集成组件 : ESET NOD32 Antivirus ESET NOD32 Antispyware ESET 个人防火墙 ESET 防垃圾邮件 新一代 NOD32 技术 用户指南 我们为您的数字世界提供安全保障

Transcription

1 集成组件 : ESET NOD32 Antivirus ESET NOD32 Antispyware ESET 个人防火墙 ESET 防垃圾邮件 新一代 NOD32 技术 用户指南 我们为您的数字世界提供安全保障

2 目录 1. ESET Smart Security 新增功能 系统需求 安装 典型安装 自定义安装 使用原始设置 输入用户名和密码 手动计算机扫描 入门指南 用户界面设计简介 模式 检查系统操作 程序工作不正常时如何应对 更新设置 受信任区域设置 代理服务器设置 设置保护 版权所有 2007 ESET, spol. s r. o. ESET Smart Security 由 ESET, spol. s r.o. 开发有关详细信息, 请访问 保留所有权利 未经作者的书面同意, 不得以任何形式或方式 ( 包括电子 机械 影印 录制 扫描或其它方式 ) 将本文档的任何部分复制 存储到检索系统或进行传播 ESET, spol. s r.o. 保留在不事先通知的情况下更改本文介绍的任何应用程序软件的权利 全球客户服务 : 4. 使用 ESET Smart Security 病毒和间谍软件防护 实时文件系统保护 控制设置 要扫描的介质 运行扫描于 ( 事件触发的扫描 ) 用于新建文件的其它 ThreatSense 参数 高级设置 清除级别 何时修改实时保护配置 检查实时保护 如果实时保护不工作怎么办 电子邮件保护 POP3 检查 兼容性 Microsoft Outlook Outlook Express 和 Windows Mail 将标记消息附加到邮件正文 删除渗透 Web 访问保护 HTTP 被阻止 / 排除的地址 Web 浏览器 计算机扫描 扫描类型 标准扫描 自定义扫描 扫描目标 扫描配置文件 ThreatSense 引擎参数设置 对象设置 选项 清除 扩展名 检测到渗透 个人防火墙 过滤模式 阻止所有通信 : 断开网络连接 禁用过滤 : 允许所有通信 配置和使用规则 创建新规则 编辑规则 配置区域 建立连接 检测 日志记录 REV

3 4.3 防垃圾邮件保护 自我学习式防垃圾邮件 将地址添加到白名单 将邮件标记为垃圾邮件 更新程序 更新设置 更新配置文件 高级更新设置 更新模式 代理服务器 连接到 LAN 创建更新副本 镜像 从镜像更新 镜像更新问题故障排除 如何创建更新任务 计划任务 计划任务的目的 创建新任务 隔离 隔离文件 从隔离区恢复 提交隔离区中的文件 日志文件 日志维护 用户界面 警报和通知 ThreatSense.Net 可疑文件 统计 提交 远程管理 许可证 高级用户 代理服务器设置 导出 / 导入设置 导出设置 导入设置 命令行 病毒库 渗透类型 病毒 蠕虫 木马 Rootkit 广告软件 间谍软件 潜在的不安全应用程序 潜在的不受欢迎应用程序 远程攻击类型 DoS 攻击 DNS 投毒 蠕虫攻击 端口扫描 TCP 去同步化 SMB 中继 ICMP 攻击 电子邮件 广告 恶作剧 网络欺诈 识别垃圾邮件欺骗 规则 贝叶斯过滤器 白名单 黑名单 服务器端控制... 36

4 1. ESET Smart Security ESET Smart Security 是真正集成了计算机安全新方法的首个代表 它利用了 ESET NOD32 防病毒系统的速度和精确度 ( 最新版的 ThreatSense 扫描引擎可确保实现这种速度和精确度 ), 且包含量身定制的个人防火墙和防垃圾邮件模块 最终得到一个可对威胁计算机安全的攻击和恶意软件时刻保持警惕的智能系统 防垃圾邮件 ESET 防垃圾邮件功能可过滤不请自来的电子邮件, 从而提高电子通信的安全和舒适度 与其他供应商的产品不同,ESET Smart Security 并不是简单地将各种产品堆积在一个产品包内 它是长期寻求以最小系统需求获取最大保护性能的结果 以人工智能为基础的高级技术能够主动清除病毒 间谍软件 木马 蠕虫 广告软件 rootkit 的侵入以及其它源自 Internet 的攻击, 并且不影响系统性能或中断计算机的运行 1.1 新增功能 ESET Smart Security 程序的全新架构体现了我公司专家长期的开发经验, 这一架构可确保以最低系统需求实现最大保护性能 复杂的安全解决方案包含带有多个高级选项的模块 以下列表简要介绍了这些模块 病毒和间谍软件防护 此模块以 ThreatSense 扫描核心为基础, 此核心首次应用是在曾获奖的 NOD32 Antivirus 系统中 ThreatSense 核心通过新的 ESET Smart Security 架构进行了优化和改进 功能 传入邮件评分 支持多种扫描技术 与电子邮件客户端完全集成 提供手动垃圾邮件选择 1.2 系统需求 说明 所有传入的邮件将得到一个 0( 邮件不是垃圾邮件 ) 到 100( 邮件是垃圾邮件 ) 之间的评分, 并相应地被移至垃圾邮件文件夹或用户创建的自定义文件夹 可以并行扫描传入的电子邮件 贝叶斯分析 基于规则的扫描 全球指纹数据库检查 Microsoft Outlook Outlook Express 和 Windows Mail 客户端的用户均可使用防垃圾邮件保护 具有手动将电子邮件标记 / 取消标记为垃圾邮件的选项 功能 对清除做了改进 后台扫描模式 更小的更新文件 流行的电子邮件客户端保护 其它各种小改进 个人防火墙 说明 防病毒系统现在可智能清除和删除大部分检测到的渗透, 无需用户干预 计算机扫描可在后台启动, 且不会降低系统性能 核心优化进程使更新文件比 2.7 版本中更小 并且提高了防止更新文件破坏的能力 现在不仅可以在 MS Outlook 中, 而且可以在 Outlook Express 和 Windows Mail 中扫描传入的邮件 直接访问文件系统以获得高速度和吞吐量 阻止访问被感染文件 对 Windows 安全中心 ( 包括 Vista) 进行优化 个人防火墙监视受保护的计算机和网络中其它计算机之间的所有通信 ESET 个人防火墙包含下列高级功能 功能 低层网络通信扫描 支持 IPv6 监视可执行文件 与 HTTP 和 POP3 集成的文件扫描 入侵检测系统 支持交互 自动或基于策略的模式 取代集成的 Windows 防火墙 说明 能够扫描数据链路层上的网络通信使 ESET 个人防火墙可以击退原本无法检测到的多种攻击 ESET 个人防火墙可显示 IPv6 地址, 并允许用户为其创建规则 监视可执行文件中的更改以克服感染 允许修改已签名应用程序的文件 将文件扫描集成到 HTTP 和 POP3 应用程序协议中 用户浏览 Internet 或下载电子邮件时, 可受到保护 能够识别网络通信的特征和各种网络攻击, 并可以自动禁止此类通信 用户可以选择自动执行防火墙操作, 或以交互方式设置规则 在基于策略的模式下进行的通信根据用户或网络管理员预定义的规则处理 取代集成的 Windows 防火墙, 它还与 Windows 安全中心交互, 这样用户始终能够了解自己的安全状态 默认情况下,ESET Smart Security 安装会关闭 Windows 防火墙 要使 ESET Smart Security 和 ESET Smart Security 商业版无缝运行, 系统应满足以下硬件和软件需求 : ESET Smart Security: Windows 2000 XP 400 MHz 32 位 / 64 位 (x86 / x64) 128 MB RAM 系统内存 35 MB 可用空间 Super VGA ( ) Windows Vista 1 GHz 32 位 / 64 位 (x86 / x64) 512 MB RAM 系统内存 35 MB 可用空间 Super VGA ( ) ESET Smart Security 商业版 : Windows Server XP 2003 Server Windows Vista Windows Server MHz 32 位 / 64 位 (x86 / x64) 128 MB RAM 系统内存 35 MB 可用空间 Super VGA ( ) 1 GHz 32 位 / 64 位 (x86 / x64) 512 MB RAM 系统内存 35 MB 可用空间 Super VGA ( ) 4

5 2. 安装 购买后, 可以从 ESET 的网站下载 ESET Smart Security 安装程序 它是一个 ess_nt**_***.msi (ESET Smart Security) 或 essbe_nt**_***.msi(eset Smart Security 商业版 ) 程序包 启动安装程序后, 安装程序向导将指导您完成基本安装 提供两种安装方式, 对应着不同等级的安装详情 : 1. 典型安装 2. 自定义安装 默认情况下, 会选中启动此功能的 启用 ThreatSense.Net 早期预警系统 复选框 单击 高级设置... 可修改提交可疑文件的详细设置 安装过程的下一步是配置 对潜在的不受欢迎应用程序的检测 潜在的不受欢迎应用程序未必是恶意的, 但其可能对操作系统运行产生负面影响 2.1 典型安装 这些应用程序通常与其它程序捆绑在一起, 在安装过程中不容易引起注意 虽然这些应用程序在安装过程中通常会显示一个通知, 但其无需您的同意即可轻松安装 对于想采用 ESET Smart Security 默认设置的用户, 建议您使用典型安装 程序的默认设置可提供最高级别的保护, 这是那些不需要详细设置配置的用户欣赏的一点 第一步同时也是非常重要的一步是输入用户名和密码以便自动更新程序 在为系统提供持续保护方面, 这是不可或缺的重要步骤 选中 启用对潜在的不受欢迎应用程序的检测 选项可允许 ESET Smart Security 检测这类威胁 ( 建议 ) 典型安装模式的最后一步是单击 安装 按钮确认安装 在相应字段中输入 用户名 和 密码, 这些信息即为在购买或注册产品后收到的验证数据 如果您目前没有用户名和密码可用, 请选择 以后再设置更新参数 选项 日后可以随时直接从程序中插入验证数据 安装的下一步是配置 ThreatSense.Net 早期预警系统 ThreatSense.Net 早期预警系统有助于确保 ESET 能够及时且不间断地获得有关新渗透的信息, 以便迅速为客户提供保护 该系统允许向 ESET 病毒实验室提交新的威胁, 这些威胁将在实验室被分析 处理并添加到病毒签名数据库中 5

6 2.2 自定义安装 自定义 安装适用于有程序微调经验的用户以及希望在安装期间修改高级设置的用户 第一步是选择安装的目标位置 默认情况下, 程序会安装在 C:\Program Files\ESET\ESET Smart Security\ 中 单击 浏览 可更改位置 ( 不建议这样做 ) 如果使用代理服务器, 必须对其进行正确配置才能确保病毒签名更新程序正常工作 如果您不知道是否使用代理服务器连接到 Internet, 请保留默认设置 我不确定 Internet 连接是否使用代理服务器 使用与 Internet Explorer 相同的设置 并单击 下一步 如果您未使用代理服务器, 请选择相应的选项 然后输入用户名和密码 此步骤与典型安装的步骤相同 ( 请见第 5 页 ) 输入用户名和密码后, 单击 下一步配置 Internet 连接 要配置代理服务器设置, 请选择 我使用代理服务器 并单击 下一步 在 地址字段 中输入代理服务器的 IP 地址或 URL 在 端口 字段中指定代理服务器接受连接的端口 ( 默认情况下使用 3128 端口 ) 如果代理服务器要求验证, 必须输入有效的用户名和密码, 才能访问代理服务器 如果需要, 也可以从 Internet Explorer 中复制代理服务器设置 为此, 请单击 应用 并确认选择 6

7 单击 下一步 进入 配置自动更新设置 窗口 使用此步骤指定系统进行自动程序组件更新的方式 单击 更改... 访问高级设置 如果您不想更新程序组件, 请选择 从不更新程序组件 启用 下载程序组件前询问 选项会在下载程序组件前显示确认窗口 要在不提示的情况下启动自动程序组件升级, 请选择 如果有程序组件升级文件, 则进行升级 选项 配置 ThreatSense.Net 早期预警系统和检测潜在的不受欢迎应用程序的步骤与典型安装中相应的步骤相同, 此处未显示 ( 请见第 5 页 ) 自定义模式的最后一步是选择 ESET 个人防火墙过滤模式 有三种模式可用 : 自动 交互 基于策略 自动模式 可启用所有标准的传出连接 ( 使用预定义的设置进行自动分析 ) 并自动阻止所有不请自来的传入连接 交互模式适用于高级用户 程序按照用户定义的规则处理通信 如果没有针对通信定义规则, 程序会询问用户是允许还是拒绝通信 注意 : 程序组件升级后, 通常需要重新启动 建议的设置为 : 如果需要, 在不通知的情况下重新启动计算机 安装的下一个步骤是输入密码以保护程序参数 选择用来保护程序的密码 重新输入密码以便确认 基于策略的模式会根据管理员创建的预定义规则来评估通信 如果没有规则可用, 程序会自动阻止连接, 且用户看不到警告信息 建议您仅在身为管理员且需要配置网络通信时才选择基于策略的模式 最后一步会显示一个窗口, 要求您同意安装 7

8 2.3 使用原始设置 如果重新安装 ESET Smart Security, 会显示 使用当前设置 选项 选择此选项可使新安装沿用初始安装的设置参数 2.5 手动计算机扫描 ESET Smart Security 安装完毕后, 应执行计算机扫描, 以查看是否存在恶意代码 要快速启动扫描, 请在主菜单中选择 计算机扫描, 然后在主程序窗口中选择 标准扫描 有关计算机扫描功能的详细信息, 请参见 计算机扫描 2.4 输入用户名和密码 自动更新程序对获得最佳功能非常重要 只有在更新设置中输入了正确的用户名和密码, 才可能实现这一点 如果您在安装期间未输入用户名和密码, 可以现在输入 在主程序窗口中, 单击 更新, 然后单击 用户名和密码设置... 在 许可证详细信息 窗口中, 输入您随同产品许可证一同收到的数据 8

9 3. 入门指南 本章对 ESET Smart Security 及其基本设置进行了初步概述 3.1 用户界面设计简介 模式 ESET Smart Security 的主窗口分为两个主要部分 从左栏可访问用户友好主菜单 右侧的主程序窗口主要用于显示与选中的主菜单选项相关的信息 以下是主菜单中按钮的说明 : 保护状态 在用户友好表格中, 提供关于 ESET Smart Security 保护状态的信息 如果启动了高级模式, 则显示所有保护模块的状态 单击某个模块可查看其当前的状态 切换到高级模式会在主菜单中添加 工具 选项 用户可通过 工具 选项访问 计划任务 和 隔离, 或查看 ESET Smart Security 日志文件 注意 : 本指南中的所有其它说明都将出现在高级模式中 检查系统操作 要查看 保护状态, 请在主菜单顶部单击该选项 有关 ESET Smart Security 操作的状态摘要显示在窗口的右侧, 并显示一个包含三个项目的子菜单 : 病毒和间谍软件防护 个人防火墙 和 防垃圾邮件模块 选择任意一项可查看给定保护模块的详细信息 计算机扫描 用户使用此选项可配置和启动手动计算机扫描 更新 选择此选项可访问那些管理病毒签名数据库更新的更新模块 设置 选择此选项可调整计算机的安全等级 如果启动了高级模式, 将显示 病毒和间谍软件防护 个人防火墙 和 防垃圾邮件模块 三个子菜单 工具 此选项只在高级模式下可用 可访问日志文件 隔离和计划任务 帮助和支持 选择此选项可访问帮助文件 ESET 知识库 ESET 网站并访问客户服务支持请求 用户可使用 ESET Smart Security 用户界面在标准和高级模式间切换 要进行模式切换, 请参见位于 ESET Smart Security 主窗口左下角的 显示 链接 单击此按钮可选择需要的显示模式 如果启用的模块工作正常, 则会带一个绿色对号标记 如果工作不正常, 则显示红色惊叹号或橙色通知图标, 问题模块的其它信息显示在窗口的上半部分 同时还显示修复该模块的建议解决方案 要更改单个模块的状态, 请在主菜单上单击 设置, 然后单击所需模块 程序工作不正常时如何应对 如果 ESET Smart Security 在其任一保护模块中检测到问题, 将在 保护状态 窗口中报告 并在同一位置提供可能的解决方案 在标准模式下, 可访问一般操作所需的功能 不会显示任何高级选项 如果利用显示的已知问题及解决方案列表无法解决该问题, 则单击 帮助和支持 访问帮助文件或搜索知识库 如果仍旧找不到解决方案, 可向 ESET 客户服务提交支持请求 我们的支持专家会根据此反馈对您的问题快速做出响应, 并针对问题提出有效建议 9

10 3.2 更新设置 病毒签名数据库更新和程序组件更新是全面防范恶意代码的重要组成部分 请特别注意这些更新的配置和操作 选择主菜单中的 更新, 然后单击主程序窗口中的 更新病毒签名数据库, 可立即检查是否有新的数据库更新 用户名和密码设置... 显示一个对话框, 应在其中输入购买时收到的用户名和密码 3.3 受信任区域设置 受信任区域配置是保护处在网络环境中的计算机的重要步骤 通过将受信任区域配置为允许共享可使其他用户访问您的计算机 单击 设置 > 个人防火墙 > 更改您的计算机在网络中的保护模式... 将显示一个窗口, 您可在此配置实际网络 / 区域中的计算机保护模式设置 如果已在安装 ESET Smart Security 过程中输入了 用户名 和 密码, 此时将没有输入提示 高级设置 ( 按 F5 进入 ) 窗口包含其它详细的更新选项 更新服务器 : 下拉菜单应设置为 自动选择 要配置高级更新选项, 如更新模式 代理服务器访问 访问本地服务器上的更新和创建病毒签名复本 (ESET Smart Security 商业版 ), 请单击 设置... 按钮 受信任区域检测将在 ESET Smart Security 安装完毕以及计算机被连接到新的网络 / 区域时执行 因此, 多数情况下无需定义受信任区域 默认情况下, 检测到新区域时会显示一个对话窗口, 可在其中设置该区域的保护级别 警告! 受信任区域配置不正确会带来计算机安全风险 注意 : 默认情况下, 受信任区域的工作站有权访问共享文件和打印机, 传入 RPC 通信被启用且远程桌面共享可用 10

11 3.4 代理服务器设置 如果安装了 ESET Smart Security 的系统使用代理服务器进行 Internet 连接, 则必须在高级设置 (F5) 中指定代理服务器的设置 要访问 代理服务器 配置窗口, 请从高级设置树中单击 其它 > 代理服务器 选择 使用代理服务器 复选框, 输入代理服务器的 IP 地址和端口及其验证数据 如果此信息不可用, 可以尝试通过单击 检测代理服务器 按钮来自动检测 ESET Smart Security 的代理服务器设置 注意 : 对于不同的更新配置文件, 代理服务器选项可能也有所不同 如果出现这种情况, 请在高级更新设置中配置代理服务器 3.5 设置保护 从组织的安全策略角度看,ESET Smart Security 的设置非常重要 未经授权的更改可能会破坏系统的稳定和防护 要对设置参数进行密码保护, 请从主菜单启动, 单击 设置 > 进入完整高级设置树... > 用户界面 > 设置保护 并单击 输入密码... 按钮 输入密码, 再次输入进行确认, 然后单击 确定 以后若要更改任何 ESET Smart Security 设置都需要使用此密码 11

12 4. 使用 ESET Smart Security 4.1 病毒和间谍软件防护 病毒防护通过控制文件 电子邮件和 Internet 通信防范恶意系统攻击 如果检测到带有恶意代码的威胁, 则病毒防护模块可以通过先阻止, 然后清除 删除或将其移至隔离区, 来消除威胁 实时文件系统保护 实时文件系统保护控制系统中所有与病毒防护相关的事件 在计算机上打开 创建或运行任何文件时, 都将扫描该文件是否带有恶意代码 实时文件系统保护在系统启动时启动 控制设置 实时文件系统保护检查所有类型的介质, 控制由各种事件触发 控制使用 ThreatSense 技术检测方法 ( 如 ThreatSense 引擎参数设置中所述 ) 对于新创建的文件和现有文件, 控制行为可能不同 对于新创建的文件, 可以应用更深的控制级别 高级设置 扫描过的文件不再扫描 ( 除非它们已经修改 ), 以使运行实时保护时留下的系统印记最小 每次病毒签名数据库更新后立刻再次扫描文件 使用 优化扫描 选项配置此操作. 如果禁用, 则在每次访问文件时扫描所有文件 实时保护默认在操作系统启动时启动, 从而提供不中断扫描 特殊情况下 ( 比如与其它实时扫描程序存在冲突 ), 可以通过禁用 自动启动实时文件系统保护 选项来中止实时保护 清除级别 实时保护提供三个清除级别 ( 若要访问, 请单击 实时文件系统保护 部分中的 设置... 按钮, 然后单击 清除 分支 ) 第一个级别显示一个警报窗口, 其中有对发现的每个渗透均可用的选项 用户必须针对每个渗透选择一个操作 此级别是为更高级用户设计的, 他们了解发生渗透时应采取哪些步骤 默认级别会自动选择并执行预定义的操作 ( 根据渗透类型而定 ) 屏幕右下角的信息消息指示检测到并删除了被感染文件 不过, 如果渗透所在的压缩文件中还包含干净文件, 程序将不执行自动操作, 对于没有预定义操作的对象也不执行自动操作 第三个级别最 严格 清除所有被感染的对象 由于此级别可能导致丢失有效文件, 建议您仅在特定情况下使用 要扫描的介质默认情况下, 对所有类型介质进行扫描以查找潜在的威胁 本地驱动器 控制所有系统硬盘驱动器可移动介质 软盘 USB 存储设备等 网络驱动器 扫描所有映射的驱动器 建议您保留默认设置, 仅在特殊情况下修改这些设置, 例如扫描某些介质使数据传输速度显著降低时 运行扫描于 ( 事件触发的扫描 ) 默认情况下, 所有文件在打开 执行或创建时进行扫描 我们建议您保留默认设置, 默认设置可为计算机提供最高级别的实时保护 软盘访问 选项提供访问软盘驱动器时对软盘引导区的控制 计算机关机 选项提供计算机关机时对硬盘引导区的控制 尽管当今引导病毒很少见, 但还是建议您启用这些选项, 因为其它来源的引导病毒仍可能造成系统感染 用于新建文件的其它 ThreatSense 参数 与现有文件相比, 新创建文件感染的可能性相对较高 这就是程序以附加扫描参数检查这些文件的原因 将基于签名的常见扫描方法与高级启发式扫描一同使用可极大地提高检测率 除了新创建的文件, 扫描对象还包括自解压文件 (SFX) 和加壳程序 ( 内部压缩的可执行文件 ) 何时修改实时保护配置 实时保护是维护系统安全的最重要的组件 因此, 修改其参数时请务必小心 建议您仅在特定情况下修改其参数 例如, 与某个应用程序或另一个防病毒程序的实时扫描程序发生冲突时 安装 ESET Smart Security 后, 所有设置都会得到优化以便为用户提供最高级别的系统安全性 要恢复默认设置, 请在 实时文件系统保护 窗口 ( 高级设置 > 病毒和间谍软件防护 > 实时文件系统保护 ) 的右下方中单击 默认 按钮 检查实时保护 要验证实时保护是否工作, 是否在检测病毒, 请使用测试文件 eicar.com 此文件是一个可供所有病毒防护程序检测的特殊无害文件 此文件由 EICAR ( 欧洲计算机防病毒研究协会 ) 创建, 用于测试病毒防护程序的功能 文件 eicar.com 可从 注意 : 执行实时保护检查前, 必须禁用防火墙 如果启用, 防火墙将检测文件并阻止下载测试文件 12

13 如果实时保护不工作怎么办 在下一章中, 我们将介绍使用实时保护时可能出现的问题场景, 以及如何排除这些故障 实时保护被禁用 如果用户无意中禁用了实时保护, 则需要重新启用它 要重新启动实时保护, 请浏览至 设置 > 病毒和间谍软件防护 并在主程序窗口的 实时文件系统保护 部分单击 启用 如果实时保护未能在系统启动时启动, 可能是因为 自动启动实 时文件系统保护选项被禁用 要启用此选项, 请浏览至 高级设置 (F5), 然后单击高级设置树中的 实时文件系统保护 在窗口底部的 高级设置 部分中, 确保 自动启动实时文件系统保护 复选框已被选中 兼容性 某些电子邮件程序使用 POP3 过滤时可能遇到问题 ( 例如, 如果 Internet 连接速度较慢, 接收邮件可能会因检查超时失败 ) 如果出现这种情况, 请尝试修改执行控制的方式 降低控制级别可能提高清除过程的速度 要调整 POP3 过滤的控制级别, 请浏览至 病毒和间谍软件防护 > 电子邮件保护 > POP3 > 兼容性 如果启用了 最高效率, 程序将从被感染邮件中删除渗透, 并在原来的电子邮件主题前插入关于渗透的信息 ( 必须启动 删除 或 清除, 或者必须启用 严格 或 默认 清除级别 ) 实时保护不检测和清除渗透 请确保您的计算机上没有安装其它病毒防护程序 如果同时启用两个实时保护盾牌, 它们可能互相冲突 建议您卸载系统上的任何其它病毒防护程序 中等兼容性 可修改邮件接收方式 邮件会逐步发送到电子邮件客户端 邮件的最后部分传输完毕后, 程序将扫描邮件看其是否存在渗透 不过, 使用此控制级别会增加感染风险 清除级别和标记消息的处理 ( 附加到邮件主题行和正文的通知警报 ) 与最高效率设置完全相同 使用 最大兼容性 级别时, 将出现一个警报窗口, 警告用户收到了被感染的邮件 被感染文件的信息不会添加到已发送邮件的主题行或邮件正文, 程序不会自动删除渗透 删除渗透必须由用户从电子邮件客户端执行 实时保护不启动 如果系统启动时实时保护未启动 ( 且选项 自动启动实时文件系统保护 已经启用 ), 可能是因为与其它程序发生冲突 如果是这种情况, 请咨询 ESET 的客户服务专家 电子邮件保护 电子邮件保护可控制通过 POP3 协议接收的电子邮件通信 通过使用 Microsoft Outlook 的插件程序,ESET Smart Security 可控制电子邮件客户端的所有通信 (POP3 MAPI IMAP HTTP) 检查传入邮件时, 程序使用 ThreatSense 扫描引擎提供的所有高级扫描方法 这意味着恶意程序检测在与病毒签名数据库匹配之前就已进行 对 POP3 协议通信的扫描与使用何种电子邮件客户端无关 POP3 检查 POP3 协议是使用最广泛的在电子邮件客户端应用程序中接收电子邮件通信的协议 ESET Smart Security 提供对此协议的保护, 无论使用何种电子邮件客户端 操作系统启动时会自动启动提供此控件的模块, 之后该模块会在内存中处于活动状态 要使模块正常工作, 请确保启用它 POP3 检查会自动执行, 无需重新配置电子邮件客户端 默认情况下, 程序会扫描端口 110 上的所有通信, 如有必要, 也可以添加其它通信端口 端口号必须使用逗号分隔 加密通信无法控制 13

14 Microsoft Outlook Outlook Express 和 Windows Mail 集成 ESET Smart Security 与电子邮件客户端的集成可提高针对电子邮件中恶意代码的主动保护级别 如果程序支持您的电子邮件客户端, 可在 ESET Smart Security 中启用此集成 如果启动集成,ESET Smart Security 防垃圾邮件工具条将直接插入电子邮件客户端中, 从而更有效地保护电子邮件通信 从 设置 > 进入完整高级设置树 > 其它 > 电子邮件客户端集成 可以访问集成设置 通过此对话窗口可启动与受支持电子邮件客户端的集成 当前支持的电子邮件客户端包括 Microsoft Outlook Outlook Express 和 Windows Mail Web 访问保护 Internet 连接是个人计算机的一项标准功能 不幸的是, 这项功能也因此成为传输恶意代码的主要媒介 鉴于此, 谨慎考虑 Web 访问保护的相关事项十分必要 我们强烈建议您选中 启用 Web 访问保护 选项 此选项位于 高级设置 (F5) > 病毒和间谍软件防护 > Web 访问保护 中 通过选中 高级设置 (F5) > 病毒和间谍软件防护 > 电子邮件保护中的启动电子邮件保护 HTTP 将标记消息附加到邮件正文 通过将标记消息附加到主题或邮件正文, 可以标记 ESET Smart Security 控制的所有电子邮件 此功能可提高地址的可信性, 如果检测到渗透, 还可提供关于给定电子邮件 / 发件人威胁级别的有价值信息 Web 访问保护的主要功能是按照 HTTP( 超文本传输协议 ) 协议的规则监视 Internet 浏览器与远程服务器的通信 ESET Smart Security 默认配置为使用大部分 Internet 浏览器的 HTTP 标准 不过, 也可以在 Web 访问保护 > HTTP 中部分修改 HTTP 检查设置选项 在 HTTP 过滤器设置 窗口中, 可使用 启用 HTTP 检查 选项来启用或禁用 HTTP 检查功能 您还可以定义系统用来进行 HTTP 通信的端口号 默认情况下, 使用端口号 和 3128 通过添加其它端口号 ( 用逗号分隔 ) 可自动检测和扫描任何端口上的 HTTP 通信 从 高级设置 > 病毒和间谍软件防护 > 电子邮件保护 可以访问此功能的选项 程序既能 在已接收并阅读的电子邮件上添加标记消息, 也可以 在已发送的电子邮件上添加标记消息 用户还可以决定将标记消息附加到所有电子邮件还是只附加到被感染的邮件, 或不附加到任何电子邮件 ESET Smart Security 还允许用户将消息附加到被感染邮件的初始主题 要启用附加到主题, 请使用 在已接收并阅读的被感染电子邮件的主题上添加注释 和 在已发送的被感染电子邮件的主题中添加注释 选项 通知的内容可在 模板 字段中修改, 并且可添加到被感染电子邮件的主题中 上述修改有助于自动化被感染电子邮件的过滤过程, 因为它允许将带特定主题的电子邮件过滤到单独的文件夹 ( 如果电子邮件客户端支持的话 ) 删除渗透 如果收到被感染的电子邮件, 将显示警报窗口 警报窗口显示发件人姓名 电子邮件和渗透的名称 窗口下半部分有对被检测对象可用的 清除 删除 或 离开 选项 我们建议您在几乎所有情况下, 均选择 清除 或 删除 如果出现特殊情况, 例如希望接收被感染文件, 请选择 离开 如果启用 严格清除, 将显示一个信息窗口, 其中没有对被感染对象可用的选项 14

15 被阻止 / 排除的地址 HTTP 检查设置允许您创建由用户定义的 被阻止 和 被排除的 URL ( 统一资源定位符 ) 地址 列表 两个对话窗口均包含 添加 编辑 删除 和 导出 按钮, 使您可以轻松管理和维护指定地址的列表 如果用户请求的地址包含在被阻止地址列表中, 则将无法访问该地址 另一方面, 访问被排除地址列表中的地址时不进行恶意代码检查 两个列表中均可使用特殊符号 *( 星号 ) 和?( 问号 ) 星号代替任何字符串, 问号代替任何符号 指定被排除的地址时尤其要小心, 因为列表应只包含受信任的安全地址 与之类似, 必须确保在此列表中正确使用符号 * 和? 标记为浏览器的应用程序的列表可直接从 HTTP 分支的 Web 浏览器 子菜单中访问 此部分还包含定义 Internet 浏览器检查模式的 活动模式 子菜单 活动模式 的有用之处在于它将传输的数据作为整体进行检查 如果未启用, 则逐步按批监视应用程序的通信 这样会降低数据验证效率, 但也为列出的应用程序提供了更高的兼容性 如果使用时未出现问题, 建议您选中所需应用程序旁边的复选框来启用活动检查模式 计算机扫描 Web 浏览器 ESET Smart Security 还包含 Web 浏览器功能, 允许用户定义给定应用程序是否为浏览器 如果用户将应用程序标记为浏览器, 则此应用程序的所有通信都将被监视, 无论通信涉及的端口号为多少 Web 浏览器功能可作为 HTTP 检查功能的补充, 因为 HTTP 检查仅在预定义端口上进行 但许多 Internet 服务会使用动态变化的或未知的端口号 为解决此问题,Web 浏览器功能可建立对端口通信的控制, 无论连接参数如何 如果您怀疑计算机受到感染 ( 行为不正常 ), 请运行手动计算机扫描以检查计算机是否存在渗透 从安全角度说, 计算机扫描不应仅在怀疑有渗透时运行, 而是应作为日常安全手段的一部分定期运行, 这一点非常重要 定期扫描能够检测到渗透, 这些渗透在保存到磁盘时未被实时扫描程序发现 如果系统被感染时实时扫描程序已被禁用, 或者病毒签名数据库过期, 就会出现这种情况 我们建议您每月至少运行一次或两次手动扫描 在 工具 > 计划任务 下可以将扫描配置为计划任务 扫描类型 扫描有两种类型 标准扫描 快速扫描系统, 无需进一步配置扫描参数 自定义扫描 允许用户选择任意预定义的扫描配置文件, 并从树结构中选择扫描对象 15

16 标准扫描 标准扫描是一种用户友好的方法, 允许用户快速启动计算机扫描并清除被感染的文件, 且无需用户干预 其主要优势在于操作方便, 没有复杂的扫描配置 标准扫描检查本地驱动器上的所有文件并自动清除或删除被感染的渗透 清除级别被自动设置为默认值 有关清除类型的更多详细信息, 请参见 清除 ( 见第 17 页 ) 标准扫描配置文件为希望快速轻松扫描计算机的用户设计 它提供有效的扫描和清除解决方案, 无需进行繁琐地配置 自定义扫描 如果您要指定扫描参数 ( 如扫描目标和扫描方法等 ), 自定义扫描是一个理想的解决方案 自定义扫描的优点在于可以详细配置参数 配置可以保存到用户定义的扫描配置文件中, 这在使用相同的参数重复扫描时非常有用 要选择扫描目标, 请使用快速目标选择功能的下拉菜单, 或从列有计算机上所有可用设备的树结构中选择目标 此外, 还可以通过单击 设置... > 清除 从三个清除级别中选择 如果仅希望程序扫描系统而不执行任何其它操作, 请选择 扫描但不清除 复选框 扫描配置文件 可将首选计算机扫描参数保存到配置文件 创建扫描配置文件的优点在于可在将来使用配置文件定期扫描 建议您按照用户定期使用的配置文件数创建配置文件 ( 带有各种扫描目标 扫描方法和其它参数 ) 要创建可供将来扫描重复使用的新配置文件, 请浏览至 高级设置 (F5) > 手动计算机扫描 单击右侧的 配置文件... 按钮, 显示现有扫描配置文件列表和用于创建新配置文件的选项 以下的 ThreatSense 引擎参数设置 介绍了扫描设置的各个参数 这有助于创建符合需要的扫描配置文件 例如 : 假设您要创建自己的扫描配置文件, 分配给配置文件 智能扫描 的配置仅部分适用 但您不希望扫描加壳程序或潜在不安全的应用程序, 并且还希望应用 严格清除 在 设置配置文件 窗口中, 单击 添加... 按钮 在 配置文件名称 字段中输入要新配置文件的名称, 然后在 从配置文件中复制设置 : 下拉菜单中选择 智能扫描 然后调整其余参数以满足您的需要 使用自定义扫描模式执行计算机扫描适合有病毒防护程序使用经验的高级用户 扫描目标 扫描目标 下拉菜单允许您选择要进行病毒扫描的文件 文件夹和设备 ( 磁盘 ) 使用快速扫描目标菜单选项, 可以选择以下目标 : 本地驱动器 控制所有系统硬盘驱动器 可移动介质 软盘 USB 存储设备 CD/DVD 网络驱动器 所有映射的驱动器 ThreatSense 引擎参数设置 ThreatSense 是一项技术名称, 它包含复杂的威胁检测方法 此技术具有某种主动性防护功能, 也就是说, 它可在新威胁开始传播的较早阶段提供防护 该技术采用了多种方法 ( 代码分析 代码仿真 一般签名 病毒签名等 ), 可显著提高系统安全性 扫描引擎可同时控制多个数据流, 最大限度地提高效率和检测速度 ThreatSense 还能够成功清除 Rootkit 用户可使用 ThreatSense 技术设置选项指定若干扫描参数 : 要扫描的文件类型和扩展名 不同检测方法的组合 清除级别等 要进入设置窗口, 请在使用 ThreatSense 技术的任一模块的设置窗口中单击 设置 按钮 ( 见下文 ) 不同的安全情形可能要求不同的配置 请记住,ThreatSense 可针对下列保护模块进行单独配置 : 实时文件系统保护系统启动文件检查电子邮件保护 Web 访问保护手动计算机扫描 也可以通过输入要扫描的文件或文件夹路径, 更精确地指定扫描目标 从列有计算机上所有可用设备的树结构中选择目标 ThreatSense 参数已针对每个模块进行了高度优化, 对其进行修改可能会明显影响系统操作 例如, 将参数更改为始终扫描加壳程序, 或在实时文件系统保护模块中启用高级启发式扫描, 可能会造成系统性能下降 ( 通常, 只有在扫描新建文件时才使用这些方法 ) 因此, 建议您保留所有模块 ( 计算机扫描 除外 ) 的默认 ThreatSense 参数 16

17 对象设置 对象 部分允许您定义将扫描渗透的计算机组件和文件 清除 清除设置决定清除被感染文件过程中扫描程序的行为 共有 3 个清除级别 : 工作内存 扫描攻击系统工作内存的威胁 引导区 扫描引导区, 看主引导记录中是否有病毒 文件 提供扫描所有常见文件类型 ( 程序 图片 音频 视频文件 数据库文件等 ) 电子邮件文件 扫描包含电子邮件的特殊文件 压缩文件 提供扫描压缩文件中压缩的文件 (.rar.zip.arj.tar 等 ) 自解压文件 扫描自解压文件中包含的文件 ( 通常带有.exe 扩展名 ) 加壳程序 除了标准静态加壳程序 (UPX yoda ASPack FGS 等 ), 还有在内存中解压的加壳程序 ( 和标准压缩类型不同 ) 选项 在 选项 部分中, 用户可以选择扫描系统查找渗透时使用的方法 可用选项包括 : 签名 签名通过使用病毒签名可按名称精确可靠地检测和识别渗透 启发式扫描 启发式扫描是一种分析程序 ( 恶意 ) 行为的算法 启发式检测的主要优点是能够检测到以前不存在或已知病毒列表 ( 病毒签名数据库 ) 中没有的新恶意软件 高级启发式扫描 高级启发式扫描具有一种独特的启发式扫描算法, 该算法由 ESET 开发, 它使用高级编程语言编写而成, 用于优化检测计算机蠕虫和木马病毒 由于有了高级启发式扫描, 程序的检测智能显著提高 广告软件 / 间谍软件 / 风险软件 此类软件包括未经用户同意收集各种用户敏感信息的软件 此外还包括显示广告材料的软件 潜在的不安全应用程序 潜在的不安全应用程序是指用于商业目的的合法软件 它包括远程访问工具这样的程序, 这就是默认禁用此选项的原因 潜在的不受欢迎应用程序 潜在的不受欢迎应用程序未必是恶意的, 但它会以负面方式影响计算机的性能 此类应用程序通常在安装前提请用户同意 如果计算机上安装了这类程序, 系统运行 ( 与安装前相比 ) 会有所不同 最显著的变化包括会出现不受欢迎的弹出窗口 启动和运行隐藏进程 系统资源消耗增加 更改搜索结果以及应用程序与远程服务器通信 不清除被感染的文件不会被自动清除 程序会显示一个警告窗口, 允许用户选择操作 默认级别程序将尝试自动清除或删除被感染的文件 如果无法自动选择正确操作, 程序将提供一组后续操作供选择 如果无法完成预定义的动作, 也将显示后续操作选择 严格清除程序将清除或删除所有被感染文件 ( 包括压缩文件 ) 唯一例外的是系统文件 系统文件无法清除, 将弹出一个警告窗口, 其中为用户提供了操作选项 警告 : 在默认模式下, 仅当压缩文件中的所有文件都被感染时, 才会删除整个压缩文件 如果压缩文件中包含合法文件, 则不删除 如果在严格清除模式下检测到被感染的压缩文件, 即使其中包含干净的文件, 也会删除整个压缩文件 17

18 扩展名 扩展名是用句点分隔的文件名的一部分 扩展名定义文件的类型和内容 ThreatSense 参数设置的此部分允许您定义要扫描的文件类型 默认情况下程序扫描所有文件, 无论其扩展名是什么 不扫描的文件的列表中可添加任何扩展名 如果取消选中 扫描所有文件 选项, 则列表改为显示所有当前已扫描文件的扩展名 通过使用 添加 和 删除 按钮, 可以启用或禁用对所需扩展名的扫描 要启用对无扩展名文件的扫描, 请选中 扫描无扩展名的文件 选项 如果对某些文件类型的扫描导致使用该扩展名的程序工作不正常, 将这些文件排除出扫描之列即可解决问题 例如, 使用 MS Exchange 服务器时, 建议排除.edb.eml 和.tmp 扩展名 检测到渗透 渗透可通过各种渠道进入系统 : 网页 共享文件夹 电子邮件或可移动计算机设备 (USB 外部磁盘 CD DVD 软盘等 ) 如果您的计算机有被恶意软件感染的迹象, 例如速度下降 常常停止响应等, 建议您执行以下操作 : 如果被感染文件被 锁定 或正在被系统进程使用, 通常只在释放后 ( 通常是系统重新启动后 ) 删除 删除压缩文件中的文件在默认清除模式下, 仅当压缩文件只包含被感染文件而没有干净文件时, 才会删除整个压缩文件 换句话说, 如果压缩文件还包含无害的干净文件, 将不会被删除 但是, 执行严格清除扫描时请小心 使用严格清除时, 即使压缩文件只包含一个被感染文件, 无论压缩文件中其它文件的状态如何, 都将删除该压缩文件 4.2 个人防火墙 个人防火墙可控制进出系统的所有网络通信 其实现方式是按照指定的过滤规则允许或拒绝每个网络连接 它可以防范来自远程计算机的攻击并可以阻止某些服务 此外还可为 HTTP 和 POP3 协议提供病毒防护 此功能是计算机安全方面一个极其重要的因素 打开 ESET Smart Security 并单击 计算机扫描 单击 标准扫描 ( 更多信息, 请参见标准扫描 ) 扫描完成后, 查看日志中已扫描文件 被感染文件和已清除文件的数量 过滤模式 ESET Smart Security 个人防火墙提供三种过滤模式 根据选定的模式, 防火墙的行为也会相应发生变化 过滤模式还会影响所需的用户交互水平 程序可采用以下三种模式中的一种进行过滤 : 如果您只希望扫描磁盘的某一部分, 请单击 自定义扫描, 然后选择扫描目标 以下为 ESET Smart Security 处理渗透的一般示例, 假设使用默认清除级别的实时文件系统监视程序检测到了渗透 它将尝试清除或删除该文件 如果实时保护模块没有预定义操作, 程序将显示一个警报窗口, 要求您从中选择一个选项 一般会有 清除 删除 和 离开 等选项 建议您不要选择 离开, 因为这样将不对被感染文件采取任何操作 除非您确信该文件无害, 只是检测失误所致 清除和删除如果干净文件遭到了病毒攻击 ( 该病毒在被清除文件上附加了恶意代码 ), 请应用清除 如果是这种情况, 请首先尝试清除被感染文件, 使其恢复到初始状态 如果文件全部由恶意代码组成, 将删除该文件 自动过滤模式是默认的模式 它适用于希望防火墙用起来简单 方便且无需定义规则的用户 自动模式允许给定系统的所有出站通信并阻止所有网络端发起的新连接 交互过滤模式允许对个人防火墙进行定制配置 如果检测到通信却没有可应用的规则时, 程序会显示一个对话框窗口, 报告未知的连接 对话框窗口中还提供允许或拒绝该通信的选项, 并且允许或拒绝决定可被系统记忆, 作为个人防火墙的新规则 如果此时用户选择创建新规则, 今后所有此类连接都将根据新规则被允许或阻止 基于策略的模式会阻止所有未被特定规则定义为允许的连接 此种模式允许高级用户定义规则, 仅允许需要和安全的连接 所有其它未指定的连接均会被个人防火墙阻止 18

19 4.2.2 阻止所有通信 : 断开网络连接 要想完全阻止所有网络通信, 使用 阻止所有网络流量 : 断开网络连接 选项 个人防火墙会阻止所有入站和出站通信, 且不显示任何警告 仅当您认为存在严重的安全风险, 必须断开系统与网络的连接时, 才使用此阻止选项 在 区域和规则设置 窗口中, 会 ( 根据当前选中的选项卡 ) 显示规则或区域的概览 该窗口分为两个部分 上半部分在缩短的视图中列出了所有规则 下半部分显示当前在上半部分选中的规则的详细信息 最底端是 新建 编辑 和 删除 按钮, 用户可使用这些按钮配置规则 如果考虑通信的方向, 连接可分为传入和传出连接 传入连接由远程计算机发起, 试图与本地系统建立连接 传出连接则方向相反, 即本地端联系远程计算机 如果检测到新的未知通信, 您必须仔细斟酌是允许还是拒绝 不请自来 不安全或完全未知的连接会给系统带来安全风险 如果建立这类连接, 建议您特别要注意远端以及试图连接到您计算机的应用程序 许多渗透会尝试获得并发送私有数据, 或将其它恶意应用程序下载到主机工作站上 个人防火墙可检测到并终止这类连接 创建新规则 安装可访问网络的新应用程序或修改现有连接 ( 远端 端口号等 ) 时, 必须创建新规则 禁用过滤 : 允许所有通信 禁用过滤选项的操作意图与上述阻止所有通信的配置完全相反 如果选中, 所有个人防火墙的过滤选项都将关闭, 并且允许所有传入和传出连接 在有网络连接处, 其效果如同没有任何防火墙保护 配置和使用规则 规则指对所有网络连接进行针对性测试的一组条件以及为这些条件分配的所有操作 在个人防火墙中, 如果建立的连接已由规则定义, 则您可以定义执行哪项操作 要访问规则过滤设置, 请浏览至 高级设置 (F5) > 个人防火墙 > 规则和区域 要显示当前配置, 请在 区域和规则编辑器 部分单击 设置... ( 如果个人防火墙被设置为 自动过滤模式, 则这些设置不可用 ) 19

20 要添加新规则, 请确保已选择 规则 选项卡 然后单击 区域和规则 设置窗口中的 新建 按钮 单击此按钮会打开一个新的对话框窗口, 可在其中指定新规则 该窗口顶部包含三个选项卡 : 常规 : 指定规则的名称 方向 操作和协议 方向可以是传入或传出 ( 或双向 ) 操作意味着允许或拒绝给定连接 本地 : 显示本地端连接信息, 包括本地端口号或端口范围以及通信应用程序的名称 远程 : 此选项卡包含关于远程端口 ( 端口范围 ) 的信息 用户可使用该选项卡根据给定的规则定义一组远程 IP 地址或区域 建立连接 检测 个人防火墙会检测每个新创建的网络连接 活动的防火墙模式 ( 自动 互动 基于策略 ) 可决定哪些操作是新规则允许执行的 如果启动了自动或基于策略模式, 个人防火墙将执行预先定义的操作, 且无需用户介入 交互模式会显示一个信息窗口, 报告检测到了新网络连接, 并显示关于此连接的详细信息 用户可以选择允许或拒绝 ( 阻止 ) 连接 如果您在对话框窗口中重复允许相同的连接, 建议您针对该连接创建一条新规则 为此, 请选择 记住操作 选项 ( 创建规则 ) 并将该操作另存为个人防火墙的新规则 今后如果防火强识别到相同连接, 则应用现有的规则 创建新规则时请务必小心, 只能允许安全的连接 如果所有连接都被允许, 那么个人防火墙就失去了作用 以下是重要的连接参数 : 允许 Internet 浏览器访问网络就是添加新规则的典型范例 在此例中, 必须提供以下信息 : 远端 : 只允许连接到受信任区域和已知地址本地应用程序 : 建议不要允许连接未知应用程序和进程 在 常规 选项卡上, 启用采用 TCP 和 UDP 协议的外发通信 端口号 : 常用端口 ( 如 80 口 ) 上的通信通常是安全的 在 本地 选项卡上, 添加表示浏览器应用程序的进程 ( 对 Internet Explorer 而言是 iexplore.exe) 如果只想允许标准万维网服务, 请在 远程 选项卡上启用端口 编辑规则 要修改现有规则, 请单击 编辑 按钮 所有上述参数 ( 在 创建新规则 一章中详述 ) 均可修改 每次受监控的参数发生更改时, 都必须进行修改 这样会造成规则不满足条件, 指定的操作无法应用 最后, 给定的连接会被拒绝, 相关应用程序的操作也会因此发生问题 譬如, 远端网络地址或端口号若发生更改, 就会引发上述问题 配置区域 区域是一个网络地址集合, 这些地址可构成一个逻辑组 给定组中的每个地址都会分配有相似的规则, 此规则是针对整个组定义的 受信任的区域即为这类组的一个范例 受信任的区域指用户完全信任且个人防火墙不会以任何方式阻止的一组网络地址 可以在 区域和规则设置 窗口的 区域 选项卡中单击 新建 按钮配置这些区域 在新打开的窗口中输入区域名称 说明和一组网络地址 为在更大范围内扩散, 计算机渗透经常使用 Internet 和隐藏的连接来帮助它们感染远程系统 如果规则配置正确, 个人防火墙可成为防范多种恶意代码攻击的有效工具 20

21 4.2.7 日志记录 ESET Smart Security 的个人防火墙将重要事件保存到日志文件中, 用户可通过主菜单直接查看日志文件 单击 工具 > 日志文件, 然后从 日志 下拉菜单中选择 ESET 个人防火墙日志 日志文件是一项非常重要的工具, 可用来检测错误并揭示系统侵入活动, 应给予适当的关注 ESET 个人防火墙日志中包含下列数据 : 自我学习式防垃圾邮件 自我学习式防垃圾邮件与上述贝叶斯过滤器有关 在将各个邮件标记为垃圾邮件或非垃圾邮件的 学习 过程中, 各字词的重要性会发生改变 相应的, 分类 ( 标记为垃圾邮件或非垃圾邮件 ) 的邮件越多, 贝叶斯过滤器获得的结果也越准确 将已知地址添加到白名单, 可以不过滤来自这些地址的邮件 事件的日期和时间事件名称来源和目标网络地址网络通信协议应用的规则 蠕虫的名称 ( 如果识别出来 ) 涉及的应用程序 将地址添加到白名单 经常与用户通信的电子邮件地址可以添加到 安全 地址列表 白名单 这样做可确保来自白名单地址的邮件永不被分类为垃圾邮件 要将新地址添加到白名单, 请在给定电子邮件上右键单击, 然后在 ESET Smart Security 上下文菜单选项下选择 添加到白名单, 或者在电子邮件程序上半部分的 ESET Smart Security 防垃圾邮件工具栏中单击 受信任地址 此过程同样也适用于垃圾邮件地址 如果黑名单上列有某电子邮件地址, 则来自该地址的所有电子邮件都将被分类为垃圾邮件 将邮件标记为垃圾邮件 彻底分析这些数据有助于检测损害系统安全性的尝试 许多其它因素也能指示潜在的安全风险, 使用户最大限度地降低其影响 : 来自未知位置的连接过于频繁 多次尝试建立连接 未知应用程序的通信或不经常使用的端口号等 任何在电子邮件客户端中看到的邮件都可以标记为垃圾邮件 要进行标记, 请使用上下文菜单 ( 右键单击 ), 然后单击 ESET Smart Security > 将所选邮件重新分类为垃圾邮件 或从电子邮件客户端的 ESET Smart Security 防垃圾邮件工具栏中单击 垃圾邮件 4.3 防垃圾邮件保护 目前, 不请自来的电子邮件 垃圾邮件 是电子通信领域面临的最大问题之一 它占全部电子邮件通信的比率高达 80% 防垃圾邮件保护即针对此问题提供保护 防垃圾邮件模块遵循多种非常有效的准则, 可提供卓越的过滤功能 垃圾邮件检测的一个重要准则是, 根据预定义的受信任地址 ( 白名单 ) 和垃圾邮件地址 ( 黑名单 ) 识别不请自来的电子邮件的功能 来自您的电子邮件客户端的所有地址以及用户标记为安全的所有其它地址自动添加到白名单 被重新分类的邮件会自动移至垃圾邮件文件夹, 但发件人的电子邮件地址不会添加到黑名单 Similarly, messages can be classified as not spam. 如果 垃圾电子邮件 文件夹中的邮件被分类为非垃圾邮件, 则它们将移动到初始文件夹 将邮件标记为非垃圾邮件不会自动将发件人地址添加到白名单 检测垃圾邮件的主要方法是扫描电子邮件属性 程序按照基本防垃圾邮件标准 ( 邮件定义 统计启发式搜索 识别算法和其它独特方法 ) 扫描收到的邮件, 产生的指数值将决定邮件是否为垃圾邮件 过滤还使用贝叶斯过滤器 通过将邮件标记为 ( 垃圾邮件 ) 和 ( 非垃圾邮件 ), 用户可创建一个数据库, 该数据库由不同类别邮件使用的字词构成 数据库越大, 产生的结果越准确 将上述方法组合使用可获得高防垃圾邮件检测率 ESET Smart Security 支持对 Microsoft Outlook Outlook Express 和 Windows Mail 进行防垃圾邮件保护 21

22 4.4 更新程序 定期更新系统是获得 ESET Smart Security 所提供的最高安全级别的基本前提 更新模块确保程序始终是最新的 这可以通过两种方式完成 通过更新病毒签名数据库和更新所有系统组件 单击 更新 可查看当前更新状态信息, 包括当前的病毒签名数据库版本以及是否需要更新 此外, 还提供用于立刻启用更新过程的选项 更新病毒签名数据库, 以及基本更新设置选项, 例如用于访问 ESET 更新服务器的用户名和密码 信息窗口还包含详细信息, 例如上次成功更新的日期和时间以及病毒签名数据库的编号 此数值指示是指向 ESET 网站的活动链接, 其中列有给定更新中添加的所有签名 更新配置文件 对于各种更新配置, 可以创建用户定义的更新配置文件, 用于给定更新任务 创建各种更新配置文件对于移动用户尤为有用, 因为 Internet 连接属性经常更改 通过修改更新任务, 移动用户可以指定如果不能使用 我的配置文件 中指定的配置来更新程序, 则将使用备用配置文件执行更新 选定的配置文件 下拉菜单显示当前选定的配置文件 默认情况下, 此条目设置为 我的配置文件 要创建新配置文件, 请单击 配置文件... 按钮, 然后单击 添加... 按钮并输入您自己的 配置文件名称 创建新配置文件时, 可以从现有配置文件复制设置, 方法是在 从以下配置文件中复制设置 : 下拉菜单中选择一个 注意 : 购买 ESET Smart Security 后,ESET 提供用户名和密码 更新设置 更新设置部分指定更新源信息, 例如更新服务器和这些服务器的验证数据 默认情况下, 更新服务器 : 字段被设置为 自动选择 此值确保以最低的网络通信负载从 ESET 服务器自动下载更新文件 更新设置选项可从 更新 下的高级设置树 (F5) 访问 在配置文件设置中, 可以指定程序将连接并下载更新的更新服务器 ; 可以使用可用服务器列表中的任何服务器, 也可以添加新服务器 现有更新服务器列表可通过 更新服务器 : 下拉菜单访问 要添加新的更新服务器, 请单击 更新选定配置文件的设置 部分中的 编辑, 然后单击 添加 按钮 高级更新设置 要查看 高级更新设置, 请单击 设置... 按钮 高级更新设置选项包括配置 更新模式 HTTP 代理 LAN 和 镜像 更新模式 更新模式 选项卡包含关于程序组件更新的选项 在 程序组件更新 部分中, 提供以下三个选项 : 从不更新程序组件 总是更新程序组件 下载程序组件前询问 选择 从不更新程序组件 选项可确保在 ESET 发布新程序组件更新后系统不下载它, 并且给定工作站上将不实际进行程序组件更新 总是更新程序组件 选项意味着 ESET 的更新服务器上每次提供新更新时, 都将执行程序组件更新, 并且程序组件将升级到下载的版本 当前现有更新服务器列表可通过 更新服务器 : 下拉菜单访问 要添加新更新服务器, 请单击 更新选定配置文件的设置 部分中的 编辑..., 然后单击 添加 按钮 选择第三个选项 下载程序组件前询问 可以确保此类更新可用时, 程序将要求用户确认下载程序组件更新 在此情况下, 将显示一个包含可用程序组件更新相关信息的对话窗口, 并带有确认或拒绝更新的选项 如果确认, 将下载更新, 然后安装新程序组件 程序组件更新的默认选项为 下载程序组件前询问 对更新服务器的验证由 用户名 和 密码 授权, 购买产品许可证后, ESET 生成用户名和密码并发送给用户 22

23 安装程序组件更新后, 必须重新启动系统才能提供所有模块的全部功能 程序组件升级后重新启动 部分允许您从以下三个选项中选择一个 : 选择 不使用代理服务器 选项将明确定义不使用代理服务器更新 ESET Smart Security 从不重新启动计算机 如果需要, 请重新启动计算机 如果需要, 在不通知的情况下重新启动计算机 如果 ESET Smart Security 的更新使用代理服务器进行, 而此代理服务器不同于在全局设置 ( 其它 > 代理服务器 ) 中指定的代理服务器, 则应选择 通过代理服务器连接 选项 如果是这种情况, 应在此处指定设置 : 代理服务器 地址 通信 端口, 以及代理服务器的 用户名 和 密码 ( 如果需要 ) 重新启动的默认选项为 需要时重新启动计算机 更新模式 选项卡中最合适的程序组件更新选项因每个工作站而不同, 因为工作站是应用这些设置的地方 请注意工作站和服务器之间存在不同, 例如程序升级后自动重新启动服务器可能会造成严重损害 代理服务器 要访问给定更新配置文件的代理服务器设置选项 : 请单击高级设置树 (F5) 中的 更新, 然后单击 高级更新设置 右侧的 设置... 按钮 单击 HTTP 代理选项卡, 从以下三个选项中选择一个 : 使用全局代理服务器设置 不使用代理服务器 如果没有全局设置代理服务器, 但 ESET Smart Security 将通过代理服务器连接进行更新, 也应选择此选项 代理服务器的默认设置为 使用全局代理服务器设置 连接到 LAN 从运行 NT 操作系统的本地服务器更新时, 默认需要对每个网络连接进行验证 在大部分情况下, 本地系统帐户对于镜像文件夹 ( 包含更新文件的副本 ) 没有足够访问权 如果是这种情况, 请在更新设置部分中输入用户名和密码, 或指定程序将在哪个现有帐户下进入更新服务器 ( 镜像 ) 要配置此类帐户, 请单击 LAN 选项卡 用以下身份连接到 LAN 部分提供了 系统帐户 ( 默认 ) 当前用户 和 指定用户选项 通过代理服务器连接 ( 连接属性定义的连接 ) 选择 使用全局代理服务器设置 选项将使用高级设置树的 其它 > 代理服务器 分支中指定的代理服务器配置选项 23

24 选择 系统帐户 选项, 使用系统帐户进行验证 通常, 如果主更新设置部分不提供验证数据, 则将不会进行验证 要确保程序使用当前登录的用户帐户自行授权, 请选择 当前用户 此解决方案的缺点在于 : 如果当前没有用户登录, 则程序将无法连接到更新服务器 如果希望程序使用特定用户帐户进行验证, 请选择 指定用户 LAN 连接的默认选项为 系统帐户 警告 : 启用 当前用户 或 指定用户 时, 如果将程序身份更改为所需用户, 可能发生错误 这就是我们建议在主更新设置部分中插入 LAN 验证数据的原因 在此更新设置部分中, 应按如下所示输入验证数据 : domain_name\ user (if it is a workgroup, enter workgroup_name\name) and the user's password. 从 HTTP 版本的本地服务器更新时, 无需验证 创建更新副本 镜像 ESET Smart Security 商业版允许用户创建更新文件的副本, 这些副本可用于更新网络中的其它工作站 从镜像更新客户端工作站可优化网络负载平衡, 并节约 Internet 连接带宽 ( 在位于 ESET Smart Security 商业版高级设置部分的许可证管理器中添加有效许可证密钥后 ) 本地服务器镜像的配置选项可在 高级更新设置 : 部分中访问 ( 若要访问此部分, 请按 F5 并在高级设置树中单击更新 单击 高级更新设置 : 旁的 设置... 按钮然后选择 镜像 选项卡 ) 配置镜像的第一步是选中 创建更新镜像 复选框 选择此选项将启用其它镜像配置选项, 例如访问更新文件的方式和镜像文件的更新路径 下一章 访问镜像的不同方式 中将详细介绍启用镜像的方法 请注意, 目前有两种访问镜像的基本方法 具有更新文件的文件夹可以表示为共享网络文件夹的镜像, 或 HTTP 服务器的镜像 用于为镜像存储更新文件的文件夹在 保存镜像文件的文件夹 部分中定义 单击 文件夹... 浏览本地计算机上的所需文件夹或共享网络文件夹 如果需要对指定文件夹进行验证, 则必须在 用户名 和 密码 字段中提供验证数据 用户名和密码应按照 ( 域 / 用户 ) 或 ( 工作组 / 用户 ) 的格式输入 请记住提供相应密码 指定详细镜像配置时, 您还可为下载更新副本指定语言版本 语言版本设置可在 文件 可用版本 : 部分中访问 从镜像更新 有两种配置镜像的基本方法 具有更新文件的文件夹可作为共享网络文件夹的镜像, 或 HTTP 服务器的镜像 使用内部 HTTP 服务器访问镜像 此配置为默认设置, 它在预定义程序配置中指定 为允许使用 HTTP 服务器访问镜像, 请浏览至 高级更新设置 ( 镜像 选项卡 ), 然后选择 创建更新镜像 选项 在 镜像 选项卡的 高级设置 部分, 可以指定 HTTP 服务器将侦听的 服务器端口, 以及 HTTP 服务器使用的 验证 类型 默认情况下, 服务器端口设置为 2221 验证选项定义了访问更新文件的验证方法 可用选项包括 : 无 基本 和 NTLM 选择 基本 以使用 base64 编码进行基本用户名和密码验证 NTLM 选项提供使用安全编码方法的编码 对于验证, 使用在共享更新文件的工作站上创建的用户 默认设置为 无, 此设置授予对更新文件的访问权, 无需验证 警告 : 如果您希望允许通过 HTTP 服务器访问更新文件, 镜像文件夹必须和创建它的 ESET Smart Security 实例位于同一计算机上 24

25 镜像更新问题故障排除 根据访问镜像文件夹的方法不同, 可能发生各种问题 大多数情况下, 从镜像服务器更新时发生的问题可能由以下一种或多种情况引起 : 错误地指定镜像文件夹选项, 镜像文件夹验证数据不正确, 尝试从镜像下载更新文件的本地工作站上的配置不正确, 或以上原因的综合 这里我们简要介绍在从镜像更新过程中可能发生的最常见问题 : 配置完镜像后, 请转至工作站并以 server:2221 格式添加新的更新服务器 为此, 请遵循下面的步骤 : 打开 ESET Smart Security 高级设置并单击 更新 分支 连接到镜像服务器时 ESET Smart Security 报告错误 可能因错误地指定本地工作站从中下载更新的更新服务器 ( 镜像文件夹的网络路径 ) 引起 要验证文件夹, 请单击 Windows 开始菜单, 单击 运行 插入文件夹名称并单击 确定 应显示文件夹的内容 ESET Smart Security 需要用户名和密码 可能因在更新部分中输入了错误的验证数据 ( 用户名和密码 ) 引起 用户名和密码用于授予对更新服务器的访问权, 程序将从更新服务器自行更新 确保验证数据正确并以正确格式输入 例如,( 域 / 用户名 ) 或 ( 工作组 / 用户名 ), 以及相应密码 如果镜像服务器可供 所有人 访问, 请注意, 这不意味着向任何用户授予访问权 所有人 不意味着任何非授权用户, 它仅表示文件夹可供所有域用户访问 因此, 如果文件夹可供 所有人 访问, 仍需要在更新设置部分中输入域用户名和密码 连接到镜像服务器时 ESET Smart Security 报告错误 定义用于访问 HTTP 版镜像的端口上的通信被阻止 单击 更新服务器 下拉菜单右侧的 编辑..., 并使用下面的格式添加新服务器 : 从更新服务器列表中选择此新添加的服务器 如何创建更新任务 更新可以手动方式触发, 方法是从主菜单中单击 更新, 在显示的信息窗口中单击 更新病毒签名数据库 通过系统共享访问镜像 首先, 应在本地或网络设备上创建共享文件夹 为镜像创建文件夹时, 必须为将更新文件保存到文件夹的用户提供 写入 权限, 为所有将从镜像文件夹更新 ESET Smart Security 的用户提供 读取 权限 接下来, 在 高级更新设置 部分 ( 镜像 选项卡 ) 中配置对镜像的访问, 方法是禁用 通过内部 HTTP 服务器提供更新文件 选项 程序安装包中默认启用此选项 如果共享文件夹位于网络中的其它计算机上, 必须指定验证数据以便访问其它计算机 要指定验证数据, 请打开 ESET Smart Security 高级设置 (F5), 然后单击 更新分支 单击 设置... 按钮, 然后单击 LAN 选项卡 如 连接到 LAN 一章所述, 此设置和用于更新的设置相同 完成镜像配置后, 请进入工作站并将 \\UNC\PATH 设置为更新服务器 可使用下列步骤完成此操作 : 打开 ESET Smart Security 高级设置并单击 更新 更新也可以作为计划任务运行 要配置计划任务, 单击 工具 > 计划任务 默认情况下,ESET Smart Security 中会启用以下任务 : 定期自动更新 拨号连接后自动更新 用户登录后自动更新 可以修改上述每个更新任务以满足您的需要 除了默认更新任务外, 您还可以使用用户定义的配置创建新更新任务 有关创建和配置更新任务的更多详细信息, 请参见 计划任务 一章 4.5 计划任务 如果启用 ESET Smart Security 中的 高级模式, 将可以使用计划任务 计划任务 位于 ESET Smart Security 主菜单的 工具 子菜单中 计划任务包含所有计划任务及其配置属性的摘要列表, 例如预定义的日期 时间和使用的扫描配置文件 单击 更新服务器 旁的编辑, 使用 \\UNC\PATH 格式添加一个新服务器 从更新服务器列表中选择此新添加的服务器 注意 : 要正常工作, 镜像文件夹的路径必须指定为 UNC 路径 从映射驱动器进行的更新可能无法工作 25

26 默认情况下, 计划任务 中会显示以下计划的任务 : 定期自动更新 拨号连接后自动更新 从 计划任务 : 下拉菜单中选择 更新 单击 下一步, 然后在 任务名称 : 字段中输入任务名称 选择任务执行频率 可用选项包括 : 一次 重复 每日 每周 和 由事件触发 将根据选定的频率为您提供不同的更新参数 然后, 定义无法在计划时间执行或完成任务时要采取的操作 有以下三个选项可用 : 用户登录后自动更新 延至下次预定时间 用户登录后自动启动文件检查 尽快执行任务 成功更新病毒签名数据库后进行自动启动文件检查 要编辑现有计划任务 ( 包括默认和用户定义的 ) 的配置, 请在任务上右击然后单击 编辑... 或选择要修改的任务然后单击 编辑... 按钮 计划任务的目的 计划任务使用预定义配置和属性管理和启动计划任务 配置和属性包含日期和时间等信息以及执行任务期间使用的指定配置文件 创建新任务 要在计划任务中创建新任务, 请单击 添加... 按钮或右击并从上下文菜单选择 添加... 共有 5 种类型的计划任务 : 运行外部应用程序 如果自上次执行任务至今已超过指定时间间隔则立即执行任务 ( 可以使用 任务间隔 滚动框定义该间隔 ) 在下一步中, 将显示当前计划任务的摘要窗口 ; 以特定参数执行任务 选项应自动启用 单击 完成 按钮 将显示一个对话窗口, 允许您选择用于计划任务的配置文件 您可以在这里指定主要配置文件和备用配置文件, 后者用于使用主要配置文件无法完成任务的情况 在 更新配置文件 窗口中单击 确定 表示确认 新的计划任务将添加到当前计划任务列表 4.6 隔离 隔离的主要任务是安全储存被感染文件 隔离文件的前提是文件出现以下情况 : 无法清除 不安全或被建议删除, 或被 ESET Smart Security 错误检测到 日志维护系统启动文件检查手动计算机扫描更新 用户可根据需要隔离任何文件 如果文件行为可疑但未被防病毒扫描程序检测到, 建议采取隔离措施 可将隔离的文件提交 ESET 的病毒实验室进行分析 可在表格中查看储存在隔离文件夹中的文件, 表格中显示隔离的日期和时间 被感染文件原始位置的路径 文件大小 ( 字节数 ) 原因 ( 用户添加 ) 以及威胁数量等 ( 如是否为包含多个渗透的压缩文件 ) 隔离文件 由于 手动扫描计算机 和 更新 是最常用的计划任务, 所以我们将解释如何添加新更新任务 程序会自动隔离已删除的文件 ( 如果您尚未在警报窗口中取消该选项 ) 如果需要, 您可以单击 添加... 按钮手动隔离任何可疑文件 这种情况下, 程序不会将原文件从其初始位置删除 也可用上下文菜单达到此目的 在隔离窗口中单击右键, 然后选择 添加... 26

27 4.6.2 从隔离区恢复 隔离的文件还可以恢复到其初始位置 使用 恢复 功能可达到此目的 ; 在隔离窗口中右键单击给定文件, 然后从上下文菜单中选择相关项即可完成恢复操作 上下文菜单还提供 恢复至 选项, 使用此选项可将文件恢复到其被删除时位置之外的其它位置 注意 : 如果程序错误地隔离了无害文件, 请在文件恢复后将其移出扫描队列, 并发送给 ESET 客户服务 提交隔离区中的文件 如果您隔离的可疑文件程序未检测到, 或文件被错误地评估为被感染 ( 如启发式扫描代码分析所做的评估 ) 并被隔离, 请将该文件发送到 ESET 的病毒实验室 要提交隔离区中的文件, 右键单击该文件并从上下文菜单中选择 提交文件以供分析 单击 工具 > 日志文件, 可以从 ESET Smart Security 主窗口访问日志文件 使用窗口顶部的 日志 : 下拉菜单选择所需的日志类型 以下日志可用 : 1. 检测到的威胁 使用此选项可以查看与渗透检测相关的所有事件信息 2. 事件 此选项用于帮助系统管理员和用户解决问题 ESET Smart Security 执行的所有重要操作都记录在事件日志中 3. 手动计算机扫描 所有已完成的扫描结果显示在此窗口中 双击任意条目可查看相应手动扫描的详细信息 4. ESET 个人防火墙日志 包含个人防火墙检测到的以及与防火墙相关的所有事实的记录 防火墙日志分析有助于及时检测到系统侵入尝试, 以防止未经授权的系统访问 在每一部分中, 显示的信息都可以直接复制到剪贴板中, 方法是选择条目, 然后单击 复制 按钮 要选择多个条目, 可使用 CTRL 和 SHIFT 键 日志维护 可以从主程序窗口访问 ESET Smart Security 日志记录配置 单击 设置 > 进入完整高级设置树... > 工具 > 日志文件 您可以为日志文件指定以下选项 : 自动删除记录 : 自动删除指定天数以前的日志条目自动优化日志文件 : 如果未用记录百分比超过指定值, 则启用日志文件的自动碎片整理 最低日志记录级别 : 指定日志记录的级别 可用选项 : 严重错误 仅记录严重错误 ( 启动病毒防护 个人防火墙等时发生的错误 ) 错误 仅记录 下载文件出错 消息和严重错误 4.7 日志文件 日志文件包含所有已发生的重要程序事件的信息, 并提供检测到的威胁的概要信息 日志记录是系统分析 威胁检测以及故障排除的必要工具 日志记录在后台主动执行, 无需用户干预 对信息的记录根据当前日志级别设置进行 可以直接从 ESET Smart Security 环境以及归档日志中查看文本消息和日志 警告 记录严重错误和警告消息 信息性记录 记录包括成功更新消息及以上所有记录在内的信息性消息 诊断记录 记录程序微调需要的信息及以上所有记录 27

28 4.8 用户界面 ESET Smart Security 的用户界面配置选项可做修改, 以便用户根据自己的需要调整工作环境 可以从 ESET Smart Security 高级设置树的 用户界面 分支访问这些配置选项 需要时用户可通过 用户界面元素 部分切换到高级模式 高级模式显示更多详细设置以及 ESET Smart Security 的其它控件 如果图形元素使计算机性能下降 或引起其它问题, 则应禁用 图形用户界面 选项 视觉有障碍的用户可能也需要关闭图形界面, 因为用于阅读屏幕上显示的文本的特殊应用程序可能与图形界面发生冲突 如果要停用 ESET Smart Security 启动画面, 请禁用 启动时显示启动画面 选项 在 ESET Smart Security 主程序窗口顶部有一个标准菜单, 可根据 使用标准菜单 选项启用或禁用该标准菜单 警报和通知 用户界面 下的 警报和通知设置 部分允许您配置如何在 ESET Smart Security 中处理威胁警报消息和系统通知 第一项是 显示警报 禁用该选项将取消所有警报窗口, 这只适用于少数特定情况 对于大多数用户, 我们建议保留该选项的默认设置 ( 已启用 ) 要在一段时间后自动关闭弹出窗口, 请选择 提示消息框自动关闭前的等待时间 ( 以秒计 ) 选项 如果用户未手动关闭, 警报窗口会在超过指定时限后自动关闭 桌面通知和气球提示只提供信息, 不提供也不需要用户交互 它们在屏幕右下角的通知区域显示 要启动显示桌面通知, 请选择 显示桌面通知 选项 可通过单击 配置通知... 按钮更改通知显示时间和窗口透明度等更多详细选项 要预览通知情况, 请单击 预览 按钮 要配置气球提示显示时间, 请参见 气球提示在任务栏中持续的时间 ( 以秒计 ) 选项 如果启用 显示工具提示 选项, 则在光标置于任何选项上时, 将显示该选项的简短说明 选择活动控件元素 选项可使系统突出显示当前在鼠标光标活动区域的任何元素 单击鼠标将启用突出显示的元素 要降低或提高动画效果的速度, 请选择 使用动画控件 选项并将 速度 滑块移动到左侧或右侧 要启用动画图标显示各种操作的进度, 请选中 使用动画图标... 复选框 如果想要程序在发生重要事件时发出警告声, 请选中 使用声音信号 选项 在 警报和通知 设置窗口的底部, 有一个 仅显示需要用户介入的通知的选项 此选项允许您显示 / 关闭不需要用户介入的警报和通知 该部分的最后一项功能是在多用户环境中指定通知地址 对于多用户系统, 在用户屏幕上显示通知 : 字段允许用户定义 ESET Smart Security 重要通知的接收者 正常情况下应该是系统或网络管理员 假如所有系统通知都发给管理员, 该选项对终端服务器特别有用 4.9 ThreatSense.Net 用户界面 功能还包括用密码保护 ESET Smart Security 设置参数 此选项位于 用户界面 下的 设置保护 子菜单中 为最大限度地保障系统安全, 必须正确配置程序 未经授权的更改可能导致丢失重要数据 要设置密码保护设置参数, 单击 输入密码... ThreatSense.Net 早期预警系统是使 ESET 及时持续了解新渗透的工具 双向 ThreatSense.Net 早期预警系统只有一个目的 改进我们为您提供的保护 确保我们在新威胁出现后立刻发现威胁的最好方法是 连接 尽可能多的客户, 将他们作为我们的威胁侦察员 有两种选择 : 您可以决定不启用 ThreatSense.Net 早期预警系统 您不会失去软件的任何功能, 并且您仍将获得我们可以提供的最好的保护 您可以配置早期预警系统, 在单个文件中提交关于新威胁以及新威胁代码所在位置的匿名信息 此文件可以发送到 ESET 以供详细分析 研究这些威胁将帮助 ESET 更新其威胁检测功能 ThreatSense.Net 早期预警系统将收集您的计算机中与新检测到的威胁相关的信息 这些信息可以包括出现威胁的文件的样本或副本 该文件的路径 文件名 日期和时间相关信息 威胁出现在计算机上的过程, 以及您的计算机操作系统的信息 其中一些信息可能包括关于计算机用户的个人信息, 例如目录路径中的用户名等 虽然这可能偶尔向我们的 ESET 威胁实验室公开一些关于您或您的计算机的信息, 但除了帮助我们及时应对新威胁以外, 这些信息将不会用于任何其它目的 默认情况下,ESET Smart Security 配置为在提交可疑文件以供 ESET 威胁实验室详细分析前先进行询问 应注意, 如果在具有某些扩展名 ( 例如.doc 或.xls) 的文件中检测到威胁, 则不会发送这类文件 如果您或您的组织希望避免发送特定类型的文件, 也可以添加其它扩展名 28

29 ThreatSense.Net 设置可从 工具 > ThreatSense.Net 中的高级设置树访问 选中 启用 ThreatSense.Net 早期预警系统 复选框 这将允许您启用该系统, 然后单击 高级设置... 按钮 联系电子邮件联系电子邮件随可疑文件一起发送给 ESET, 如果需要更多关于提交文件的信息供分析时可能会使用该邮件与您联系 请注意, 除非需要更多信息, 否则 ESET 不会与您联系 统计 ThreatSense.Net 早期预警系统收集计算机的匿名信息, 这些信息与新检测到的威胁有关 该信息可能包括渗透名称 检测的日期和时间 ESET Smart Security 版本 计算机操作系统版本和位置设置等 统计信息通常一天一次或两次发送给 ESET 的服务器 提交的统计数据包示例 : 可疑文件 您使用 可疑文件 选项卡可以配置以何种方式将威胁提交给 ESET 实验室进行分析 如果发现了可疑文件, 可将其提交给我们的病毒实验室以便进行分析 如果文件被证实是一个恶意应用程序, 则下次病毒签名更新中将添加对此程序的检测 # utc_time= :21:28 # country= Slovakia # language= ENGLISH # osver= NT # engine=5417 # components= # moduleid=0x4e4f4d41 # filesize=28368 # filename=c:\documents and Settings\Administrator\ Local Settings\Temporary Internet Files\Content.IE5\ C14J8NS7\rdgFR1463[1].exe 提交时间在 提交时间 部分, 您可以定义统计信息提交的时间 如果选择 尽快 提交, 统计信息会在创建后立即发送 该设置适用于 Internet 连接永久可用的情形 如果选择 更新期间, 将保留统计信息并在下次更新时一并提交 可将文件提交设置为无需询问自动执行 如果选中此选项, 可疑文件将从后台发送 如果想知道已发送了哪些文件并确认提交, 则选择 提交前询问 选项 提交 如果不想提交任何文件, 请选择 不提交文件进行分析 注意 : 不提交文件并不影响向 ESET 提交统计信息 统计信息在其自己的设置部分配置, 相关内容将在下一章介绍 提交时间可疑文件将尽快发送给 ESET 实验室以便于分析 建议使用永久 Internet 连接, 这样可疑文件可及时发送, 不致延误 其它选项是在 更新期间 提交可疑文件 如果选择此选项, 程序将在更新期间搜集可疑文件并上载到早期预警系统服务器 在此部分中, 您可以选择是通过 ESET 远程管理员还是直接将文件和统计信息提交给 ESET 如果要确保可疑文件和统计信息交付给 ESET, 请选择 通过远程管理员或直接提交给 ESET 选项 如果选择此选项, 文件和统计信息通过所有可用手段提交 通过远程管理员提交可疑文件意即将文件和统计信息提交给远程管理员服务器, 服务器再将其提交给 ESET 病毒实验室 如果选择 直接提交给 ESET 选项, 所有可疑文件和统计信息会直接从程序发送给 ESET 病毒实验室 排除过滤器并非所有文件都要提交进行分析 利用排除过滤器可从提交队列中排除某些文件 / 文件夹 例如, 将可能包含潜在机密信息的文件 ( 如文档和电子表格 ) 排除在外是很有用的 默认情况下最常见的文件类型均被排除 (Microsoft Office OpenOffice) 如果需要, 可扩展排除文件的列表 29

30 4.11 许可证 许可证 分支用于管理 ESET Smart Security 和其它 ESET 产品 ( 如 ESET 远程管理员 用于 Microsoft Exchange 的 ESET NOD32 等 ) 的许可证密钥 购买后, 许可证密钥连同用户名和密码一并交付 要 添加 / 删除 许可证密钥, 请单击许可证管理器窗口的相应按钮 许可证管理器可从 其它 > 许可证 下的高级设置树访问 如果存在待提交的文件, 此设置窗口中的 立即提交 按钮将启动 如果要立即提交文件和统计信息, 请单击此按钮 选中 启用日志记录 复选框可启用文件和统计信息提交记录 每次提交一个可疑文件或一条统计信息后, 在事件日志中创建一个条目 4.10 远程管理 远程管理是一件强大的工具, 可用于维护安全策略和获得全面网络安全管理概览 它对大型网络特别有用 远程管理不仅能提升安全等级, 还可为客户端工作站的 ESET Smart Security 管理提供方便 可从 ESET Smart Security 主程序窗口中访问远程管理设置选项 单击 设置 > 进入完整高级设置树... > 其它 > 远程管理 许可证密钥是一个文本文件, 其中包含有关所购买产品的相关信息 : 所有者 许可证号以及到期日期 许可证管理器窗口允许用户使用 添加 按钮上载和查看许可证密钥的内容 其中包含的信息显示在管理器中 要从列表删除许可证文件, 请单击 删除 如果许可证密钥已过期, 而您有意续订, 请单击 定购... 按钮 程序将把您重定向到我们的在线商店 可从设置窗口启动远程管理模式, 方法是首先选中 连接到远程管理员服务器 复选框 然后即可访问下述其它选项 : 服务器地址 安装了远程管理员服务器的服务器的网络地址 端口 该字段包括用于连接的预定义服务器端口 建议您保留预定义端口设置 2222 连接服务器的时间间隔 ( 以分钟计 ) 指定 ESET Smart Security 连接到 ERA 服务器以发送数据的频率 换句话说, 程序以此处定义的时间间隔发送信息 如果它被设置为 0, 则将每 5 秒钟提交一次信息 远程管理员需要验证 务器 如果需要, 则输入密码以连接到远程管理员服 单击 确定 确认更改并应用设置 ESET Smart Security 将使用这些设置连接到远程服务器 30

31 5. 高级用户 本章描述可方便更高级用户使用的 ESET Smart Security 的功能 这些功能的设置选项只在高级模式中可用 要切换到高级模式, 请单击主程序窗口左下角的 切换到高级模式 或按键盘上的 CTRL + M 组合键 5.1 代理服务器设置 在 ESET Smart Security 中, 可以从高级设置树结构的两个不同部分访问代理服务器设置 5.2 导出 / 导入设置 可以从高级模式的 设置 导出和导入 ESET Smart Security 的当前配置 导出和导入都使用.xml 文件类型 如果要备份 ESET Smart Security 的当前配置以供日后使用 ( 无论出于何种原因 ), 导出和导入都非常有用 对于那些希望在多个系统中使用他们想要的 ESET Smart Security 配置的用户来说, 导出设置也非常有用 只需导入.xml 文件即可 首先, 可以在 其它 > 代理服务器 下配置代理服务器设置 在此级别指定代理服务器可定义所有 ESET Smart Security 的全局代理服务器设置 此处的参数将用于需要连接到 Internet 的所有模块 要指定此级别的代理服务器级别, 请选中 使用代理服务器 对话框, 然后将代理服务器地址输入 代理服务器 : 字段, 在 端口 字段中输入代理服务器所用的端口号 导出设置 导出配置非常简单 要保存 ESET Smart Security 的当前配置, 请单击 设置 > 导入和导出设置... 选择 导出设置 选项并输入配置文件的名称 使用浏览器在计算机上选择保存配置文件的位置 导入设置 导入配置的步骤非常相似 仍然选择 导入和导出设置, 然后选择 导入设置 选项 单击... 按钮并浏览至要导入的配置文件 5.3 命令行 可通过命令行启动 ESET Smart Security 的防病毒模块 手动 ( 用 ecls 命令 ) 或用批处理 ( bat ) 文件启动 如果与代理服务器的通信需要验证, 请选中 代理服务器需要验证 复选框, 然后在相应字段中输入有效 用户名 和 密码 单击 检测代理服务器 按钮自动检测和插入代理服务器设置 将复制 Internet Explorer 中指定的参数 请注意, 该功能不检索验证数据 ( 用户名和密码 ), 这些数据必须由用户提供 还可以在 高级更新设置 ( 高级设置树的 更新 分支 ) 中进行代理服务器设置 此设置适用于给定更新配置文件, 由于笔记本计算机常常从不同位置获取病毒签名更新, 因此建议在笔记本计算机中使用此设置 有关此设置的更多信息, 请参见 4.4 节 更新系统 从命令行运行手动扫描程序时, 可使用以下参数和开关 : 常规选项 : help 显示帮助并退出 version 显示版本信息并退出 base dir = FOLDER 从 FOLDER 中加载模块 quar dir = FOLDER 隔离 FOLDER aind 显示活动指示器 目标 : files 扫描文件 ( 默认 ) no files 不扫描文件 boots 扫描引导区 ( 默认 ) no boots 不扫描引导区 arch 扫描压缩文件 ( 默认 ) no arch 不扫描压缩文件 max archive level = LEVEL 压缩文件的最大嵌套层数, 以 LEVEL 指代 scan timeout = LIMIT 扫描压缩文件的最长时间, 以 Limit 指代 ( 以秒计 ) 如果扫描时间达到此限 制值, 将停止对压缩文件的扫描并继续 扫描下一个文件 max arch size=size 仅扫描压缩文件的前几个字节, 具体字 节数由 SIZE 指代 ( 默认值 0 = 无限制 ) mail 扫描电子邮件文件 no mail 不扫描电子邮件文件 sfx 扫描自解压文件 no sfx 不扫描自解压文件 rtp 扫描加壳程序 no rtp 不扫描加壳程序 exclude = FOLDER 不扫描文件夹, 文件夹具体名称由 FOLDER 指代 subdir 扫描子文件夹 ( 默认 ) no subdir 不扫描子文件夹 31

32 max subdir level = LEVEL 最大子文件夹嵌套层数, 以 LEVEL 指代 ( 默认值 0 = 无限制 ) symlink 跟随符号链接 ( 默认 ) no symlink 跳过符号链接 ext remove = EXTENSIONS ext exclude = EXTENSIONS 不扫描具有指定扩展名 EXTENSIONS 的文件 ( 用冒号分隔 ) 方式 : adware 扫描广告软件 / 间谍软件 / 风险软件 no adware 不扫描广告软件 / 间谍软件 / 风险软件 unsafe 扫描潜在的不安全应用程序 no unsafe 不扫描潜在的不安全应用程序 unwanted 扫描潜在的不受欢迎应用程序 no unwanted 不扫描潜在的不受欢迎应用程序 pattern 使用签名 no pattern 不使用签名 heur 启用启发式扫描 no heur 禁用启发式扫描 adv heur 启用高级启发式扫描 no adv heur 禁用高级启发式扫描 清除 : action = ACTION 对被感染的对象执行 ACTION 可用操作 : 无 清除 提示 quarantine 将被感染的文件复制到 Quarantine ( ACTION 的补充 措施 ) noquarantine 不将被感染的文件复制到 Quarantine 日志 : log file=file 将结果记录到 FILE log rewrite 覆盖结果文件 ( 默认 添加 ) logall 同时记录清除文件 nologall 不记录清除文件 ( 默认 ) 可能出现的扫描退出代码 : 0 未发现威胁 1 发现威胁但未清除 10 仍存在一些被感染文件 101 压缩文件错误 102 访问错误 103 内部错误 注意 : 退出代码大于 100 表示未扫描文件, 该文件可能被感染 32

33 6. 病毒库 6.1 渗透类型 渗透是一种试图进入和 / 或损坏用户计算机的恶意软件 病毒 计算机病毒是破坏计算机上现有文件的渗透 计算机病毒之所以用生物学上的 病毒 一词命名, 是因为它们使用类似手法在计算机之间传播 计算机病毒主要攻击可执行文件和文档 为进行复制, 病毒将 本体 附加在目标文件末尾 计算机病毒的工作方式可简述如下 : 执行被感染文件后, 病毒 ( 在原始应用程序之前 ) 自我启动并执行其预定义的任务 只有在此之后, 原始应用程序才开始运行 除非用户自己 ( 意外或故意 ) 运行或打开恶意程序, 否则病毒无法感染计算机 计算机病毒的活动和严重性各有不同 其中有些病毒非常危险, 因为它们会故意删除硬盘驱动器上的文件 另一方面, 一些病毒不造成实际破坏, 它们只是骚扰用户, 展示其作者的技术技巧 必须注意, 病毒 ( 相比木马或间谍软件 ) 正越来越少见, 因为它们对恶意软件作者的商业吸引力不足 而且, 病毒 一词常常被误用来涵盖所有类型的渗透 目前这种状况正在逐渐改变, 人们开始使用更为准确的术语 恶意软件 如果您的计算机感染了病毒, 必须将被感染文件恢复为初始状态, 即通过使用病毒防护程序清理它们 病毒示例包括 : OneHalf Tenga 和 Yankee Doodle 蠕虫 计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序 病毒和蠕虫的基本区别在于蠕虫具有自我复制和传播的能力 它们不依赖主机文件 ( 或引导区 ) 蠕虫通过电子邮件或网络数据包传播 在这点上, 蠕虫可以分为两种方式 : 电子邮件 将自己分发到用户联系人列表中找到的电子邮件地址 网络 利用各种应用程序中的安全漏洞 因此, 蠕虫的生存能力远超计算机病毒 借助 Internet, 它们可以在发布后数小时内传播到世界各地 在某些情况下, 甚至只需数分钟 这种独立快速复制的能力使得它们比其它类型恶意软件 ( 如病毒 ) 更加危险 在系统中启动的蠕虫会带来多种不便 : 它可以删除文件 降低系统性能, 或者甚至停止一些程序 计算机蠕虫的特性使其适合作为其它类型渗透的 传输方式 如果您的计算机感染了计算机蠕虫, 建议您删除被感染文件, 因为它们可能包含恶意代码 著名的蠕虫示例包括 :Lovsan/Blaster Stration/Warezov Bagle 和 Netsky 木马 历史上对计算机木马的定义是, 试图以有用程序的假面具欺骗用户允许其运行的一类渗透 请注意, 过去的木马确实是这样, 但现在它们已无需伪装自己 它们唯一的目的就是尽可能轻松地渗透并完成其恶意目标 木马 已成为一个通用词, 用来形容不属于任何特定类别的所有渗透 由于其涵盖范围非常广, 因此常被分为许多子类别 最著名的木马包括 : downloader 一种能够从 Internet 下载其它渗透的恶意程序 dropper 一种设计用于将其它类型恶意软件放入所破坏的计算机中的木马 一种与远程攻击者通信, 允许它们获得系统访问权并控制系统的应用程序 keylogger ( 按键记录程序 ), 是一种记录用户键入的每个按键并将信息发送给远程攻击者的程序 dialer 是用于连接附加计费号码的程序 用户几乎无法注意到新连接的创建 Dialer 只能对使用拨号调制解调器 ( 现在已很少使用 ) 的用户造成破坏 木马通常采用带有扩展名.exe 的可执行文件形式 如果计算机上的文件被检测为木马, 建议您将其删除, 因为它极有可能包含恶意代码 著名的木马示例包括 :NetBus Trojandownloader.Small.ZL Slapper Rootkit Rootkit 是一种恶意程序, 它能在隐瞒自身存在的同时赋予 Internet 攻击者不受限制的系统访问权 访问系统 ( 通常利用系统漏洞 ) 后,Rootkit 可使用操作系统中的功能避开病毒防护软件的检测 : 它们能够隐藏进程 文件和 Windows 注册表数据 有鉴于此, 几乎无法使用普通测试技术检测到它们 在防范 rootkit 方面, 请牢记有两种检测级别 : 1. Rootkit 试图访问系统时 它们还未出现, 因此处于不活动状态 大部分病毒防护系统能够清除此级别的 rootkit( 假定其实际检测到此类文件被感染 ) 2. Rootkit 隐藏起来避开了常规测试时 ESET 防病毒系统的用户可以利用反隐藏技术应对, 该技术能够检测到并清除活动的 rootkit 广告软件 广告软件是可支持广告宣传的软件的简称 显示广告资料的程序便属于这一类别 广告软件应用程序通常会在 Internet 浏览器中自动打开一个包含广告的新弹出窗口, 或者更改浏览器主页 广告软件通常与免费软件程序捆绑在一起, 以填补开发人员开发应用程序 ( 通常为有用程序 ) 的成本 广告软件本身并不危险 用户仅会受到广告的干扰 广告软件的危险在于它也可能执行跟踪功能 ( 和间谍软件一样 ) 如果您决定使用免费软件产品, 请特别注意安装程序 安装程序大多会通知您将安装附加的广告软件程序 通常您可以取消它, 安装不带有广告软件的程序 另一方面, 如果不安装广告软件, 程序可能无法安装, 或者功能受到限制 这意味着, 广告软件可能常常以 合法 方式访问系统, 因为用户已同意安装它 在这种情况下, 与其事后追悔莫及, 不如事前稳妥行事 如果在计算机上检测到一个文件是广告软件, 建议您将其删除, 因为它极有可能包含恶意代码 间谍软件 此类别包括所有在未经用户同意 / 了解的情况下发送私人信息的应用程序 它们使用跟踪功能发送各种统计数据, 例如所访问网站的列表, 用户联系人列表中的电子邮件地址或记录的按键的列表 间谍软件的作者宣称, 这些技术旨在更好地了解用户需求和兴趣, 从而使广告更有针对性 问题在于, 有用和恶意的应用程序之间并没有明显的差别, 任何人都无法确保检索到的信息不会被滥用 间谍软件应用程序获得的数据可能包括安全代码 PIN 银行帐号等 程序的作者通常将间谍软件与其免费版本程序捆绑, 以获取收益或促使用户购买软件 通常情况下, 程序在安装时会告知用户存在间谍软件, 以促使其将软件升级为不带间谍软件的付费版本 譬如 P2P( 点对点 ) 网络客户端应用程序就是著名的捆绑了间谍软件的免费软件产品 Spyfalcon 或 Spy Sheriff( 以及更多 ) 属于特定的间谍软件子类别 它们看上去像防间谍软件程序, 实际上其本身就是间谍软件程序 如果在计算机上检测到一个文件是间谍软件, 建议您将其删除, 因为它极有可能包含恶意代码 33

34 6.1.7 潜在的不安全应用程序 许多合法程序用于简化联网计算机的管理 但如果使用者动机不纯, 它们也可能被恶意使用 这就是 ESET 创建此特殊类别的原因 我们的客户现在可以选择病毒防护系统是否检测此类威胁 潜在的不安全应用程序 是指用于商业目的的合法软件 其中包括远程访问工具 密码破解应用程序以及按键记录器 ( 用于记录用户键盘输入信息 ) 等程序 如果您发现计算机上存在且正在运行潜在的不安全应用程序 ( 而您并没有安装它 ), 请咨询您的网络管理员或删除该应用程序 潜在的不受欢迎应用程序 潜在的不受欢迎应用程序未必是恶意的, 但它会以负面方式影响计算机的性能 此类应用程序通常在安装前提请用户同意 如果计算机上安装了这类程序, 系统运行 ( 与安装前相比 ) 会有所不同 其中最显著的变化是 : 系统会打开以前没见过的新窗口 启动并运行隐藏的进程 系统资源的使用增加 搜索结果发生改变 应用程序会与远程服务器通信 6.2 远程攻击类型 许多特殊技术允许攻击者危害远程系统安全 它们分为多个类别 DoS 攻击 DoS 或 拒绝服务, 是一种试图使计算机或网络对其目标用户不可用的攻击 受影响用户之间的通信会受到阻塞, 无法以正常方式继续执行 受到 DoS 攻击的计算机通常需要重新启动才能正常工作 在大多数情况下, 此攻击的目标是 Web 服务器, 目的在于使用户在一段时间内无法访问它们 DNS 投毒 通过 DNS( 域名服务器 ) 投毒方法, 黑客可以欺骗任何计算机的 DNS 服务器, 使其相信它们提供的虚假数据是合法 可信的 虚假信息将缓存一段时间, 使攻击者可以改写 IP 地址的 DNS 回复 因此, 尝试访问 Internet 网站的用户将下载计算机病毒或蠕虫, 而不是初始内容 蠕虫攻击 计算机蠕虫是包含可通过网络攻击主机并传播的恶意代码的程序 网络蠕虫能够利用各种应用程序中的安全漏洞 借助 Internet, 它们可以在发布后数小时内传播到全世界 在某些情况下, 甚至只需数分钟 通过使用防火墙的默认安全设置或阻止未保护和未使用的端口, 可以避免大部分蠕虫攻击 (Sasser SqlSlammer) 此外, 使用最新安全补丁更新您的操作系统也非常重要 端口扫描 端口扫描控制网络主机上是否有开放的计算机端口 端口扫描程序是用于查找此类端口的软件 计算机端口是处理传入和传出数据的虚拟点 从安全角度来说, 它非常重要 在大型网络中, 端口扫描程序收集的信息可能有助于识别潜在漏洞 此类使用是合法行为 不过, 试图破坏系统安全的黑客也常使用端口扫描 他们第一步是向每个端口发送数据包 根据响应类型, 可以确定哪些端口正在使用中 扫描本身不引起破坏, 但请注意, 此活动可暴露潜在漏洞并允许攻击者控制远程计算机 建议网络管理员阻止所有不使用的端口, 保护正在使用的端口免遭未经授权的访问 TCP 去同步化 TCP 去同步化是 TCP 劫持攻击中使用的技术 它由进程触发, 在该进程中传入数据包的序列号与预期序列号不同 具有非预期序列号的数据包将被拒绝 ( 或者保存在缓存存储区中, 如果它们出现在当前通信窗口中的话 ) 在去同步化状态下, 两个通信端点都会拒绝收到的数据包 此时, 远程攻击者可以渗透并提供带有正确序列号的数据包 攻击者甚至可以使用命令操纵通信, 或者以其它方式修改通信 TCP 劫持攻击目的在于中断服务器与客户端通信或点对点通信 对每个 TCP 段使用验证可以避免许多攻击 此外, 我们建议您使用网络设备的推荐配置 SMB 中继 SMBRelay 和 SMBRelay2 是能够对远程计算机执行攻击的特殊程序 它们利用了 NetBIOS 中的服务器消息块 (Server Message Block) 文件共享协议 如果用户在 LAN 内共享任何文件夹或目录, 则他或她很可能使用此文件共享协议 在本地网络通信中, 密码哈希可以交换 SMBRelay 在 UDP 端口 139 和 445 上接收连接, 中继客户端和服务器交换的数据包, 并修改它们 连接并验证后, 将断开客户端连接 SMBRelay 会创建新虚拟 IP 地址 可以使用命令 net use \\ 访问新地址 该地址可供任何 Windows 网络功能使用 SMBRelay 可中继除协商和验证以外的 SMB 协议通信 只要连接了客户端计算机, 远程攻击者就可以使用 IP 地址 SMBRelay2 与 SMBRelay 的工作原理相同, 区别在于前者使用 NetBIOS 名而不是 IP 地址 两者都可以执行 中间人 攻击 此类攻击允许远程攻击者在不被注意的情况下读取 插入和修改两个通信端点之间交换的消息 受到此类攻击的计算机常常停止响应或意外重新启动 要避免攻击, 建议您使用验证密码或密钥 ICMP 攻击 ICMP(Internet 控制消息协议 ) 是一种流行且广泛使用的 Internet 协议 它主要由联网计算机用于发送各种错误消息 远程攻击者试图利用 ICMP 协议的弱点 ICMP 设计用于无需验证的单向通信 这允许远程攻击者触发所谓的 DoS( 拒绝服务 ) 攻击, 或允许未经授权的个人访问传入和传出数据包的攻击 典型 ICMP 攻击包括 ping flood ICMP_ECHO flood 和 smurf attack 受到 ICMP 攻击的计算机速度明显减慢 ( 这适用于所有使用 Internet 的应用程序 ), 并且出现 Internet 连接问题 6.3 电子邮件 电子邮件是一种具有许多优点的现代通信方式 它具有灵活 快速而直接的特点 电子邮件在 20 世纪 90 年代初 Internet 的迅速发展中起到了至关重要的作用 不幸的是, 由于其高度的匿名性, 电子邮件和 Internet 为垃圾邮件等非法活动留下了空间 从广义分类来说, 垃圾邮件包括不请自来的广告 恶作剧和恶意软件的扩散 发送成本接近零, 并且垃圾邮件作者拥有许多用于获取新电子邮件地址的工具和来源, 这些因素增加了电子邮件给用户带来的不便和危险 此外, 垃圾邮件的数量和种类之多使得它难以管理 您使用电子邮件地址的时间越长, 该地址进入垃圾邮件引擎数据库的可能性就越大 一些用于预防垃圾邮件的提示 : 尽量避免在 Internet 上发布您的电子邮件地址 仅向信任的个人提供您的电子邮件地址 34

35 尽量不要使用常用别名 使用更复杂的别名, 跟踪的可能性将降低 不要回复已经进入您的收件箱的垃圾邮件 填写 Internet 表单时请小心 尤其小心 是, 我希望收到关于... 的信息 之类的复选框 使用 专用 电子邮件地址 例如, 一个用于工作, 一个用于和您的朋友通信等 经常更改您的电子邮件地址 使用防垃圾邮件解决方案 广告 Internet 广告是发展最迅速的广告形式之一 电子邮件广告使用电子邮件作为联系手段 其主要营销优势在于零成本 高指向性和有效性 ; 并且, 邮件几乎是立刻投递 许多公司使用电子邮件营销工具有效地与现有客户和潜在客户沟通 这种广告方式是合法的, 因为用户可能希望收到关于某些产品的商业信息 但事实上是, 许多公司发送大量不请自来的商业邮件 在这种情况下, 电子邮件广告逾越了分寸, 成为了垃圾邮件 大量的不请自来的商业电子邮件已经成为一个实际问题, 因为它没有任何缓和的迹象 不请自来的电子邮件的作者自然试图将垃圾邮件伪装成合法邮件 另一方面, 大量的合法广告也可能引起负面反应 恶作剧 恶作剧是在 Internet 上传播的消息 它通常通过电子邮件发送, 有时也通过 ICQ 和 Skype 等通信工具发送 消息本身通常是笑话或都市传奇 计算机病毒恶作剧试图在收件人中产生害怕 不确定和怀疑情绪 (FUD), 使他们相信有一个 无法检测的病毒 正在删除文件和检索密码, 或者对他们的系统执行一些其它有害活动 一些恶作剧意在扰乱他人的情绪 收件人通常被要求将此类邮件转发给所有其他联系人, 其他人将继续恶作剧的循环 恶作剧包括手机恶作剧 请求帮助 他人要求从海外寄钱给您等 在大多数情况下, 无法追踪创建者的意图 大体上, 如果您看到邮件提示您转发给认识的每个人, 这很可能是恶作剧 Internet 上的许多专业网站都可以验证电子邮件是否合法 在转发前, 请对您怀疑是恶作剧的任何邮件执行 Internet 搜索 网络欺诈 术语 网络欺诈 定义了一种利用社会工程学技术 ( 为获得机密信息而操控用户 ) 进行犯罪的行为 其目的是获得银行帐号 PIN 码等敏感数据的访问权限 通常, 攻击者通过冒充可信赖的个人或公司 ( 金融机构 保险公司等 ) 发送电子邮件而获得访问权限 这类电子邮件的外观非常逼真, 其中包含的图片和内容可能来自于被仿冒对象的原始来源 信中会以各种借口 ( 数据验证 财务运作等 ) 要求您输入一些个人数据, 如银行帐号或用户名和密码等 如果提交, 所有这类数据都可能被窃和滥用 应当注意的是, 银行 保险公司和其它合法的公司从来不会要求用户在不请自来的电子邮件中输入用户名和密码 识别垃圾邮件欺骗 通常, 一些指示可以帮助您识别邮箱中的垃圾邮件 ( 不请自来的电子邮件 ) 如果邮件至少满足以下部分条件, 则很可能是垃圾邮件 发件人地址不属于您的联系人列表中的任何人 在各种借口之下 ( 数据验证 财务操作 ) 要求您输入您的一些个人数据 银行帐号 用户名和密码等 以外语撰写 要求您购买您不感兴趣的产品 如果您决定购买, 请验证邮件发件人是否为可靠供应商 ( 咨询原始产品制造商 ) 部分词语拼写错误, 试图欺骗您的垃圾邮件过滤器 例如, 将 viagra 拼写成 vaigra 等 规则 在防垃圾邮件解决方案和电子邮件客户端环境中, 规则是操作电子邮件功能的工具 它们包括两个逻辑部分 : 1. 条件 ( 例如, 来自特定地址的传入邮件 ) 2. 操作 ( 例如, 删除邮件, 移动到指定文件夹 ) 不同的防垃圾邮件解决方案其规则的数量和组合也有所不同 这些规则即为处理垃圾邮件 ( 不请自来的电子邮件 ) 的措施 典型示例 : 1. 条件 : 一封传入的电子邮件包含某些垃圾邮件中常见的词语 2. 操作 : 删除邮件 1. 条件 : 一封传入的电子邮件包含一个带.exe 扩展名的附件 2. 操作 : 删除附件, 将邮件送至邮箱 1. 条件 : 一封来自您的雇主的传入邮件 2. 操作 : 将邮件移动到 工作 文件夹 建议您在防垃圾邮件程序中使用规则组合, 以方便管理并更有效地过滤垃圾邮件 ( 不请自来的电子邮件 ) 贝叶斯过滤器 贝叶斯垃圾邮件过滤是一种非常有效的电子邮件过滤方式, 几乎所有防垃圾邮件产品都使用它 它能够非常准确地识别不请自来的电子邮件 贝叶斯过滤器可以针对每个用户发挥作用 功能以下面的原则为基础 : 学习过程在第一阶段进行 用户将足够数量的邮件手动标记为合法邮件或垃圾邮件 ( 通常为 200/200) 过滤器会分析两种类别的邮件并学习某些邮件特征, 例如, 垃圾邮件通常包含类似 rolex 或 viagra 等词语, 而合法邮件是由家庭成员或用户联系人列表中的地址发送 如果要处理更大数量的邮件, 贝叶斯过滤器可为每封邮件分配特定的 垃圾邮件指数, 以确定其是否为垃圾邮件 该过滤器的主要优势在于灵活性 例如, 如果用户是生物学家, 所有关于生物学或相关研究领域的传入电子邮件通常将获得较低的可能性指数 如果邮件包含使其符合不请自来邮件条件的词语, 但它是由联系人列表中的某人发送, 则会将该邮件标记为合法, 因为联系人列表中的发件人降低了垃圾邮件的整体可能性 白名单 通常, 白名单指被接受或被授予访问权的项或人的列表 电子邮件白名单 一词定义了用户愿意收到其邮件的联系人的列表 此类白名单以在电子邮件地址 域名或 IP 地址中搜索的关键字为基础 如果白名单在 独占模式 下工作, 将不接收来自任何其它地址 域或 IP 地址的邮件 另一方面, 如果是非独占模式, 则不删除此类邮件, 而是以其它方式过滤 白名单依据的原则与黑名单相反 白名单较之黑名单更易维护 建议您同时使用黑名单和白名单以更有效过滤垃圾邮件 向您提供大笔金额, 但您必须先提供少量金额 35

36 黑名单 通常, 黑名单是被拒绝或禁止的项或人员的列表 在虚拟世界中, 它指能够接受此列表之外所有其它用户邮件的技术 黑名单有两种类型 用户可以通过防垃圾邮件程序创建自己的黑名单 另一方面, 可在 Internet 上找到许多由专业机构创建的 专业的 定期更新的黑名单 黑名单依据的原则与白名单相反 使用黑名单对于成功阻断垃圾邮件非常重要, 但它们非常难维护, 因为每天都会出现需要阻断的新项 建议您同时使用黑名单和白名单以更有效过滤垃圾邮件 服务器端控制 服务器端控制是识别大量垃圾邮件的技术, 它根据收到的邮件数量和用户反应进行识别 每封邮件根据内容在服务器上留下唯一的数字 印记 实际上, 它是一个唯一 ID 号,ID 号本身不会泄露电子邮件内容 两封相同的邮件拥有相同的印记, 而不同的邮件则拥有不同的印记 如果邮件被标记为垃圾邮件, 则其印记将会发送到服务器 如果服务器收到更多相同印记 ( 对应于特定垃圾邮件 ), 则该印记将存储在垃圾邮件印记数据库中 扫描传入邮件时, 程序会将邮件的印记发送到服务器 服务器返回关于对应于用户已标记为垃圾邮件的邮件印记的信息 36