃圾邮件的电子邮件地址来自例外列表中列出的地址的电子邮件将始终被扫描以检查是否存在垃圾邮件网络钓鱼防护允许您阻止散布网络钓鱼内容的已知网页强烈建议您保持启用网络钓鱼防护您可以禁用 Web/电子邮件网络钓鱼防护反垃圾邮件防护模块暂时方法是单击 W e b 访问保护 Internet 连接是个人计算机的一项标准功能不幸地是它也成为传输恶意代码的主要媒介 Web 访问保护的功能是监视 Web 浏览器和远程服务器之间的通信并遵从 HTTP 超文本传输协议和 HTTPS 加密通信规则在下载内容之前将阻止访问已知包含恶意内容的网页所有其他网页在加载时会由 ThreatSense 扫描引擎进行扫描并且如果检测到恶意内容将阻止它们 Web 访问保护提供两种级别的保护按黑名单阻止和按内容阻止我们强烈建议启用 Web 访问保护在 ESET Smart Security Premium 主窗口中导航至设置 > Int ernet 防护 > Web 访问保护可以访问此选项在高级设置 (F5) > Web 和电子邮件 > Web 访问保护中提供以下选项 Web 协议 - 使您可以为大多数 Internet 浏览器使用的这些标准协议配置监视 URL 地址管理 - 使您可以指定要对其阻止允许或排除检查的 HTTP 地址 Threat S ens e 参数 - 高级病毒扫描程序设置使您可以为 Web 访问保护配置设置例如要扫描的对象类型电子邮件压缩文件等检测方法等 47

48 基本启用 Web 访问保护 - 禁用后 Web 访问保护和网络钓鱼防护将无法运行启用浏览器脚本的高级扫描 - 启用后 Internet 浏览器执行的所有 JavaScript 程序都将由病毒防护扫描程序检查注意我们强烈建议您保持启用 Web 访问保护 W e b 协议默认情况下 ESET Smart Security Premium 将配置为监视由大部分 Internet 浏览器使用的 HTTP 协议 HTTP 扫描程序设置在 Windows Vista 及更高版本中始终在所有应用程序的所有端口上监视 HTTP 通信在 Windows XP 中您可以在高级设置 (F5) > Web 和电子邮件 > Web 访问保护 > Web 协议中修改由 HTTP 协议使用的端口在所有应用程序的指定端口上以及标记为 Web 和电子邮件客户端的应用程序的所有端口上监视 HTTP 通信 HTTP S 扫描程序设置 ESET Smart Security Premium 还支持 HTTPS 协议检查 HTTPS 通信使用加密通道在服务器和客户端之间传输信息 ESET Smart Security Premium 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 HTTP S 协议使用的端口中定义的端口上扫描通信默认情况下会扫描加密的通信要查看扫描程序设置请导航至高级设置部分的 SSL/TLS 单击 Web 和电子邮件 > S S L/ TLS 然后启用启用 S S L/ TLS 协议过滤选项 U R L 地址管理 URL 地址管理部分可使您指定要阻止允许或排除检查的 HTTP 地址将不能访问阻止的地址列表中的网站除非它们还包含在允许的地址列表中在访问时不会针对不检查的地址列表中的网站进行扫描以查找恶意代码如果您在过滤 HTTP 网页之外还希望过滤 HTTPS 地址则必须选中启用 S S L/ TLS 协议过滤否则将仅添加您访问过的 HTTPS 站点的域而不会添加完整 URL 如果将 URL 地址添加到不过滤的地址列表该地址将从扫描中排除您还可以通过将其添加到允许的地址列表或阻止的地址列表允许或阻止某些地址如果您希望阻止所有 HTTP 地址活动的允许的地址列表中存在的地址除外请将添加到活动的阻止的地址列表特殊符号星号和? 问号可用于列表星号可以替代任意字符串而问号可以替代任意符号指定排除的地址时请务必谨慎因为此列表只应包含信任的和安全的地址同样必须确保在此列表中正确使用符号和? 有关如何安全匹配包括所有子域的整个域请参阅添加 HTTP 地址域掩码若要启用某个列表请选择启用列表如果您希望在输入来自当前列表的地址时收到通知请选择应用时发送通知注意 URL 地址管理还允许您在浏览 Internet 时阻止或允许打开特定文件类型例如如果您不希望打开可执行文件请从下拉菜单中选择您希望在其中阻止这些文件的列表然后输入掩码 exe 48

控件元素添加 - 除了预定义的列表创建新列表如果您希望按逻辑拆分不同的地址组这非常有用例如一个阻止的地址列表可能包含外部公开黑名单中的地址另一个阻止的地址列表可能包含您自己的黑名单这可在保持您的黑名单不变的同时轻松更新外部列表编辑 - 修改现有列表使用此项添加或删除地址删除 - 删除现有列表仅适用于使用添加创建的列表不适用于默认列表 4.2.

49 控件元素添加 - 除了预定义的列表创建新列表如果您希望按逻辑拆分不同的地址组这非常有用例如一个阻止的地址列表可能包含外部公开黑名单中的地址另一个阻止的地址列表可能包含您自己的黑名单这可在保持您的黑名单不变的同时轻松更新外部列表编辑 - 修改现有列表使用此项添加或删除地址删除 - 删除现有列表仅适用于使用添加创建的列表不适用于默认列表电子邮件客户端防护电子邮件客户端 ESET Smart Security Premium 与电子邮件客户端的集成可提高针对电子邮件中恶意代码的主动防护级别如果您的电子邮件客户端受支持则可以在 ESET Smart Security Premium 中启用集成当集成到电子邮件客户端时 ESET Smart Security Premium 工具栏将直接插入电子邮件客户端不插入适用于较新版本的 Windows Live Mail 的工具栏从而提供更高效的电子邮件防护集成设置位于高级设置 (F5) > Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件客户端下电子邮件客户端集成当前受支持的电子邮件客户端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 电子邮件防护作为这些程序的插件进行工作插件的主要优点在于它独立于所用的协议当电子邮件客户端收到加密邮件时邮件将进行解密并发送给病毒扫描程序有关支持的电子邮件客户端及其版本的完整列表请参考以下 ESET 知识库文章即使未启用集成电子邮件通信仍受电子邮件客户端防护模块 POP3 IMAP 保护如果在使用 MS Outlook 时遇到系统运行缓慢的情况请打开禁用对收件箱内容更改的检查当从 Kerio Outlook Connector Store 中检索电子邮件时可能会发生这种情况要扫描的电子邮件通过客户端插件启用电子邮件防护 - 在通过电子邮件客户端禁用电子邮件客户端防护后仍可通过协议过滤启用电子邮件客户端防护已接收的电子邮件 - 切换到检查已接收的邮件已发送的电子邮件 - 切换到检查已发送的邮件已阅读的电子邮件 - 切换到检查已阅读的邮件 49

50 要对被感染的电子邮件执行的操作无操作 - 如果已启用则程序虽能识别感染的附件但不会对电子邮件采取任何操作删除电子邮件 - 程序会通知用户有关渗透的信息并删除邮件将电子邮件移到已删除邮件文件夹 - 受感染的电子邮件将自动移至已删除邮件文件夹将电子邮件移到文件夹 - 受感染的电子邮件将自动移至指定文件夹文件夹 - 指定希望将检测到的受感染电子邮件移至其中的自定义文件夹更新后重新扫描 - 在检测引擎更新后切换到重新扫描接受其他模块的扫描结果 - 如果选中此选项电子邮件防护模块会接受其他防护模块的扫描结果 POP3 IMAP 协议扫描注意我们建议您启用通过客户端插件启用电子邮件防护和通过协议过滤启用电子邮件防护这些设置位于高级设置 (F5) > Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件协议下电子邮件协议 IMAP 和 POP3 协议是最广泛地用于在电子邮件客户端应用程序中接收电子邮件通信的协议 Internet 消息访问协议 (IMAP) 是另一种用于电子邮件检索的 Internet 协议与 POP3 相比 IMAP 具有一些优势例如多个客户端可同时连接到同一邮箱并保留邮件状态信息如邮件是已读已回复还是已删除 ESET Smart Security Premium 为这些协议提供保护无论使用哪种电子邮件客户端并且无需重新配置电子邮件客户端系统启动时会自动启动提供此控件的防护模块之后该模块会在内存中处于活动状态 IMAP 协议控制将自动执行无需重新配置电子邮件客户端默认情况下程序会扫描端口 143 上的所有通信如有必要也可以添加其他通信端口多个端口号必须使用逗号分隔您可以在高级设置中配置 IMAP/IMAPS 和 POP3/POP3S 协议检查若要访问此设置请依次展开 Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件协议通过协议过滤启用电子邮件保护 - 启用电子邮件协议的检查在 Windows Vista 及更高版本中将在所有端口上自动检测和扫描 IMAP 和 POP3 协议在 Windows XP 中仅针对所有应用程序扫描已配置的 IMA P / P OP 3 协议使用的端口而针对标记为 Web 和电子邮件客户端的应用程序扫描所有端口 ESET Smart Security Premium 还支持扫描 IMAPS 和 POP3S 协议这些协议使用加密通道在服务器和客户端之间传输信息 ESET Smart Security Premium 利用 SSL 安全套接字层和 TLS 传输层安全协议检查通信无论操作系统版本如何该程序将只在 IMA P S / P OP 3S 协议使用的端口中定义的端口上扫描通信默认情况下会扫描加密的通信要查看扫描程序设置请导航至高级设置部分的 SSL/TLS 单击 Web 和电子邮件 > S S L/ TLS 然后启用启用 S S L/ TLS 协议过滤选项 50

51 警报和通知电子邮件防护可控制通过 POP3 和 IMAP 协议接收的电子邮件通信通过使用 Microsoft Outlook 和其他电子邮件客户端的插件 ESET Smart Security Premium 可控制电子邮件客户端的所有通信 POP3 MAPI IMAP HTTP 检查传入邮件时程序使用 ThreatSense 扫描引擎内包含的所有高级扫描方法这意味着恶意程序检测在与检测引擎匹配之前就已进行对 POP3 和 IMAP 协议通信的扫描与使用何种电子邮件客户端无关此功能的选项位于 Web 和电子邮件 > 电子邮件客户端防护 > 警报和通知下的高级设置中选中一个电子邮件后可将包含扫描结果的通知附加到邮件中您可以选择在已接收并阅读的电子邮件上添加标记消息? 在已接收并阅读的被感染电子邮件主题上添加注释或在已发送电子邮件上添加标记消息请注意在少数情形下标记消息可能被有问题的 HTML 邮件忽略而恶意软件也可能伪造这些消息可将标记消息添加到已接收已阅读的电子邮件已发送的电子邮件或两类邮件中都添加有以下选项可供使用从不 - 将不添加任何标记消息仅对被感染的电子邮件 - 仅将包含恶意软件的消息标记为已选中默认对所有扫描的电子邮件 - 程序将把消息附加到所有已扫描的电子邮件上在已发送的被感染电子邮件主题中添加注释 - 如果不想要通过电子邮件防护在被感染的电子邮件主题中包含病毒警告则禁用此选项此功能允许对被感染的电子邮件进行简单的基于主题的过滤如果电子邮件程序支持它还可以提高收件人的可信度级别如果检测到渗透它会提供有关给定电子邮件或发件人的威胁级别的有价值信息添加到被感染电子邮件主题中的模板 - 如果您希望修改被感染电子邮件的主题前缀格式则编辑此模板此功能将替换邮件主题 "Hello" 为以下格式的给定前缀值 "[virus]" : "[virus] Hello" 变量 %VIRUSNAME% 代表被感染的威胁 51

52 电子邮件客户端集成 ESET Smart Security Premium 与电子邮件客户端的集成可提高针对电子邮件中恶意代码的主动防护级别如果您的电子邮件客户端受支持则可以在 ESET Smart Security Premium 中启用集成如果启用了集成 ESET Smart Security Premium 工具栏将被直接插入到电子邮件客户端从而提供更高效的电子邮件防护集成设置可通过设置 > 高级设置 > Web 和电子邮件 > 电子邮件客户端防护 > 电子邮件客户端提供当前受支持的电子邮件客户端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 有关支持的电子邮件客户端及其版本的完整列表请参考以下 ESET 知识库文章如果使用电子邮件客户端时遇到系统运行缓慢的情况请选中禁用对收件箱内容更改的检查旁的复选框当从 Kerio Outlook Connector Store 中检索电子邮件时可能会发生这种情况即使未启用集成电子邮件通信仍受电子邮件客户端防护模块 POP3 IMAP 保护电子邮件客户端防护配置电子邮件客户端防护模块支持下列电子邮件客户端 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 电子邮件防护作为这些程序的插件进行工作插件的主要优点在于它独立于所用的协议当电子邮件客户端收到加密邮件时邮件将进行解密并发送给病毒扫描程序 P OP 3 P OP 3S 过滤器 POP3 协议是使用最广泛的在电子邮件客户端应用程序中接收电子邮件通信的协议无论使用何种电子邮件客户端 ESET Smart Security Premium 均提供对此协议的保护系统启动时会自动启动提供此控件的防护模块之后该模块会在内存中处于活动状态要使模块正常发挥作用请确保该模块已启用将自动执行 POP3 协议检查无需重新配置电子邮件客户端默认情况下程序会扫描端口 110 上的所有通信如有必要也可以添加其他通信端口多个端口号必须使用逗号分隔默认情况下会扫描加密的通信要查看扫描程序设置请导航至高级设置部分的 SSL/TLS 单击 Web 和电子邮件 > S S L/ TLS 然后启用启用 S S L/ TLS 协议过滤选项在本节中您可以配置 POP3 和 POP3S 协议检查启用 P OP 3 协议检查 - 如果已启用将监视所有通过 POP3 的通信以查找恶意软件 P OP 3 协议使用的端口 - POP3 协议使用的端口默认为 110 列表 ESET Smart Security Premium 也支持 POP3S 协议检查此类通信使用加密通道在服务器和客户端之间传输信息 ESET Smart Security Premium 利用 SSL 安全套接字层和 TLS 传输层安全加密方法检查通信不使用 P OP 3S 检查 - 不检查加密通信对选定端口使用 P OP 3S 协议检查 - 选中此选项可仅针对在 P OP 3S 协议使用的端口中定义的端口启用 POP3S 检查 P OP 3S 协议使用的端口 - 要检查的 POP3S 端口默认为 995 列表 52

53 反垃圾邮件防护不请自来的电子邮件称之为垃圾邮件是电子通信领域面临的最大问题之一垃圾邮件占全部电子邮件通信的比率高达 80% 反垃圾邮件防护即针对此问题提供保护反垃圾邮件模块遵循多种电子邮件安全准则可提供卓越的过滤功能保持收件箱干净垃圾邮件检测的一个重要准则是根据预定义的受信任地址白名单和垃圾邮件地址黑名单识别不请自来的电子邮件的功能来自您的联系人列表的所有地址以及您标记为安全的所有其他地址自动添加到白名单检测垃圾邮件的主要方法是扫描电子邮件属性程序按照基本反垃圾邮件标准邮件定义统计启发式扫描识别算法和其他独特方法扫描收到的邮件产生的指数值将决定邮件是否为垃圾邮件自动启动电子邮件客户端反垃圾邮件防护 - 启用后反垃圾邮件防护将在系统启动时自动激活允许高级反垃圾邮件扫描 - 将定期下载其他反垃圾邮件数据提高反垃圾邮件能力并产生更好效果 ESET Smart Security Premium 中的反垃圾邮件防护允许您设置不同参数来使用邮件列表选项如下如何处理邮件向电子邮件主题添加文字 - 使您可以在被列为垃圾邮件的邮件主题行中添加自定义前缀字符串默认为 [垃圾邮件] 将邮件移至垃圾邮件文件夹 - 启用后垃圾邮件将被移动到默认的垃圾邮件文件夹而且还将被重新分类为非垃圾邮件的邮件移动到收件箱在右键单击电子邮件并从右键菜单中选择 ESET Smart Security Premium 后可从适用选项进行选择使用文件夹 - 此选项用于将垃圾邮件移动到用户定义的文件夹将垃圾邮件标记为已读 - 启用此选项可自动将垃圾邮件标记为已读这有助于您将注意力放在干净的邮件上将重新分类的邮件标记为未读 - 原来被分类为垃圾邮件但后来标记为干净的邮件将显示为未读 53

54 垃圾邮件分数记录 - ESET Smart Security Premium 反垃圾邮件引擎为每个扫描的邮件分配一个垃圾邮件分数该信息将被记录在反垃圾邮件日志 E S E T S mart S ec urit y P remium > 工具 > 日志文件 > 反垃圾邮件防护中无 - 将不记录反垃圾邮件扫描中的分数已重新分类并标记为垃圾邮件 - 如果您希望记录标记为垃圾邮件的垃圾邮件分数则选择此选项所有 - 所有邮件连同垃圾邮件分数都将记录到日志中注意在单击垃圾邮件文件夹中的邮件后可以选择将所选邮件重新分类为非垃圾邮件然后该邮件将被移动到收件箱中在收件箱中单击被视为垃圾邮件的邮件后可以选择将邮件重新分类为垃圾邮件然后该邮件将被移动到垃圾邮件文件夹中您可以同时选择多个邮件并在其上执行操作注意 ESET Smart Security Premium 支持 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 的反垃圾邮件防护协议过滤针对应用程序协议的病毒防护由 ThreatSense 扫描引擎提供可与所有高级恶意软件扫描技术无缝集成无论使用哪种 Internet 浏览器或电子邮件客户端协议过滤都会自动工作若要编辑加密 (SSL/TLS) 设置请转到 Web 和电子邮件 > S S L/ TLS 启用应用程序协议内容过滤 - 可用于禁用协议过滤请注意许多 ESET Smart Security Premium 组件 Web 访问防护保护电子邮件协议防护网络钓鱼防护 Web 控件都依赖于此选项如果没有此选项这些组件将不起作用排除的应用程序 - 允许您从协议过滤中排除特定应用程序在协议过滤导致兼容性问题时很有用排除的 IP 地址 - 允许您从协议过滤中排除特定远程地址在协议过滤导致兼容性问题时很有用 Web 和电子邮件客户端 - 仅用于 Windows XP 操作系统允许您选择通过协议过滤为其过滤所有通信的应用程序不管使用何种端口 W e b 和电子邮件客户端注意从 Windows Vista Service Pack 1 和 Windows Server 2008 开始使用新的 Windows 过滤平台 (WFP) 架构检查网络通信由于 WFP 技术使用了特殊的监视技术因此 Web 和电子邮件客户端部分不可用由于 Internet 上充斥着大量恶意代码安全浏览 Internet 就成了计算机保护的一个非常重要的方面 Web 浏览器的漏洞和欺骗链接能够帮助恶意代码进入系统且不会引起注意这也是 ESET Smart Security Premium 注重 Web 浏览器安全性的原因所在访问网络的每个应用程序都可以标记为 Internet 浏览器复选框为以下两种状态已取消选择 - 仅过滤指定端口的应用程序通信已选择 - 始终过滤通信即使设置了其他端口 54

55 排除的应用程序要将特定网络感知应用程序的通信排除在内容过滤之外请在列表中选择它们将不检查选定应用程序的 HTTP/POP3/IMAP 通信是否存在威胁我们建议仅针对因检查其通信而无法正常工作的应用程序使用此选项将在这里自动显示正在运行的应用程序和服务单击添加手动添加未显示在协议过滤列表上的应用程序排除的 IP 地址列表中的条目将被排除在协议内容过滤之外将不检查往返选定地址的 HTTP/POP3/IMAP 通信是否存在威胁我们建议仅在地址可信赖时使用此选项单击添加排除未显示在协议过滤列表上的远程点的 IP 地址地址范围子网单击删除将选定条目从列表中删除 55

56 添加 IP v 4 地址它使您可以为要应用规则的远程点添加 IP 地址地址范围子网 Internet 协议版本 4 是旧版本但仍是使用范围最广泛的版本单个地址 - 添加将应用规则的单台计算机的 IP 地址例如地址范围 - 输入开始和结束 IP 地址以指定将应用规则的多台计算机的 IP 范围例如至子网 - 子网一组计算机由 IP 地址和掩码定义例如是 /24 前缀的网络掩码表示至的地址范围添加 IP v 6 地址它使您可以为要应用规则的远程点添加 IPv6 地址子网这是最新版本的 Internet 协议将代替旧的版本 4 单个地址 - 添加规则将应用到的单台计算机的 IP 地址例如 2001:718:1c01:16:214:22ff:fec9:ca5 子网 - 子网一组计算机由 IP 地址和掩码定义例如 2002:c0a8:6301:1::1/ S S L/ T LS ESET Smart Security Premium 能够检查使用 SSL 协议的通信中是否存在威胁通过受信任的证书未知证书或不受 SSL 保护的通信检查的证书可以将不同的扫描模式用于检查受 SSL 保护的通信启用 S S L/ TLS 协议过滤 - 如果禁用协议过滤该程序将不会扫描通过 SSL 的通信 S S L/ TLS 协议过滤模式在以下选项中可用自动模式 - 默认模式将仅扫描适当的应用程序例如 Web 浏览器和电子邮件客户端您可以通过选择要扫描其通信的应用程序来覆盖此选项交互模式 - 如果您输入一个受 SSL 保护的新站点使用未知证书会显示操作选择对话框此模式允许您创建将不扫描的 SSL 证书应用程序列表策略模式 - 选择此选项可扫描所有受 SSL 保护的通信除了由排除在检查之外的证书保护的通信如果使用未知的签署的证书建立了新通信不会提示您且通信将自动被过滤当不受信任的证书被标记为受信任位于受信任的证书列表上而用来访问服务器时会允许对该服务器的通信也会过滤通信通道的内容 S S L 过滤的应用程序列表 - 允许您为特定应用程序自定义 ESET Smart Security Premium 行为已知证书列表 - 允许您为特定 SSL 证书自定义 ESET Smart Security Premium 行为排除使用受信任域的通信 - 启用后将不检查使用受信任域的通信域信任由内置白名单确定阻止使用已过时 S S L v 2 协议加密的通信 - 将自动阻止使用早期版本的 SSL 协议的通信根证书将根证书添加到已知浏览器 - 要使 SSL 通信在您的浏览器电子邮件客户端中正常工作请务必将 ESET 根证书添加到已知根证书发布者列表中启用后 ESET Smart Security Premium 可自动将 ESET 根证书添加到已知浏览器例如 Opera 和 Firefox 对于使用系统证书存储的浏览器会自动添加证书例如在 Internet Explorer 中要将该证书应用到不受支持的浏览器请依次单击查看证书 > 详细信息 > 复制到文件然后手动将其导入该浏览器证书有效性使用 TRCA 证书机构无法验证该证书时 - 在某些情况下无法使用受信任的根证书颁发机构 (TRCA) 验证网站证书这意味着该证书将由某人例如 Web 服务器或小型企业的管理员签名将此证书视为受信任并不总是存在风险大部分大型企业例如银行使用 TRCA 签名的证书如果选中了询问证书的有效性默认为选中将在建立加密通信时提示用户选择要采取的操作您可以选择阻止使用该证书的通信以始终终止使用未验证证书站点的加密连接该证书无效或已损坏时 - 这意味着证书已过期或已错误地签名在这种情况下我们建议保持选中阻止使用该证书的通信 56

57 证书要使 SSL 通信在您的浏览器电子邮件客户端正常工作请将 ESET 根证书添加到已知根证书发布者的列表中应启用将根证书添加到已知浏览器选中此选项可自动将 ESET 根证书添加到已知浏览器如 Opera 和 Firefox 对于使用系统证书存储的浏览器会自动添加证书如 Internet Explorer 要将该证书应用到不受支持的浏览器请单击查看证书 > 详细信息 > 复制到文件然后手动将其导入该浏览器在某些情况下使用受信任的根证书颁发机构比如 VeriSign 无法验证该证书这意味着该证书将由某人比如 Web 服务器或小型公司的管理员自签名将此证书视为受信任不总是存在风险大部分大型公司比如银行使用 TRCA 签名的证书如果选中了询问证书的有效性默认为选中将在建立加密通信时提示用户选择要采取的操作将显示操作选择对话框其中您可决定是否要标记该证书为受信任或排除如果证书不存在于 TRCA 列表中则窗口为红色如果证书在 TRCA 列表中则窗口将为绿色您可以选择阻止使用该证书的通信以便总是终止使用未经验证证书网站的加密连接如果该证书无效或损坏这意味着证书已过期或被错误自签名在这种情况下我们建议阻止使用该证书的通信加密的网络通信如果计算机配置为 SSL 协议扫描则在尝试建立加密的通信使用未知证书时可能会打开一个对话窗口提示您选择操作该对话窗口包括以下信息发起通信的应用程序的名称所使用的证书的名称要执行的操作是否要扫描加密的通信以及是否要为该应用程序证书记住此操作如果信任的根证书颁发机构 (TRCA) 存储中没有该证书则将该证书视为不受信任已知证书列表已知证书列表可用于自定义特定 SSL 证书的 ESET Smart Security Premium 行为如果在 S S L/ TLS 协议过滤模式下选中交互模式还可用于记住所选的操作可以在高级设置 (F5) > Web 和电子邮件 > S S L/ TLS > 已知证书列表中查看和编辑该列表已知证书列表窗口包含列名称 - 证书名称证书颁发者 - 证书创建者的名称证书主题 - 主题字段可标识与存储在主题公共密钥字段中的公共密钥相关联的实体访问 - 选择允许或阻止作为访问操作可允许阻止受此证书保护的通信不管其可信度如何都是如此选择自动以允许受信任的证书并询问是否允许不受信任的证书选择询问以始终询问用户要执行的操作扫描 - 选择扫描或忽略作为扫描操作可扫描或忽略受此证书保护的通信选择自动以在自动模式下扫描并在交互模式进行询问选择询问以始终询问用户要执行的操作控件元素添加 - 添加新证书并调整其访问和扫描选项的相关设置编辑 - 选择您希望配置的证书然后单击编辑删除 - 选择您希望删除的证书然后单击删除确定取消 - 如果您希望保存更改则单击确定如果您希望在不保存的情况下退出则单击取消 57

58 S S L/ T LS 过滤的应用程序列表 S S L/ TLS 过滤的应用程序列表可用于自定义特定应用程序的 ESET Smart Security Premium 行为如果在 S S L/ TLS 协议过滤模式下选中交互模式还可用于记住所选的操作可以在高级设置 (F5) > Web 和电子邮件 > S S L/ TLS > S S L/ TLS 过滤的应用程序列表中查看和编辑该列表 S S L/ TLS 过滤的应用程序列表窗口包含列应用程序 - 应用程序的名称扫描操作 - 选择扫描或忽略可扫描或忽略通信选择自动以在自动模式下扫描并在交互模式进行询问选择询问以始终询问用户要执行的操作控件元素添加 - 添加过滤的应用程序编辑 - 选择您希望配置的证书然后单击编辑删除 - 选择您希望删除的证书然后单击删除确定取消 - 如果您希望保存更改则单击确定如果您希望在不保存的情况下退出则单击取消网络钓鱼防护网络钓鱼这一术语是指利用社会工程学操纵用户以获取机密信息的一种犯罪活动网络钓鱼通常被用于获取访问敏感信息如银行帐号 PIN 号码等的权限在词汇表中阅读此活动的详细信息 ESET Smart Security Premium 包括网络钓鱼防护用于阻止散布此类内容的已知网页我们强烈建议您启用 ESET Smart Security Premium 中的网络钓鱼防护若要执行此操作请打开高级设置 (F5) 并导航至 Web 和电子邮件 > 网络钓鱼防护有关 ESET Smart Security Premium 中网络钓鱼防护的详细信息请访问我们的知识库文章访问网络钓鱼网站当访问已识别的网络钓鱼网站时以下对话框将显示在您的 Web 浏览器中如果您仍需要访问该网站请单击忽略威胁不建议 58

59 注意在默认情况下白名单上列出的潜在网络钓鱼网站将在几小时后过期要永久允许某一网站可使用 URL 地址管理工具通过高级设置 (F5) 展开 Web 和电子邮件 > Web 访问保护 > URL 地址管理> 地址列表并单击编辑然后向该列表添加要编辑的网站报告网络钓鱼站点报告链接使您能够向 ESET 报告网络钓鱼恶意网站以供分析注意向 ESET 提交网站前确保其满足以下一个或多个标准未检测到该网站该网站被错误地检测为威胁在此情况下您可以报告错误阻止的页面此外也可以通过电子邮件提交网站请将电子邮件发送至请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此网站的信息例如引导您访问它的网站您是如何了解到它的等等 59

60 4.3 网络防护防火墙可控制进出系统的所有网络通信其实现方式是按照过滤规则允许或拒绝个别网络连接它可以防范来自远程计算机的攻击并可以阻止某些服务此外还可为 HTTP POP3 和 IMAP 协议提供病毒防护此功能是计算机安全的一个极其重要的因素 ESET Smart Security Premium 将在您连接到未受保护的无线网络或防护较弱的网络时通知您可在网络防护下的设置窗格中找到防火墙配置您可以在这里调整过滤模式规则和详细设置您还可以访问更详细的设置方法是单击防火墙旁边的齿轮 > 配置或按 F5 访问高级设置单击防火墙旁边的齿轮可访问以下设置配置 - 在高级设置中打开防火墙窗口您可以在其中定义防火墙处理网络通信的方式暂停防火墙(允许所有通信) - 与阻止所有网络通信相反如果选中所有防火墙的过滤选项都将关闭并且允许所有传入和传出连接当网络通信过滤处于此模式时请单击启用防火墙以重新启用防火墙阻止所有通信 - 防火墙将阻止所有入站和出站通信仅当您认为存在严重的安全风险必须断开系统与网络的连接时才使用此选项当网络通信过滤处于阻止所有通信模式时单击停止阻止所有通信以还原正常防火墙操作自动模式 - 当启用了另一个过滤模式时单击以将过滤模式更改为自动过滤模式使用用户定义的规则交互模式 - 当启用了另一个过滤模式时单击以将过滤模式更改为交互过滤模式网络攻击防护 (IDS ) - 分析网络通信的内容并防止网络攻击将阻止视为有害的通信僵尸网络保护 - 快速准确地发现系统上的恶意软件已连接网络 - 显示网络适配器连接到的网络单击网络名称下面的链接后系统将提示您为通过网络适配器连接到的网络选择一种防护类型严格或允许此设置将针对网络上的其他计算机定义访问您的计算机的方式临时 IP 地址黑名单 - 查看 IP 地址的列表这些地址已被检测为攻击源并添加到了黑名单以在一定时间内阻止连接有关更多信息请单击此选项并按 F1 故障排除向导 - 帮助您解决由 ESET 防火墙导致的连接问题有关更多详细信息请参阅故障排除向导 60

61 4.3.1 防火墙防火墙可控制进出系统的所有网络通信其实现方式是按照指定的过滤规则允许或拒绝每个网络连接它可以防范来自远程计算机的攻击也可以阻止潜在威胁服务它还针对 HTTP POP3 和 IMAP 协议提供病毒防护基本启用防火墙 - 我们建议您使此功能保持启用状态以确保系统安全启用防火墙后将以两个方向扫描网络通信还将评估 Windows 防火墙中的规则 - 在自动模式下还允许 Windows 防火墙中的规则所允许的传入通信除非由 ESET 规则明确阻止过滤模式 - 根据过滤模式的不同防火墙行为会随之改变过滤模式还会影响所需的用户交互级别 ESET Smart Security Premium 防火墙有以下几种可用的过滤模式自动模式 - 默认模式此模式适用于希望防火墙用起来简单方便且无需定义规则的用户可以创建用户定义的自定义规则但在自动模式下并非必须创建这些规则自动模式允许给定系统的所有出站通信并阻止大部分入站通信来自信任区域的某些通信如 IDS 和高级选项允许服务中所规定和对最近出站通信的响应除外交互模式 - 允许您建立自定义的防火墙配置如果检测到通信却没有现有规则适用于该通信时会显示一个对话窗口报告未知的连接对话窗口中还提供允许或拒绝该通信的选项并且可以将允许或拒绝的决定另存为防火墙的新规则如果您选择创建新规则今后所有此类连接都将根据该规则被允许或阻止基于策略的模式 - 阻止所有未被特定规则定义为允许的连接该模式允许高级用户定义规则仅允许需要且安全的连接所有其他未指定的连接将受到防火墙阻止学习模式 - 自动创建和保存规则此模式最适用于防火墙的初始配置但不应在很长一段时间内保持打开状态不需要用户交互因为 ESET Smart Security Premium 会根据预先定义的参数保存规则应仅在为所需通信创建所有规则来避免安全风险之前才使用学习模式通过指定不同情况下的不同规则集配置文件可用于自定义 ESET Smart Security Premium 防火墙的行为启用已连接的家庭显示器 - 保护计算机免受传入网络 (Wi-Fi) 威胁发现新的网络设备时发送通知 - 当在您的网络上检测到新设备时通知您高级规则 - 您可以在此处添加规则并定义防火墙如何处理网络通信区域 - 您可以在此处创建包含一个或多个安全 IP 地址的区域 61

62 注意您可以在僵尸网络攻击您的计算机时创建一个 IDS 例外可以在高级设置 (F5) > 网络防护 > 网络攻击防护 > IDS 例外中通过单击编辑修改例外学习模式设置针对已在系统中建立的每个通信学习模式将自动创建并保存规则不需要用户交互因为 ESET Smart Security Premium 会根据预先定义的参数保存规则此模式会使系统承受风险仅建议用于防火墙的初始配置从高级设置 (F5) > 防火墙 > 基本 > 过滤模式中的下拉菜单选择学习模式以激活学习模式选项此部分包含以下项目警告处于学习模式下时防火墙不会过滤通信允许所有传出和传入通信在此模式下计算机未受到防火墙的完全保护通信类型 - 为每种通信类型选择特定规则创建参数通信类型有四种来自信任区域的入站通信 - 一个信任区域传入连接的示例是来自信任区域的远程计算机尝试与您计算机上运行的本地应用程序建立通信到信任区域的出站通信 - 本地应用程序尝试与本地网络中或信任区域的网络中的其他计算机建立连接 Int ernet 入站通信 - 远程计算机尝试与在该计算机上运行的应用程序通信 Int ernet 出站通信 - 本地应用程序尝试与其他计算机建立连接每个部分都允许您定义要添加到新创建的规则的参数添加本地端口 - 包括网络通信的本地端口号对于传出通信通常会生成随机端口号因此建议您仅对传入通信启用此选项添加应用程序 - 包括本地应用程序的名称此选项适用于将来的应用程序级别规则为整个应用程序定义通信的规则例如您可以仅启用 Web 浏览器或电子邮件客户端的通信 62

63 添加远程端口 - 包括网络通信的远程端口号例如可以允许或拒绝与标准端口号关联的特定服务 HTTP - 80 POP3 110 等添加远程 IP 地址信任区域 - 远程 IP 地址或区域可以用作新规则的参数这些规则定义本地系统和远程地址区域之间的所有网络连接该选项适合要为特定计算机或一组联网计算机定义操作的情况应用程序不同规则的最大数量 - 如果应用程序通过不同的端口与各种 IP 地址等进行通信则处于学习模式的防火墙会为该应用程序创建相应的规则数您可以使用此选项限制可为一个应用程序创建的规则数量网络攻击防护启用网络攻击防护 (IDS ) - 分析网络通信的内容并防止网络攻击将阻止任何视为有害的通信启用僵尸网络保护 - 通过识别表示计算机被感染和机器人尝试通信的模式检测并阻止与恶意命令和控制服务器相关联的通信 IDS 例外 - 允许您添加 IDS 例外并自定义对恶意活动的反应防火墙配置文件配置文件可用于控制 ESET Smart Security Premium 防火墙的行为创建或编辑防火墙规则时可以将规则分配到特定配置文件或者将规则应用到每个配置文件当配置文件在网络接口上处于活动状态时仅向它应用全局规则未指定配置文件的规则以及已分配到该配置文件的规则您可以使用已分配到网络适配器或网络的不同规则创建多个配置文件从而轻松改变防火墙行为单击配置文件列表旁边的编辑以打开可在其中编辑配置文件的防火墙配置文件窗口当网络适配器连接到特定网络时可以将它设置为使用为该网络配置的配置文件还可以在高级设置 (F5) > 网络防护 > 防火墙 > 已知网络中分配一个要在给定网络上使用的特定配置文件从已知网络列表中选择网络并单击编辑以将防火墙配置文件分配到防火墙配置文件下拉菜单中的特定网络如果该网络没有分配配置文件则使用该适配器的默认配置文件如果该适配器设置为不使用网络的配置文件则使用其默认配置文件无论连接到哪个网络都是如此如果没有适用于网络和适配器配置的配置文件则使用全局默认配置文件若要向网络适配器分配配置文件请选择网络适配器单击已分配到网络适配器的配置文件旁边的编辑编辑选定的网络适配器然后从默认防火墙配置文件下拉菜单中选择配置文件当防火墙切换到另一个配置文件时在靠近系统时钟的右下角将出现一个通知已分配到网络适配器的配置文件通过切换配置文件您可以快速对防火墙行为进行多项更改可以针对特定配置文件设置和应用自定义规则位于计算机上的所有适配器的网络适配器条目将自动添加到网络适配器列表列名称 - 网络适配器的名称默认防火墙配置文件 - 如果您连接到的网络没有配置的配置文件或者您的网络适配器设置为不使用网络配置文件则使用默认配置文件首选网络配置文件 - 已启用首选已连接网络的防火墙配置文件时网络适配器将尽可能使用已分配给连接网络的防火墙配置文件控件元素添加 - 添加新的网络适配器编辑 - 允许您编辑现有网络适配器删除 - 如果您希望从列表中删除网络适配器请选择该网络适配器并单击删除确定取消 - 如果您希望保存更改则单击确定如果要在不进行任何更改的情况下离开则单击取消 63

4.3.3 配置和使用规则规则指对所有网络连接进行针对性测试的一组条件以及为这些条件分配的所有操作您可以使用防火墙规则定义在建立不同类型的网络连接时采取的操作若要访问规则过滤设置请导航到高级设置 (F5) > 防火墙 > 基本某些预定义的规则将绑定到允许的服务 IDS 和高级选项中的复选框而且不能直接关闭这些规则您可以改用这些相关复选框来执行此操作与早期版本的

64 4.3.3 配置和使用规则规则指对所有网络连接进行针对性测试的一组条件以及为这些条件分配的所有操作您可以使用防火墙规则定义在建立不同类型的网络连接时采取的操作若要访问规则过滤设置请导航到高级设置 (F5) > 防火墙 > 基本某些预定义的规则将绑定到允许的服务 IDS 和高级选项中的复选框而且不能直接关闭这些规则您可以改用这些相关复选框来执行此操作与早期版本的 ESET Smart Security Premium 不同将从上到下评估规则第一个匹配规则的操作可用于要评估的每个网络连接这是相对于早期版本的一项重要行为更改在早期版本中曾自动执行规则的优先级并且较为具体的规则所具有的优先级高于较为常规的规则连接可分为传入和传出连接传入连接由远程计算机发起试图与本地系统建立连接传出连接则以相反的方式进行即本地系统连接远程计算机如果检测到新的未知通信您必须仔细斟酌是允许还是拒绝不请自来不安全或未知的连接会给系统带来安全风险如果建立这类连接我们建议您特别要注意试图连接到您计算机的远程计算机和应用程序许多渗透会尝试获得并发送私有数据或将其他恶意应用程序下载到主机工作站上防火墙允许您检测并终止此类连接防火墙规则单击基本选项卡部分中规则旁边的编辑以显示防火墙规则窗口其中显示了所有规则的列表使用添加? 编辑和删除可添加配置或删除规则您可以通过选择规则并单击最高向上向下最低来调整规则的优先级提示: 可按名称协议或端口使用搜索字段来查找规则列名称 - 规则名称已启用 - 显示规则处于启用状态还是处于禁用状态必须选中相应的复选框才能激活规则协议 - 此规则适用的协议配置文件 - 显示此规则适用的防火墙配置文件操作 - 显示通信的状态阻止允许询问方向 - 通信方向传入传出双向本地 - 本地计算机的 IP 地址和端口远程 - 远程计算机的 IP 地址和端口应用程序 - 规则应用到的应用程序 64

65 控件元素添加 - 创建一个新规则编辑 - 允许您编辑现有规则删除 - 删除现有规则显示内置(预定义)规则 - 由 ESET Smart Security Premium 预定义的规则可允许或拒绝特定通信尽管您可以禁用这些规则但您无法删除预定义的规则最高向上向下最低 - 允许您调整规则的优先级按从最高到最低的顺序执行规则使用规则每次受监控的参数发生更改时都需要进行修改如果进行的更改使规则无法满足条件且无法应用指定的操作可能会拒绝给定的连接这可能导致受该规则影响的应用程序的操作出现问题比如远程端网络地址或端口号若发生更改就会引发上述问题该窗口顶部包含三个选项卡常规 - 指定规则名称连接方向操作允许? 拒绝? 询问以及将应用规则的协议和配置文件本地 - 显示有关连接的本地端的信息包括本地端口号或端口范围以及通信应用程序的名称您还可以通过单击添加在此处添加带有 IP 地址范围的预定义区域或已创建的区域远程 - 此选项卡包含关于远程端口端口范围的信息您可以使用该选项卡为给定的规则定义远程 IP 地址或区域的列表您还可以通过单击添加在此处添加带有 IP 地址范围的预定义区域或已创建的区域创建新规则时必须在名称字段中输入该规则的名称从方向下拉菜单中选择将应用规则的方向并从操作下拉菜单中选择当通信符合规则时要执行的操作协议表示用于规则的传输协议从下拉菜单中选择为给定规则使用的协议 ICMP 类型代码表示由数字标识的 ICMP 消息例如 0 表示 Echo 回复默认为任何配置文件启用所有规则或者使用配置文件下拉菜单选择自定义防火墙配置文件如果您启用了日志则与该规则有关的活动将记录到日志中通知用户在应用规则时显示通知注意下面是一个示例我们在其中创建新规则以允许 Web 浏览器应用程序访问网络必须配置以下项在常规选项卡中启用通过 TCP 和 UDP 协议的传出通信在本地选项卡中添加您的浏览器应用程序对于 Internet Explorer 为 iexplore.exe 在远程选项卡上如果要允许标准 Internet 浏览活动则启用端口号 80 注意请注意可采用有限的方式修改预定义的规则配置区域区域是指创建一个 IP 地址逻辑组的网络地址集合当您需要在多个规则中重新使用同一组地址时非常有用给定组中的每个地址都会分配有相似的规则这些规则是针对整个组集中定义的受信任的区域即为这类组的一个示例信任区域是指防火墙不会以任何方式阻止的一组网络地址在高级设置 > 防火墙 > 高级中通过单击区域旁边的编辑可配置这些区域若要添加新区域请单击添加输入该区域的名称? 说明并将远程 IP 地址添加到远程计算机地址(IP v 4/ IP v 6 范围掩码)字段中在防火墙区域设置窗口中您可以指定区域名称说明和网络地址列表另请参阅已知网络编辑器 65

66 4.3.5 已知网络如果使用的计算机频繁连接到公共网络或您的正常家庭或工作网络之外的网络我们建议您验证正在连接的新网络的网络可信度定义网络后 ESET Smart Security Premium 可以使用网络标识中配置的网络参数识别受信任的家庭或办公网络计算机经常使用与受信任网络相似的 IP 地址进入网络在此类情况下 ESET Smart Security Premium 可能将未知网络视为受信任网络家庭或办公网络我们建议您使用网络验证以避免发生此类情况当网络适配器连接到某个网络或重新配置其网络设置时 ESET Smart Security Premium 将搜索已知网络列表以查找与新网络相匹配的记录如果网络标识和网络验证可选可以匹配则该网络将标记为在此接口中连接当找到未知网络时网络标识配置将创建新的网络连接以在您下次连接到该网络时标识它默认情况下新网络连接使用公共网络保护类型检测到新网络连接对话窗口将提示您在公共网络? 家庭或办公网络或使用 Windows 设置保护类型之间进行选择如果网络适配器连接到已知网络并且该网络标记为家庭或办公网络则该适配器的本地子网将添加到信任区域新网络的防护类型 - 选择以下选项之一使用 Windows 设置? 询问用户或标记为公共默认用于新网络已知网络允许您配置网络名称网络标识保护类型等要访问已知网络编辑器请单击编辑注意当您选择使用 Windows 设置时不会出现对话框并且您所连接到的网络将根据您的 Windows 设置自动标记这将导致某些功能例如文件共享和远程桌面可以从新网络访问已知网络编辑器可在高级设置 > 网络防护 > 防火墙 > 已知网络中通过单击编辑手动配置已知网络列名称 - 已知网络的名称保护类型 - 显示是将网络设置为家庭或办公网络? 公共还是使用 Windows 设置防火墙配置文件 - 从显示在配置文件中使用的规则下拉菜单中选择配置文件以显示配置文件规则过滤器更新配置文件 - 在连接到此网络后允许您应用已创建的更新配置文件控件元素添加 - 创建新的已知网络编辑 - 单击以编辑现有已知网络删除 - 选择网络并单击删除以从已知网络列表中删除它最高向上向下最低 - 允许您调整已知网络的优先级按从最高到最低的顺序评估网络网络配置设置在以下选项卡中进行排列网络您可以在此处为网络定义网络名称和选择保护类型公共网络家庭或办公网络或使用 Windows 设置使用防火墙配置文件下拉菜单为此网络选择配置文件如果该网络使用家庭或办公网络保护类型则所有直接连接的网络子网都视为受信任网络例如如果网络适配器使用 IP 地址和子网掩码连接到此网络则子网 /24 将添加到该适配器的信任区域如果该适配器具有多个地址子网则无论已知网络的网络标识配置如何所有地址子网都将受信任此外其他受信任的地址下添加的地址将始终添加到已连接到此网络的适配器的信任区域无论网络的保护类型如何关于弱 WiFi 加密的警告 ESET Smart Security Premium 将在您连接到未受保护的无线网络或防护较弱的网络时通知您防火墙配置文件 - 在连接到此网络后选择将使用的防火墙配置文件更新配置文件 - 在连接到此网络后选择将使用的更新配置文件 66

若要在已连接网络列表中标记为已连接该网络必须满足以下条件网络标识填写的所有参数都必须匹配活动连接参数网络验证如果选定验证服务器则必须使用 ESET 验证服务器成功进行验证网络限制仅限 Windows XP 必须满足所有选定的全局限制网络标识根据本地网络适配器的参数执行网络标识所有选定参数都将与活动网络连接的实际参数进行比较允许 IPv4 和 IPv6 地址网络验证

67 若要在已连接网络列表中标记为已连接该网络必须满足以下条件网络标识填写的所有参数都必须匹配活动连接参数网络验证如果选定验证服务器则必须使用 ESET 验证服务器成功进行验证网络限制仅限 Windows XP 必须满足所有选定的全局限制网络标识根据本地网络适配器的参数执行网络标识所有选定参数都将与活动网络连接的实际参数进行比较允许 IPv4 和 IPv6 地址网络验证网络验证搜索网络中的特定服务器并使用不对称加密 (RSA) 来验证该服务器正在进行验证的网络名称必须匹配验证服务器设置中设置的区域名称该名称区分大小写指定服务器名称服务器侦听端口和与私人服务器密钥对应的公共密钥请参阅网络验证服务器配置服务器名称可以采用 IP 地址 DNS 或 NetBios 名称的格式输入并后跟用于指定服务器上的密钥位置的路径例如 server_name_/directory1/directory2/authentication 您可以通过将要使用的备用服务器附加到该路径来指定它们以分号分隔下载 ESET 验证服务器. 可以使用以下任意文件类型导入公共密钥 PEM 加密公共密钥 (.pem) 此密钥可使用 ESET 验证服务器生成请参阅网络验证服务器配置加密公共密钥公共密钥证书 (.crt) 67

68 单击测试以测试您的设置如果验证成功将显示服务器验证已成功如果未正确配置验证将显示以下错误消息之一服务器验证失败签名无效或不匹配服务器签名与输入的公共密钥不匹配服务器验证失败网络名称不匹配配置的网络名称与验证服务器区域名称不相对应查看这两个名称并确保它们一致服务器验证失败服务器无效或没有响应如果服务器未运行或不可访问则不会收到任何响应如果在指定地址上正在运行其他 HTTP 服务器则收到的响应可能无效输入的公共密钥无效验证您输入的公共密钥文件未损坏网络限制仅适用于 Windows XP 在现代操作系统 Windows Vista 及更新版本上每个网络适配器都具有自己的信任区域和活动防火墙配置文件遗憾地是在 Windows XP 上不支持此布局因此所有网络适配器始终共享相同的信任区域和活动防火墙配置文件当计算机同时连接到多个网络时这可能是潜在的安全风险在此类情况下可能使用为其他已连接网络配置的信任区域和防火墙配置文件评估来自不受信任网络的通信为了降低任何安全风险您可以使用以下限制来避免在连接其他潜在不受信任网络时在全局应用同一网络配置在 Windows XP 上将全局应用连接的网络设置信任区域和防火墙配置文件除非至少启用了以下限制之一并且未满足该限制 a. 仅一个连接处于活动状态 b. 未建立任何无线连接 c. 未建立不安全的无线连接 68

69 网络验证服务器配置验证过程可由连接到将验证的网络的任何计算机服务器执行需要在始终可访问的计算机服务器上安装 ESET 验证服务器应用程序以便当客户端无论何时尝试连接到网络时可以进行验证 ESET 验证服务器应用程序的安装文件可从 ESET 网站下载安装了 ESET 验证服务器应用程序以后将显示一个对话窗口可以通过开始 > 程序 > E S E T > E S E T 验证服务器访问该应用程序要配置验证服务器则输入验证区域名称服务器侦听端口默认为 80 以及存储公共和私人密钥对的位置然后生成将用于验证过程的公共和私人密钥私人密钥将保留在服务器上而公共密钥需要在设置防火墙设置中的区域时在区域验证部分中的客户端上导入有关更多详细信息请阅读以下 ESET 知识库文章日志记录 ESET Smart Security Premium 防火墙将重要事件保存到日志文件中用户可通过主菜单直接查看日志文件单击工具 > 更多工具 > 日志文件然后从日志下拉菜单中选择防火墙日志文件可用于检测错误并发现系统入侵 ESET 防火墙日志包含以下数据事件的日期和时间事件名称来源目标网络地址网络通信协议应用的规则或蠕虫的名称如果识别出来涉及的应用程序用户彻底分析这些数据有助于检测损害系统安全的尝试许多其他因素也能指示潜在的安全风险使您最大限度地降低其影响来自未知位置的连接过于频繁多次尝试建立连接未知应用程序的通信或不经常使用的端口号建立连接检测防火墙会检测每个新创建的网络连接活动的防火墙模式可决定哪些操作是新规则允许执行的如果激活了自动模式或基于策略的模式防火墙将执行预定义的操作无需用户交互交互模式会显示一个信息窗口报告检测到了新网络连接并显示关于此连接的详细信息您可以选择允许或拒绝阻止该连接如果在对话窗口中重复允许相同的连接建议您针对该连接创建一条新规则为此请选择创建规则并永久记住并将该操作另存为防火墙的新规则今后如果防火墙识别到相同连接将应用现有的规则无需用户干预创建新规则时请务必小心仅允许安全的连接如果所有连接都被允许那么防火墙就失去了作用以下是重要的连接参数远程端 - 仅允许连接到信任地址和已知地址本地应用程序 - 建议不要允许连接未知应用程序和进程端口号 - 正常情况下应允许常用端口上的通信例如 Web 通信端口号 80 为在更大范围内扩散计算机渗透经常使用 Internet 和隐藏的连接来帮助它们感染远程系统如果规则配置正确防火墙可成为防范各种恶意代码攻击的有效工具 69

70 4.3.8 使用 E S E T 个人防火墙解决问题如果您在 ESET Smart Security Premium 安装后遇到了连接问题有几种方法来判断是否是 ESET 防火墙引起了该问题此外 ESET 防火墙可以帮助您创建新规则或例外以解决连接问题有关使用 ESET 防火墙解决问题的帮助请参阅下列主题故障排除向导记录日志并从中创建规则或例外创建防火墙通知的例外高级 PCAP 日志记录使用协议过滤解决问题故障排除向导故障排除向导以静默方式监视所有已阻止的连接并引导您完成故障排除的过程以解决特定应用程序或设备的防火墙问题接下来该向导将建议应用一组新的规则如果您批准这些规则可以在设置 > 网络保护下的主菜单中找到故障排除向导记录日志并从中创建规则或例外默认情况下 ESET 防火墙并不记录所有已阻止的连接如果您想要查看防火墙已阻止的内容请在工具 > 诊断 > 启用防火墙高级日志记录下的高级设置中启用日志记录如果您在日志中看到不希望防火墙阻止的连接您可以在该项上右键单击并选择在将来不阻止类似事件来为它创建规则或 IDS 例外请注意所有已阻止的连接的日志可能包含数千个项目可能很难在此日志中找到某个特定的连接在您已解决问题后可以关闭日志记录有关日志的更多信息请参阅日志文件注意请使用日志记录查看防火墙已阻止特定连接的顺序此外从日志创建规则使您可以创建能精确执行您想要的操作的规则从日志创建规则新版本的 ESET Smart Security Premium 允许您从日志创建规则在主菜单中依次单击工具 > 更多工具 > 日志文件从下拉菜单中选择防火墙右键单击所需的日志条目然后从右键菜单中选择在将来不阻止类似事件通知窗口将显示您的新规则若要允许从日志创建新规则必须使用以下设置来配置 ESET Smart Security Premium 在高级设置 (F5) > 工具 > 日志文件中将日志记录的最低级别设置为诊断在高级设置 (F5) > 防火墙 > IDS 和高级选项 > 入侵检测中启用还为针对安全漏洞的传入攻击显示通知创建个人防火墙通知的例外当 ESET 防火墙检测到恶意网络活动时将显示一个描述该事件的通知窗口此通知包含一个链接您可以通过此链接了解有关该事件的详细信息并为该事件设置例外如果您希望注意如果网络应用程序或设备未正确实现网络标准则它可能触发重复的防火墙 IDS 通知您可以从通知直接创建例外以防止 ESET 防火墙检测此应用程序或设备 70

71 高级 P CA P 日志记录该功能旨在为 ESET 客户支持提供更复杂的日志文件仅在 ESET 客户支持发出相应请求时使用该功能因为它可能会生成一个巨大的日志文件并降低计算机的运行速度 1. 导航到高级设置 > 工具 > 诊断然后启用启用防火墙高级日志记录 2. 尝试重现您所遇到的问题 3. 禁用高级 PCAP 日志记录 4. 可在生成诊断内存转储的同一目录中找到 PCAP 日志文件 Microsoft Windows Vista 或更新版本 C:\ProgramData\ESET\ESET Smart Security Premium\Diagnostics\ Microsoft Windows XP C:\Documents and Settings\All Users\ 使用协议过滤解决问题如果您遇到浏览器或电子邮件客户端的问题请首先确定该问题是否因协议过滤引起若要做到这一点请尝试在高级设置中暂时禁用应用程序协议过滤请记住在完成后将其设置回启用否则您的浏览器和电子邮件客户端将处于未保护状态如果将其关闭后问题即消失则请参考下面的常见问题列表及其解决方法更新或安全通信问题如果应用程序反映无法更新或通信信道不安全如果您已将 SSL 协议过滤启用请尝试暂时将其关闭如果该操作起作用您可以继续使用 SSL 过滤并通过排除有问题的通信以使更新正常工作将 SSL 协议过滤模式切换到交互模式重新运行更新应出现一个通知您有关加密的网络通信的对话框确保该应用程序与您正在进行故障排除的应用程序相匹配并且证书应来自它在其中进行更新的服务器然后选择记住对此证书的操作并单击忽略如果未显示更多相关的对话框您可以将过滤模式切换回自动模式并且问题应已解决如果出现问题的应用程序不是浏览器或电子邮件客户端您可以完全将其从协议过滤中排除为浏览器或电子邮件客户端执行此操作会使您暴露在添加例外时任何在过去将其通信过滤的应用程序应已添加在向您提供的列表中所以没有必要手动将其添加有关访问网络上的设备的问题如果无法使用您网络上的设备的任何功能这可能是指打开网络摄像机的网页或在家庭媒体播放器上播放视频请尝试将其 IPv4 和 IPv6 地址添加到排除地址列表中特定网站的问题您可以使用 URL 地址管理将特定网站从协议过滤中排除例如如果您无法访问请尝试将 gmail.com* 添加到排除地址列表中错误某些能够导入根证书的应用程序尚在运行中当您启用 SSL 协议过滤时 ESET Smart Security Premium 通过将证书导入应用程序的证书机构来确保已安装的应用程序信任它过滤 SSL 协议的方式对于某些应用程序当它们正在运行时不能实现此操作这些应用程序包括 Firefox 和 Opera 确保它们没有运行要做到这一点最好的方法是打开任务管理器并确保进程选项卡下不存在 firefox.exe 或 opera.exe 然后点击重试有关不受信任的颁发者或无效签名的错误这很可能意味着上述导入失败请首先确保提到的应用程序都没有运行然后禁用 SSL 协议过滤再将其启用该操作将重新运行导入 71

72 4.4 安全工具安全工具设置允许您调整以下模块银行和付款保护家长控制防盗 Password Manager Secure Data 家长控制家长控制模块允许您配置家长控制设置这些设置将为家长提供自动工具帮助保护其孩子并设置设备和服务的限制其目的是防止小孩和未成年人访问不适当的或具有有害内容的页面家长控制可以阻止可能包含潜在冒犯材料的网页此外家长可以禁止访问 40 个以上的预先定义的网站类别和超过 140 个子类别要为特定的用户帐户激活家长控制请遵循以下步骤 1. 默认情况下家长控制在 ESET Smart Security Premium 中处于禁用状态有两种方式可以激活家长控制 o 在主程序窗口的设置 > 安全工具 > 家长控制中单击并将家长控制状态更改为已启用 o 按 F5 访问高级设置树导航到 Web 和电子邮件 > 家长控制然后打开集成到系统旁的开关 2. 从主程序窗口依次单击设置 > 安全工具 > 家长控制即使已启用出现在家长控制旁边您仍必须通过单击保护孩子帐户或家长帐户为所需帐户配置家长控制在下一个窗口中选择出生日期确定访问级别和建议的适龄网页现在已对指定的用户帐户启用家长控制在帐户名称下单击阻止的内容和设置以自定义您希望在类别选项卡中允许或阻止的类别若要允许或阻止与类别不匹配的自定义网页请单击例外选项卡如果您从 ESET Smart Security Premium 的主产品窗口中依次单击设置 > 安全工具 > 家长控制您将看到该主窗口包含 72

73 Windows 用户帐户如果您为现有帐户创建了一个角色该角色将显示在此处单击滑块绿色复选标记网页以便它将为该帐户在家长控制旁边显示一个在活动帐户下单击阻止的内容和设置以查看此帐户的允许的网页类别列表以及阻止和允许的重要信息要创建新帐户例如为儿童创建请使用以下分步说明适用于 Windows 7 或 Windows Vista 单击开始按钮位于桌面左侧底部打开用户帐户单击家长控制然后单击用户帐户单击管理用户帐户如果提示输入管理员密码或进行确认则键入密码或进行确认单击创建新帐户键入为新账户所取的名称单击某一帐户类型然后单击创建帐户通过再次从 ESET Smart Security Premium 的主程序窗口单击设置 > 安全工具 > 家长控制可重新打开家长控制窗格窗口的底部部分包含为网站添加例外 - 根据您的偏好分别针对每个家长帐户允许或阻止特定网站显示日志 - 这将显示家长控制活动的详细日志阻止的页面阻止页面的帐户类别等通过单击基于选择的条件过滤此日志过滤还可以家长控制禁用家长控制后将显示禁用家长控制窗口在此您可以设置禁用防护的时间间隔然后该选项将更改为已暂停或永久禁用用密码保护 ESET Smart Security Premium 中的设置很重要此密码可以在访问设置部分中设置如果未设置任何密码将显示以下警告使用密码保护所有设置以防止未经授权的更改家长控制中设置的限制仅影响标准用户帐户因为管理员可以绕过任何限制所以它们没有任何作用默认不过滤 HTTPS (SSL) 通信因此家长控制无法阻止以开始的网页若要启用此功能请打开 Web 和电子邮件 > S S L/ TLS 下高级设置树中的启用 S S L/ TLS 协议过滤设置注意家长控制需要启用应用程序协议内容过滤? HTTP 协议检查和防火墙才能正常工作默认启用所有这些功能 73

4.4.1.1 类别打开某个类别旁边的开关以允许该类别如果您使开关保持关闭状态在该帐户中将不允许该类别以下是用户可能不熟悉的类别组的一些示例其他 - 通常为私人本地 IP 地址例如内联网 127.0.0.0/8 192.168.

74 类别打开某个类别旁边的开关以允许该类别如果您使开关保持关闭状态在该帐户中将不允许该类别以下是用户可能不熟悉的类别组的一些示例其他 - 通常为私人本地 IP 地址例如内联网 / /16 等如果收到 403 或 404 错误代码则该网站也符合此类别未解决 - 此类别包括因连接到家长控制数据库引擎时发生错误而未解决的网页未分类 - 家长控制数据库中尚没有的未知网页动态重定向到其他网站上的其他页面的网页 74

75 网站例外若要为网站添加例外请依次单击设置 > 安全工具 > 家长控制然后单击为网站添加例外在网站 URL 字段中输入 URL 为每个特定用户帐户选择允许或阻止然后单击确定来将其添加到列表若要从列表中删除 URL 地址请依次单击设置 > 安全工具 > 家长控制单击所需用户帐户下的阻止的内容和设置单击例外选项卡选择该例外然后单击删除 75

在 URL 地址列表中不能使用特殊符号星号和? 问号例如具有多个 TLD 的网页地址必须手动输入 ( examplepage.com? examplepage.sk 等向列表添加域后将根据您选择的基于 URL 的操作阻止或允许该域及所有子域的所有内容例如 sub.examplepage.com 注意阻止或允许特定网页比阻止或允许网页类别更准确当更改这些设置以及将类别网页添加到列表时要小心 4.

76 在 URL 地址列表中不能使用特殊符号星号和? 问号例如具有多个 TLD 的网页地址必须手动输入 ( examplepage.com? examplepage.sk 等向列表添加域后将根据您选择的基于 URL 的操作阻止或允许该域及所有子域的所有内容例如 sub.examplepage.com 注意阻止或允许特定网页比阻止或允许网页类别更准确当更改这些设置以及将类别网页添加到列表时要小心 4.5 更新程序定期更新 ESET Smart Security Premium 是确保计算机的最高安全级别的最佳方法更新模块可确保程序模块和系统组件始终为最新通过在主程序窗口中单击更新可以查看当前更新状态包括上一次成功更新的日期和时间以及是否需要更新除了自动更新外您还可以单击检查更新来触发手动更新定期更新程序模块和组件是全面防范恶意代码的重要组成部分请注意其配置和操作必须使用许可证密钥激活您的产品以便接收更新如果您未在安装期间执行此操作可以在更新时输入许可证密钥以激活产品从而访问 ESET 更新服务器注意您的许可证密钥在购买 ESET Smart Security Premium 后通过 ESET 发送电子邮件提供 76

77 当前版本显示您安装的当前产品版本的版本号上次成功更新 - 显示最近一次成功更新的日期如果未看到最近的日期则您的产品模块可能不是最新的上次成功检查更新显示上次成功检查更新的日期显示所有模块显示已安装程序模块的列表单击检查更新以检测 ESET Smart Security Premium 的最新可用版本更新过程单击检查更新后即开始下载屏幕上会显示下载进度条和剩余时间要中断更新请单击取消更新 77

78 重要信息一般情况下您可以在更新窗口中看到表示程序处于最新状态的绿色对号标记如果不是这样则表示程序不是最新的且更容易被感染请尽快更新模块如果收到更新失败的消息可能的原因如下所示 1. 无效的许可证 - 在更新设置中输入的许可证密钥不正确建议您检查验证数据高级设置窗口从主菜单中单击设置然后单击高级设置或按键盘上的 F5 包含其他更新选项从主菜单中单击帮助和支持 > 更改许可证以输入新的许可证密钥 2. 下载更新文件时出错 - 此错误可能由不正确的 Internet 连接设置导致建议您检查 Internet 连接方法是在 Web 浏览器中打开任意网站如果网站不打开很可能未建立 Internet 连接或者计算机存在连接问题请与 Internet 服务提供商 (ISP) 联系以确定您是否有活跃 Internet 连接 78

79 重要信息建议在成功更新后重新启动计算机以确保所有程序模块已正常更新注意有关详细信息请访问此 ESET 知识库文章更新设置在更新 > 基本下的高级设置树 (F5) 中可以访问更新设置选项此部分指定更新源信息例如正在使用的更新服务器和这些服务器的验证信息基本当前使用的更新配置文件除非在高级设置 > 防火墙 > 已知网络下设置一个特定的更新配置文件显示在选择默认更新配置文件下拉菜单中自动切换配置文件允许您更改特定网络的配置文件如果您在尝试下载检测引擎更新时遇到困难请单击清除以清除临时更新文件缓存模块回滚如果您怀疑病毒库和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用设定时期内的更新此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET Smart Security Premium 会记录检测引擎和程序模块的快照以用于回滚功能要创建病毒库快照请保持创建更新文件快照开关处于启用状态本地存储的快照数量字段定义了存储的先前病毒库快照的数量 79

80 如果您单击回滚高级设置 (F5) > 更新 > 基本则必须从下拉菜单中选择时间间隔该间隔表示将暂停检测引擎和程序模块更新的时段为使更新正常下载必须正确填写所有更新参数如果使用防火墙请确保您的 ESET 程序能与 Internet 通信例如 HTTP 通信配置文件对于各种更新配置和任务可以创建更新配置文件创建更新配置文件对于移动用户这些用户需要备用配置文件以用于定期更改的 Internet 连接属性尤其有用选择要编辑的配置文件下拉菜单显示当前选定的配置文件默认情况下设置为我的配置文件若要创建新配置文件请单击配置文件列表旁边的编辑输入您自己的配置文件名称然后单击添加更新默认情况下更新类型设置为定期更新以确保更新文件将以最小的网络流量从 ESET 服务器自动进行下载预发布更新预发布更新选项已经经过内部彻底测试将很快公开提供您可以通过获得最新检测方法和修补程序从启用预发布更新中获益但是预发布更新可能并不始终稳定不得在需要最大程度可用性和稳定性的生产服务器和工作站上使用下载更新前先询问程序将显示通知从中您可以选择确认或拒绝下载更新文件询问更新文件大小是否大于 (k B ) 如果更新文件大小大于指定的值程序将显示通知禁用关于成功更新的通知 - 关闭屏幕右下角的系统托盘通知如果正在运行全屏应用程序或游戏选择此选项很有用请注意游戏模式将关闭所有通知模块更新启用更频繁的检测病毒库更新检测病毒库将以更短的时间间隔进行更新禁用此设置可能会对检测速度产生负面影响程序组件更新应用程序更新如果需要重新安装将显示确认对话框 80

81 高级更新设置高级更新设置选项包括更新模式和 HTTP 代理的配置更新模式更新模式选项卡包含关于常规程序更新的选项这些设置使您能够预定义在新版本的检测引擎或程序组件更新可用时的程序行为程序组件更新包括新的功能或者对以前版本的功能作出更改并且作为常规检测引擎更新的一部分而包含在内程序组件更新安装完毕后可能需要重新启动可用设置包括应用程序更新 - 启用后将自动以静默方式执行每个程序组件升级而无需进行完整的产品升级启用程序组件手动更新 - 默认已禁用启用并且新版本的 ESET Smart Security Premium 可用后可以在更新窗格中检查更新然后安装更新的版本下载更新之前询问 - 当该选项处于活动状态时在安装之前将显示通知并要求您确认任何可用更新的安装询问更新文件是否大于该值 (k B ) - 如果更新文件大于此处指定的大小在安装之前将显示通知并要求您确认任何可用更新的安装连接选项要访问给定更新配置文件的代理服务器设置选项请单击高级设置树 (F5) 中的更新然后依次单击配置文件 > 更新 > 连接选项单击代理模式下拉菜单并选择以下三个选项之一不使用代理服务器通过代理服务器连接使用全局代理服务器设置选择使用全局代理服务器设置可使用高级设置树的工具 > 代理服务器分支中已经指定的代理服务器配置选项选择不使用代理服务器可指定不使用代理服务器来更新 ESET Smart Security Premium 在以下情况下应选择通过代理服务器连接选项将使用不同于工具 > 代理服务器中定义的代理服务器来更新 ESET Smart Security Premium 在此配置中应在代理服务器地址中指定新代理的信息通信端口默认为 3128 以及代理服务器的用户名和密码如果需要代理服务器设置不会全局设置但 ESET Smart Security Premium 将连接到代理服务器以进行更新您的计算机通过代理服务器连接到 Internet 这些设置是在安装程序时从 Internet Explorer 获取的但是如果设置发生更改例如如果您更改 ISP 请确保在此窗口中列出的 HTTP 代理设置正确否则程序将无法连接到更新服务器代理服务器的默认设置为使用全局代理服务器设置如果代理不可用请使用直接连接 - 如果代理不可访问将在更新期间绕过代理注意此部分中的用户名和密码字段特定于代理服务器仅当访问代理服务器需要用户名和密码时才填写这些字段这些字段中不能填写您的 ESET Smart Security Premium 用户名和密码仅当您知道通过代理服务器访问 Internet 需要填写密码时才应填写 81

4.5.2 更新回滚如果您怀疑检测引擎和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用更新一段时间此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET Smart Security Premium 会记录检测引擎和程序模块的快照以用于回滚功能要创建检测引擎快照请选中创建更新文件快照复选框本地存储的快照数量字段定义了存储的先前检测引擎快照的数量

82 4.5.2 更新回滚如果您怀疑检测引擎和或程序模块的新更新不稳定或损坏可以回滚至以前版本并禁用更新一段时间此外您可以启用先前禁用的更新如果曾将其无限期推迟 ESET Smart Security Premium 会记录检测引擎和程序模块的快照以用于回滚功能要创建检测引擎快照请选中创建更新文件快照复选框本地存储的快照数量字段定义了存储的先前检测引擎快照的数量如果您单击回滚高级设置 (F5) > 更新 > 基本则必须从持续时间下拉菜单中选择时间间隔该间隔表示将暂停检测引擎和程序模块更新的时段选择直到调用可将常规更新无限期推迟直到您手动恢复更新功能因为它具有潜在安全风险我们不建议选择此选项如果执行回滚回滚按钮将变为允许更新不允许暂停更新下拉菜单选择的时间间隔内的任何更新检测引擎的版本将降级至最旧版本并作为快照存储在本地计算机文件系统中注意以编号 6871 作为检测引擎的最新版本 6870 和 6868 作为检测引擎快照存储在下载 6869 之前注意到 6869 现在不可用例如因为计算机长时间关闭并且有更新的更新可用如果将本地存储的快照数量字段设置为 2 并单击回滚检测引擎包括程序模块将恢复至版本号 6868 此过程可能需要一些时间在 ESET Smart Security Premium 主程序窗口的更新部分检查检测引擎版本是否已降级 82

83 4.5.3 如何创建更新任务更新可以手动触发方法是在主菜单中单击更新后在显示的主窗口中单击检查更新更新还可以作为计划任务运行要配置计划任务请单击工具 > 计划任务默认情况下在 ESET Smart Security Premium 中会启用以下任务定期自动更新拨号连接后自动更新用户登录后自动更新可以修改每个更新任务以满足您的需要除了默认更新任务外您还可以使用用户定义的配置创建新更新任务有关创建和配置更新任务的更多详细信息请参见计划任务部分 4.6 工具工具菜单包含的模块可帮助简化程序管理并为高级用户提供更多选项 P as s word Manager - 使您的密码保持安全有关详细信息请单击此处 S ec ure Dat a - 保护您的私人文件和机密文件有关详细信息请单击此处已连接的家庭显示器 - 减少连接到网络时的安全风险问题有关详细信息请单击此处银行和付款保护 - ESET Smart Security Premium 可以在您使用网上银行或付款网站时保护您的信用卡号及其他敏感个人数据为了提供更安全的银行交易将启动安全浏览器有关详细信息请访问此 ESET 知识库文章防盗 - 在设备丢失或被盗时定位并帮助查找您丢失的设备 83

84 单击更多工具可显示用于保护计算机的其他工具 P a s s wo rd Ma na g e r Password Manager 是 ESET Smart Security Premium 程序包的组成部分它是用于保护和存储您的密码和个人数据的 Password Manager 它还包含表单填写功能通过自动和准确地填写 Web 表单而节省时间开始使用 P as s word Manager 启用 Password Manager 导入或创建您的身份和 Web 或应用帐户了解可用于确保帐户安全的工具注释只是简短的评论尽管您可以忽略它但注释可以提供有价值的信息例如特定功能或指向某些相关主题的链接功能和优点强密码内置的密码生成器会提示您创建不可预测的强密码完成创建新帐户后将自动存储您的新登录凭据自动登录到网站和应用程序 Password Manager 与许多应用程序相集成一次单击即可自动启动您收藏的受密码保护的网站并使您登录多平台 Password Manager 支持所有主流平台 Windows Mac Android 和 ios 浏览器集成和导入 Password Manager 支持所有主要浏览器从而使您可以轻松导入来自主流浏览器或其他 Password Manager 中您的凭据和身份安全面板在一个位置集中显示弱密码以便您始终知道哪些帐户需要更改密码以增强安全性一次单击填写表单通过自动插入注册表单和在线购物车数据帮助您节省时间您可以保存多个身份以供在任意数量的不同站点和应用程序中使用例如一个身份供个人使用一个身份供工作使用快速启动按 CTRL+ALT+R 可立即访问您的 Web 帐户启用 P a s s wo rd Ma na g e r 若要启用 Password Manager 请打开主程序窗口导航到设置 > 安全工具然后单击 Password Manager 旁边的开关等待一会儿以使更改生效然后单击开始 > 立即配置以启动 Password Manager 设置 P as s word Manager 帐户在其他安全工具中启用 Password Manager 后 Password Manager 会启动您可以选择使用现有密码存储或创建新密码存储 a. 现有密码存储输入您的电子邮件地址和主密码以重新开始使用您的 Password Manager 帐户 b. 新密码存储遵循以下步骤以创建新密码存储 1. 输入您的电子邮件地址作为您帐户的标识符然后创建新的主密码 2. 确认您的主密码 3. 选择想要与 Password Manager 结合使用的浏览器有关支持的浏览器列表请参阅支持的浏览器 4. 系统会提示您向浏览器添加扩展和或关闭正在运行的浏览器 5. 从导入或创建帐户和身份开始 84

85 解锁 P a s s wo rd Ma na g e r 注意确保 Password Manager 在设置中已启用当您的计算机启动并在后台运行时 Password Manager 会自动启动为了确保您的密码和个人数据安全需要密码才能访问 Password Manager 在一段时间后用户未使用时 Password Manager 将自行锁定您可以在设置 > 安全 > 自动锁定下调整该间隔若要解锁 Password Manager 按 CTRL+ A LT+ L 显示解锁屏幕再次按此组合键将锁定 Password Manager 单击浏览器工具栏内的 Password Manager 图标若要打开 Password Manager 打开开始菜单按 Windows 键? 键入 Password Manager 然后按 E nt er 若要从 ESET Smart Security Premium 启动 Password Manager 请打开主程序窗口然后导航到设置 > 安全工具 > P as s word Manager 禁用 P a s s wo rd Ma na g e r 若要禁用 Password Manager 请打开主程序窗口然后导航到设置 > 安全工具单击 P as s word manager 旁边的开关以允许更改生效开关呈现红色时表示 Password Manager 已禁用您的密码仍将存储在本计算机中并且您可以随时重新启用 Password Manager 若要从本计算机中永久删除您的密码存储请单击 P as s word manager 旁边的齿轮图标然后从下拉菜单中选择重置全部密码支持的浏览器 Password Manager 支持以下浏览器 Microsoft Internet Explorer Mozilla Firefox Google Chrome Chromium Opera Seamonkey Yandex Comodo Dragon Pale Moon Password Manager 还支持许多流行的应用程序如 Skype 身份添加身份可帮助您自动填写较长的在线表单当将个人信息输入到在线表单时 Password Manager 会提示您是否要将该数据保存为身份保存之后 Password Manager 会使用此信息替您填写在线表单您可以存储多个身份例如一个身份用于您的家庭地址另一个身份用于您的工作信息诸如此类如果您愿意的话可以将您的个人数据直接输入到 Password Manager 若要执行此操作请单击主用户界面中的身份选项卡然后单击添加身份完成您的身份配置后您将可以选择适用于不同表单和应用程序的相应信息 85

然后选择添加帐户在该应用程序的对话框中输入您的登录名和密码复查输入的信息然后单击添加新帐户下一次您启动该应用时

86 4.6.3 应用帐户 Password Manager 适用于许多主流应用程序若要让 Password Manager 保存应用程序信息请启动该应用程序单击窗口右上角的 P as s word Manager 图标然后选择添加帐户在该应用程序的对话框中输入您的登录名和密码复查输入的信息然后单击添加新帐户下一次您启动该应用时 Password Manager 将自动替您登录使用窗口按钮旁边位于右上角的 P as s word Manager 按钮管理您的应用帐户 86

87 4.6.4 W e b 帐户添加新的 Web 帐户非常容易只需像往常一样输入您的用户名登录名和密码登录到网站 Password Manager 会提供密码生成器来创建强密码如果网站或特定登录名尚未存储在数据库中 Password Manager 会提示您是否要保存刚输入的凭据以后访问该网站时 Password Manager 会填写您的用户名和密码替您自动登录此外如果为特定网站保存了多个凭据您可以将其中一个设置为默认值或者可以让 Password Manager 在您每次访问时提示选择一组凭据使用位于您浏览器工具栏中的 P as s word Manager 浏览器扩展管理您的 Web 帐户菜单您可以访问应用程序菜单中的以下选项锁定 - 使用您的主密码锁定 Password Manager 窗口添加 - 添加新的 Web 帐户? 应用帐户或身份工具 - 使用 Password Manager 中的内置工具之一有关工具的详细信息请参阅工具主题导入导出 - 导入来自浏览器或其他 Password Manager 中您的密码和个人数据将您的数据库导出到加密文件设置 - 更改 Password Manager 设置退出 - 关闭 Password Manager 87

88 设置支持的浏览器 Password Manager 支持的所有浏览器的列表已安装的浏览器显示在该列表的顶部 Password Manager 图标将显示在已集成的浏览器旁边单击卸载删除 Password Manager 扩展或者单击安装将 Password Manager 与浏览器集成安全更改您的主密码? 自动锁定时间或授权方法我们不建议在使用 Password Manager 时禁用自动锁定功能忽略的网站 Password Manager 将忽略的网站列表自动填写不会在这些网站上工作受信任的网站如果在您访问您确认是安全的网站时 Password Manager 向您发出网络钓鱼警告您可以将该网站添加到此列表以防止出现该警告将针对表现可疑行为例如重定向到其他域的网站显示该警告忽略的应用选择不想与 Password Manager 结合使用的应用程序热键设置 Password Manager 的键盘快捷方式数据库编辑 Password Manager 数据库和备份文件夹位置工具若要使用 Password Manager 中的内置工具之一请打开主程序窗口导航到菜单 > 工具然后选择所需工具恢复如果发生任何错误或者您意外删除了重要的帐户数据您可以回滚密码数据库经常在您的计算机上创建备份文件您可以选择备份到特定备份日期时间还是备份到对数据库所做的特定更改您可以在设置中更改备份文件夹的位置虚拟键盘虚拟键盘有助于抵御键盘记录器如果您选中反间谍复选框以启用此功能就无法跟踪您的键盘敲击我们建议在机场咖啡馆和其他公共场所使用虚拟键盘用于启动虚拟键盘的默认键盘快捷方式为 CTRL+ A LT+ K 您可以在设置中更改此快捷方式密码生成器只要您创建新密码或想要更改现有密码密码生成器就会生成可以在 Password Manager 中保存的复杂密码您可以在其他选项中调整密码长度或者选择要使用或排除的字符快速启动框此快速启动框用于快速访问您的 Web 或应用程序帐户按 CTRL+ A LT+ R 显示快速启动框您可以在设置中更改此快捷方式输入用于从该列表中选择您的帐户的关键字再次按该键盘快捷方式会隐藏启动框导入导出您可以通过主窗口或应用程序菜单访问导入导出功能导入使您可以从备份文件其他 Password Manager 以及应用程序或支持的浏览器中收集所有您的密码和个人数据 88

89 导出使您可以创建 spdb 格式的 Password Manager 数据库的加密备份您也可以创建 xml html 或 txt 格式的未加密文件请注意这些格式未进行加密我们不建议您将它们用于密码或个人数据我的帐户您将在首次启用 Password Manager 时创建您的 Password Manager 帐户这是您的个人管理帐户可供您管理 Password Manager 许可证每一个 ESET Smart Security Premium 许可证包括 5 个 ESET Password Manager 席位电子邮件 - 该电子邮件地址用作您的登录名并且是您的 Password Manager 的唯一标识符主密码 - 您创建的主密码可供您访问您的 Password Manager 帐户和密码数据库若要登录您的 Password Manager 帐户请单击 Password Manager 主窗口中的我的帐户主密码您的主密码是您加密数据库的密钥只有您本人知道您的主密码 ESET 绝不会在我们的服务器上保存它或通过 Internet 发送它如果您忘记或丢失您的主密码不会向您重新发送它务必选择一个您会记得的强密码通常您的主密码长度越长越好我们建议您的主密码至少含有 8 个字符并且由大写字母小写字母数字和特殊字符混合组成同步借助 Password Manager 您可以将您的加密数据库同步并备份到安全云或您的设备同步状态会显示在主窗口的底部同步时间记录格式 HH:MM:SS AM/PM - 与时间戳一起显示的绿色勾选标记表示您的帐户同步已成功同步已禁用同步不在工作您的许可证可能已到期或 Password Manager 无法连接到 Internet S e c ure D a ta 简介借助 ESET 的 Secure Data 您可以对计算机和 USB 驱动器上的数据加密以使机密私人信息免遭滥用安装 Secure Data 是 ESET Smart Security Premium 的一部分在以下安装并激活 ESET Smart Security Premium 的过程中您可以选择启用 Secure Data 以及其他功能单击 S ec ure Dat a 旁边的启用以启用 Secure Data 如果您在未启用 Secure Data 的情况下退出欢迎屏幕您可以在 ESET Smart Security Premium 的设置 > 安全工具部分中通过单击 S ec ure Dat a 来激活该加密功能 89

90 入门 Secure Data 启用后导航到工具 > S ec ure Dat a 将显示呈现可用加密选项的屏幕您可以创建加密虚拟驱动器或加密可移动驱动器加密虚拟驱动器 Secure Data 可用于创建加密虚拟驱动器可以创建的驱动器没有数量限制只要硬盘驱动器空间足以供它们使用按照以下步骤进行操作创建加密虚拟驱动器 1. 在加密此计算机或可移动驱动器上的数据屏幕中单击虚拟驱动器 2. 单击浏览以选择将存储该虚拟驱动器的位置 3. 为该虚拟驱动器输入一个名称然后单击保存 90

91 4. 使用最大容量下拉菜单以设置您的虚拟驱动器的大小然后单击继续 5. 为您的虚拟驱动器设置密码如果您使用 Windows 帐户登录时不希望自动解密虚拟驱动器请取消选中自动解密(使用此 Windows 帐户登录) 单击继续 6. 您的加密虚拟驱动器已完成创建并随时可供使用当您打开此电脑在 Windows 7 及更早版本中为计算机时它将显示为本地磁盘若要在重新启动计算机后访问该加密驱动器请找到您创建的加密驱动器文件.eed 文件类型然后双击该文件出现系统提示时请输入您在创建加密驱动器时配置的密码将加载该驱动器并在此电脑在 Windows 7 及更早版本中为计算机下显示为本地磁盘注意加密驱动器加载为本地磁盘后除非您注销或重新启动计算机否则该本地磁盘及其加密内容将提供给该 Windows 计算机上的其他用户 91

92 加密可移动驱动器 Secure Data 允许您在可移动驱动器上创建加密目录要执行该操作请遵循以下步骤 1. 将可移动驱动器 U 盘 USB 硬盘插入计算机 2. 单击加密此计算机或可移动驱动器上的数据屏幕中的可移动驱动器 3. 选择要加密的已连接可移动驱动器然后单击继续 4. 为可移动驱动器上的加密目录设置所需密码如果您使用 Windows 帐户登录时不希望自动解密虚拟驱动器请取消选中自动解密(使用此 Windows 帐户登录) 单击继续 5. 您的可移动驱动器已处于保护状态并且该驱动器上的加密目录随时可供使用 92

93 此后当您将可移动驱动器连接到已安装 Secure Data 的计算机时加密文件夹将不可见如果将可移动驱动器连接到已安装 Secure Data 的计算机系统会提示您输入密码以解密可移动驱动器如果不输入任何密码加密文件夹将可见但不可访问已连接的家庭显示器已连接的家庭显示器可帮助识别家庭网络中的漏洞如开放端口或较弱的路由器密码它还可为您提供易于访问的已连接设备列表该列表中的设备按设备类型如打印机路由器移动设备等分类可向您显示家庭网络中连接了哪些设备它不会为您重新配置路由器您将使用路由器的专用接口进行更改家庭路由器会非常容易受到用于启动分布式拒绝服务攻击 (DDoS) 的恶意软件的攻击如果用户尚未更改路由器的默认密码则黑客很容易猜到路由器密码然后登录到您的路由器并进行重新配置或侵入您的网络警告我们强烈建议创建一个足够长的强密码其中包含数字符号或大写字母要使密码难以破解请混合使用不同类型的字符连接到您的网络的每台设备都将在声纳视图中显示将您的光标悬停在设备图标上以查看基本信息如网络名称和上次查看日期单击设备图标以查看关于设备的详细信息若要在列表视图中显示所有已连接设备的信息请单击下拉菜单根据以下条件过滤设备列表视图以列表格式显示与声纳视图相同的数据您可以使用仅连接到当前网络的设备未分类设备连接到所有网络的设备已连接的家庭显示器模块显示两种类型的通知与网络连接的新设备 - 在用户连接时之前未见过的设备连接到网络的情况下显示找到新的网络设备在重新连接到家庭网络并且现在存在之前未见过的设备时显示注意如果未经授权的设备正在尝试连接到您的网络会向您发送这两种类型的通知注意最近连接过的设备会靠近路由器显示以便您可以轻松地发现它们已连接的家庭显示器可帮助您识别路由器的漏洞并提升与外部网络连接时的防护级别单击扫描网络可对您当前连接到的网络手动执行扫描可选择以下扫描选项扫描所有内容仅扫描路由器仅扫描设备警告仅对您自己的家庭网络执行网络扫描如果您在其他人的网络中执行此操作请小心潜在的危险扫描完成时将显示一条通知带有指向关于设备的基本信息的链接您也可以双击列表或声纳视图中的可疑设备单击故障排除以查看最近阻止的通信注意有关防火墙故障排除的详细信息请单击此处 93

94 网络设备可以在此处找到关于设备的详细信息包括设备名称设备类型最近查看网络名称 IP 地址 MAC 地址铅笔图标表示您可以修改设备名称或更改设备类型删除设备如果之前连接到您的网络的设备不再存在则可以删除它网络摄像机防护网络摄像机防护可使您查看访问计算机的网络摄像机的进程和应用程序如果有不受欢迎的应用程序尝试访问您的相机将显示通知窗口您可以允许或阻止不受欢迎的进程或应用程序访问相机 E S E T S ma rt S e c urity P re mium 中的工具此类更多工具菜单包含的模块可帮助简化程序管理并为高级用户提供其他选项 94

95 此菜单包括下列工具日志文件安全报告查看活动运行进程如果 ESET LiveGrid 已在 ESET Smart Security Premium 中启用网络连接如果防火墙已在 ESET Smart Security Premium 中启用 ESET SysInspector ESET SysRescue Live - 将您重定向到 ESET SysRescue Live 页面您可以在其中下载 ESET SysRescue Live 映像或适用于 Microsoft Windows 操作系统的 Live CD/USB Creator 计划任务系统清理器 - 有助于在清除威胁后将计算机恢复为可用状态提交样本以供分析 - 允许您提交可疑文件以供 ESET 研究实验室进行分析单击此选项后显示的对话窗口将在此部分中进行介绍隔离区注意在 ESET 安全产品的较早版本中 ESET SysRescue 可能不适用于 Windows 8 在这种情况下我们建议升级您的产品或在其他版本的 Microsoft Windows 上创建 ESET SysRescue 磁盘日志文件日志文件包含关于已发生的重要程序事件的信息并提供检测到的威胁的概述日志记录是系统分析威胁检测以及故障排除的重要部分日志记录在后台主动执行无需用户交互对信息的记录是根据当前日志级别设置进行的可以直接从 ESET Smart Security Premium 环境以及归档日志中查看文本消息和日志可从主程序窗口中访问日志文件方法是依次单击工具 > 更多工具 > 日志文件从日志下拉菜单选择所需日志类型可用日志包括检测到的威胁 - 威胁日志提供有关 ESET Smart Security Premium 检测到的渗透的详细信息日志信息包括检测时间渗透名称位置执行的操作以及检测到渗透时登录用户的名称双击任何日志条目以在单独的窗口中显示其详细信息事件 - ESET Smart Security Premium 执行的所有重要操作都记录在事件日志中事件日志包含有关程序中发生的事件和错误的信息它为系统管理员和用户解决问题而设计通常这里找到的信息可以帮助您找到程序中所发生问题的解决方案计算机扫描 - 所有已完成的手动或计划扫描的结果显示在此窗口中每一行对应一个计算机控件双击任意条目可查看相应扫描的详细信息 HIP S - 包含特定 HIPS 规则的记录这些规则被标记为用于进行记录该协议显示触发操作的应用程序结果规则被允许还是被禁止和规则名称网络防护 - 网络防护日志显示防火墙检测到的所有远程攻击您可以在此处找到关于计算机上所有攻击的信息事件列列出检测到的攻击来源列提供关于攻击者的更多信息协议列说明了攻击使用的通信协议对网络防护日志的分析有助于及时检测到系统渗透尝试以防止对系统进行未授权访问已过滤的网站 - 此列表可用于查看被 Web 访问保护或家长控制阻止的网站的列表每个日志都包含时间 URL 地址用户和创建了到特定网站的连接的应用程序反垃圾邮件防护 - 包含与标记为垃圾邮件的电子邮件相关的记录家长控制 - 显示家长控制阻止或允许的网页匹配类型和匹配值列告诉您如何应用过滤规则 95

96 设备控制 - 包含与计算机连接的可移动磁盘或设备的记录只有具有相应设备控制规则的设备将记录到日志文件如果规则不匹配连接的设备则不会创建所连接设备的日志条目您还可以查看设备类型序列号供应商名称和磁盘大小如果可用等详细信息网络摄像机防护 - 包含关于网络摄像机防护阻止的应用程序的记录选择任意日志的内容然后按 Ct rl + C 来将其复制到剪贴板按住 Ct rl 和 S hif t 可选择多个条目单击过滤可打开日志过滤窗口您可以在该窗口中定义过滤条件右键单击指定的记录来打开右键菜单右键菜单中提供以下选项显示 - 在新窗口中显示有关选中日志的更多详细信息过滤相同记录 - 激活此过滤器后您将仅看到相同类型的记录诊断警告过滤查找 - 在单击此选项后在日志中搜索窗口将允许您为特定日志条目定义过滤条件启用过滤器 - 激活过滤器设置禁用过滤器 - 清除所有过滤器设置如上文所述复制全部复制 - 复制有关窗口中所有记录的信息删除全部删除 - 删除选定记录或显示的所有记录此操作需要管理员权限导出 - 以 XML 格式导出有关记录的信息全部导出 - 以 XML 格式导出有关所有记录的信息滚动日志 - 使此选项保持为启用状态以自动滚动旧日志并在日志文件窗口中查看活动日志日志文件可从主程序窗口访问 ESET Smart Security Premium 的日志记录配置单击设置 > 进入高级设置 > 工具 > 日志文件日志部分用来定义如何管理日志程序自动删除旧的日志以节省硬盘空间您可以为日志文件指定以下选项日志记录的最低级别 - 指定要记录的事件的最低级别诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护防火墙出错等自动删除早于以下天数的记录字段中指定天数以前的日志条目将自动删除自动优化日志文件 - 如果选中该选项则碎片百分比高于如果未使用记录数超过 (% ) 字段中指定的值后将自动整理日志文件碎片单击优化开始对日志文件进行碎片整理在此过程中会删除所有空日志条目这将提高性能和日志处理速度尤其在日志包含大量条目数时可以感受到这种提高启用文本协议支持采用不同于日志文件的其他文件格式存储日志目标目录 - 将存储日志文件的目录仅适用于文本 CSV 每个日志部分都具有其自己的文件该文件具有预定义的文件名例如如果您使用纯文本文件格式存储日志则日志文件的检测到的威胁部分具有 virlog.txt 类型 - 如果您选择文本文件格式日志将存储在文本文件中并且数据将由制表符分隔这也适用于由逗号分隔的 CS V 文件格式如果您选择事件则日志将存储在 Windows 事件日志可以使用控制面板中的事件查看器进行查看而非文件中删除所有日志文件 - 将擦除当前在类型下拉菜单中选定的所有存储日志将显示关于成功删除这些日志的通知注意为了帮助更快地解决问题 ESET 会要求您提供计算机日志 ESET Log Collector 可使您轻松收集所需信息有关 ESET Log Collector 的详细信息请访问我们的 ESET 知识库文章 96

97 运行进程运行进程显示计算机上运行的程序或进程并保持 ESET 立刻持续获知新入侵 ESET Smart Security Premium 提供有关运行的进程的详细信息使用 ThreatSense 技术保护用户进程 - 当前在计算机上运行的程序或进程的映像名称要查看计算机上运行的所有进程还可以使用 Windows 任务管理器若要打开任务管理器右键单击任务栏中的空白区域然后单击任务管理器或者按键盘上的 Ct rl+s hif t +E s c 风险级别 - 在大多数情况下 ESET Smart Security Premium 和 ThreatSense 技术使用一系列启发式规则检查每个对象的特性然后评估恶意活动的可能性从而将风险级别指定给对象文件进程注册表项等基于这些启发式扫描会向对象指定风险级别级别从 1 - 良好绿色到 9 - 危险红色注意标记为良好绿色的已知应用程序肯定干净在白名单中列出将不进行扫描以提高性能 P ID - 进程标识符编号可用作各种函数调用中的参数如调整进程的优先级用户数量 - 使用给定应用程序的用户数量此信息由 ThreatSense 技术收集发现时间 - 自应用程序由 ThreatSense 技术发现以来的时段注意标记为未知橙色的应用程序不一定是恶意软件通常它是一个较新的应用程序如果您对文件不确定可以通过提交文件以供分析将文件提交到 ESET 研究实验室如果文件被证实是一个恶意应用程序则以后的更新中将增加它的检测应用程序名称 - 程序或进程的给定名称在新窗口中打开 - 将在新窗口中打开运行进程的信息 97

单击某个应用程序可显示该应用程序的以下详细信息路径 - 计算机上应用程序的位置大小 - 以 B 字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建修改时间 - 创建修改的日期和时间注意您还可以检查不充当正在运行的程序进程的文件的信誉若要执行此操作

98 单击某个应用程序可显示该应用程序的以下详细信息路径 - 计算机上应用程序的位置大小 - 以 B 字节为单位的文件大小说明 - 基于操作系统说明的文件特性公司 - 供应商或应用程序进程的名称版本 - 来自应用程序发布者的信息产品 - 应用程序名称和或企业名称创建修改时间 - 创建修改的日期和时间注意您还可以检查不充当正在运行的程序进程的文件的信誉若要执行此操作请右键单击它们并依次选择高级选项 > 检查文件信誉安全报告此功能可提供以下类别统计信息的概述已阻止的网页 - 显示已阻止网页的数量 PUA 的黑名单 URL 网络钓鱼受攻击的路由器 IP 或证书已检测到的被感染电子邮件对象 - 显示已检测到的被感染邮件对象的数量已阻止的家长控制中的网页 - 显示家长控制中已阻止的网页的数量已检测到的 P UA - 显示潜在不受欢迎的应用程序 (PUA) 的数量已检测到的垃圾电子邮件 - 显示已检测到的垃圾电子邮件的数量已阻止对网络摄像头的访问 - 显示已阻止对网络摄像头访问的数量已保护对网上银行的访问 - 显示已保护对网上银行访问的数量已检查的文档 - 显示已扫描的文档对象的数量已检查的应用 - 显示已扫描的可执行对象的数量已检查的其他对象 - 显示其他已扫描对象的数量已检查的网页对象 - 显示已扫描的网页对象的数量已检查的电子邮件对象 - 显示已扫描的电子邮件对象的数量这些类别的顺序取决于从最高到最低的数值不会显示值为零的类别单击显示更多可展开并显示隐藏的类别在类别下方会看到采用世界地图形式呈现的实际病毒情况每个国家地区存在的病毒使用颜色表示颜色越深数字越高没有数据的国家地区将灰显将鼠标光标悬停在国家地区上方即可显示所选国家地区的数据可以选择特定大洲地图会自动缩放安全报告的最后部分让您能够激活以下功能 Password Manager Secure Data 家长控制防盗在功能启用后不会再在安全报告中显示为不起作用单击右上角的齿轮即可启用禁用安全报告通知或者选择是否显示最后 30 天的数据自产品激活以后如果 ESET Smart Security Premium 安装的天数不足 30 天那么仅可选择完成安装之后算起的天数默认情况下设置的时间段为 30 天重置数据会清除所有统计信息并删除安全报告的现有数据除非在高级设置 > 用户界面 > 警报和通知 > 确认消息中取消选择重置统计前先询问选项否则必须确认此操作 98

99 查看活动若要以图表方式查看当前文件系统活动请依次单击工具 > 更多工具 > 查看活动图表的底部是时间线用于实时记录选定时间范围内的文件系统活动若要更改时间范围请从刷新率下拉菜单中进行选择有以下选项可供使用步进: 步进: 步进: 步进: 秒 - 图表每秒刷新一次时间线范围为最后 10 分钟分钟(最后 24 小时) - 图表每分钟刷新一次时间线范围为最后 24 小时小时(最后一个月) - 图表每小时刷新一次时间线范围为最后一个月小时(选定月份) - 图表每小时刷新一次时间线范围为选定的最后 X 个月文件系统活动图表的纵轴表示读取的数据蓝色和写入的数据红色两个值均以 KB 千字节 MB/GB 为单位如果将鼠标移到图表下方图例中的读取数据或写入数据的上方图表将仅显示该活动类型的数据还可以从下拉菜单中选择网络活动文件系统活动和网络活动的图表显示和选项都是相同的只不过网络活动的图表会显示接收的数据红色和发送的数据蓝色 99

100 网络连接在网络连接部分中您可以看到活动连接和挂起连接的列表这可帮助您控制所有建立传出连接的应用程序第一行显示应用程序的名称及其数据传输速度若要查看应用程序所建连接的列表以及更详细的信息请单击 + 列应用程序本地 IP - 应用程序的名称本地 IP 地址和通信端口远程 IP - 特定远程计算机的 IP 地址和端口号协议 - 使用的传输协议上行速度下行速度 - 传出和传入数据的当前速度已发送已接收 - 连接中交换的数据量显示详细信息 - 选择此选项以显示有关选定连接的详细信息右键单击连接可查看其他选项其中包括解析主机名称 - 如果可能所有网络地址都以 DNS 格式而非数字的 IP 地址格式显示仅显示 TCP 连接 - 列表只显示属于 TCP 协议包的连接显示监听连接 - 选中此选项以仅显示目前未建立通信但系统已打开端口并在等待接通的连接显示计算机内的连接 - 选中此选项以仅显示远程端为本地系统的连接即本地主机连接刷新速度 - 选择刷新活动连接的频率立刻刷新 - 重新加载网络连接窗口以下选项仅在单击应用程序或进程而不是单击活动连接后可用 100

101 暂时拒绝某个进程的通信 - 拒绝给定应用程序的当前连接如果建立新连接防火墙将使用预定义的规则在配置和使用规则一节中可以找到设置的说明暂时允许某个进程的通信 - 允许给定应用程序的当前连接如果建立新连接防火墙将使用预定义的规则在配置和使用规则一节中可以找到设置的说明 E S E T S y s Ins p e c to r ESET SysInspector 是一个可彻底检查计算机收集有关系统组件例如驱动程序和应用程序网络连接或重要注册表项的详细信息以及评估每个组件风险级别的应用程序该信息有助于确定可能由于软硬件不兼容或恶意感染而导致出现可疑系统行为的原因 SysInspector 窗口显示下列有关已创建的日志的信息时间注释用户状态 - 日志创建时间 - 简短注释 - 创建日志的用户的姓名 - 日志创建的状态可用操作包括显示 - 打开已创建的日志还可以右键单击给定日志文件然后在右键菜单中选择显示比较 - 比较两个现有日志创建 - 创建新日志请在 ESET SysInspector 完成日志状态将显示为已创建之前稍作等待完成后再尝试访问日志删除 - 删除列表中选定的日志当选中一个或多个日志文件时右键菜单中的以下项将为可用显示 - 在 ESET SysInspector 中打开选定日志相当于双击日志比较 - 比较两个现有日志创建 - 创建新日志请在 ESET SysInspector 完成日志状态将显示为已创建之前稍作等待完成后再尝试访问日志删除 - 删除列表中选定的日志全部删除 - 删除所有日志导出 - 将日志导出为.xml 文件或压缩的.xml 计划任务计划任务管理和启动具有预定义配置和属性的计划任务计划任务可从 ESET Smart Security Premium 主程序窗口中通过单击工具 > 更多工具 > 计划任务来访问计划任务包含所有计划任务和配置属性如预定义的日期时间和使用的扫描配置文件的列表任务计划用于计划以下任务更新模块扫描任务系统启动文件检查以及日志维护您可以直接从主计划任务窗口中添加或删除任务单击底部的添加任务或删除可以通过单击默认将计划任务的列表恢复为默认并删除所有更改在计划任务窗口中右键单击任意位置可执行以下操作显示详细信息立即执行任务添加新任务和删除现有任务使用每个条目开头的复选框来启用停用任务默认情况下计划任务中显示以下计划任务日志维护定期自动更新拨号连接后自动更新用户登录后自动更新定期检查最新产品版本参见更新模式自动启动文件检查用户登录后自动启动文件检查成功更新检测引擎后要编辑现有计划任务包括默认和用户定义的的配置请右键单击任务然后单击编辑或选择要修改的任务然后单击编辑 101

102 添加新任务 1. 单击窗口底部的添加任务 2. 输入任务的名称 3. 从下拉菜单中选择所需任务运行外部应用程序 - 计划外部应用程序的执行日志维护 - 日志文件中还包含已删除记录的残余信息此任务定期优化日志文件中的记录以提高工作效率系统启动文件检查 - 检查在系统启动或登录时允许运行的文件创建计算机状态快照 - 创建 ESET SysInspector 计算机快照收集有关系统组件例如驱动程序应用程序的详细信息并评估每个组件的风险级别手动计算机扫描 - 执行计算机上文件和文件夹的计算机扫描更新 - 通过更新模块计划更新任务 4. 如果要激活任务您可以之后通过选中取消选中计划任务列表中的复选框来执行此操作请打开启用开关单击下一步然后选择其中一个计时选项一次 - 任务将在预定义的日期和时间执行重复 - 任务将以指定的时间间隔执行每天 - 任务将在每天的指定时间重复运行每周 - 任务将在选定的星期和时间运行由事件触发 - 任务将在发生指定事件时执行 5. 在便携式计算机靠电池供电时选择靠电池供电时跳过任务以最大限度地减少系统资源将在任务执行字段中指定的日期和时间运行该任务如果任务无法在预定义的时间运行可以指定其再次执行时间在下一个计划时间尽快如果自上次运行时间之后经过的时间超过指定值则立即跳过任务可使用自上次运行时间之后经过的时间滚动框来定义间隔您可以通过右键单击并单击显示任务详细信息来查看计划任务 102

103 系统清理器系统清理器是一个工具有助于在清除威胁后将计算机恢复为可用状态恶意软件可能会禁用系统实用工具如注册表编辑器任务管理器或 Windows 更新一次单击系统清理器即可恢复给定系统的默认值和设置系统清理器报告来自五个设置类别的问题安全设置可能导致计算机漏洞增加的设置更改例如 Windows 更新系统设置可能更改计算机行为的系统设置更改例如文件关联系统外观影响系统外观的设置例如桌面壁纸已禁用功能可能已禁用的重要功能和应用程序 Windows 系统还原 Windows 系统还原功能的设置允许您将系统还原到以前的状态在以下情况下可以请求系统清理发现威胁时用户单击重置时您可以查看更改并在需要时重置设置注意仅具有管理员权限的用户可以在系统清理器中执行上述操作 E S E T S y s R e s c ue ESET SysRescue 是一种实用程序使您能够创建包含一种 ESET Security 解决方案 ESET NOD32 Antivirus ESET Internet Security ESET Smart Security ESET Smart Security Premium 或某些面向服务器的产品的可引导磁盘 ESET SysRescue 的主要优点是 ESET Security 解决方案独立于主机操作系统运行但具有直接访问磁盘和文件系统的权限凭借此功能您可以删除那些通常无法删除的渗透例如在操作系统运行时等基于云的防护 ESET LiveGrid 建立在 ESET ThreatSense.Net 高级早期预警系统之上利用 ESET 用户在世界各地提交并发送给 ESET 研究实验室的数据通过提供可疑的样本和原始的元数据 ESET LiveGrid 使我们能够立即对客户的需求作出反应并使 ESET 能够持续应对最新的威胁请阅读词汇表中有关 ESET LiveGrid 的更多信息用户可以直接从程序界面或右键菜单通过 ESET LiveGrid 提供的额外信息来检查运行进程和文件的信誉有两种选择 1. 您可以选择不启用 ESET LiveGrid 您不会失去软件中的任何功能但启用 ESET Live Grid 后 ESET Smart Security Premium 在某些情况下可能会比检测引擎更新更快地响应新威胁 2. 您可以配置 ESET LiveGrid 以提交关于新威胁以及新威胁代码所在位置的匿名信息此文件可以发送到 ESET 以供详细分析研究这些威胁将帮助 ESET 更新其威胁检测功能 ESET LiveGrid 将收集您的计算机中与新检测到的威胁相关的信息这些信息可能包括出现威胁的文件的样本或副本该文件的路径文件名日期和时间威胁出现在计算机上的过程以及有关您的计算机操作系统的信息默认情况下 ESET Smart Security Premium 配置为提交可疑文件以供 ESET 病毒实验室详细分析始终排除具有特定扩展名的文件例如.doc 或.xls 如果您或贵组织希望避免发送特定类型的文件还可以添加其他扩展名 ESET LiveGrid 信誉系统提供了基于云的白名单和黑名单若要访问 ESET LiveGrid 的设置请按 F5 以进入高级设置然后依次展开工具 > E S E T Liv egrid 启用 E S E T Liv egrid 信誉系统(建议) - ESET LiveGrid 信誉系统通过将已扫描的文件与云中白名单和黑名单项目数据库进行比较可提高 ESET 恶意软件防护解决方案的效率启用 E S E T Liv egrid 反馈系统 - 将数据发送到 ESET 研究实验室以执行进一步分析提交崩溃报告和诊断数据 - 发送诸如崩溃报告模块内存转储之类的数据 103

104 提交匿名统计 - 允许 ESET 收集有关新检测到的威胁的信息如威胁名称检测日期和时间检测方法和相关联的元数据产品版本以及配置其中包括有关您的系统的信息联系人电子邮件(可选) - 您的联系人电子邮件可以与任何可疑文件一起发送我们可能在需要进一步信息以供分析时使用该电子邮件与您联系请注意除非需要更多信息否则 ESET 不会与您联系提交样本提交感染的样本 - 这会将所有感染的样本提交到 ESET 以供分析并改进以后的检测以下选项可用所有已感染的样本除文档外的所有样本不提交提交可疑样本可执行文件 - 包括诸如 exe dll sys 等文件压缩文件 - 包括诸如 zip rar 7z arch arj bzip gzip ace arc cab 等文件类型脚本 - 包括诸如 bat cmd hta js vbs ps1 等文件类型其他 - 包括诸如 jar reg msi sfw lnk 等文件类型可能的垃圾电子邮件 - 这将允许向 ESET 发送可能的垃圾邮件部分或整个可能的垃圾电子邮件以及附件以供进一步分析启用此选项可改进垃圾邮件的全局检测包括为您改进将来的垃圾邮件检测文档 - 包括 Microsoft Office 文档或带有活动内容的 PDF 排除 - 排除过滤器允许您不提交某些文件文件夹例如排除诸如文档或电子表格等可能包含机密信息的文件会很有用列出的文件即使包含可疑代码也不会发送给 ESET 实验室以供分析默认情况下最常见的文件类型均会排除 doc 等如果需要可以添加到排除文件列表如果您以前使用过 ESET LiveGrid 但已禁用它可能仍会发送数据包即使已停用此类数据包也会发送给 ESET 发送完当前所有信息后将不会再创建任何数据包可疑文件如果发现可疑文件可以将其提交到我们的 ESET 研究实验室以供分析如果文件是一个恶意应用程序则下次病毒库更新中将添加对此程序的检测排除过滤器 - 排除过滤器允许您不提交某些文件文件夹列出的文件即使包含可疑代码也不会发送给 ESET 研究实验室进行分析例如将可能包含机密信息的文件如文档或电子表格排除在外可能很有用默认情况下最常见的文件类型均被排除 doc 等如果需要可以添加排除文件列表联系人电子邮件(可选) - 您的联系人电子邮件可以与任何可疑文件一起发送我们可能在需要进一步信息以供分析时使用该电子邮件与您联系请注意除非需要更多信息否则 ESET 不会与您联系选择启用日志记录以创建记录文件和统计信息提交的事件日志这将启用在发送文件或统计信息后记录到事件日志 104

105 隔离区隔离区的主要功能是安全储存被感染文件隔离文件的前提是文件出现以下情况无法清除不安全或被建议删除或被 ESET Smart Security Premium 错误检测您可以选择隔离任何文件如果文件行为可疑但未被病毒防护扫描程序检测到建议采取隔离措施可将隔离的文件提交给 ESET 研究实验室进行分析可在表格中查看储存在隔离区文件夹中的文件表格中显示隔离的日期和时间被感染文件原始位置的路径文件大小字节数原因例如由用户添加的对象以及威胁数量例如是否为包含多个渗透的压缩文件等隔离文件 ESET Smart Security Premium 自动隔离被删除的文件如果您尚未在警报窗口中取消该选项如果需要您可以手动隔离任何可疑文件方法是单击隔离这种情况下程序不会将原文件从其初始位置删除也可用右键菜单达到此目的在隔离区窗口中右键单击然后选择隔离从隔离区恢复隔离的文件还可以恢复到其初始位置使用恢复功能可达到此目的在隔离区窗口中右键单击给定文件然后从右键菜单中选择相关项即可完成恢复操作如果文件标记为潜在不受欢迎的应用程序则启用恢复并且不扫描选项请阅读词汇表中更多关于此类应用程序的信息右键菜单还提供恢复至选项使用此选项可将文件恢复到其被删除时位置之外的其他位置从隔离区中删除 - 右键单击给定项并选择从隔离区中删除或选择想要删除的项然后在键盘上按 Delet e 键还可以选择多个项然后将它们一起删除注意如果程序错误地隔离了无害文件请在文件恢复后将其移出扫描队列并发送给 ESET 客户服务部门 105

106 提交隔离区中的文件如果程序未检测到您隔离的可疑文件或文件被错误地确认为被感染如启发式扫描代码分析所做的评估并被隔离请将该文件发送到 ESET 病毒实验室要提交隔离区中的文件右键单击该文件并从右键菜单中选择提交要分析的文件代理服务器在大型局域网网络中计算机与 Internet 之间的通信可通过代理服务器进行协调使用此配置时需要定义以下设置否则程序将无法自动更新在 ESET Smart Security Premium 中高级设置树中的两个不同部分提供了代理服务器设置首先可以在高级设置在工具 > 代理服务器下中配置代理服务器设置在此级别指定的代理服务器定义了所有 ESET Smart Security Premium 的全局代理服务器设置此处的参数将用于需要连接到 Internet 的所有模块若要指定此级别的代理服务器设置请选中使用代理服务器然后在代理服务器字段输入代理服务器地址以及该代理服务器的端口号如果与代理服务器的通信需要验证请选中代理服务器需要验证然后在相应字段中输入有效用户名和密码单击检测以自动检测和填充代理服务器设置将复制在 Internet Explorer 中指定的参数注意您必须在代理服务器设置中输入用户名和密码如果代理不可用请使用直接连接 - 如果将产品配置为利用 HTTP 代理并且该代理不可访问该产品将绕过代理直接与 ESET 服务器通信还可以在高级更新设置中建立代理服务器设置通过从代理模式下拉菜单中选择通过代理服务器连接来选择高级设置 > 更新 > 配置文件 > 更新 > 连接选项此设置适用于给定更新配置文件并建议笔记本电脑用户使用因为他们经常从远程位置接收病毒库更新有关此设置的详细信息请参阅高级更新设置电子邮件通知如果发生具有所选级别的事件 ESET Smart Security Premium 可以自动发送通知电子邮件启用通过电子邮件发送事件通知以激活电子邮件通知 106

107 S MTP 服务器 S MTP 服务器 - 用于发送通知的 SMTP 服务器例如 smtp.provider.com:587 预定义的端口为 25 注意 ESET Smart Security Premium 支持采用 TLS 加密的 SMTP 服务器用户名和密码 - 如果 SMTP 服务器需要验证则应在这些字段中填写有效的用户名和密码以便访问 SMTP 服务器发件人地址 - 定义发件人地址发件人地址将显示在通知电子邮件的标题中收件人地址 - 定义收件人地址收件人地址将显示在通知电子邮件的标题中多个值受支持请使用分号作为分隔符从通知的最低级别下拉菜单中可以选择要发送的通知的起始严重性级别诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录信息性消息如非标准的网络事件其中包括成功更新消息及以上所有记录警告 - 记录严重错误和警告消息未正确运行反隐藏技术或者更新失败错误 - 将记录错误未启动文档防护和严重错误严重 - 仅记录严重错误启动病毒防护或被感染的系统时出错启用 TLS - 允许发送 TLS 加密支持的警报和通知消息在此间隔后将发送新的通知电子邮件(分钟) - 在此间隔以分钟为单位后将新的通知发送到电子邮件若将该值设置为 0 则立即发送这些通知在单独的电子邮件中发送每个通知 - 启用后收件人将收到有关每个单独通知的新电子邮件这可能导致在短时间内收到大量的电子邮件邮件格式事件消息的格式 - 显示在远程计算机上的事件消息的格式威胁警告消息的格式 - 威胁警报和通知消息具有预定义的默认格式我们建议您不要更改该格式但是在某些情况下例如如果有自动电子邮件处理系统可能需要更改邮件格式字符集 - 基于 Windows 区域设置例如 windows-1250 Unicode (UTF-8) ACSII 7 位例如将 á 更改为 a 以及将未知符号更改为? 或 Japanese (ISO-2022-JP) 将电子邮件转换为 ANSI 字符编码使用可打印字符引用编码 - 电子邮件源将编码为使用 ASCII 字符的引用可打印 (QP) 格式可通过 8 位格式电子邮件正确传输特殊国家字符 (áéíóú) 邮件格式这里可以设置远程计算机上显示的事件邮件格式威胁警报和通知邮件有预定义的默认格式我们建议您不要更改该格式不过在某些情况下例如如果有自动电子邮件处理系统可能需要更改邮件格式在邮件中关键字用符号隔开的字符串由指定的实际信息替换可用关键字包括 % TimeS t amp% - 事件的日期和时间 % S c anner% - 相关模块 % Comput ername% - 发生警报的计算机的名称 % P rogramname% - 生成警报的程序 % Inf ec t edobjec t % - 被感染文件邮件等的名称 % V irus Name% - 感染标识 % A c t ion% 针对渗透采取的操作 % E rrordes c ript ion% - 非病毒事件的说明关键字 % Inf ec t edobjec t % 和 % V irus Name% 仅用于威胁警告邮件而 % E rrordes c ript ion% 仅用于事件邮件使用本地字母字符 - 根据 Windows 区域设置例如 windows-1250 将电子邮件转换为 ANSI 字符编码如果保留此选项未选中将转换邮件并以 ACSII 7 位编码例如 á 将更改为 a 未知符号改为? 107

108 使用本地字符编码 - 电子邮件源将编码为使用 ASCII 字符的引用可打印 (QP) 格式可通过 8 位格式电子邮件正确传输特殊国家字符 (áéíóú) 选择样本以供分析使用文件提交对话框可将文件或站点发送到 ESET 以供分析该对话框可在工具中找到 > 提交样本以供分析如果您在计算机上发现了行为可疑的文件或在 Internet 上发现了可疑的站点可将其提交给 ESET 研究实验室以供分析如果文件被证实是一个恶意应用程序或网站则以后的更新中将增加对它的检测此外也可以通过电子邮件提交文件如果您选用此方式则使用 WinRAR/ZIP 压缩文件用密码 infected 保护压缩文件并发送至 samples@eset.com 请记住邮件主题一定要描述清楚邮件应包含尽可能多的有关此文件的信息比如下载此文件的网站名注意向 ESET 提交文件前确保其满足以下一个或多个标准未检测到文件将文件错误检测为威胁除非需要更多信息供分析否则您不会收到回信从提交文件的理由下拉菜单选择最适合您的邮件的描述可疑文件可疑站点被任何恶意软件感染的网站误报文件文件检测为感染但并未感染误报站点其他文件站点 - 您想要提交的文件或网站的路径联系人电子邮件 - 此联系人电子邮件随可疑文件一起发送给 ESET 如果需要更多信息以供分析可能会使用该电子邮件与您联系可选择是否输入联系人电子邮件样本可以匿名提交除非需要更多信息否则您不会收到 ESET 的回信由于我们的服务器每天都会收到数以万计的文件因此不可能对所有提交一一回复 Mic ro s o ft W ind o ws 更新 Windows 更新功能是防止用户遭受恶意软件攻击的重要组件出于此原因即时安装 Microsoft Windows 更新很重要 ESET Smart Security Premium 会根据您指定的级别通知您有关错过的更新可用级别包括无更新 - 没有提供可供下载的系统更新可选更新 - 将提供标记为低优先级及更高优先级的更新以供下载建议的更新 - 将提供标记为常用及更高优先级的更新以供下载重要更新 - 将提供标记为重要及更高优先级的更新以供下载关键更新 - 仅提供关键更新以供下载单击确定可保存更改在验证更新服务器的状态后将显示系统更新窗口因此在保存更改后系统更新信息可能无法立即使用 E S E T CMD 该功能支持高级 ecmd 命令它允许您使用命令行 (ecmd.exe) 导出和导入设置到目前为止只可以使用 GUI 导出设置 ESET Smart Security Premium 配置可以导出为 xml 文件启用 ESET CMD 后有两种授权方法可用无 - 无授权不建议您使用此方法因为它允许导入任何未签名的配置这可能存在风险高级设置密码 - 需要密码才可从 xml 文件导入配置此文件必须已签名请参阅下面的签名 xml 配置文件可以导入新配置之前必须提供访问设置中指定的密码如果未启用访问设置密码不匹配或 xml 配置文件未签名将不会导入配置 ESET CMD 启用后可使用命令行导入或导出 ESET Smart Security Premium 配置可以手动执行上述操作也可以创建用于自动执行的脚本 108

$消息此外导出配置时目标文件夹必须已存在 ESET CMD 设置关闭时导出命令仍可正常工作示例导出设置命令 ecmd /getcfg c:\config\settings.xml 导入设置命令 ecmd /setcfg c:\config\settings.xml 注意高级 ecmd 命令只可以在本地运行对 xml 配置文件签名 1. 下载 XmlSignTool 可执行文件 2.$

109 重要信息若要使用高级 ecmd 命令您需要具有管理员权限才可以运行这些命令或者使用以管理员身份运行打开 Windows 命令提示符 (cmd) 否则您会收到 E rror ex ec ut ing c ommand. 消息此外导出配置时目标文件夹必须已存在 ESET CMD 设置关闭时导出命令仍可正常工作示例导出设置命令 ecmd /getcfg c:\config\settings.xml 导入设置命令 ecmd /setcfg c:\config\settings.xml 注意高级 ecmd 命令只可以在本地运行对 xml 配置文件签名 1. 下载 XmlSignTool 可执行文件 2. 使用以管理员身份运行打开 Windows 命令提示符 (cmd) 3. 导航到 xmlsigntool.exe 的保存位置 4. 执行对 xml 配置文件进行签名的命令用法 xmlsigntool /version 1 2 <xml_file_path> 重要信息 /version 参数的值取决于您的 ESET Smart Security Premium 的版本为早于 11.1 版本的 ESET Smart Security Premium 使用 /version 1 为 ESET Smart Security Premium 的当前版本使用 /version 2 5. XmlSignTool 提示输入两遍高级设置密码您的 xml 配置文件现已完成签名可以用于使用 ESET CMD 以及密码授权方法导入 ESET Smart Security Premium 的另一个实例示例对导出的配置文件进行签名的命令 xmlsigntool /version 1 c:\config\settings.xml 109

110 注意如果访问设置密码更改并且想要导入之前使用旧密码签名的配置需要重新使用当前密码对 xml 配置文件进行签名这使您在导入之前无需在另一台运行 ESET Smart Security Premium 的计算机上导出旧版本配置文件即可使用该配置文件 4.7 用户界面用户界面允许您配置程序的图形用户界面 (GUI) 行为使用图形工具您可以调整程序的视觉外观和使用的效果通过配置警报和通知您可以更改检测到的威胁警报和系统通知的行为可自定义这些设置以满足您的需求为提供您的安全软件的最大安全性您可以使用访问设置工具通过密码保护设置以避免未经授权更改用户界面元素 ESET Smart Security Premium 中的用户界面配置选项允许您调整工作环境以符合您的需要可以从高级设置 > 用户界面 > 用户界面元素访问这些配置选项如果希望停用 ESET Smart Security Premium 启动画面则取消选择启动时显示启动画面若要使 ESET Smart Security Premium 在扫描期间发生重要事件时例如在发现威胁时或已完成扫描时发出声音请选中使用声音信号集成到右键菜单 - 将 ESET Smart Security Premium 控件元素集成到右键菜单中状态应用程序状态 - 单击编辑按钮以管理禁用在主菜单的第一个窗格中显示的状态 110

111 4.7.2 警报和通知警报和通知部分在用户界面下允许您配置 ESET Smart Security Premium 如何处理威胁警报和系统通知例如成功更新消息您还可以设置显示时间和系统托盘通知透明度这仅适用于支持系统托盘通知的系统警报窗口禁用显示警报将取消所有警报窗口这只适用于少数特定情况对于大多数用户我们建议保留该选项的默认设置启用产品内消息发送显示营销邮件 - 产品内消息发送已设计为向用户发送有关 ESET 新闻和其他通信的通知发送营销邮件需要用户同意因此默认情况下营销邮件不会发送给用户显示为问号启用此选项即表示您同意接收 ESET 营销邮件如果您对接收 ESET 营销邮件不感兴趣则禁用此选项桌面通知桌面通知和气球提示仅作为信息提示方式而不需要用户交互它们显示在屏幕右下角的通知区域要启用桌面通知请选择在桌面上显示通知启用在全屏模式下运行应用程序时不显示通知以阻止所有非交互通知可通过以下方式修改通知显示时间和窗口透明度等更多详细选项显示安全报告通知 - 可以启用或禁用安全报告通知您可以通过要显示事件的最低级别下拉菜单选择要显示的警报和通知的严重性级别有以下选项可供使用诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护内置防火墙出错等 111

112 此部分的最后一项功能允许您在多用户环境中配置通知目标对于多用户系统在以下用户的屏幕上显示通知字段在允许多个用户同时连接的系统上指定一个接收系统和其他通知的用户正常情况下应该是系统或网络管理员该选项对终端服务器尤其有用如果所有系统通知都发送给管理员消息框若要在一段时间后自动关闭弹出窗口请选择自动关闭消息框如果未手动关闭警报窗口会在超过指定时限后自动关闭确认消息 - 向您显示确认消息列表您可以从中选择是否显示确认消息高级设置从要显示事件的最低级别下拉菜单中可以选择要显示的警报和通知的起始严重性级别诊断 - 记录微调程序所需的信息和以上所有记录信息性 - 记录包括成功更新消息及以上所有记录在内的信息性消息警告 - 记录严重错误和警告消息错误 - 将记录类似下载文件时出错等错误和严重错误严重 - 仅记录严重错误启动病毒防护防火墙出错等此部分的最后一项功能是在多用户环境中配置通知目标对于多用户系统在以下用户的屏幕上显示通知字段在允许多个用户同时连接的系统上指定一个接收系统和其他通知的用户正常情况下应该是系统或网络管理员假如所有系统通知都发给管理员该选项对终端服务器特别有用访问设置 ESET Smart Security Premium 设置是安全策略的重要部分未经授权的更改会潜在破坏系统的稳定和防护要避免未经授权的修改可用密码保护 ESET Smart Security Premium 的设置参数密码保护设置 - 指示密码设置单击以打开密码设置窗口若要设置或更改密码以保护设置参数请单击设置 112

注意当想要访问受保护的高级设置时会显示用于输入密码的窗口如果已忘记或遗失密码请单击以下恢复密码选项然后输入用于许可证注册的电子邮件地址 ESET 会向您发送一封电子邮件其中内含验证码以及如何重置密码的说明有关详细信息请单击此处受限的管理员帐户需要完全的管理员权限 - 选中此选项可在修改某些系统参数类似于 Windows Vista 和

Smart Security Premium 将提示用户提供管理员凭据 4.7.

113 注意当想要访问受保护的高级设置时会显示用于输入密码的窗口如果已忘记或遗失密码请单击以下恢复密码选项然后输入用于许可证注册的电子邮件地址 ESET 会向您发送一封电子邮件其中内含验证码以及如何重置密码的说明有关详细信息请单击此处受限的管理员帐户需要完全的管理员权限 - 选中此选项可在修改某些系统参数类似于 Windows Vista 和 Windows 7 中的用户帐户控制 (UAC) 时提示当前用户如果他或她没有管理员权限输入管理员用户名和密码此类修改包括禁用防护模块或关闭防火墙在未运行 UAC 的 Windows XP 系统中用户将启用需要管理员权限(无 UA C 支持的系统)选项仅适用于 Windows XP 需要管理员权限(无 UA C 支持的系统) - 启用此选项后 ESET Smart Security Premium 将提示用户提供管理员凭据程序菜单可通过右键单击系统托盘图标使用一些最重要的设置选项和功能快速链接 - 显示最常用的 ESET Smart Security Premium 部分您可以从程序菜单快速访问这些常用部分暂停防护 - 显示禁用病毒和间谍软件防护的确认对话框这些防护通过控制文件 Web 和电子邮件通信来保护系统免受恶意系统攻击时间间隔下拉菜单表示将为其禁用病毒和间谍软件防护的时段暂停防火墙(允许所有通信) - 将防火墙切换为非活动状态有关详细信息请参阅网络阻止所有网络通信 - 阻止所有网络通信您可以通过单击停止阻止所有网络通信来重新启用它高级设置 - 选择此选项以进入高级设置树还有其他方法来打开高级设置例如按 F5 键或导航到设置 > 高级设置 113

114 日志文件 - 日志文件包含已发生的重要程序事件的信息并提供检测到的威胁的概要信息隐藏 E S E T S mart S ec urit y P remium - 从屏幕隐藏 ESET Smart Security Premium 窗口重置窗口布局 - 将 ESET Smart Security Premium 的窗口重置为其默认大小和屏幕位置检查更新 - 开始更新检测引擎以前称为病毒库以确保针对恶意代码的防护级别关于 - 提供系统信息有关已安装的 ESET Smart Security Premium 版本以及安装的程序模块的详细信息在这里您可以找到许可证到期日期和有关操作系统与系统资源的信息 114

115 5. 高级用户 5.1 配置文件配置文件管理器用在 ESET Smart Security Premium 中的两个地方在手动计算机扫描部分和更新部分中计算机扫描可以保存您的首选扫描参数以用于将来的扫描建议您创建不同的配置文件带有各种扫描目标扫描方法和其他参数用于每次定期扫描要创建新配置文件请打开高级设置窗口 (F5) 并依次单击检测引擎 > 恶意软件扫描 > 手动扫描 > 配置文件列表配置文件管理器窗口包括列出现有扫描配置文件的选定配置文件下拉菜单以及可创建新配置文件的选项为了帮助您创建适合需求的扫描配置文件请参阅 ThreatSense 引擎参数设置部分查看扫描设置中每个参数的描述注意假设您想要创建自己的扫描配置文件而且扫描计算机配置部分适用但您不希望扫描加壳程序或潜在的不安全应用程序并且还希望应用严格清除在配置文件管理器窗口中输入新配置文件的名称并单击添加从选定的配置文件下拉菜单选择新的配置文件并调整剩余参数以满足要求然后单击确定以保存新配置文件更新更新设置部分中的配置文件编辑器允许用户创建新的更新配置文件请只在计算机使用多种方式连接更新服务器时创建和使用您自己的自定义配置文件不是默认的我的配置文件例如一台笔记本电脑通常连接的是本地网络中的本地服务器镜像但在断开与本地网络的连接时比如出于商务旅行的需要可能会使用两种配置文件直接从 ESET 的更新服务器下载更新第一个连接到本地服务器另一个连接到 ESET 的服务器配置完这些配置文件后浏览到工具 > 计划任务编辑更新任务参数将其中一个配置文件指定为主配置文件另一个为次配置文件更新配置文件 - 当前使用的更新配置文件要更改它请从下拉菜单中选择一个配置文件配置文件列表 - 新建或删除现有更新配置文件 5.2 键盘快捷方式要在您的 ESET 产品中更好地导航可以使用以下键盘快捷键 F1 F5 向上向下键 TAB Esc Ctrl+U Ctrl+R 打开帮助页面打开高级设置在产品中的项目之间导航折叠高级设置树节点在窗口中移动光标关闭活动对话窗口显示有关许可证的信息客户服务详细信息将产品窗口重置为其默认大小和屏幕位置 115

116 5.3 诊断诊断提供 ESET 进程比如 ekrn 的应用程序崩溃转储如果应用程序崩溃将生成一个转储这能够帮助开发人员调试和修复各种 ESET Smart Security Premium 问题单击转储类型旁的下拉菜单并选择以下三个可用选项之一选择禁用默认以禁用此功能小型 - 记录可能有助于识别应用程序意外崩溃原因的最小有用信息集此类转储文件在空间有限时有用但是因为所包含的信息有限分析此文件可能无法找到不是由出现问题时正在运行的线程直接导致的错误完整 - 当应用程序意外停止时记录系统内存的所有内容完整的内存转储可能包含在收集内存转储时正在运行进程的数据启用网络防护高级日志记录 - 采用 PCAP 格式记录所有通过防火墙传递的网络数据从而帮助开发人员诊断和修复与防火墙有关的问题启用协议过滤高级日志记录 - 采用 PCAP 格式记录所有通过协议过滤引擎传递的数据从而帮助开发人员诊断和修复与协议过滤相关的问题启用更新引擎高级日志记录 - 记录更新过程中发生的所有事件这可以帮助开发人员诊断并修复与更新引擎有关的问题启用家长控制高级日志记录 - 记录家长控制中发生的所有事件这可以帮助开发人员诊断和修复与家长控制相关的问题启用许可高级日志记录 - 记录所有产品与许可证服务器的通信启用防盗引擎高级日志记录记录发生在防盗中的所有事件以支持诊断和解决问题启用反垃圾邮件引擎高级日志记录 - 记录反垃圾邮件扫描期间发生的所有事件这可以帮助开发人员诊断和修复与 ESET 反垃圾邮件引擎有关的问题启用操作系统高级日志记录 - 将收集有关操作系统的其他信息比如正在运行的进程 CPU 活动和磁盘操作这可以帮助开发人员诊断并修复与操作系统上运行的 ESET 产品有关的问题适用于 Windows 10 可在下面的位置找到日志文件 C:\ProgramData\ESET\ESET Smart Security Premium\Diagnostics\ and Settings\All Users\... 在较早版本的 Windows 中在 Windows Vista 和更高版本中或 C:\Documents 目标目录 - 将生成在崩溃期间转储的目录打开诊断文件夹 - 单击打开以在新的 Windows 资源管理器窗口中打开此目录创建诊断转储 - 单击创建以在目标目录中创建诊断转储文件 116

117 5.4 导入和导出设置您可以从设置菜单导入或导出自定义的 ESET Smart Security Premium.xml 配置文件当需要备份 ESET Smart Security Premium 的当前配置以备日后使用时配置文件的导入和导出功能十分有用对于想要在多个系统上使用其首选配置的用户导出设置选项也很便利因为他们可以方便地导入.xml 文件来传输这些设置导入配置非常简单在主程序窗口中单击设置 > 导入和导出设置然后选择导入设置输入配置文件的文件名或单击... 按钮来找到想要导入的配置文件导出配置的步骤非常相似在主程序窗口中单击设置 > 导入和导出设置选择导出设置并输入配置文件的文件名即 export.xml 使用浏览器在计算机上选择要保存配置文件的位置注意如果您没有足够的权限将导出的文件写入到指定的目录则在导出设置时可能遇到错误 5.5 ESET SysInspector E S E T S y s Ins p e c to r 介绍 ESET SysInspector 是彻底检查您的计算机并全面显示所收集数据的应用程序安装的驱动程序和应用程序网络连接或重要注册表项等信息有助于调查因软件或硬件不兼容或恶意感染引起的可疑系统行为您可以使用两种方法访问 ESET SysInspector 一种是从 ESET Security 解决方案中的集成版访问另一种是从 ESET 网站免费下载单机版访问这两个版本的功能一致且具有相同的程序控件唯一的区别是管理输出的方式不同单机版和集成版均允许您将系统快照输出为.xml 文件并将它们保存到磁盘但是集成版还允许您直接将系统快照存储在工具 > E S E T S y s Ins pec t or 中 ESET Remote Administrator 除外 ESET SysInspector 扫描您的计算机时请等待一些时间它可能要花 10 秒到几分钟的时间具体取决于您的硬件配置操作系统和计算机上安装的应用程序的数量 117

5.5.1.1 启动 E S E T S y s Ins p e c to r 若要启动 ESET SysInspector 只需运行从 ESET 网站下载的 SysInspector.exe 可执行文件应用程序检查您的系统时可能需要几分钟请稍等 5.5.2 用户界面和应用程序的使用为了方便使用主程序窗口被划分为四个主要部分主程序窗口顶端的程序控件左侧的导航窗口右侧的说明窗口以及位于主程序窗口底部的详细信息窗口日志状态部分列出了日志的基本参数过滤器使用过滤器类型以及日志是否为比较结果等 5.

118 启动 E S E T S y s Ins p e c to r 若要启动 ESET SysInspector 只需运行从 ESET 网站下载的 SysInspector.exe 可执行文件应用程序检查您的系统时可能需要几分钟请稍等用户界面和应用程序的使用为了方便使用主程序窗口被划分为四个主要部分主程序窗口顶端的程序控件左侧的导航窗口右侧的说明窗口以及位于主程序窗口底部的详细信息窗口日志状态部分列出了日志的基本参数过滤器使用过滤器类型以及日志是否为比较结果等程序控件本部分将涵盖 ESET SysInspector 中所有可用程序控件的说明文件单击文件即可存储当前的系统状态以供将来研究使用或者打开一个先前存储的日志对于发布用途我们建议生成适合发送的日志这种形式的日志会省略敏感信息当前用户名计算机名称域名当前用户权限环境变量等注意可以将先前存储的 ESET SysInspector 报告拖放至主程序窗口以将其打开树允许您展开或关闭所有节点并将选定部分导出到服务脚本中列表包含使您能在程序内更方便地导航的功能以及诸如在线查找信息等各种其他功能 118

119 帮助包含应用程序及其功能的相关信息详细信息此设置影响主程序窗口中显示的信息使信息更容易使用在基本模式下您可以访问查找系统常见问题解决方法所需的信息在中等模式下该程序将显示较少使用的详细信息在全部模式下 ESET SysInspector 将显示解决具体问题所需的所有信息过滤项目过滤是查找系统中可疑文件或注册表项的最佳方式通过调整滑块您可以按风险级别来过滤项目如果将滑块完全设定到左侧风险级别 1 则会显示所有项目如果将滑块移至右侧程序将会滤除危险程度低于当前风险级别的所有项目只显示比显示级别更可疑的项目如果将滑块完全移至右侧该程序将仅显示已知的有害项目所有标记为风险 6 至 9 的项目可能具有安全风险如果您未使用 ESET 的安全解决方案我们建议您在 ESET SysInspector 找到任何此类项目后使用 ESET Online Scanner 来扫描您的系统 ESET Online Scanner 是免费服务注意将项目颜色与风险级别滑块上的颜色进行比较可以迅速确定项目的风险级别比较比较两个日志时您可以选择显示所有项目仅显示已添加的项目仅显示已删除的项目或仅显示已替换的项目查找搜索用于通过项目名称或部分名称来快速查找特定项目搜索请求的结果将会显示在说明窗口中返回通过单击后退或前进箭头您可以在说明窗口中返回先前显示的信息您可以使用退格键和空格键来代替单击后退和前进状态部分显示导航窗口中的当前节点重要突出显示为红色的项目为未知项目这也正是程序将其标记为潜在危险项目的原因项目为红色并不一定就意味着您可以将文件删除删除前请确保文件确实是危险的或不需要的 E S E T S y s Ins p e c to r 导航 ESET SysInspector 将各种类型的信息划分到一些称为节点的基本部分中如果可用您可以通过将各个节点扩展到其子节点中来查找其他详细信息若要打开或折叠某节点双击节点的名称或单击该节点名称旁边的或当在导航窗口中浏览节点和子节点的树结构时您可能会在说明窗口中找到有关每个节点的各种详细信息如果在说明窗口中浏览项目有关每个项目的其他详细信息可能会显示在详细信息窗口中下面是导航窗口中主要节点的说明以及说明和详细信息窗口中的相关信息运行进程该节点包含生成报告时运行的应用程序和进程的相关信息在说明窗口中您可以找到有关每个进程的其他详细信息例如由进程使用的动态库及其在系统中的位置应用程序供应商的名称和文件的风险级别详细信息窗口包含说明窗口中选定项目的其他信息例如文件大小或其 Hash 信息注意操作系统包含若干重要内核组件它们会持续运行并为其他用户应用程序提供基本和关键功能在某些情况下此类进程会显示在 ESET SysInspector 工具中文件路径以 \??\ 开头这些标记为这些进程提供预启动优化它们对系统是安全的网络连接说明窗口包含进程和应用程序的列表这些进程和应用程序使用在导航窗口中选定的协议 TCP 或 UDP 的网络以及应用程序连接到的远程地址进行通讯您还可以检查 DNS 服务器的 IP 地址 119

120 详细信息窗口包含说明窗口中选定项目的其他信息例如文件大小或其 Hash 信息重要注册表项包含通常与各种系统问题相关的一系列选定注册表项例如指定启动程序浏览器帮助程序对象 (BHO) 等的注册表项在说明窗口中可以找到哪些文件与特定注册表项相关您可以在详细信息窗口中查看其他详细信息服务说明窗口包含注册为 Windows Services 的文件列表在详细信息窗口中可以检查服务的启动设置方法以及文件的特定详细信息驱动程序系统中安装的驱动程序列表关键文件说明窗口显示与 Microsoft Windows 操作系统相关的关键文件的内容系统计划任务包含在特定时间间隔由 Windows 任务计划触发的任务列表系统信息包含有关硬件和软件的详细信息以及有关设置环境变量用户权限和系统事件日志的信息文件详细信息重要系统文件和 Program Files 文件夹中文件的列表特定于文件的其他信息可以在说明和详细信息窗口中找到关于有关 ESET SysInspector 版本和程序模块列表的信息键盘快捷键使用 ESET SysInspector 时可用的快捷键有文件 Ctrl+O Ctrl+S 打开现有日志保存已创建的日志生成 Ctrl+G Ctrl+H 生成标准的计算机状态快照生成还会记录敏感信息的计算机状态快照项目过滤 1, O 2 3 4, U 5 6 7, B Ctrl 良好显示风险级别为 1-9 的项目良好显示风险级别为 2-9 的项目良好显示风险级别为 3-9 的项目未知显示风险级别为 4-9 的项目未知显示风险级别为 5-9 的项目未知显示风险级别为 6-9 的项目危险显示风险级别为 7-9 的项目危险显示风险级别为 8-9 的项目危险显示风险级别为 9 的项目降低风险级别提高风险级别过滤模式相等或更高级别

121 Ctrl+0 过滤模式仅相等级别查看 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 BackSpace 空格 Ctrl+W Ctrl+Q 按供应商查看所有供应商按供应商查看仅 Microsoft 按供应商查看所有其他供应商显示完整的详细信息显示中等详细信息基本显示后退一步前进一步扩展树折叠树其他控件 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 在搜索结果中选择后转至项目的原始位置显示项目的基本信息显示项目的完整信息复制当前项目的树复制项目在 Internet 上查找选定文件的相关信息打开选定文件所在的文件夹在注册表编辑器中打开相应注册表项复制文件路径如果该项目与文件相关切换至搜索字段关闭搜索结果运行服务脚本比较 Ctrl+Alt+O Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 打开原始比较日志取消比较显示所有项目仅显示已添加的项目日志将显示当前日志中的项目仅显示已删除的项目日志将显示以前的日志中的项目仅显示已替换的项目含文件仅显示日志之间的差异显示比较显示当前日志打开以前的日志其他 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 查看帮助关闭程序关闭程序而不询问日志统计信息 121

122 比较比较功能允许用户比较两个现有日志该功能的输出结果是一组这两个日志并不共有的项目如果您想跟踪系统中的变化这是比较合适的它是检测恶意代码的有用工具在启动之后应用程序会创建新日志并显示在新窗口中依次单击文件 > 保存日志将日志保存到文件稍后可打开并查看日志文件若要打开现有日志请依次单击文件 > 打开日志在主程序窗口中 ESET SysInspector 始终一次显示一个日志比较两个日志的好处是您可以查看当前活动的日志和文件中保存的日志若要比较日志请依次单击文件 > 比较日志并选择选择文件将在主程序窗口中比较活动的日志与选定日志该比较日志将仅显示这两个日志之间的差别注意如果比较两个日志文件请依次单击文件 > 保存日志将其另存为 ZIP 文件将保存这两个文件如果稍后打开此文件将自动比较包含的日志在显示项目的旁边 ESET SysInspector 将显示标识所比较日志之间的差别的标记所有标记的说明可显示在项目旁边以前日志中没有出现的新值包含新值的树结构部分仅在以前日志中出现的已删除的值包含已删除的值的树结构部分值文件已更改包含已修改的值文件的树结构部分风险级别已经降低上一个日志中更高风险级别已经提高上一个日志中更低左下角显示的说明部分介绍了所有标记还显示了所比较的日志的名称任何比较日志都可以保存到文件并在稍后打开示例生成记录有关系统原始信息的日志并保存到名为 previous.xml 的文件对系统进行更改之后打开 ESET SysInspector 并允许其生成新日志将其保存到名为 current.xml 的文件为了跟踪这两个日志之间的更改请单击文件 > 比较日志该程序将创建比较日志显示日志之间的差别如果使用以下命令行选项也可得到相同的结果 SysIsnpector.exe current.xml previous.xml 122

123 5.5.3 命令行参数 ESET SysInspector 支持从使用这些参数的命令行生成报告 / gen / priv ac y / z ip / s ilent / blank 直接从命令行生成日志而无需运行 GUI 生成日志忽略敏感信息以压缩的 zip 文件保存输出日志从命令行生成日志时不显示进度窗口启动 ESET SysInspector 而无需生成加载日志示例用法 Sysinspector.exe [load.xml] [/gen=save.xml] [/privacy] [/zip] [compareto.xml] 若要将特定日志直接加载到浏览器中请使用 SysInspector.exe.\clientlog.xml 若要从命令行生成日志请使用 SysInspector.exe /gen=.\mynewlog.xml 若要直接在压缩文件中生成不包含敏感信息的日志请使用 SysInspector.exe /gen=.\mynewlog.zip /privacy /zip 若要比较两个日志文件并浏览不同之处请使用 SysInspector.exe new.xml old.xml 注意如果文件文件夹的名称包含间隔则应采用引号服务脚本服务脚本是向使用 ESET SysInspector 的客户提供帮助的一款工具该工具可使用户轻松删除系统中不需要的对象服务脚本允许用户导出整个 ESET SysInspector 日志或其选定部分导出后您可以标记要删除的不需要的对象然后运行修改的日志来删除标记的对象服务脚本适用于之前有过系统问题诊断经验的用户不合格的修改可能会导致操作系统损坏示例如果您怀疑计算机受到未被病毒防护程序检测到的病毒感染请按下面的分步说明执行操作运行 ESET SysInspector 来生成一个新的系统快照在左侧在树结构中部分中选择第一个项目按下 Shift 键并选择最后一个项目以标记所有项目右键单击选定对象选择导出选定部分到服务脚本选定的对象将会被导出到新日志中这是整个过程中最关键的步骤打开新的日志并将您想要删除的所有对象的属性更改为请确保您未标记任何重要的操作系统文件对象 6. 打开 ESET SysInspector 单击文件 > 运行服务脚本然后输入脚本路径 7. 单击确定运行脚本生成服务脚本若要生成脚本请右键单击 ESET SysInspector 主窗口菜单树左侧窗格中的任何项目从右键菜单中选择导出所有部分到服务脚本或导出选定部分到服务脚本注意比较两个日志时不能导出服务脚本 123

124 服务脚本结构在脚本标题的第一行中可以找到关于引擎版本 (ev) GUI 版本 (gv) 和日志版本 (lv) 的信息您可以使用此数据跟踪生成脚本的 xml 文件中的可能更改并阻止执行时的任何不一致情况不得修改这部分脚本文件的其余部分分为各个部分可以编辑其中的项目注意这些将由脚本处理将项目前的字符替换为字符标记要处理的项目脚本中的各部分通过空行彼此分隔每个部分具有编号和标题 01) Running proc es s es 运行进程此部分包含系统中运行的所有进程列表每个进程由 UNC 路径进而由星号中的 CRC 16 哈希代码标识 (*) 示例 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] 在此示例中选择进程 module32.exe 以符号标记执行脚本时进程将结束 02) Loaded modules 加载的模块此部分列出当前使用的系统模块示例 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] 在此示例中模块 khbekhb.dll 以标记脚本运行时将使用该模块识别进程并结束它们 03) TCP c onnec t ions TCP 连接此部分包含现有 TCP 连接的信息示例 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] 脚本运行时将查找标记 TCP 连接中套接字的所有者并停止套接字以释放系统资源 04) UDP endpoint s UDP 端点此部分包含现有 UDP 端点的信息示例 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] 脚本运行时将隔离标记 UDP 端点处套接字的所有者并停止套接字 124

125 05) DNS s erv er ent ries DNS 服务器条目此部分包含当前 DNS 服务器配置的信息示例 05) DNS server entries: [...] 运行脚本时将删除标记的 DNS 服务器条目 06) Import ant regis t ry ent ries 重要注册表项此部分包含重要注册表项的信息示例 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] 脚本执行时标记项将被删除减小至 0 字节或重置为默认值应用于特定项的操作取决于项类别和特定注册表中的键值 07) S erv ic es 服务此部分列出系统中注册的服务示例 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] 执行脚本时将停止并卸载标记的服务及其相关服务 08) Driv ers 驱动程序此部分列出安装的驱动程序示例 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c: \windows\system32\drivers\adihdaud.sys, state: Running, startup: Manual [...] 执行脚本时选择的驱动程序将停止请注意某些驱动程序不允许自行停止 09) Crit ic al f iles 关键文件此部分包含有关对操作系统正常工作至关重要的文件的信息 125

126 示例 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] 选择的项将被删除或重置为初始值 10) 计划任务本节包含有关计划任务的信息示例: 10) Scheduled tasks - c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe - c:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe - c:\users\admin\appdata\local\google\update\googleupdate.exe /c - c:\users\admin\appdata\local\google\update\googleupdate.exe /ua /installsource - %windir%\system32\appidpolicyconverter.exe - %windir%\system32\appidcertstorecheck.exe - aitagent [...] 执行服务脚本标记所有所需项目然后保存并关闭脚本通过选择文件菜单中的运行服务脚本选项直接从 ESET SysInspector 主窗口运行编辑的脚本打开脚本时程序将提示您以下消息是否确实要运行服务脚本 % S c ript name% 确认您的选择后可能显示另一个警告通知您尝试运行的服务脚本尚未签名单击运行启动脚本对话框窗口将确认该脚本已成功执行如果只能部分处理脚本将显示一个具有以下消息的对话框窗口服务脚本部分运行是否要查看错误报告选择是查看列有未执行操作的复杂错误报告如果该脚本未识别将显示具有以下消息的对话框窗口所选服务脚本未签名运行未签名和未知脚本可能严重危害您的计算机数据是否确定要运行该脚本并执行操作这可能因脚本不一致引起标题损坏节标题损坏节之间缺少空行等您可以重新打开脚本文件并纠正脚本内的错误或创建新的服务脚本常见问题解答运行 E S E T S y s Ins pec t or 是否需要管理员权限运行 ESET SysInspector 不需要管理员权限但收集到的某些信息只能通过管理员帐户访问以标准用户或受限制用户的身份运行它将导致其收集的有关运行环境的信息比较少 E S E T S y s Ins pec t or 是否创建日志文件 ESET SysInspector 可以创建计算机配置的日志文件要保存某个日志文件请从主程序窗口中单击文件 > 保存日志日志以 XML 格式保存默认情况下文件会保存到 %USERPROFILE%\My Documents\ 目录并使用 SysInpsector-% COMPUTERNAME%-YYMMDD-HHMM.XML 文件命名约定如果需要可以在保存之前更改日志文件的位置和名称 126

127 如何查看 E S E T S y s Ins pec t or 日志文件若要查看由 ESET SysInspector 创建的日志文件请运行该程序并从主程序窗口中单击文件 > 打开日志还可以将日志文件拖放到 ESET SysInspector 应用程序上如果需要频繁查看 ESET SysInspector 日志文件建议在桌面上创建 SYSINSPECTOR.EXE 文件的快捷方式然后可以将日志文件拖放到其中以供查看出于安全原因 Windows Vista/7 可能不允许在安全权限不同的窗口之间进行拖放某规范是否可用于日志文件格式 S DK 如何目前日志文件规范或 SDK 均不可用因为程序仍在开发中程序发布之后我们可能会根据客户反馈和要求提供这些内容 E S E T S y s Ins pec t or 如何评估由特定对象产生的风险在大多数情况下 ESET SysInspector 使用一系列启发式规则检查每个对象的特性并评估恶意活动的可能性然后将风险级别指定给对象文件过程注册表项等根据这些启发式规则对象被指定的风险级别范围从 1 - 良好绿色至 9-危险红色在左侧导航窗格中根据其中对象的最高风险级别对各部分进行着色危险级别 6 - 未知红色是否表示对象存在危险 ESET SysInspector 的评估并不能保证对象是恶意的这应由安全专家来确定 ESET SysInspector 旨在为安全专家提供快速评估以使他们了解需要对系统上的哪些对象进行进一步检查确定其是否有不正常行为 E S E T S y s Ins pec t or 为什么在运行时连接到 Int ernet 与许多应用程序一样 ESET SysInspector 已签署数字签名证书可帮助确保该软件是由 ESET 发布的并且未进行过更改为了验证证书操作系统会与证书授权机构通信来验证软件发行者的身份这是 Microsoft Windows 下通过数字签名的所有程序的正常行为什么是防隐匿技术防隐匿技术提供了有效的 Rootkit 检测如果系统受到行为类似 Rootkit 的恶意代码的攻击用户将面临数据丢失或被盗如果没有专用的反 Rootkit 工具则几乎不可能检测到 Rootkit 为什么有时标记为 S igned by MS " 的文件同时具有不同的 Company Name" 条目当尝试识别可执行文件的数字签名时 ESET SysInspector 首先检查文件中是否嵌入了数字签名如果找到了数字签名则使用该信息验证文件如果未找到数字签名则 ESI 会开始查找对应的 CAT 文件安全目录 %systemroot% \system32\catroot 该文件包含有关已处理的可执行文件的信息如果找到相关的 CAT 文件在可执行文件的验证过程中将应用该 CAT 文件的数字签名这是有时文件标记为 Signed by MS 但却具有不同 CompanyName 条目的原因示例 Windows 2000 包括 HyperTerminal 应用程序位于 C:\Program Files\Windows NT 中主应用程序可执行文件没有进行数字签名但 ESET SysInspector 将其标记为由 Microsoft 签署的文件这是因为在 C:\WINNT\system32\CatRoot\{F750E6C338EE-11D1-85E5-00C04FC295EE}\sp4.cat 中有一个引用指向了 C:\Program Files\Windows NT\hypertrm.exe HyperTerminal 应用程序的主要可执行文件而 sp4.cat 是由 Microsoft 提供的数字签名 5.6 命令行可通过命令行启动 ESET Smart Security Premium 的病毒防护模块手动使用 ecls 命令或使用批处理 bat 文件启动 ESET 命令行扫描程序用法 ecls [选项 ] 文件从命令行运行手动扫描程序时可使用以下参数和开关选项 /base-dir=folder 从文件夹加载模块 127

128 /quar-dir=folder /exclude=mask /subdir /no-subdir /max-subdir-level=level /symlink /no-symlink /ads /no-ads /log-file=file /log-rewrite /log-console /no-log-console /log-all /no-log-all /aind /auto 隔离文件夹不扫描与掩码匹配的文件扫描子文件夹默认不扫描子文件夹要扫描的文件夹中的最大子文件夹层数跟踪符号链接默认跳过符号链接扫描 ADS 默认不扫描 ADS 将结果记录到文件覆盖输出文件默认附加将结果记录到控制台默认不将结果记录到控制台同时记录清除文件不记录干净的文件默认显示活动指示器扫描并自动清除所有本地磁盘中的病毒扫描程序选项 /files /no-files /memory /boots /no-boots /arch /no-arch /max-obj-size=size /max-arch-level=level /scan-timeout=limit /max-arch-size=size /max-sfx-size=size /mail /no-mail /mailbox /no-mailbox /sfx /no-sfx /rtp /no-rtp /unsafe /no-unsafe /unwanted /no-unwanted /suspicious /no-suspicious /pattern /no-pattern /heur /no-heur /adv-heur /no-adv-heur /ext=extensions /ext-exclude=extensions 128 扫描文件默认不扫描文件扫描内存扫描引导区不扫描引导区默认扫描压缩文件默认不扫描压缩文件仅扫描小于指定大小兆字节的文件默认值 0 = 无限制要扫描的压缩档嵌套压缩档中的最大子压缩档层数扫描压缩文件超时时间秒如果压缩文件中的文件小于指定大小默认值 0 = 无限制则仅扫描这些文件如果自解压文件中的各个文件小于指定大小兆字节默认值 0 = 无限制则只扫描这些文件扫描电子邮件文件默认不扫描电子邮件文件扫描邮箱默认不扫描邮箱扫描自解压文件默认不扫描自解压文件扫描加壳程序默认不扫描加壳程序扫描潜在的不安全应用程序不扫描可能不安全的应用程序默认扫描潜在的不受欢迎应用程序不扫描潜在不受欢迎的应用程序默认扫描可疑应用程序默认不扫描可疑应用程序使用病毒库默认不使用病毒库启用启发式扫描默认禁用启发式扫描启用高级启发式扫描默认禁用高级启发式扫描仅扫描具有指定扩展名的文件用冒号分隔不扫描具有指定扩展名的文件用冒号分隔

129 /clean-mode=mode 对被感染的对象使用清除模式有以下选项可供使用 none - 不会进行自动清除 s tandar d 默认 ecls.exe 将尝试自动清除或删除被感染的文件 s tr ic t - ecls.exe 将尝试自动清除或删除被感染的文件且无需用户干预在删除文件之前您不会收到提示 r igor ous - ecls.exe 将在不尝试清除的情况下删除文件无论文件是什么 delete - ecls.exe 将在不尝试清除的情况下删除文件但将避免删除敏感文件如 Windows 系统文件 /quarantine /no-quarantine 将被感染的文件若已清除复制到隔离区补充清理时执行的操作不将被感染的文件复制到隔离区常规选项 /help /version /preserve-time 显示帮助并退出显示版本信息并退出保存上一个访问时戳退出代码未发现威胁发现威胁并已清除某些文件无法扫描可能是威胁发现威胁错误注意退出代码大于 100 表示未扫描文件该文件可能被感染 129

130 6. 词汇表 6.1 渗透类型渗透是一种试图进入和或损坏用户计算机的恶意软件病毒计算机病毒是一段预先附着或追加到计算机上现有文件的恶意代码计算机病毒之所以用生物学上的病毒一词命名是因为它们使用类似手法在计算机之间传播对于病毒一词通常错误用于指代任何类型的威胁这种用法正在逐渐改变而由更为准确的术语恶意软件所取代计算机病毒主要攻击可执行文件和文档计算机病毒的工作方式可简述如下执行被感染文件后在执行原始应用程序前调用并执行恶意代码病毒可以感染当前用户具有写入权限的任何文件计算机病毒的目的和严重性各有不同其中有些病毒非常危险因为它们会故意删除硬盘驱动器上的文件另一方面一些病毒不造成任何破坏它们只是骚扰用户展示其作者的技术技巧如果您的计算机感染病毒而无法清除请提交至 ESET 研究实验室寻求帮助在某些情况下被感染文件可能被修改至无法清除的程度必须以干净副本替换文件蠕虫计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序病毒和蠕虫的基本区别在于蠕虫具有自我传播的能力它们不依赖主机文件或引导区蠕虫通过联系人列表中的电子邮件地址或利用网络应用程序中的安全漏洞进行传播因此蠕虫的生存能力远超计算机病毒由于 Internet 的广泛应用它们可以在发布后数小时甚至数分钟内传播到世界各地这种独立快速复制的能力使得它们比其他类型恶意软件更加危险在系统中激活的蠕虫会带来多种不便它可以删除文件降低系统性能甚至停止程序计算机蠕虫的特性使其适合作为其他类型渗透的传输手段如果您的计算机感染了蠕虫建议您删除被感染文件因为它们可能包含恶意代码木马过去对计算机木马特洛伊木马程序的定义是试图以有用程序的假面具欺骗用户运行的一类威胁由于木马的涵盖范围非常广因此常被分为许多子类别 Downloader - 能够从 Internet 下载其他威胁的恶意程序 Dropper - 能够将其他类型的恶意软件放入所破坏计算机的恶意程序 B ac k door - 与远程攻击者通信允许其获得计算机访问权限并控制计算机的恶意程序 K ey logger 按键记录程序一种记录用户键入的每个按键并将信息发送给远程攻击者的程序 Dialer - 一种用于连接附加计费号码而不是用户的 Internet 服务提供商的恶意程序用户几乎无法注意到新连接的创建 Dialer 只能对使用拨号调制解调器现在已很少使用的用户造成破坏如果计算机上的文件被检测为木马建议您将其删除因为它极有可能包含恶意代码 R o o tk it Rootkit 是一种恶意程序它能在隐瞒自身存在的同时赋予 Internet 攻击者不受限制的系统访问权访问系统通常利用系统漏洞后 Rootkit 可使用操作系统中的功能避开病毒防护软件的检测它们能够隐藏进程文件和 Windows 注册表数据有鉴于此几乎无法使用普通测试技术检测到它们有两种检测级别可阻止 Rootkit 1. Rootkit 试图访问系统时它们还未出现因此处于不活动状态大部分病毒防护系统能够清除此级别的 Rootkit 假定系统实际检测到此类文件被感染 2. 隐藏自己而不被一般测试检测到它们时 ESET Smart Security Premium 用户可以利用反隐藏技术该技术还能够检测并清除活动的 Rootkit 130

131 6.1.5 广告软件广告软件是可支持广告宣传的软件的简称显示广告资料的程序便属于这一类别广告软件应用程序通常会在 Internet 浏览器中自动打开一个包含广告的新弹出窗口或者更改浏览器主页广告软件经常与免费软件程序捆绑在一起以填补其开发人员开发应用程序通常为有用程序的成本广告软件本身并不危险用户仅会受到广告的干扰广告软件的危险在于它也可能执行跟踪功能和间谍软件一样如果您决定使用免费软件产品请特别注意安装程序安装程序大多会通知您将要安装附加的广告软件程序通常您可以取消它仅安装不带有广告软件的程序如果不安装广告软件某些程序可能无法安装或者功能受到限制这意味着广告软件可能常常以合法方式访问系统因为用户已同意安装它在此情况下应防患于未然如果计算机上的某个文件被检测为广告软件我们建议您删除它因为该软件极有可能包含恶意代码间谍软件此类别包括所有在未经用户同意了解的情况下发送私人信息的应用程序间谍软件使用跟踪功能发送各种统计数据例如所访问网站的列表用户联系人列表中的电子邮件地址或记录按键记录器的列表间谍软件的作者宣称这些技术旨在更好地了解用户需求和兴趣从而使广告更有针对性问题在于有用和恶意的应用程序之间并没有明显的差别任何人都无法确保检索到的信息不会被滥用间谍软件应用程序获得的数据可能包括安全代码 PIN 银行帐号等程序的作者通常将间谍软件与其免费版本程序捆绑以获取收益或促使用户购买软件通常在程序安装期间会告知用户存在间谍软件以促使其将软件升级为不带间谍软件的付费版本比如 P2P 点对点网络客户端应用程序就是著名的捆绑了间谍软件的免费软件产品 Spyfalcon 或 Spy Sheriff 以及更多属于特定的间谍软件子类别它们看上去像间谍软件防护程序但实际上其本身就是间谍软件程序如果计算机上的某个文件被检测为间谍软件我们建议您删除它因为该软件极有可能包含恶意代码加壳程序加壳程序是一个运行时自解压的可执行文件可将多种恶意软件合并在单个包中常见的加壳程序包括 UPX PE_Compact PKLite 和 ASPack 若使用不同的加壳程序进行压缩相同的恶意软件的检测方式可能会有所不同此外加壳程序还能使其签名随着时间发生变异从而使恶意软件更加难以检测和移除潜在的不安全应用程序许多合法程序可用于简化联网计算机的管理然而不法之徒可能将其滥用为恶意目的 ESET Smart Security Premium 提供检测此类威胁的选项潜在的不安全应用程序是指用于商业目的的合法软件其中包括远程访问工具密码破解应用程序以及按键记录器用于记录用户键盘输入信息等程序如果您发现计算机上存在且正在运行潜在的不安全应用程序而您并没有安装它请咨询您的网络管理员或删除该应用程序潜在的不受欢迎应用程序灰色软件或 PUA - 潜在不受欢迎的应用程序是广泛的一类软件其意图不像恶意软件如病毒或特洛伊木马那样具有明确的恶意但它可能安装其他不受欢迎的软件更改数字设备的行为或者执行用户未批准的活动或意外活动可能被视为灰色软件的类别包括显示广告的软件下载封装程序各种浏览器工具栏会产生误导行为的软件捆绑软件跟踪软件任何其他边界软件或者使用非法或至少是不道德的商业行为尽管看起来合法的并且可能被最终用户最终用户知道如果允许该软件安装它会执行哪些操作视为不需要的软件潜在的不安全应用程序是本身合法的可能为商业的软件但可能会被攻击者滥用对这些类型的应用程序的检测可以由 ESET 软件的用户启用或禁用在某些情况下用户可能觉得潜在的不受欢迎应用程序的好处多于风险为此与其他类型的恶意软件例如木马程序或蠕虫相比 ESET 将这些应用程序划分到较低风险类别中 131

若要使应用程序以后能够在计算机上运行而不受到打扰请单击高级选项然后选中从检测中排除旁的复选框

132 警告发现潜在威胁检测到潜在不受欢迎的应用程序后您可以确定采取哪种操作 1. 清除断开连接此选项将终止操作并阻止潜在的威胁进入系统 2. 忽略此选项允许潜在威胁进入系统 3. 若要使应用程序以后能够在计算机上运行而不受到打扰请单击高级选项然后选中从检测中排除旁的复选框当检测到潜在不受欢迎的应用程序并且无法清除它时将显示地址已被阻止通知有关此事件的详细信息请从主菜单导航至工具 > 日志文件 > 已过滤的网站 132

133 潜在的不受欢迎应用程序设置安装 ESET 产品时您可以确定是否启用潜在不受欢迎的应用程序检测如下所示警告潜在不受欢迎的应用程序可能安装广告软件工具栏或包含其他不受欢迎和不安全的程序功能可随时在程序设置中修改这些设置若要启用或禁用潜在不受欢迎不安全或可疑的应用程序检测请按照以下说明操作 1. 打开您的 ESET 产品如何打开我的 ESET 产品 2. 按 F5 键以访问高级设置 3. 单击病毒防护并根据您的偏好启用或禁用以下选项启用潜在的不受欢迎应用程序检测功能? 启用潜在不安全应用程序检测功能和启用可疑应用程序检测功能单击确定以确认 133

134 潜在的不受欢迎应用程序软件封装程序软件封装程序是由一些托管文件的网站使用的特殊类型的应用程序修改它是一种第三方工具可安装用户想要下载的程序但会添加附加软件例如工具栏或广告软件附加的软件可能还会更改您的 Web 浏览器主页和搜索设置此外托管文件的网站通常不会通知软件供应商或下载收件人已进行了修改并且通常会隐藏退出的选项基于这些原因 ESET 将软件封装程序归类为潜在的不受欢迎应用程序类型以使用户可以接受或不接受下载请参阅此 ESET 知识库文章了解此帮助页的更新版本僵尸网络机器人或网络机器人是一种自动化的恶意软件程序它可以扫描网络地址块并感染容易受到威胁的计算机这允许黑客同时控制多台电脑并将它们变成机器人也称为僵尸黑客通常使用机器人感染大量的计算机使其形成一个网络或僵尸网络一旦您的计算机中存在僵尸网络它便可用于分布式拒绝服务 (DDoS) 攻击代理并在您不知情的情况下通过 Internet 执行自动化任务例如发送垃圾邮件病毒或盗用银行凭据或信用卡号等个人隐私信息 6.2 远程攻击类型许多特殊技术可使攻击者危害远程系统安全它们分为多个类别 D o S 攻击 DoS 或拒绝服务是一种使计算机或网络对其目标用户不可用的尝试受影响用户之间的通信会受到阻塞无法以正常方式继续执行受到 DoS 攻击的计算机通常需要重新启动才能正常工作在大多数情况下此攻击的目标是 Web 服务器目的在于使用户在一段时间内无法访问它们 134

135 6.2.2 D N S 投毒使用 DNS 域名服务器投毒黑客可以欺骗任何计算机的 DNS 服务器使其相信他们提供的假数据是合法且可信的虚假信息将缓存一段时间允许攻击者改写 IP 地址的 DNS 回复因此尝试访问 Internet 网站的用户将下载计算机病毒或蠕虫而不是网站的初始内容蠕虫攻击计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序网络蠕虫能够利用各种应用程序中的安全漏洞借助 Internet 它们可以在发布后数小时内传播到全世界通过使用防火墙的默认安全设置或阻止未保护和未使用的端口可以避免大部分蠕虫攻击 Sasser SqlSlammer 此外使用最新安全补丁更新您的操作系统也非常重要端口扫描端口扫描用于确定网络主机上有哪些开放的计算机端口端口扫描程序是用于查找此类端口的软件计算机端口是处理传入和传出数据的虚拟点从安全角度来说它非常重要在大型网络中端口扫描程序收集的信息可能有助于识别潜在漏洞此类使用是合法行为不过试图破坏系统安全的黑客也常使用端口扫描他们第一步是向每个端口发送数据包根据响应类型可以确定哪些端口正在使用中扫描本身不引起破坏但请注意此活动可暴露潜在漏洞并允许攻击者控制远程计算机建议网络管理员阻止所有未使用的端口保护正在使用的端口免遭未经授权的访问 T CP 去同步化 TCP 去同步化是 TCP 劫持攻击中使用的技术它由进程触发在该进程中传入数据包的序列号与预期序列号不同具有非预期序列号的数据包将被拒绝或者如果它们出现在当前通信窗口中则保存在缓存存储区中在去同步化中两个通信端点都释放收到的数据包远程攻击者在该点上能够渗透并提供具有正确序列号的数据包攻击者甚至可以操纵或修改通信 TCP 劫持攻击的目的在于中断服务器与客户端通信或点对点通信对每个 TCP 段使用验证可以避免许多攻击此外我们建议您使用网络设备的推荐配置 S MB 中继 SMB 中继和 SMB 中继 2 是能够对远程计算机执行攻击的特殊程序它们利用了 NetBIOS 中的服务器消息块 (Server Message Block) 文件共享协议用户在 LAN 内共享任何文件夹或目录将很有可能使用此文件共享协议在本地网络通信中密码哈希可以交换 SMB 中继在 UDP 端口 139 和 445 上接收连接中继客户端和服务器交换的数据包并修改它们连接并验证后将断开客户端连接 SMB 中继会创建新虚拟 IP 地址可以使用命令 net use \\ 访问新地址该地址可供任何 Windows 网络功能使用 SMB 中继可中继除协商和验证以外的 SMB 协议通信只要连接了客户端计算机远程攻击者就可以使用 IP 地址 SMB 中继 2 与 SMB 中继的工作原理相同区别在于前者使用 NetBIOS 名而不是 IP 地址它们两者都可以发起中间人攻击此类攻击允许远程攻击者在不被注意的情况下读取插入和修改两个通信端点之间交换的消息受到此类攻击的计算机常常停止响应或意外重新启动要避免攻击建议您使用验证密码或密钥 135

136 6.2.7 ICMP 攻击 ICMP Internet 控制消息协议是一种流行且广泛使用的 Internet 协议它主要由联网计算机用于发送各种错误消息远程攻击者试图利用 ICMP 协议的弱点 ICMP 设计用于无需验证的单向通信这允许远程攻击者触发所谓的 DoS 拒绝服务攻击或允许未经授权的个人访问传入和传出数据包的攻击典型 ICMP 攻击包括 ping flood ICMP_ECHO flood 和 smurf attack 受到 ICMP 攻击的计算机速度明显减慢这适用于所有使用 Internet 的应用程序并且出现 Internet 连接问题 6.3 ESET 技术漏洞利用阻止程序漏洞利用阻止程序旨在强化那些经常被漏洞利用的应用程序类型例如 Web 浏览器 PDF 阅读器电子邮件客户端和 MS Office 组件它的工作原理是通过监视进程的行为来查找可能表明漏洞的可疑活动在漏洞利用阻止程序识别出某个可疑的进程后它将立即停止该进程并记录有关该威胁的数据然后将数据发送到 ThreatSense 云系统该数据将由 ESET 研究实验室进行处理并用来更好地保护所有用户以使他们免受未知威胁和零日攻击新发布的恶意软件目前没有预配置的补救措施的侵害高级内存扫描程序高级内存扫描程序与漏洞利用阻止程序结合使用以增强对恶意软件的防范后者旨在通过迷惑和或加密方法来逃过反恶意软件产品的检测为了以防普通的模拟或启发式扫描无法检测出某个威胁高级内存扫描程序可以在可疑行为和威胁出现在系统内存中时识别可疑行为并扫描威胁此解决方案对迷惑性极强的恶意软件也非常有效与漏洞利用阻止程序不同高级内存扫描程序是执行后方法这意味着可能存在它检测到威胁之前某些恶意活动已执行的风险但是在其他检测技术都失效的情况下该方法可以提供额外一层安全性网络攻击防护网络攻击防护是防火墙的扩展功能可在网络级别改进对已知漏洞的漏洞利用的检测通过对广泛使用协议例如 SMB RPC 和 RDP 中的常见漏洞利用实施检测它构成了针对广泛传播的恶意软件通过网络进行的攻击以及尚未发布或部署补丁的漏洞利用的另一层重要防护 E S E T Liv e Grid ESET LiveGrid 建立在 ThreatSense.Net 高级早期预警系统之上并利用 ESET 用户在世界各地提交并发送给 ESET 研究实验室的数据通过提供可疑的样本和原始的元数据 ESET LiveGrid 使我们能够立即对客户的需求作出反应并使 ESET 能够持续应对最新的威胁 ESET 恶意软件研究人员使用该信息生成全球威胁的性质和范围的精确快照以帮助我们将注意力放在正确的目标上 ESET LiveGrid 数据在我们设置自动处理优先级时起着重要的作用此外它还实施了一个信誉系统可帮助提高我们的反恶意软件解决方案的整体效率在用户系统上检查可执行文件或压缩文件时系统会首先将其哈希标记与数据库中的白名单和黑名单项进行对比如果发现它位于白名单中则检查的文件将被视作未感染并且将被标记以便从日后的扫描中排除如果发现它位于黑名单中将根据威胁的性质采取相应的措施如果未发现匹配将彻底扫描文件基于此次扫描的结果文件将被分类为威胁或非威胁此方法对于扫描性能有着极为重要的积极影响此信誉系统可以有效地检测恶意软件样本甚至是在这些样本的病毒库通过更新的病毒库发送到用户的计算机之前每天执行若干次 136

6.3.5 僵尸网络保护僵尸网络保护通过分析其网络通信协议来帮助发现恶意软件相较于过去数年未曾更新的网络协议僵尸网络恶意软件不断变化这种新技术可以帮助 ESET 抵制试图避开检测并尝试将您的计算机连接到僵尸网络的恶意软件 6.3.6 J a v a 漏洞利用阻止程序 Java 漏洞利用阻止程序是现有漏洞利用阻止程序防护的扩展它可以监控 Java 并查找类似漏洞利用的行为可以将阻止的样本报告给恶意软件分析人员以便分析人员创建签名来在不同的层 URL 阻止文件下载等上阻止它们 6.

137 6.3.5 僵尸网络保护僵尸网络保护通过分析其网络通信协议来帮助发现恶意软件相较于过去数年未曾更新的网络协议僵尸网络恶意软件不断变化这种新技术可以帮助 ESET 抵制试图避开检测并尝试将您的计算机连接到僵尸网络的恶意软件 J a v a 漏洞利用阻止程序 Java 漏洞利用阻止程序是现有漏洞利用阻止程序防护的扩展它可以监控 Java 并查找类似漏洞利用的行为可以将阻止的样本报告给恶意软件分析人员以便分析人员创建签名来在不同的层 URL 阻止文件下载等上阻止它们银行和付款保护银行和付款保护是旨在在线交易期间保护财务数据的一层额外保护 ESET Smart Security Premium 包含内置的预定义网站列表它们将触发受保护的浏览器打开您可以在产品配置中添加网站或编辑网站的列表有关此功能的更多详细信息请阅读以下 ESET 知识库文章如何使用 ESET 银行和付款保护大多数情况下访问已知银行网站后将在默认浏览器上启动银行和付款保护我们建议您在收到使用银行和付款保护的提示时单击打开安全浏览器如果您决定不再针对某个您已经保存的站点使用安全浏览器请打开设置 > 安全工具 > 银行业务和付款保护可以在该处从触发安全浏览器的 URL 列表中删除该站点若要执行受保护的浏览必须使用 HTTPS 加密的通信若要使用安全浏览您的 Internet 浏览器应满足下面列出的最低要求 Mozilla Firefox 24 Internet Explorer 8 Google Chrome 30 我们建议您在完成在线交易或付款后关闭安全的浏览器 137

展开

ESET Smart Security

ESET SMART SECURITY 9 使用者手冊 (適用於產品版品 90 和更新版本) Microsoft Windows 10 / 81 / 8 / 7 / Vista / XP 按一下這裡以下載此文件的最新版本 ESET SMART SECURITY Copyright 2015 by ESET, spol s r o ESET Sma rt Securi ty 是由 ESET, s pol