ESET File Security

Transcription

1 ESET FILE SECURITY 針對 MICROSOFT WINDOWS SERVER 安裝手冊與使用指南 Microsoft Windows Server 2000 / 2003 / 2008 / 2008 R2 / 2012 / 2012 R2 按一下這裡以下載此文件的最新版本

2 ESET FILE SECURITY Copyright 2013 by ESET, spol. s r.o. ESET File Security 是由 ESET, spol. s r.o. 開發的產品 如需更多資訊, 請造訪 子 機械 影印 錄音或掃描等方式 ESET, spol. s r.o. 保留變更所述應用程式軟體的權利, 恕不另行通知 客戶關懷 : 版次 :11/11/2013

3 目錄 說明 系統需...5 求 防護類...5 型 使用...5 介面...6 安裝 一般安...6 裝 自訂安...7 裝 終端機...8 伺服器 升級為...8 較新版本 指定電...9 腦掃描...10 初學 手冊 引進...10 使用 介面設計 檢...11 查系統的作業 如...12 果程式運作不正常怎麼辦 更新...13 設定 Proxy...14 伺服器設定 設定...15 保護...16 適用於 ESET File Security ESET...16 File Security - 伺服器防護 自...16 動排除 ESET...16 File Security - 電腦防護 病...16 毒及間諜程式防護 即...16 時檔案系統防護 控...17 制項設定 要...17 掃描的媒體 執...18 行掃描的時間 ( 事件觸發的掃描 ) 進...18 階掃描選項 清...18 除層級 何...19 時修改即時防護配置 檢...19 查即時防護 即...19 時防護無法運作時怎麼辦 電...20 子郵件用戶端防護 POP 檢查 相...20 容性 與...21 電子郵件用戶端整合 將...22 標籤訊息附加到電子郵件內文 移...22 除入侵 網...23 址過濾 HTTP...24 HTTPs 位...25 址管理 主...26 動模式 指...26 定電腦掃描 掃...27 描類型 智...27 慧型掃描 自...27 訂掃描 掃...28 描目標 掃...28 描設定檔 命...29 令列 效...31 能 通...31 訊協定過濾 SSL 可...32 信任的憑證 排...32 除的憑證 ThreatSense...32 引擎參數設定 物...32 件設定 選...33 項 清...34 除 副...35 檔名 限...35 制 其...36 他偵...36 測到入侵 更新...37 程式 更...39 新設定 更...39 新設定檔 進...40 階更新設定 更...40 新模式 Proxy...41 伺服器 連...43 線至區域網路 (LAN) 建...44 立更新副本 - 映像 從...44 映像更新 疑...45 難排解映像更新問題 如...46 何建立更新工作 工作...46 安排精靈 排...47 程工作的目的 建...47 立新工作 隔離...48 區 隔...48 離檔案 從...48 隔離還原 從...49 隔離提交檔案 防護...50 記錄檔案 防...51 護記錄過濾 在...52 防護記錄中尋找 防...53 護記錄維護 ESET...54 SysI nspect or ESET...54 SysI nspector 簡介 啟...54 動 ESET SysI nspector 使...54 用 介面和應用程式用法 程...55 式控制項 在...56 ESET SysI nspector 中瀏覽 鍵...57 盤捷徑 比...58 較 命...59 令列參數 服...60 務腳本 產...60 生服務腳本 服...60 務腳本的結構 執...62 行服務腳本 常...63 見問題 ESET SysI nspector 是 ESET File Security 的...64 一部份 ESET...64 SysRescue 最...64 低需求 如...65 何建立救援光碟 目...65 標選擇 設...65 定 資...65 料夾 ESET...66 Ant ivirus 進...66 階設定 網...66 際網路通訊協定 開...66 機 USB 裝置 燒...67 錄 使...67 用 ESET SysRescue 使...67 用 ESET SysRescue 使用...67 介面 警...69 告及通知 停...69 用終端機伺服器的 GUI 4.10 eshell 使...71 用 命...74 令 內...76 容 - AV 內...78 容 - AV 文件 內...79 容 - AV 文件限制壓縮檔 內...80 容 - AV 文件限制物件 內...81 容 - AV 文件物件 內...83 容 - AV 文件選項 內...85 容 - AV 文件其他 內...86 容 - AV 電子郵件 內...87 容 - AV 電子郵件一般

4 內...88 容 - AV 電子郵件一般限制壓縮檔內...89 容 - AV 電子郵件一般限制物件內...89 容 - AV 電子郵件一般物件內...92 容 - AV 電子郵件一般選項內...94 容 - AV 電子郵件一般其他內...94 容 - AV 電子郵件郵件轉換內...95 容 - AV 電子郵件修改內...95 容 - AV 電子郵件修改已接收內...96 容 - AV 電子郵件已傳送內...97 容 - AV 電子郵件 OEXPRESS/ WI NMAI L 內...97 容 - AV 電子郵件 OUTLOOK 內...98 容 - AV 電子郵件 OUTLOOK 重新掃描 Context AV 電子郵件通訊協定 POP3 Context AV 電子郵件通訊協定 POP3S 內 容 - AV 電子郵件重新掃描內 容 - AV 電子郵件掃描內 容 - AV 電子郵件 THUNDERBI RD 內 容 - AV 電子郵件 WI NLI VE 內 容 - AV 限制壓縮檔內 容 - AV 限制物件內 容 - AV NETFI LTER 內 容 - AV NETFI LTER 通訊協定 SSL 內 容 - AV NETFI LTER 通訊協定 SSL 憑證內 容 - AV 物件內 容 - AV 選項內 容 - AV 其他內 容 - AV 即時內 容 - AV 即時磁碟內 容 - AV 即時事件內 容 - AV 即時執行內 容 - AV 即時執行從可移除內 容 - AV 即時限制壓縮檔內 容 - AV 即時限制物件內 容 - AV 即時物件內 容 - AV 即時 ONWRI TE 內 容 - AV 即時 ONWRI TE 壓縮檔內 容 - AV 即時選項內 容 - AV 即時其他內 容 - AV 即時可移除內 容 - AV WEB 內 容 - AV WEB 位址管理內 容 - AV WEB 限制壓縮檔內 容 - AV WEB 限制物件內 容 - AV WEB 物件內 容 - AV WEB 選項內 容 - AV WEB 選項瀏覽器內 容 - AV WEB 其他內 容 - AV WEB 通訊協定 HTTP 內 容 - AV WEB 通訊協定 HTTPS 內 容 - 一般內 容 - 一般存取內 容 - 一般 ESHELL 內 容 - 一般 ESHELL 顏色內 容 - 一般 ESHELL 輸出內 容 - 一般 ESHELL 啟動內 容 - 一般 ESHELL 檢視內 容 - 一般效能內 容 - 一般 PROXY 內 容 - 一般隔離區重新掃描內 容 - 一般遠端內 容 - 一般遠端伺服器主要內 容 - 一般遠端伺服器次要內 容 - 一般 TS.NET 內 容 - 一般 TS.NET 統計資料內 容 - 掃描器內 容 - 掃描器限制壓縮檔內 容 - 掃描器限制物件內 容 - 掃描器物件內 容 - 掃描器選項內 容 - 掃描器其他內 容 - 伺服器 內 容 - 工具內 容 - 工具活動內 容 - 工具防護記錄內 容 - 工具防護記錄清除內 容 - 工具防護記錄最佳化內 容 - 工具通知內 容 - 工具通知電子郵件內 容 - 工具通知訊息內 容 - 工具通知訊息格式內 容 - 工具通知 WI NPOPUP 內 容 - 工具排程器內 容 - 工具排程器事件內 容 - 工具排程器 FAI LSAFE 內 容 - 工具排程器參數檢查內 容 - 工具排程器參數外部內 容 - 工具排程器參數掃描內 容 - 工具排程器參數更新內 容 - 工具排程器重複內 容 - 工具排程器啟動內 容 - 更新內 容 - 更新連線內 容 - 更新映像內 容 - 更新映像連線內 容 - 更新映像伺服器內 容 - 更新通知內 容 - 更新 PROXY 內 容 - 更新系統 匯入 及匯出設定 4.12 Threat Sense.Net 可 疑檔案 統 計資料 提 交 遠端 管理 授權 字彙 入侵 類型 病 毒 蠕 蟲 特 洛伊木馬程式 Root kit 廣 告程式 間 諜程式 潛 在不安全的應用程式 潛 在不需要應用程式

5 1. 說明 ESET File Security 是一套整合性的解決方案, 專為 Microsoft Windows Server 環境而設計 對於各種類型的惡意軟體攻擊提供有效且強大的防護,ESET File Security 提供兩種類型的防護 : 病毒及間諜程式防護 ESET File Security 的一些主要功能 括 : 自動排除 16 - 自動偵測並排除重要的伺服器檔案, 使伺服器運作更加輕鬆 eshell 70 (ESET Shell) - 新的命令列控制介面, 為進階的使用 和管理員提供更完整的選項來管理 ESET 產品 自我防護 - 防止 ESET 安全性解決方案遭修改或停用的技術 有效的疑難排解 - 提供進階的內建工具解決各種問題 :ESET SysInspector 為系統提供診斷,ESET SysRescue 則建立可用於開機的救援 CD ESET File Security 支援 Microsoft Windows Server 和 2008 單機版, 且支援在叢集環境中使用 Microsoft Windows Server 您可以使用 ESET Remote Administrator, 協助遠端管理大型網路中的 ESET File Security 1.1 系統需求 支援的作業系統 : Microsoft Windows 2000 Server Microsoft Windows Server 2003 (x86 及 x64) Microsoft Windows Server 2008 (x86 及 x64) Microsoft Windows Server 2008 R2 Microsoft Windows Server 2012 Microsoft Windows Server 2012 R2 Microsoft Windows Storage Server 2008 R2 Essentials SP1 Microsoft Windows Small Business Server 2003 (x86) Microsoft Windows Small Business Server 2003 R2 (x86) Microsoft Windows Small Business Server 2008 (x64) Microsoft Windows Small Business Server 2011 (x64) 硬體需求須視所用的作業系統版本而定 建議您閱讀 Microsoft Windows Server 產品文件, 以瞭解硬體需求的詳細資訊 1.2 防護類型 有兩種類型的防護 : 病毒防護間諜程式防護 病毒及間諜程式防護是 ESET File Security 產品的其中一項基本功能 該防護可藉由控制檔案 電子郵件及網際網路通訊來防止惡意系統攻擊 若偵測到含有惡意程式碼的威脅, 則 防毒 模組可透過封鎖, 接著清除 刪除或將其移至隔離區 48 來消滅它 1.3 使用 介面 ESET File Security 具有專為直覺化設計的圖形使用 介面 (GUI) GUI 可讓使用 迅速輕鬆地存取程式主要功能 除了主 GUI 外, 您還可以按下 F5 鍵, 隨時從程式當中的任何位置存取 [ 進階設定樹狀目錄 ] 按下 F5 後, 即會開啟進階設定樹狀目錄視窗, 並顯示可配置程式功能的清單 您可以在此視窗中, 根據自身需求來配置設定和選項 樹狀結構分為兩個區段 :[ 伺服器防護 ] 與 [ 電腦防護 ] [ 伺服器防護 ] 區段 含自動排除, 專屬於伺服器的作業系統和系統檔案 [ 電腦防護 ] 區段 含適用於伺服器本身防護的可配置項目 5

6 2. 安裝 購買 ESET File Security 之後, 即可從 ESET 的網站 ( 下載.msi 套件的安裝程式 請注意您需要在 [ 內建管理員 ] 帳戶下執行安裝程式 任何其他使用, 即使是管理員群組的成員, 也沒有足夠的存取權限 因此您需要使用 內建管理員 帳戶, 否則您無法在 [ 管理員 ] 以下的任何其他使用 帳戶成功完成安裝 執行安裝程式有兩種方式 : 您可以使用管理員帳戶認證從本機登入並輕鬆執行安裝程式您可以作為其他使用 登入, 但需要以 [ 執行身份...] 開啟命令提示字元並在管理員帳戶認證中輸入才能以管理員的身分執行命令, 接著輸入命令以執行安裝程式 ( 例如,msiexec /iefsw_nt64_enu.msi 而您需要取代 efsw_nt64_enu.msi 的檔案名稱與您已下載的 msi 安裝程式完全相同 ) 一旦啟動安裝程式, 安裝精靈將引導您進行基本設定 有兩種可用的安裝類型, 其層級設定不同, 詳細資訊如下 : 1. 一般安裝 2. 自訂安裝 附註 : 如果可能, 強烈建議您將 ESET File Security 安裝在全新安裝及配置的作業系統上 但是, 如果您需要將 ESET File Security 安裝在現有系統上, 最佳作法是先將舊版解除安裝, 重新啟動伺服器, 然後再安裝新的 ESET File Security 2.1 一般安裝 一般安裝模式可在安裝程序期間以最低配置快速安裝 ESET File Security 一般安裝是預設安裝模式, 如果您沒有特定設定的特殊需求, 建議使用此選項 在系統安裝 ESET File Security 後, 可隨時修改選項及配置設定 本使用 手冊詳細說明這些設定及功能 一般安裝模式設定提供絕佳的安全, 以及使用便利性及高系統效能 選取安裝模式並且按 [ 下一步 ] 後, 程式將提示您輸入您的使用 名稱與密碼 這樣可為系統提供持續防護, 是非常重要的步驟, 因為您的使用 名稱及密碼允許自動病毒資料庫更新 37 將使用 名稱及密碼購買或註冊產品後收到 ( ) 輸入到對應的欄位中 如果目前沒有使用 名稱及密碼, 則稍後會從程式直接輸入使用 名稱及密碼 在下一個步驟 - 授權管理程式 - 新增購買產品後透過電子郵件傳遞的授權檔案 下一個步驟是配置 ThreatSense.Net 預早警告系統 ThreatSense.Net 預早警告系統有助於確保迅速持續通知 ESET 新入侵的相關資訊, 以快速保護其客戶 此系統允許新威脅提交到 ESET 威脅實驗室, 並對其進行分析 處理及新增到病毒資料庫 預設選取 [ 啟用 ThreatSense.Net 預早警告系統 ] 選項 按一下 [ 進階設定...], 以修改提交可疑檔案的詳細設定 安裝程序的下一步是配置 [ 偵測潛在不需要應用程式 ] 潛在不需要應用程式不一定是惡意的, 但是可能會經常對作業系統的行為造成負面影 如需詳細資訊, 請參閱潛在不需要應用程式 209 章節 6

7 這些應用程式通常隨附於其他程式, 且可能在安裝期間很難注意到 雖然這些應用程式通常會在安裝期間顯示通知, 但亦可未經您的同意輕易安裝 選取 [ 啟用潛在不需要應用程式偵測 ] 選項, 以允許 ESET File Security 偵測此類型的應用程式 如果您不想要使用此功能, 請選取 [ 停用潛在不需要應用程式偵測 ] 一般安裝模式中的最後一個步驟是按一下 [ 安裝 ] 按鈕以確認安裝 2.2 自訂安裝 自訂安裝是針對想要在安裝程序期間配置 ESET File Security 的使用 所設計 選取安裝模式並且按 [ 下一步 ] 後, 程式將提示您選取安裝的目標位置 依預設, 程式會安裝到 C:\Program Files\ESET\ESET File Security 按一下 [ 瀏覽...] 變更此位置 ( 不建議 ) 然後輸入您的 [ 使用 名稱 ] 及 [ 密碼 ] 此步驟與一般安裝模式步驟相同 ( 請參閱一般安裝 6 ) 在下一個步驟 - [ 授權管理程式 ]) - 新增購買產品後透過電子郵件傳遞的授權檔案 輸入使用 名稱及密碼後, 按 [ 下一步 ] 繼續 [ 配置您的網際網路連線 ] 如果您使用 Proxy 伺服器, 必須予以正確配置, 才能使病毒資料庫正確運作 如果您想要讓 Proxy 伺服器自動設定, 請選取預設設定 [ 我不確定我的網際網路連線是否使用 Proxy 伺服器 ] [ 使用與 Internet Explorer 相同的設定 ( 建議 ), 然後按 [ 下一步 ] 如果您不使用 Proxy 伺服器, 請選取 [ 我不使用 Proxy 伺服器 ] 選項 如果您習慣自行輸入 Proxy 伺服器詳細資料, 則可手動配置 Proxy 伺服器設定 若要配置 Proxy 伺服器設定, 請選取 [ 我使用 Proxy 伺服器 ], 然後按 [ 下一步 ] 將 Proxy 伺服器的 IP 位址或 URL 輸入到 [ 位址 ] 欄位中 在 [ 連接埠 ] 欄位中, 指定 Proxy 伺服器接受連線所在的連接埠 ( 依預設為 3128) 如果 Proxy 伺服器需要驗證, 則必須輸入有效的 [ 使用 名稱 ] 及 [ 密碼 ], 授與 Proxy 伺服器的存取權限 如果需要, 也可以從 Internet Explorer 複製 Proxy 伺服器設定 一旦輸入 Proxy 伺服器詳細資料, 請按一下 [ 套用 ] 並確認選擇 按 [ 下一步 ] 繼續 [ 配置自動更新 ] 設定 此步驟可讓您指定如何在系統上處理自動程式元件更新 按一下 [ 更新...] 以存取進階設定 如果您不想要更新程式元件, 請選取 [ 絕不更新程式元件 ] 選項 選取 [ 下載程式元件前詢問 ] 選項, 以便在下載程式元件前顯示確認視窗 若要自動下載程式元件升級, 請選取 [ 一律更新程式元件 ] 選項 7

8 附註 : 程式元件更新後, 通常需要重新啟動 建議選取 [ 絕不重新啟動電腦 ] 選項 最新的元件更新將在下次伺服器重新啟動後生效 ( 不論是已排程 46 手動或其他) 如果想要提醒您在元件更新時重新啟動伺服器, 可選擇 [ 必要時重新啟動電腦 ] 透過此設定, 即可立即重新啟動伺器, 也可延遲重新啟動稍後再執行 下一個安裝視窗提供設定密碼以保護程式設定的選項 選取 [ 使用密碼保護配置設定 ] 選項, 並選擇要在 [ 新密碼 ] 及 [ 確認新密碼 ] 欄位中輸入的密碼 [ThreatSense.Net 預早警告系統 ] 及 [ 偵測潛在不需要應用程式 ] 這兩個後續的安裝步驟與一般安裝模式步驟相同 ( 請參閱 一般安裝 6 ) 按一下 [ 準備安裝 ] 視窗中的 [ 安裝 ] 完成安裝 2.3 終端機伺服器 如果您已經在做為終端機伺服器的 Windows Server 上安裝 ESET File Security, 而且想要停用 ESET File Security GUI 以避免每次使用 登入時即啟動, 請參閱停用終端機伺服器的 GUI 69 一章, 以瞭解將它停用的特定步驟 2.4 升級為較新版本 新推出的 ESET File Security 版本已改善或修正自動程式模組更新無法解決的問題 透過以下幾種方式即可升級為新版 : 1. 透過程式元件更新 (PCU) 自動升級由於程式元件更新會散佈至所有使用, 而且可能影 某些系統配置, 因此會在經過長時間測試後才發行, 以確保針對所有可能的系統配置完成平順的升級程序 如果您需要在發行後立即升級為新版本, 請使用以下其中一種方法 2. 透過下載新版本並安裝覆蓋舊版的方式手動升級開始安裝時, 您可選取 [ 使用現有的設定 ] 核取方塊, 以選擇保留最新的程式設定 3. 透過 ESET Remote Administrator 在網路環境中以自動部署進行手動升級 8

9 2.5 指定電腦掃描 安裝 ESET File Security 後, 應執行掃描電腦的惡意程式碼 從主要功能表視窗中, 按一下 [ 電腦掃描 ], 然後按一下 [ 智慧型掃描 ] 如需有關 指定 電腦掃描的詳細資訊, 請參閱指定電腦掃描 26 一節 9

10 3. 初學 手冊 本章提供 ESET File Security 及其基本設定的初始概觀 3.1 引進使用 介面設計 ESET File Security 的主要程式視窗分為兩個主要區段 右側的主要視窗顯示對應從左側的主要功能表中所選取選項的資訊 以下為主要功能表中選項的說明 : 防護狀態 - 提供與 ESET File Security 的防護狀態有關的資訊 如果啟用 [ 進階模式 ], 則會顯示 [ 即時監控 ] 和 [ 統計 ] 子功能表 電腦掃描 - 此選項可讓您配置及啟動 [ 指定電腦掃描 ] 更新 - 顯示有關病毒資料庫更新的資訊 設定 - 選取此選項以調整您電腦的安全等級 如果啟用 [ 進階模式 ], 則會顯示 [ 病毒及間諜程式防護 ] 子功能表 工具 - 可存取 [ 防護記錄檔案 ] [ 隔離區 ] [ 排程器 ] 和 [SysInspector] 此選項僅在 [ 進階模式 ] 中顯示 說明及支援 - 可存取說明檔案 ESET 知識庫 ESET 網站和開啟 客戶關懷 支援要求的連結 10

11 3.1.1 檢查系統的作業 若要檢視 [ 防護狀態 ], 請按一下主要功能表頂端的選項 ESET File Security 相關作業的狀態摘要顯示在主要視窗, 系統也將顯示 含下列兩個項目的子功能表 :[ 即時監控 ] 和 [ 統計 ] 選取其中一個項目以檢視更多與系統有關的詳細資訊 當 ESET File Security 以完整功能執行時,[ 防護狀態 ] 會顯示為綠色 若以橙色或紅色顯示, 則表示需要您的注意 按一下子功能表項目中的 [ 即時監控 ], 您便能以圖形格式即時 ( 橫軸 ) 監控檔案系統目前的活動 縱軸則會顯示已讀取的資料量 ( 藍線 ) 和已寫入的資料量 ( 紅色 ) [ 統計 ] 子功能表讓您能查看特定模組中已感染 已清除及不含病毒的物件數目 系統提供許多的模組, 您可以從下拉式清單中選取 11

12 3.1.2 如果程式運作不正常怎麼辦 如果啟用的模組正常運作, 則會標上綠色核取圖示 如果不正常, 則會顯示紅色驚嘆號或橙色通知圖示, 且視窗的上半部會顯示模組的其他相關資訊 同時還會顯示修正模組的建議解決方案 若要變更個別模組的狀態, 請按一下主要功能表中的 [ 設定 ], 並按一下需要的模組 如果您無法使用建議的解決方案解決問題, 請按一下 [ 說明及支援 ] 以存取說明檔案或搜尋知識庫 如果仍然需要協助, 您可以提交 ESET 客戶服務 支援要求 ESET 客戶服務 將快速回答您的問題並協助判斷解決方法 12

13 3.2 更新設定 更新病毒資料庫及更新程式元件是提供完整保護 防止惡意代碼的一個重要部分 請注意其配置與作業 從主要功能表中選取 [ 更新 ], 然後按一下主要視窗中的 [ 更新病毒資料庫 ] 以檢查較新的資料庫更新 [ 使用 名稱及密碼設定...] 將顯示對話方塊, 供您輸入使用 名稱和密碼於購買時取得 ( ) 如果安裝 ESET File Security 時已經輸入過使用 名稱和密碼, 系統此時便不會提示您輸入 [ 進階設定 ] 視窗 ( 從主功能表中按一下 [ 設定 ], 然後按一下 [ 進入完整的進階設定樹狀目錄...], 或是按下 F5) 含其他的更新選項 從 [ 進階設定 ] 樹狀目錄中按一下 [ 更新 ] [ 更新伺服器 ]: 下拉式功能表應該設定為 [ 自動選擇 ] 若要配置進階的更新選項, 例如更新模式 Proxy 伺服器存取 LAN 連線和建立病毒副本, 請按一下 [ 設定...] 按鈕 13

14 3.3 Proxy 伺服器設定 如果您在使用 ESET File Security 的系統上, 利用 Proxy 伺服器來調節與網際網路的連線, 則必須在 [ 進階設定 ] 中指定它 若要存取 Proxy 伺服器設定視窗, 請按 F5 開啟 [ 進階設定 ] 視窗, 從 [ 進階設定 ] 樹狀目錄中按一下 [ 其他選項 ] > [Proxy 伺服器 ] 選取 [ 使用 proxy 伺服器 ] 選項, 然後再填寫 [Proxy 伺服器 ] (IP 位址 ) 和 [ 連接埠 ] 欄位 視需要而定, 選取 [Proxy 伺服器需要驗證 ] 選項, 接著再輸入 [ 使用 名稱 ] 和 [ 密碼 ] 如果無法取得此資訊, 您可以嘗試自動偵測 Proxy 伺服器設定, 方法是按一下 [ 偵測 proxy 伺服器 ] 按鈕 附註 : 各種更新設定檔的 Proxy 伺服器選項可能不同 如果是這種情況, 請在 [ 進階設定 ] 中配置不同的更新設定檔, 方法是按一下 [ 進階設定 ] 樹狀目錄中的 [ 更新 ] 14

15 3.4 設定保護 ESET File Security 設定就公司的安全原則觀點來說可能非常重要 未獲授權的修改可能會危害您系統的穩定性及防護功能 若要設定密碼保護設定參數, 請在主要功能表中, 按一下 [ 設定 ] > [ 進入完整的進階設定樹狀目錄...]> [ 使用 介面 ] > [ 存取設定 ], 選取 [ 密碼保護設定 ] 選項並按一下 [ 設定密碼...] 按鈕 在 [ 新密碼 ] 和 [ 確認新密碼 ] 欄位中輸入密碼, 再按一下 [ 確定 ] 未來對於 ESET File Security 所做的任何修改 將需要此密碼 附註 : 按一下這裡 139 以查看如何使用 eshell 配置此設定 15

16 4. 適用於 ESET File Security 4.1 ESET File Security - 伺服器防護 ESET File Security 為您的伺服器提供下列必要的防護功能 : 病毒及間諜程式防護 常駐防護 ( 即時保護 ) Web 存取防護和電子郵件用戶端保護 您可以在 ESET File Security - [ 電腦防護 ] 區段下進一步閱讀各種防護類型的資訊 此外, 還有稱為自動排除 16 的功能 此功能可識別重要的伺服器應用程式及伺服器作業系統檔案, 並自動將這些新增至排除清單中 此功能會將潛在衝突的風險降至最低, 並提升執行防毒軟體時的伺服器整體效能 自動排除 伺服器應用程式及作業系統的開發人員建議許多重要的工作檔案及資料夾排除在大多數產品的防毒掃描之外 防毒掃描對於伺服器的效能有負面影, 會導致衝突, 甚至會使得某些應用程式無法在伺服器上執行 排除有助於將潛在衝突的風險降至最低, 並提升執行防毒軟體時的伺服器整體效能 ESET File Security 可識別重要的伺服器應用程式及伺服器作業系統檔案, 並自動將這些新增至排除清單中 一旦新增至清單中, 勾選適當的方塊即可將伺服器處理程序 / 應用程式啟用 ( 預設 ), 取消勾選則可予以停用, 產生的結果如下 : 1) 如果應用程式 / 作業系統排除持續啟用, 任何重要的檔案及資料夾將新增至排除在掃描之外的檔案清單 ([ 進階設定 ] > [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 排除 ]) 每次伺服器重新啟動時, 系統 將執行排除的自動檢查, 並還原已從清單刪除的任何排除 如果您要確定建議的自動排除持續套用, 這是建議的設定 2) 如果使用 停用應用程式作業系統排除 /, 任何重要的檔案及資料夾將留存於排除在掃描之外的檔案清單 ([ 進階設定 ] > [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 排除 ]) 不過, 每次伺服器重新啟動時 ( 見以上點 1), 不會自動在 [ 排除 ] 清單檢查和更新這些檔案及資料夾 建議此設定由想要移除或修改某些標準排除的進階使用 使用 如果您想要從清單移除排除而不重新啟動伺服器, 則需要從清單手動移除排除 ([ 進階設定 ] > [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 排除 ]) [ 進階設定 ] > [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 排除 ] 之下任何手動輸入的使用 定義排除將不受以上所述的設定所影 伺服器應用程式 / 作業系統的自動排除均根據 Microsoft 的建議加以選取 如需詳細資訊, 請參閱以下連結 : ESET File Security - 電腦防護 ESET File Security 提供確保伺服器電腦安全防護所需的一切工具 下列類型的防護為您的伺服器提供有效保護 : 病毒及間諜程式防護 常駐防護 ( 即時保護 ) Web 存取防護和電子郵件用戶端保護 病毒及間諜程式防護 病毒防護可藉由控制檔案 電子郵件及網際網路通訊來防止惡意系統攻擊 如果偵測到含有惡意代碼的威脅, 防毒 模組可透過封鎖, 接著清除 刪除或將其移至隔離區來消滅它 即時檔案系統防護 即時檔案系統防護控制系統中與防毒相關的所有事件 開啟 建立或在電腦上執行所有檔案時, 會掃描它們是否具有惡意代碼 在系統啟動時會啟動即時檔案系統防護 16

17 控制項設定 即時檔案系統防護會檢查所有媒體類型, 以及各種事件觸發的控制項 使用 ThreatSense 技術偵測方法 ( 如 ThreatSense 引擎參數設定 32 一節所述 ), 針對新建立的檔案及現有檔案, 即時檔案系統防護可能有所不同 若為新建立的檔案, 則可套用較深入的控制層級 為了在使用即時防護時佔用最低的系統使用量, 已掃描的檔案不予重複掃描 ( 除非已經過修改 ) 每次更新病毒資料庫之後, 會立即重新掃描檔案 使用 智慧型最佳化 可配置此行為 如果停用此功能, 則每次存取所有檔案時, 會進行掃描 若要修改此選項, 請開啟 [ 進階設定 ] 視窗, 然後從 [ 進階設定 ] 樹狀目錄中按一下 [ 病毒及間諜程式防護 ] > [ 即時檔案系統防護 ] 然後按一下 [ThreatSense 引擎參數設定 ] 旁邊的 [ 設定...] 按鈕, 接著按一下 [ 其他 ], 並且選取或取消選取 [ 啟用智慧型最佳化 ] 選項 依預設, 即時防護會在系統啟動時同時啟動, 並持續提供掃描 在特殊情況下 ( 例如, 如果與其他即時掃描器發生衝突 ), 則可以取消選取 [ 自動啟動即時檔案系統防護 ] 選項, 以終止即時防護 要掃描的媒體依預設, 會控制所有媒體類型是否有潛在的威脅 本機磁碟 - 控制所有系統硬碟可移除媒體 - 磁碟片 USB 儲存裝置等網路磁碟 - 掃描所有對應的磁碟我們建議保留預設設定, 只有在特殊情況下才修改這些設定, 例如, 掃描某些媒體而明顯減慢資料傳送時 17

18 執行掃描的時間 ( 事件觸發的掃描 ) 依預設, 在開啟 建立或執行時會掃描所有檔案 我們建議您保留預設設定, 因為這些預設值會為電腦提供最高層級的即時防護 [ 存取磁碟片 ] 選項提供存取此磁碟時的磁碟片開機磁區控制 [ 關閉電腦 ] 選項提供在關閉電腦期間的硬碟開機磁區控制 雖然現在開機病毒很罕見, 但是建議您保持這些選項啟用, 因為仍有可能從替代來源受到開機病毒的感染 進階掃描選項 在 [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 即時系統防護 ] > [ 進階設定 ] 下, 可找到更詳細的設定選項 [ 用於 ThreatSense 新建立及已修改檔案的其他參數 ] - 新建立或已修改檔案感染的可能性高於現有的檔案 這正是為何程式會以額外的掃描參數檢查這些檔案的原因 除了常見的病毒碼掃描方法, 使用進階啟發式可大幅提升偵測率 除了新建立的檔案之外, 也可針對自我解壓檔 (.sfx) 及 Runtime Packer ( 內部壓縮的執行檔案 ) 執行掃描 依預設, 至多可以掃描至保存檔的第 10 層巢狀層級, 並不論其實際大小 會進行檢查 若要修改壓縮檔掃描設定, 請取消選取預設壓縮檔掃描設定 [ ] 選項 用於已執行檔案的其他 ThreatSense.Net 參數 - 根據預設, 執行檔案時不使用進階啟發式 然而, 在某些情況下, 您可能會想要啟用此選項 ( 按一下 [ 執行檔案時的進階啟發式 ] 選項 ) 請注意, 進階啟發式可能會由於增加系統需求的緣故, 而減慢某些程式的執行速度 清除層級 即時防護具有三個清除層級 若要選取清除層級, 請按一下 [ 即時檔案系統防護 ] 區段中的 [ 設定...] 按鈕, 然後按一下 [ 清除 ] 子目錄 第一層 [ 不清除 ] 顯示警告視窗, 其中含有找到之每個入侵的可用選項 您必須為每個入侵分別選擇處理方法 此層級針對進階使用 而設計, 進階使用 瞭解出現入侵時需採取哪些步驟 預設層級會自動選擇並執行預先定義的處理方法 ( 視入侵的類型而定 ) 位於畫面右下角的訊息會通知受感染檔案的偵測及刪除 如果入侵出現在壓縮檔 ( 其中也 含未感染檔案,) 或 受感染的物件沒有預先定義的處理方法, 則不會執行自動的處理方法 第三層 [ 完全清除 ] 最 主動, 即清除所有受感染的物件 因為此層級可能潛在導致有效檔案的遺失, 所以我們建議僅在特定情況下才使用它 18

19 何時修改即時防護配置 即時防護是維護系統安全的最重要組成部分 因此, 修改其參數時請小心 建議您僅在特定情況中修改其參數 例如, 在與特定應用程式或另一個防毒程式的即時掃描器發生衝突的情況下 ESET File Security 的所有設定在安裝後即已最佳化, 為使用 提供最高層級的系統安全 若要還原預設設定, 請按一下位於 [ 即時檔案系統防護 ] 視窗 ([ 進階設定 ] > [ 病毒及間諜程式防護 ] > [ 即時檔案系統防護 ]) 右下方的 [ 預設 ] 按鈕 檢查即時防護 若要驗證即時防護正在運作並偵測病毒, 請使用來自 eicar.com 的測試檔案 此測試檔案是所有防毒程式 可偵測到的特殊無害的檔案 該檔案由 EICAR (European Institute for Computer Antivirus Research) 公司建立, 以測試防毒程式的功能 檔案 eicar.com 的下載連結為 附註 : 執行即時防護檢查之前, 必須停用防火牆 如果已啟用防火牆, 則其會偵測到檔案並防止下載測試檔案 即時防護無法運作時怎麼辦 在下一章中, 我們說明使用即時防護時可能發生的問題情況, 以及如何疑難排解它們 即時防護已停用 如果使用 不小心停用即時防護, 則需要重新啟動它 若要重新啟動即時防護, 請瀏覽至 [ 設定 ] > [ 病毒及間諜程式防護 ] 並按一下主要程式視窗的 [ 啟用即時檔案系統防護 ] 區段 如果在系統啟動時未啟動即時防護, 則可能是由於已停用 [ 自動啟動即時檔案系統防護 ] 選項的緣故 若要啟用此選項, 請瀏覽至 [ 進階設定 ] (F5), 並按一下 [ 進階設定 ] 樹狀目錄中的 [ 即時檔案系統防護 ] 在視窗底部的 [ 進階設定 ] 區段中, 確定已選取 [ 自動啟動即時檔案系統防護 ] 核取方塊 如果即時防護不會偵測及清除入侵 請確定電腦上未安裝任何其他防毒程式 如果同時啟用兩個即時防護程式, 則可能互相衝突 我們建議您解除安裝系統上的任何其他防毒程式 即時防護未啟動 如果在系統啟動時未啟動即時防護 ( 且已啟用 [ 自動啟動即時檔案系統防護 ] 選項 ), 則可能是由於與其他程式發生衝突 如 19

20 果是這種情況, 請洽詢 ESET 的 客戶服務 專家 電子郵件用戶端防護 電子郵件防護可控制透過 POP3 通訊協定收到的電子郵件通訊 使用 Microsoft Outlook 的外掛程式,ESET File Security 可控制來自電子郵件用戶端的所有通訊 (POP3 MAPI IMAP HTTP) 當檢查對內的郵件時, 程式使用 ThreatSense 掃描引擎提供的所有進階掃描方法 這表示即使針對病毒資料庫進行比較之前, 也會發生惡意程式的偵測 POP3 通訊協定的掃描獨立於所使用的電子郵件用戶端 POP3 檢查 在電子郵件用戶端應用程式中,POP3 通訊協定是接收電子郵件通訊所使用最廣泛的通訊協定 無論使用的電子郵件用戶端為何,ESET File Security 均可防護此通訊協定 提供此控制項的防護模組會自動在系統啟動時同時啟動, 接著在記憶體中發生作用 若要讓模組正確運作, 請確定已啟用它 - 系統會自動執行 POP3 檢查, 而無需重新配置電子郵件用戶端 依預設, 通訊埠 110 中的所有通訊均會經過檢查 ; 必要時, 您也可以新增其他通訊埠 埠號必須以逗號分隔 加密的通訊未受控制 若要能夠使用 POP3/POP3S 過濾, 需要先啟用通訊協定過濾 如果 POP3/POP3S 選項呈現灰色, 請從進階設定樹狀結構中瀏覽至 [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 通訊協定過濾 ], 然後勾選 [ 啟用應用程式通訊協定內容過濾 ] 如需過濾及配置的詳細資訊, 請參閱通訊協定過濾區段 相容性 某些電子郵件程式可能會在使用 POP3 過濾時遇到問題 ( 例如, 如果以較慢的網際網路連線接收郵件, 則由於檢查可能發生逾時 ) 如果是這種情況, 請嘗試修改執行控制項的方式 降低控制層級可提升清除過程的速度 若要調整 POP3 過濾的控制層級, 請從 [ 進階設定 ] 樹狀目錄中瀏覽至 [ 病毒及間諜程式防護 ] > [ 電子郵件防護 ] > [POP3? POP3s] > [ 相容性 ] 如果啟用 [ 最佳效能 ], 則會從受感染郵件中移除入侵, 並且在原始電子郵件主旨之前插入入侵的相關資訊 ( 必須啟動 [ 刪除 ] 或 [ 清除 ] 選項, 或必須啟用 [ 完全 ] 或 [ 預設 ] 清除層級 ) [ 中等相容性 ] 修改接收郵件的方式 逐步將郵件傳送至電子郵件用戶端傳輸郵件後, 將掃描郵件是否含有入侵 使用此控制層級會增加感染的風險 清除及處理標籤郵件 ( 已在郵件的主旨行與內容中附加通知警告 ) 的層級與最佳效能設定相同 使用 [ 最高相容性 ] 層級後, 將出現警告視窗警告您已收到受感染的郵件 不會將任何關於受感染檔案的資訊新增至已傳遞郵 20

21 件的主旨行或電子郵件內容, 而且不會自動移除入侵 - 您必須從電子郵件用戶端刪除入侵 與電子郵件用戶端整合 ESET File Security 與電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼, 增加作用中的防護層級 如果您的電子郵件用戶端受支援, 即可在 ESET File Security 中啟用此整合 如果啟用整合,ESET File Security 工具列會直接插入電子郵件用戶端, 以便更有效進行電子郵件防護 可以在 [ 設定 ] > [ 進入完整的進階設定樹狀目錄...] > [ 其他選項 ] > [ 電子郵件用戶端整合 ] 中使用整合設定 電子郵件用戶端整合可讓您啟動與支援的電子郵件用戶端的整合 目前支援的電子郵件用戶端 括 Microsoft Outlook Outlook Express Windows Mail Windows Live Mail 及 Mozilla Thunderbird 如果在處理電子郵件用戶端時發生系統速度減慢, 請選取 [ 停用收件匣內容變更檢查 ] 選項 從 Kerio Outlook Connector Store 下載電子郵件時可能會發生此類情況 按一下 [ 設定 ] > [ 進入完整的進階設定樹狀目錄...] > [ 病毒及間諜程式防護 ] > [ 電子郵件用戶端防護 ] 並選取 [ 啟用電子郵件用戶端病毒及間諜程式防護 ] 選項, 即可啟動電子郵件防護 21

22 將標籤訊息附加到電子郵件內文 ESET File Security 掃描的各封電子郵件可予以標記, 方法是將標籤訊息附加至主旨或電子郵件內文 此功能可增加收件 的可靠性, 而且如果偵測到入侵, 則會提供有關指定電子郵件或寄件 的重要資訊 透過 [ 進階設定 ] > [ 病毒及間諜程式防護 ] > [ 電子郵件用戶端防護 ] 可找到此功能的選項 您可以選取 [ 將標籤訊息附加到已接收並已閱讀的郵件 ] 及 [ 將標籤訊息附加到已傳送的郵件 ] 您也能夠決定將標籤訊息附加到所有已掃描的電子郵件 僅附加到受感染的電子郵件, 或完全不附加 ESET File Security 也允許將訊息附加到受感染郵件的原始主旨 若要附加到主旨, 請選取 [ 將附註附加到已接收 已閱讀且受感染電子郵件的主旨 ] 及 [ 將附註附加到已傳送之受感染電子郵件的主旨 ] 選項 可以在 [ 新增到受感染電子郵件主旨的範本 ] 欄位中修改通知的內容 以上提及的修改有助於自動過濾受感染的電子郵件, 因為它允許您將特定主旨 ( 如果電子郵件用戶端支援 ) 的電子郵件過濾到個別資料夾 移除入侵如果收到受感染的電子郵件訊息, 則將顯示警告視窗 警告視窗顯示寄件 名稱 電子郵件, 以及入侵的名稱 在視窗下半部, 有可用於已偵測到物件的 [ 清除 ] [ 刪除 ] 或 [ 保留 ] 選項 在大多數情況下, 我們建議您選取 [ 清除 ] 或 [ 保留 ] 在某些情況下, 如果您想要接收受感染的檔案, 請選取 [ 保留 ] 如果已啟用 [ 完全清除 ], 則會顯示沒有可用於受感染物件之選項的資訊視窗 22

23 網址過濾 網際網路連線是個人電腦中的標準功能 不幸的是, 它也成為傳輸惡意程式碼的主要媒介 因為如此, 您必須審慎考量您的 Web 存取防護 強烈建議您選取 [ 啟用 Web 存取病毒及間諜程式防護 ] 選項 此選項位於 [ 進階設定 ] (F5) > [ 病毒及間諜程式防護 ] > [Web 存取防護 ] 23

24 HTTP HTTPs Web 存取防護的運作方式是監視網際網路瀏覽器與遠端伺服器之間的通訊, 並遵循 HTTP ( 超文字傳輸通訊協定 ) 及 HTTPs ( 加密的通訊 ) 規則 依預設,ESET File Security 已配置為使用大多數網際網路瀏覽器的標準 不過, 您可以在 [ 進階設定 ] (F5) > [ 病毒及間諜程式防護 ] > [Web 存取防護 ] > [HTTP? HTTPS] 中修改 HTTP 掃描器設定選項 在主要的 [HTTP 過濾器 ] 視窗中, 您可以選取或取消選取 [ 啟用 HTTP 檢查 ] 選項 您也可以定義用於 HTTP 通訊的連接埠號碼 依預設, 預先定義為連接埠號 及 3128 HTTPs 檢查可以在下列模式中執行 : 不使用 HTTPS 通訊協定檢查 - 不會檢查加密的通訊 針對選取的連接埠使用 HTTPS 通訊協定檢查 HTTPs 檢查只用於在 [HTTPs 通訊協定使用的連接埠 ] 中定義的連接埠 24

25 位址管理 此節可讓您指定要封鎖 允許或從檢查中排除的 HTTP 位址 [ 新增...] [ 編輯...] [ 移除 ] 及 [ 匯出...] 按鈕可用來管理位址清單 不可以存取封鎖位址清單中的網站 可以存取已排除位址清單中的網站, 而無需掃描惡意程式碼 如果選取 [ 僅允許在允許位址清單中的 HTTP 位址存取 ] 選項, 則只能存取允許位址清單中的位址, 而封鎖所有其他 HTTP 位址 在所有的清單中, 皆可使用特殊符號 * ( 星號 ) 和? ( 問號 ) 星號可以代替任何字元字串, 問號可代替任何符號 指定排除的位址時需特別小心, 因為清單只能 含可信任且安全的位址 同樣地, 務必確認此清單中的符號和 *? 已正確使用 若要啟動清單, 請選取 [ 作用中的清單 ] 選項 如果您想要在進入目前清單中的位址時收到通知, 請選取 [ 套用來自清單的位址時通知 ] 選項 25

26 主動模式 從 [HTTP? HTTPs] 子目錄的 [Web 瀏覽器 ] 子功能表, 可直接存取標記為 Web 瀏覽器的應用程式清單 此區段也 含定義網際網路瀏覽器之檢查模式的 [ 主動模式 ] 子功能表 [ 主動模式 ] 很有幫助, 因為它會整體檢查傳輸的資料 如果未啟用它, 則會以批次方式逐步監視應用程式的通訊 這樣會降低資料驗證程序的效率, 但是也會針對列出的應用程式提供更高的相容性 如果在使用時未發生任何問題, 我們建議您選取所需應用程式旁邊的核取方塊, 以啟用主動檢查模式 指定電腦掃描 如果您懷疑電腦受感染 ( 行為異常 ), 請執行指定電腦掃描以檢查電腦是否含有入侵 從安全觀點來看, 不應該僅在懷疑有感染時才執行電腦掃描, 出於常規安全性考量也應定期執行它 定期掃描可以偵測到即時掃描器在入侵儲存至磁碟時, 未偵測到的入侵 若在停用即時掃描器期間受到感染, 或病毒資料庫不是最新的, 就可能發生上述情況 我們建議您一個月至少執行一次指定電腦掃描 您可以透過 [ 工具 ] > [ 排程器 ] 將掃描配置為已排程的工作 26

27 掃描類型 有兩種可用的指定電腦掃描類型 [ 智慧型掃描 ] 可快速掃描系統, 而無需進一步配置掃描參數 [ 自訂掃描 ] 可讓您選取任何預先定義的掃描設定檔, 以及選擇特定掃描目標 智慧型掃描智慧型掃描可讓您快速啟動電腦掃描並清除感染的檔案, 無需使用 介入 其主要優點是可以輕鬆執行作業, 而不需要詳細的掃描配置 智慧型掃描會檢查本機磁碟中所有的檔案, 且會自動清除或刪除偵測到的入侵 清除層級會自動設為預設值 如需更多有關清除類型的資訊, 請參閱清除 34 一節 自訂掃描 如果您想要指定掃描參數 ( 例如掃描目標及掃描方法 ), 則自訂掃描是可選用的解決方案 自訂掃描的優點是可以詳細地配置參數 您可以將配置儲存為使用 定義的掃描設定檔, 以利於使用相同參數重複執行掃描 若要選取掃描目標, 請選取 [ 電腦掃描 ] > [ 自訂掃描 ], 然後從 [ 掃描目標 ] 下拉式功能表中選取選項, 或從樹狀結構中選取特定目標 亦可輸入您希望納入的資料夾或檔案路徑, 更精確地指定掃描目標 如果您只對掃描系統有興趣, 且不使用其他清除處理方式, 請選取 [ 掃描但不清除 ] 選項 您亦可進一步使用下列方法選用三種清除層級 : 按一下 [ 設定...]> [ 清除 ] 27

28 掃描目標 [ 掃描目標 ] 下拉式功能表可讓您選取要進行病毒掃描的檔案 資料夾與裝置 ( 磁碟 ) 使用設定檔設定 - 選取所選掃描設定檔中設定的目標可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟 - 選取所有系統硬碟網路磁碟 - 選取所有對應的磁碟不選擇 - 取消所有選取輸入您希望納入掃描的資料夾或檔案路徑, 也可更精確指定掃描目標 從列出電腦上所有可用裝置的樹狀結構中選取目標 掃描設定檔 您偏好的掃描參數可儲存供未來掃描時使用 我們建議您盡量為定期進行的掃描建立不同設定檔 ( 含有各種掃描目標 掃描方法及其他參數 ) 若要建立新的設定檔, 請開啟 [ 進階設定 ] 視窗 (F5), 然後按一下 [ 指定電腦掃描 ] > [ 設定檔...][ 配置設定檔 ] 視窗有現有掃描設定檔的下拉式功能表, 以及建立新設定檔的選項 若要協助您建立掃描設定檔以符合您的需求, 請參閱 ThreatSense 引擎參數設定 32 一節, 以取得每個掃描設定參數的說明 範例 : 假設您要建立您自己的掃描設定檔且 智慧型掃描 配置有部份適用, 但不要掃描 Runtime Packer 或潛在不安全的應用程式, 並且要套用 [ 完全清除 ] 從 [ 配置設定檔 ] 視窗中, 按一下 [ 新增...] 按鈕 在 [ 設定檔名稱 ] 欄位中輸入新設定檔的名稱, 然後從 [ 從設定檔複製設定 ] 中選取 [ 智慧型掃描 ]: 然後, 調整剩餘的參數以符合您的需求 28

29 命令列 ESET File Security 的防毒模組可以透過命令列來啟動, 具體方法可以是手動 ( 使用 ecls 命令) 或使用批次 ( bat ) 檔 從命令列執行指定掃描器時, 可以使用下列參數及切換參數 : 一般選項 : - help 顯示說明並結束 - version 顯示版本資料並結束 - base-dir = FOLDER 從 資料夾 載入模組 - quar-dir = FOLDER 隔離 資料夾 - aind 顯示活動指示器 目標 : - files 掃描檔案 ( 預設值 ) - no-files 不掃描檔案 - boots 掃描開機磁區 ( 預設值 ) - no-boots 不掃描開機磁區 - arch 掃描壓縮檔 ( 預設值 ) - no-arch 不掃描壓縮檔 - max-archive-level = LEVEL 最大保存檔巢狀 層級 - scan-timeout = LIMIT 掃描壓縮檔的最大 限制 秒數 若掃描時間達到此限制, 則會停止掃描壓縮檔, 並繼續掃描下一個檔案 - max-arch-size=size 僅掃描壓縮檔中首個 大小 位元組 ( 預設值 0 = 無限制 ) - mail 掃描電子郵件檔案 - no-mail 不掃描電子郵件檔案 - sfx 掃描自我解壓檔 - no-sfx 不掃描自我解壓檔 - rtp 掃描 Runtime Packer - no-rtp 不掃描 Runtime Packer - exclude = FOLDER 從掃描中排除 資料夾 - subdir 掃描子資料夾 ( 預設值 ) - no-subdir 不掃描子資料夾 - max-subdir-level = LEVEL 最大子資料夾巢狀 層級 ( 預設值 0 = 無限制 ) - symlink 跟循符號連結 ( 預設值 ) - no-symlink 略過符號連結 - ext-remove = EXTENSIONS - ext-exclude = EXTENSIONS 從掃描中排除以冒號分隔的 副檔名 29

30 方法 : - adware 掃描廣告程式 / 間諜程式 / 高風險程式 - no-adware 不掃描廣告程式 / 間諜程式 / 高風險程式 - unsafe 掃描潛在不安全的應用程式 - no-unsafe 不掃描潛在不安全的應用程式 - unwanted 掃描潛在不需要應用程式 - no-unwanted 不掃描潛在不需要應用程式 - pattern 使用簽章 - no-pattern 不使用簽章 - heur 啟用啟發式 - no-heur 停用啟發式 - adv-heur 啟用進階啟發式 - no-adv-heur 停用進階啟發式 清除 : - action = ACTION 針對受感染物件執行 處理方法 可用處理方法 : 無 清除 提示 - quarantine 將受感染檔案複製到隔離區 ( 補充 處理方法 ) - no-quarantine 不要複製受感染檔案到隔離區 防護記錄 : - log-file=file 將輸出記錄至 檔案 - log-rewrite 覆寫輸出檔 ( 預設值 - 附加 ) - log-all 一併記錄清除檔案 - no-log-all 不記錄清除檔案 ( 預設值 ) 掃描的可能結束代碼 : 0 - no threat found 1 - threat found but not cleaned 10 - some infected files remained archive error access error internal error 附註 : 大於 100 的結束代碼表示未掃描檔案, 檔案可能已受感染 30

31 效能 在本節中, 您可設定將用於掃描病毒的 ThreatSense 掃描引擎數量 多處理器電腦上的 ThreatSense 掃描引擎數量愈多, 掃描率就越高 可接受值為 1-20 如果沒有其他任何限制, 建議根據以下公式, 在 [ 電腦防護 ] > [ 病毒及間諜程式防護 ] > [ 效能 ] 的 [ 進階設定 ] 視窗 (F5) 中增加 ThreatSense 掃描引擎數目 :ThreatSense CPU = ( x 2) + 範例如下 1 : 以 含個實體 4 CPU 的伺服器為例 為達到最佳效能, 根據以上公式, 應該有 9 個掃描引擎 附註 : 僅在重新啟動後才會套用此處所做的變更 通訊協定過濾 POP3 及 HTTP 應用程式通訊協定的病毒防護由 ThreatSense 掃描引擎控制, 該引擎可密切地整合所有進階惡意程式掃描技術 無論是使用網際網路瀏覽器或電子郵件用戶端, 該控制 會自動運作 下列選項可用於通訊協定過濾如果選取 ( [ 啟用應用程式通訊協定內容過濾 ] 選項 ): HTTP 及 POP3 連接埠 - 將通訊的掃描限制於已知的 HTTP 及 POP3 連接埠 標記為網際網路瀏覽器及電子郵件用戶端的應用程式 - 啟用此選項只會過濾標記為瀏覽器的應用程式所進行的通訊 ([Web 存取防護 ] > [HTTP? HTTPS] > [Web 瀏覽器 ]) 及電子郵件用戶端 ([ 電子郵件用戶端防護 ] > [POP3? POP3s] > [ 電子郵件用戶端 ]) [ 連接埠及已標記為網路瀏覽器或電子郵件用戶端的應用程式 ] - 檢查連接埠及瀏覽器是否有惡意軟體 附註 : 從 Windows Vista Service Pack 1 與 Windows Server 2008 開始, 已經使用新的通訊過濾方法 因此,[ 通訊協定過濾 ] 區段已經不存在 SSL ESET File Security 能夠讓您檢查 SSL 通訊協定中封裝的通訊協定 對於使用信任的憑證 未知憑證或排除在 SSL 防護通訊檢查之外的憑證進行的 SSL 防護通訊, 您可以運用各種掃描模式 一律掃描 SSL 通訊協定 - 選取此選項可掃描所有 SSL 防護通訊, 但不 括排除在檢查之外的憑證所防護的通訊 如果使用未知的已簽署憑證建立新通訊, 則不會通知您出現此情況, 而且將自動過濾通訊 存取含有您標記為信任的不信任憑證 ( 新增至信任憑證清單 ) 在其中的伺服器時, 將允許對於伺服器的通訊, 並且將過濾通訊通道的內容 詢問未造訪的網站 ( 可以設定排除 ) - 如果您輸入新的 SSL 防護網站 ( 含有未知憑證 ), 則會顯示動作選取項目對話方塊 此模式可讓您建立將排除在掃描之外的 SSL 憑證列在其中的清單 不掃描 SSL 通訊協定 - 如果選取, 程式將不會掃描透過 SSL 的通訊 如果無法使用 信任的根憑證授權 儲存區驗證憑證 ([ 通訊協定過濾 ] > [SSL] > [ 憑證 ]): 詢問憑證有效性 - 提示您選取要採取的處理方法 封鎖使用憑證的通訊 - 終止與使用該憑證之網站的連線 如果憑證無效或損毀 ([ 通訊協定過濾 ] > [SSL] > [ 憑證 ]): 詢問憑證有效性 - 提示您選取要採取的處理方法 封鎖使用憑證的通訊 - 終止與使用該憑證之網站的連線 31

32 可信任的憑證 除了 ESET File Security 儲存信任的憑證在其中的整合 信任最高憑證管理中心 儲存區, 您也可以建立將信任的憑證列出的自訂清單, 在 [ 進階設定 ] (F5) > [ 通訊協定過濾 ] > [SSL] > [ 憑證 ] > [ 信任的憑證 ] 中即可檢視此清單 排除的憑證 [ 排除的憑證 ] 區段含有被視為安全的憑證 利用清單中的憑證進行加密通訊的內容將不會被掃描是否有威脅 我們建議您只排除保證安全的網站憑證, 以及使用這些憑證的通訊不需要接受檢查 Threat Sense 引擎參數設定 ThreatSense 是由複雜威脅偵測方法組成之技術的名稱 此技術是主動式的, 也就是說該技術也可在新威脅擴散的前幾個小時期間提供防護 其使用多種方法組合 ( 代碼分析 代碼模擬 一般資料庫 病毒資料庫 ), 共同合作以大幅增強系統安全性 掃描引擎可以同時控制數個資料串流, 以最大化效能及偵測率 ThreatSense 技術還可以順利解除 rootkit ThreatSense 技術設定選項可讓您指定數個掃描參數 : 要掃描的檔案類型及副檔名各種偵測方法的組合清除的等級等 若要進入設定視窗, 請按一下使用 ThreatSense 技術之模組設定視窗中的 [ 設定...] 按鈕 ( 如下所示 ) 不同的安全情況可能需要不同的設定 瞭解這一點之後, 就可針對下列防護模組, 分別進行 ThreatSense 配置 : 即時檔案系統防護系統啟動檔案檢查電子郵件防護 20 Web 存取防護 23 指定電腦掃描 每個模組的 ThreatSense 參數 已大幅最佳化, 其修改對系統作業有很大影 例如, 將參數變更為始終掃描 Runtime Packer, 或在即時檔案系統防護模組中啟用進階探索法可能會導致系統速度減慢 ( 通常, 使用這些方法僅掃描新建立的檔案 ) 因此, 除了指定電腦掃描之外, 我們建議您不要變更任何模組的預設 ThreatSense 參數 物件設定 [ 物件 ] 區段可讓您定義要掃描是否有入侵的電腦元件及檔案 [ 作業記憶體 ] - 掃描攻擊系統作業記憶體的威脅 開機磁區 - 掃描開機磁區的主要開機記錄中是否有病毒 32

33 檔案 - 掃描所有一般檔案類型 ( 程式 圖片 音訊檔 視訊檔 資料庫檔案等 ) 電子郵件檔案 - 掃描 含電子郵件訊息的特殊檔案 壓縮檔 - 掃描壓縮在壓縮檔 (.rar.zip.arj.tar 等 ) 中的檔案 自我解壓檔 - 掃描自我解壓檔中所 含且檔案副檔名一般為.exe 的檔案 Runtime Packer - 除了標準 態壓縮器 (UPX yoda ASPack FGS 等 ) 之外,Runtime Packer ( 不同於標準壓縮檔類型 ) 會在記憶體中解壓縮 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 選項 在 [ 選項 ] 區段中, 您可以選取在掃描系統是否有入侵時使用的方法 可用選項如下 : 簽章 - 簽章可以使用病毒資料庫按照名稱準確可靠地偵測及識別病毒 探索法 - 探索法是分析程式 ( 惡意 ) 活動的演算法 探索法偵測的主要優點是可以偵測之前不存在或不在已知病毒清單 ( 病毒資料庫 ) 中的新惡意軟體 進階啟發式 - 進階啟發式由 ESET 所開發的唯一啟發式演算法組成, 其經過最佳化以偵測電腦蠕蟲及特洛伊木馬, 並以高階程式設計語言所撰寫 由於進階啟發式, 程式的偵測能力大大地提高了 廣告程式 / 間諜程式 / 高風險程式 - 此類別 括未經使用 確認即收集各種敏感性資訊的軟體 此類別也 括顯示廣告資料的軟體 潛在不需要應用程式 - 潛在不需要應用程式不一定是惡意的, 但是會以負面方式影 電腦的效能 這些應用程式通常需要經過同意才能安裝 如果他們存在於您的電腦上, 系統的行為會有所不同 ( 相較於安裝前的狀態 ) 最明顯的變更 括 : 不需要的快顯視窗 啟動及執行隱藏的程序 增加系統資源的使用 搜尋結果中的變更, 以及與遠端伺服器通訊的應用程式 潛在不安全的應用程式 - 潛在不安全的應用程式是用於合法商業軟體的類別 其中 括遠端存取工具等程式, 因此預設停用此選項 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 33

34 清除 清除設定會決定在掃描器清除受感染檔案期間的行為 有 3 個清除層級 : 不清除 - 不會自動清除受感染的檔案 程式會顯示警告視窗並允許您選擇處理方法 標準清除 - 程式會嘗試自動清除或刪除受感染檔案 如果無法自動選取正確的處理方法, 則程式會提供後續處理方法的選項 無法完成預先定義的處理方法時, 也會顯示後續處理方法的選項 完全清除 - 程式會清除或刪除所有受感染檔案 ( 括壓縮檔 只有系統檔案例外 如果無法清除受感染的檔案 ), 則會在警告視窗中提供您可採取的處理方法 : 在 預設 模式中, 只有在壓縮檔中的所有檔案 受到感染時, 才會刪除整個壓縮檔 如果壓縮檔還 含合法檔案, 則不會刪除壓縮檔 如果在 完全清除 模式中偵測到受感染的壓縮檔, 則即使未感染檔案存在, 也會刪除整個壓縮檔 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 34

35 副檔名 副檔名是檔案名稱中以句點隔開的部份 副檔名定義檔案的類型及內容 ThreatSense 參數設定的此區段可讓您定義要掃描的檔案類型 依預設, 會掃描所有檔案, 無論其副檔名為何 可以將任何副檔名新增至從掃描中排除的檔案清單 如果取消勾選 [ 掃描所有檔案 ] 選項, 則清單會變更為顯示所有目前已掃描檔案的副檔名 使用 [ 新增 ] 及 [ 移除 ] 按鈕, 您可以啟用或禁止所需副檔名的掃描 若要啟用沒有副檔名的檔案掃描, 請選取 [ 掃描無副檔名的檔案 ] 選項 如果掃描某些檔案類型會造成使用副檔名的程式無法正常執行, 有時必須排除這種檔案不予掃描 例如, 使用 Microsoft Exchange 伺服器時, 可能建議排除.edb.eml 及.tmp 等副檔名 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 限制 [ 限制 ] 區段可讓您指定物件的大小上限, 以及要掃描的巢狀保存檔層級 : 物件大小上限 :- 定義要掃描的物件大小上限 然後, 給定的防毒模組只會掃描小於所指定大小的物件 我們不建議變更預設值, 因為通常沒有要修改預設值的理由 只有進階使用 基於特定的理由, 才應變更此選項來排除掃描較大物件 物件的掃描時間上限 ( 秒 ):- 定義掃描物件的時間值上限 如果已在這裡輸入使用 定義的值, 則當該時間到期, 防毒模組會停止掃描物件, 無論掃描是否完成 壓縮檔巢狀層級 :- 指定壓縮檔掃描的深度層級上限 我們不建議變更預設值 10; 在正常情況下, 應該沒有要修改預設值的理由 如果由於巢狀壓縮檔的數目而提前結束掃描, 則壓縮檔會保持未檢查狀態 壓縮檔中檔案的大小上限 :- 此選項可讓您指定要掃描的壓縮檔中, 所 含檔案的大小上限解壓縮時 ( ) 如果這導致壓縮檔掃描提前結束, 則壓縮檔會保持未檢查狀態 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 35

36 其他 掃描替代資料串流 (ADS) - NTFS 檔案系統使用的替代資料串流 (ADS) 是使用一般掃描技術無法看到的檔案及資料夾關聯 許多入侵會透過將自己 裝為替代資料串流來嘗試躲避偵測 以低優先順序執行背景掃描 - 每個掃描序列 會消耗大量的系統資源 如果處理的程式佔有大量的系統資源, 則可以啟動低優先順序背景掃描, 從而節省應用程式的資源 記錄所有物件 - 如果已選取此選項, 則防護記錄檔會顯示所有已掃描的檔案 ( 括未受感染的檔案 ) 啟用智慧型最佳化 - 選取此選項, 以便不予重複掃描已掃描的檔案 ( 除非檔案已經過修改 ) 每次更新病毒資料庫之後, 會立即重新掃描檔案 保存最後一次的存取時間郵戳 - 選取此選項, 以保留掃描檔案的原始存取時間, 而不會更新該時間 ( 例如, 以用於資料備份系統 ) 捲動防護記錄 - 此選項可讓您啟用 / 停用防護記錄捲動 如果選取此選項, 資訊會在顯示視窗中向上捲動 在個別視窗中顯示掃描完成通知 - 開啟 含掃描結果資訊的獨立視窗 附註 : 當參數旁邊出現藍點時, 代表此參數目前的設定與其他使用 ThreatSense 的模組設定不同 您可以針對不同的模組設定相同的參數, 此藍點只是提醒您此相同的參數與其他模組設定不同 如果並未出現藍點, 表示所有模組的參數為相同設置 偵測到入侵 入侵可以從不同的進入點 網頁 共用資料夾透過電子郵件, 或從可移除的電腦裝置 (USB 外部磁碟 CD DVD 磁碟片等 ) 到達系統 如果您的電腦正在顯示惡意程式感染的信號 ( 例如, 速度更慢 頻繁凍結等 ), 我們建議您執行下列各項 : 開啟 ESET File Security, 然後按一下 [ 電腦掃描 ] 按一下 [ 智慧型掃描 ] ( 如需詳細資訊, 請參閱智慧型掃描 27 一節 ) 完成掃描之後, 請檢閱已掃描 受感染及已清除的防護記錄 如果您僅想要掃描磁碟的某一部分, 請按一下 [ 自訂掃描 ], 並選取要進行病毒掃描的目標 在此為了說明 ESET File Security 如何處理入侵, 請假設使用預設清除層級的即時檔案系統監視器偵測到入侵, 此時該監視器通常會嘗試清除或刪除檔案 如果沒有要針對即時防護模組採取的預先定義處理方法, 則會要求您在警告視窗中選取一個選項 通常, 可以使用 [ 清除 ] [ 刪除 ] 及 [ 保留 ] 選項 不建議選取 [ 保留 ], 因為此選項會以原貌保留受感染的檔案 但若您確定檔案無害, 只是因失誤而偵測為入侵, 則可破例選用此選項 清除及刪除 - 如果已將惡意代碼連接至檔案的病毒已攻擊檔案, 則套用清除 如果是這種情況, 則請先嘗試清除受感染的檔案, 以將其還原為原始狀態 如果該檔案僅由惡意程式碼組成, 則會刪除該檔案 36

37 如果受感染的檔案 已鎖定 或正由系統程序使用, 則通常只會在釋放之後才會刪除它 ( 通常在系統重新啟動後 ) 刪除壓縮檔中的檔案 - 在預設清除模式中, 壓縮檔只有在僅 含受感染的檔案而不 含未感染檔案時, 才會整個遭到刪除 ; 也就是說, 如果壓縮檔內還 含無害的未感染檔案, 就不會遭到刪除 也就是說, 如果壓縮檔還 含無害的未感染檔案, 則不會進行刪除 不過, 執行完全清除掃描時請小心, 因為執行完全清除, 當壓縮檔內含有至少一個受感染的檔案時, 即會刪除壓縮檔, 無論壓縮檔中其他檔案的狀態為何 4.3 更新程式 定期更新 ESET File Security 是維持最高層級安全性的基本前提 更新 模組會透過兩種方式來確保程式永遠為最新 - 更新病毒資料庫及更新系統元件 從主要功能表中按一下 [ 更新 ] 可以尋找目前更新狀態, 括最後的成功更新日期與時間, 並在需要時更新 主要視窗內也含有病毒資料庫版本 此數字指示是連往 ESET 網站的有效連結, 而網站中會列出特定更新中新增的所有簽章 此外, 其中有手動啟動更新程序的選項 - [ 更新病毒資料庫 ] - 可供使用, 以及諸如使用 名稱及密碼的基本更新設定選項, 以存取 ESET 更新伺服器 使用 [ 產品啟動 ] 連結可開啟登錄表單, 這會啟動 ESET 安全性產品, 並且將含有驗證資料 ( 使用 名稱及密碼 ) 的電子郵件寄送給您 37

38 38 附註 : 購買 ESET File Security 後,ESET 會提供使用 名稱和密碼

39 4.3.1 更新設定 更新設定區段指定更新來源資訊, 如更新伺服器及這些伺服器的驗證資料 依預設,[ 更新伺服器 ] 下拉式功能表設定為 [ 自動選擇 ], 確保自動從 ESET 伺服器以最小網路流量自動下載更新檔案 從 [ 更新 ] 下的 [ 進階設定 ] 樹狀目錄 (F5 鍵 ) 可取得更新設定選項 透過 [ 更新伺服器 ] 下拉式功能表即可存取可用更新伺服器的清單 若要新增更新伺服器, 請按一下 [ 更新已選擇的設定檔的設定 ] 區段中的 [ 編輯...], 然後按一下 [ 新增 ] 按鈕 更新伺服器的驗證是根據在購買後產生並傳送給您的 [ 使用 名稱 ] 與 [ 密碼 ] 更新設定檔 對於各種更新配置及工作, 可建立更新設定檔 建立更新設定檔對於行動使用 尤其有用, 行動使用 可以為定期變更的網際網路連線內容建立替代設定檔 [ 選取的設定檔 ] 下拉式功能表會顯示目前選取的設定檔, 預設是設定為 [ 我的設定檔 ] 若要建立新設定檔, 請按一下 [ 設定檔...] 按鈕, 然後按一下 [ 新增...] 按鈕, 並輸入您自己的 [ 設定檔名稱 ] 建立新設定檔時, 您可以從 [ 從設定檔複製設定 ] 下拉式功能表中選取現有設定檔, 以複製其中的設定 39

40 在設定檔設定視窗中, 您可以從可用伺服器清單指定更新伺服器, 也可以新增伺服器 透過 [ 更新伺服器 ] 下拉式功能表即可存取現有更新伺服器的清單 : 若要新增更新伺服器, 請按一下 [ 更新已選設定檔的設定 ] 區段中的 [ 編輯...], 然後按一下 [ 新增 ] 按鈕 進階更新設定 若要檢視進階更新設定, 請按一下 [ 設定...] 按鈕 進階更新設定選項 含 [ 更新模式 ] [HTTP Proxy] [LAN] 及 [ 映像 ] 的配置 更新模式 [ 更新模式 ] 索引標籤 含程式元件更新相關的選項 在 [ 程式元件更新 ] 區段中, 可用的三個選項如下 : [ 絕不更新程式元件 ]: 將不下載新程式元件更新 [ 一律更新程式元件 ]: 將自動進行新程式元件更新 [ 下載程式元件前詢問 ]: 預設選項 將提示您確認或拒絕提供使用的程式元件更新 程式元件更新之後, 可能需要重新啟動電腦, 以提供所有模組的完整功能 [ 程式元件升級後重新啟動 ] 區段可讓您選取下列選項的其中一個 : 不要重新啟動電腦 必要時重新啟動電腦 必要時不通知即重新啟動電腦 預設選項為 [ 必要時重新啟動電腦 ] 選取最適當的選項需視將套用設定的工作站而定 請注意, 工作站與伺服器之間有區別, 例如, 程式升級後自動重新啟動伺服器會導致嚴重損毀 40

41 Proxy 伺服器 在 ESET File Security 中,Proxy 伺服器位於 [ 進階設定 ] 樹狀目錄的兩個不同區段中 首先, 在 [ 其他選項 ] > [Proxy 伺服器 ] 下可配置 Proxy 伺服器設定 在這個等級指定 Proxy 伺服器, 會定義所有 ESET File Security 的全域 Proxy 伺服器設定 需連線到網際網路的所有模組, 會使用這裡設定的參數 若要指定此層級的 Proxy 伺服器設定, 請選取 [ 使用 proxy 伺服器 ] 核取方塊, 然後將 Proxy 伺服器的位址及 Proxy 伺服器 [ 連接埠 ] 號碼輸入 [Proxy 伺服器 :] 欄位中 如果與 Proxy 伺服器之間的通訊需要驗證, 請選取 [Proxy 伺服器需要驗證 ] 核取方塊, 並將有效的 [ 使用 名稱 ] 及 [ 密碼 ] 輸入各自的欄位中 按一下 [ 偵測 Proxy 伺服器 ] 按鈕, 以自動偵測和插入 Proxy 伺服器設定 將複製 Internet Explorer 中指定的參數 附註 : 此功能不會擷取驗證資料 ( 使用 名稱及密碼,) 而必須由您提供 在 [ 進階更新設定 ] 中也可建立 Proxy 伺服器設定 此設定適用於指定的更新設定檔 您可以按一下 [ 進階更新設定 ] 中的 [HTTP Proxy] 索引標籤,, 以存取 Proxy 伺服器設定選項指定的更新設定檔 其中將有以下三個選項的其中一個 : 使用全域 Proxy 伺服器設定值 不使用 Proxy 伺服器 透過 Proxy 伺服器連線 ( 連線內容定義的連線 ) 選取 [ 使用全域 Proxy 伺服器設定值 ] 選項將使用已經在 [ 進階設定 ] 樹狀目錄的 [ 其他選項 ] > [Proxy 伺服器 ] 子目錄中指定的 Proxy 伺服器配置選項 ( 如本文章開端所述 ) 41

42 選取 [ 不使用 Proxy 伺服器 ] 選項可明確定義不使用任何 Proxy 伺服器更新 ESET File Security 如果應該使用 Proxy 伺服器更新 ESET File Security, 而且該 Proxy 伺服器不同於全域設定中指定的 Proxy 伺服器 ([ 其他選項 ] > [Proxy 伺服器 ]), 則應該選取 [ 透過 Proxy 伺服器連線 ] 選項 若是如此, 則應該在其中指定設定 :[Proxy 伺服器 ] 位址 通訊 [ 連接埠 ], 以及 Proxy 伺服器的 [ 使用 名稱 ] 及 [ 密碼 ] ( 若有必要 ) 如果並未全域設定 Proxy 伺服器設定, 但是 ESET File Security 將連接至 Proxy 伺服器進行更新, 則也應該選取此選項 Proxy 伺服器的預設值為 [ 使用全域 Proxy 伺服器設定值 ] 42

43 連線至區域網路 ( LAN) 從使用 NT 型作業系統的本機伺服器更新時, 預設需要每個網路連線的驗證 大多數情況下, 本機系統帳戶不具有存取映像資料夾 ( 映像資料夾 含更新檔案的副本存取權限 如果是這種情況 ), 請在更新設定區段中輸入使用 名稱及密碼, 或 指定程式將存取更新伺服器 ( 映像 ) 的現有帳戶 若要配置這類帳戶, 請按一下 [ 區域網路 (LAN)] 索引標籤 [ 連接到區域網路 ] 區段提供 [ 系統帳戶 ( 預設 )] ] 及 [ 指定使用 ] 選項 [ 現有使用 選取 [ 系統帳戶 ( 預設 )] 選項, 以使用系統帳戶來驗證 通常, 如果主要更新設定區段中沒有提供任何驗證資料, 則不會發生驗證程序 若要確保程式授權其自己使用目前登入的使用 帳戶, 請選取 [ 現有使用 ] 此解決方案的缺點是如果目前沒有任何使用 登入, 則程式無法連接至更新伺服器 如果您想要程式使用特定使用 帳戶來驗證, 請選取 [ 指定使用 ] : 選取 [ 現有使用 ] 或 [ 指定使用 ] 選項時, 如果將程式身分變更為所需使用, 則可能會發生錯誤 我們建議將區域網路 (LAN) 驗證資料插入主要更新設定區段 在此更新設定區段中, 驗證資料輸入應該如下所示 : 網域名稱 \ 使用 如果 ( 是工作群組, 請輸入工作群組名稱 \ 名稱 ) 及密碼 當從本機伺服器 HTTP 版本更新時, 不需要驗證 43

44 建立更新副本 - 映像 ESET File Security 可讓您建立更新檔案的副本, 可用於更新網路中的其他工作站 從映像更新用戶端工作站會最佳化網路負載平衡, 節省網際網路連線頻寬 本機映像伺服器的配置選項可從 [ 進階更新設定 ] 區段存取 ( 在 ESET File Security [ 進階設定 ] 區段中的授權管理程式新增有效的授權金鑰後 ): 若要存取此區段, 請按 F5 並且按一下 [ 進階設定 ] 樹狀目錄中的 [ 更新 ], 然後按一下 [ 進階更新設定 ] 旁邊的 [ 設定...] 按鈕 : 並選取 [ 映像 ] 索引標籤 ) 配置映像的第一個步驟是選取 [ 建立更新映像 ] 選項 選取此選項會啟動其他映像配置選項, 例如存取更新檔案的方式及映像檔案的更新路徑 映像啟動的方法在 從映像更新 44 一節中有詳細說明 請注意, 現在有存取映像的兩個基本方法 - 含有更新檔案的資料夾可以顯示為共用網路資料夾或 HTTP 伺服器 專用於儲存映像更新檔案的資料夾定義於 [ 儲存映像檔案的資料夾 ] 區段 按一下 [ 資料夾...] 以瀏覽本機電腦或共用網路資料夾上的資料夾 如果需要指定資料夾的授權, 必須在 [ 使用 名稱 ] 及 [ 密碼 ] 欄位中提供驗證資料 使用 名稱及密碼的輸入格式應為 / 或 / 請記得提供對應的密碼 配置映像時, 您也可以指定要下載更新副本的語言版本 語言版本設定可從 [ 檔案 ] - [ 可用版本 :] 區段存取 從映像更新 現在有配置映像的兩個基本方法 - 含有更新檔案的資料夾可以顯示為共用網路資料夾或 HTTP 伺服器 使用內部 HTTP 伺服器存取映像 此組態是預先定義程式配置中指定的預設值 若要允許使用 HTTP 伺服器存取映像, 請瀏覽至 [ 進階更新設定 ] ([ 映像 ] 索引標籤 ), 並選取 [ 建立更新映像 ] 選項 在 [ 映像 ] 索引標籤的 [ 進階設定 ] 區段中, 您可以指定 HTTP 伺服器將接聽的 [ 伺服器連接埠 ], 以及 HTTP 伺服器使用的 [ 驗證 ] 類型 依預設, 伺服器連接埠是設定為 2221 [ 驗證 ] 選項定義用於存取更新檔案的驗證方法 可用選項如下 :[ 無 ] [ 基本 ] 及 [NTLM] 選取 [ 基本 ] 以使用具有基本使用 名稱及密碼驗證的 base64 編碼 [NTLM] 選項提供使用安全編碼方法的編碼 對於驗證, 會使用共用更新檔案之工作站上建立的使用 預設值為[ 無 ], 這會授與對無需驗證之更新檔案的存取權 : 如果您想要允許透過 HTTP 伺服器的更新檔案存取, 則映像資料夾必須位於 ESET File Security 實例建立它時所在的電腦 44

45 配置映像完成之後, 請移至工作站並新增更新伺服器, 格式為 若要執行此處理方法, 請遵循以下步驟 : 開啟 ESET File Security [ 進階設定 ], 並按一下 [ 更新 ] 子目錄 按一下 [ 更新伺服器 ] 下拉式功能表旁邊的 [ 編輯...], 並新增伺服器, 使用格式如下 : address_of_your_server:2221 從更新伺服器清單中選取新增的伺服器 透過系統共用存取映像 首先, 應該在本機或網路裝置上建立共用資料夾 建立映像資料夾時, 必須為將更新檔案儲存到資料夾的使用 提供 寫入 存取權, 並且為將從映像資料夾更新 ESET File Security 的所有使用 提供 讀取 存取權 然後, 停用 [ 透過內部 HTTP 伺服器提供更新檔案 ] 選項, 配置 [ 進階更新設定 ] 區段 ([ 映像 ] 索引標籤 ) 中的映像存取權 依預設, 會在程式安裝套件中啟用此選項 如果共用資料夾位於網路中的另一台電腦, 必須指定存取其他電腦的驗證資料 若要指定驗證資料, 請開啟 ESET File Security [ 進階設定 ] (F5), 然後按一下 [ 更新 ] 子目錄 按一下 [ 設定...] 按鈕, 然後按一下 [ 區域網路 (LAN)] 索引標籤 此設定與連線至區域網路 (LAN) 43 一章所說明的更新相同 映像配置完成之後, 繼續到工作站, 將 \\UNC\PATH 設定為更新伺服器 使用以下步驟即可完成此 開啟 ESET File Security [ 進階設定 ], 然後按一下 [ 更新 ] 按一下 [ 更新伺服器 ] 旁邊的 [ 編輯...], 然後使用 \\UNC\PATH format 新增伺服器 從更新伺服器清單中選取新增的伺服器 附註 : 若要正常發揮功能, 映像資料夾的路徑必須指定為 UNC 路徑 從對應磁碟機的更新不會運作 疑難排解映像更新問題 大部分情況下, 導致從映像伺服器更新期間發生問題的一個或多個原因如下 :[ 映像 ] 資料夾選項的不正確指定 對 [ 映像 ] 資料夾資料的不正確驗證 對嘗試從映像下載更新檔案之本機工作站的不正確配置, 或以上原因的組合 以下提供從映像更新期間經常可能發生之問題的概觀 連接至映像伺服器時,ESET File Security 報告錯誤 - 可能的原因是本機工作站下載更新所在更新伺服器 ( 映像資料夾的網路路徑 ) 的指定不正確 若要驗證資料夾, 請按一下 Windows [ 開始 ], 並按一下 [ 執行 ], 然後插入資料夾名稱, 並按一下 [ 確定 ] 畫面上應該會顯示資料夾內容 ESET File Security 需要使用 名稱及密碼 - 可能由於更新區段中不正確的驗證資料 ( 使用 名稱及密碼所致 使用 ) 名稱及密碼用於授與更新伺服器 ( 程式更新位置 ) 的存取權 請確定驗證資料正確, 且以正確的格式輸入 例如, / 或 /, 以及對應的 密碼 如果 每個人 可以存取映像伺服器, 請注意這並不表示授與所存取權 每個人 不表示所有未授權的使用, 僅表示每個網域使用 可以存取資料夾 因此, 如果 每個人 可以 45

46 存取資料夾, 則更新設定區段中仍需要輸入網域使用 名稱及密碼 連接至映像伺服器時,ESET File Security 報告錯誤 - 封鎖定義用於存取 HTTP 版本映像之連接埠的通訊 如何建立更新工作 您可使用下列方式手動觸發更新 : 按一下主要功能表中的 [ 更新 ] 之後, 在顯示的主要視窗中按一下 [ 更新病毒資料庫 ] 更新還可以執行為排程工作 若要設定排程工作, 請按一下 [ 工具 ] > [ 排程器 ] 依預設, 會在 ESET File Security 中啟動下列工作 : 定期自動更新 撥號連線後自動更新 使用 登入後自動更新 各個更新工作 可以修改, 以滿足您的需求 除了預設更新工作之外, 您亦可利用使用 定義的配置來建立新的更新工作 如需建立及配置更新工作的詳細資料, 請參閱排程器 46 一節 4.4 工作安排精靈 如果已啟動 ESET File Security 的 進階 模式, 則可以使用排程器 您可在 [ 工具 ] 下方的 ESET File Security 主要功能表中找到 [ 排程器 ] 排程器 含所有已排程的工作及其配置內容例如預先定義的日期 時間 使用的掃描設定檔 ( ) 的清單 依預設, 下列已排程的工作會顯示在 [ 排程器 ] 中 : 定期自動更新撥號連線後自動更新使用 登入後自動更新自動啟動檔案檢查 ( 使用 登入後 ) 自動啟動檔案檢查 ( 成功更新病毒資料庫後 ) 46

47 若要編輯 ( 預設及使用 定義的現有已排程工作的配置 ), 請在工作上按一下滑鼠右鍵並按一下 [ 編輯...], 或選取想要修改的所需工作並按一下 [ 編輯...] 按鈕 排程工作的目的 排程器使用預先定義的配置與屬性管理及啟動排程工作 配置及屬性 含資訊, 如日期與時間, 以及工作執行期間要使用的指定設定檔 建立新工作 若要在 [ 排程器 ] 中建立新工作, 請按一下 [ 新增...] 按鈕, 或按一下滑鼠右鍵並從內容功能表中選取 [ 新增...] 有五種類型的排程工作可用 : 執行外部應用程式系統啟動檔案檢查建立電腦狀態快照指定電腦掃描更新 由於更新是其中一個最常用的排程工作, 因此我們將說明如何新增新的更新工作 從 [ 排程工作下拉式功能表 ]: 選取 [ 更新 ] 按 [ 下一步 ], 並且在 [ 工作名稱 ] 輸入工作的名稱 : 選取工作的頻率 可用選項如下 :[ 一次 ] [ 重複 ] [ 每日 ] [ 每星期 ] 與 [ 事件觸發 ] 系統會根據選取的頻率, 提示您不同的更新參數 接著, 定義排程期間無法執行或完成工作時要採取的處理方法 可用的三個選項如下所示 : 等到下一個排程的時間盡快執行工作如果距離上次執行工作的時間超過指定的時間間隔, 則立即執行工作 ( 可以使用 [ 工作間隔 ] 捲動方塊定義間隔 ) 在下一的步驟中, 會顯示目前排程工作資訊的摘要視窗 ; 應該會自動啟用 [ 以指定參數執行工作 ] 選項 按一下 [ 完成 ] 按鈕 隨即顯示對話方塊視窗, 可讓您選取用於排程工作的設定檔 在這裡, 您可以指定主要設定檔及替代設定檔 ( 用於使用主要設定檔無法完成工作的情況中 ) 按一下 [ 更新設定檔 ] 視窗中的 [ 確定 ] 確認 新排程工作將新增至目前排程工作清單 47

48 4.5 隔離區 隔離區的主要工作是安全地儲存受感染檔案 對於無法清除 無法安全刪除或不建議刪除的檔案, 或 ESET File Security 錯誤偵測到的檔案, 應該予以隔離 您可以選擇隔離任何檔案 如果檔案行為可疑, 但防毒掃描器沒有偵測到, 則建議進行隔離 您可將隔離的檔案提交至 ESET 威脅實驗室進行分析 可以在表格中檢視隔離區資料夾中儲存的檔案, 其顯示隔離的日期與時間 受感染檔案原始位置的路徑 大小 ( 以位元組為單位 ) 原因 ([ 由使用 新增...]), 以及威脅數量 ( 例如, 含多個入侵的壓縮檔 ) 隔離檔案 ESET File Security 會自動隔離刪除的檔案 ( 如果您尚未在警告視窗中取消此選項 ) 如果需要, 您可以按一下 [ 隔離...] 按鈕, 手動隔離任何可疑檔案 如果是這種情況的, 不會從原始位置移除原始檔案 內容功能表也可用於此目的 - 以滑鼠右鍵按一下 [ 隔離區 ] 視窗, 並選取 [ 新增...] 從隔離還原 隔離的檔案可還原至其原始位置 使用 [ 還原 ] 功能可達到此目的 [ 還原 ] 可從內容功能表取得, 方法是以滑鼠右鍵按一下 [ 隔離區 ] 視窗中的指定檔案 內容功能表也提供 [ 還原為 ] 選項, 可讓您將檔案還原到其原始刪除位置外的其他位置 附註 : 如果程式錯誤地隔離了無惡意檔案, 請在還原後從掃描中排除檔案, 並將該檔案傳送至 ESET 客戶服務 48

49 4.5.3 從隔離提交檔案 如果您已隔離程式未偵測到的可疑檔案, 或錯誤地將檔案評估為受感染 ( 例如以代碼的啟發式分析 ) 且因此隔離, 請將檔案傳送至 ESET 威脅實驗室 若要從隔離區提交檔案, 請以滑鼠右鍵按一下檔案, 並從內容功能表選取 [ 提交檔案以供分析 ] 49

50 4.6 防護記錄檔案 防護記錄 含所有已發生之重要程式事件的相關資訊, 並提供偵測到之威脅的概觀 在系統分析 威脅偵測及疑難排解方面, 防護記錄 是一項很重要的工具 防護記錄會主動在背景中執行, 不需使用 互動 系統會根據目前的防護記錄冗贅設定來記錄資訊 您可以直接從 ESET File Security 環境檢視文字訊息及防護記錄 從主要功能表中按一下 [ 工具 ] > [ 防護記錄檔案 ], 可存取防護記錄檔案 使用視窗頂端的 [ 防護記錄 :] 下拉式功能表, 選取所需的防護記錄類型 以下是可用的防護記錄 : [ 偵測到威脅 ] - 使用此選項, 可檢視與偵測入侵相關之事件的所有資訊, 除了指定電腦掃描偵測到的入侵 ( 這些事件會記錄在 [ 指定電腦掃描 ] 的防護記錄中 ) 事件 - 此選項專供系統管理員及使用 用來解決問題 ESET File Security 執行的所有重要處理方法 會記錄在 事件 防護記錄中 [ 指定電腦掃描 ] - 所有已完成的掃描結果 會顯示在此視窗中 按兩下任何項目, 以檢視各個指定掃描的詳情 在每個區段中, 選取項目並按一下 [ 複製 ] 按鈕, 可將顯示的資訊直接複製到剪貼簿 若要選取多個項目, 可使用 CTRL 及 SHIFT 鍵 50

51 4.6.1 防護記錄過濾 防護記錄過濾是相當實用的功能, 有助於尋找防護記錄檔案中的記錄, 尤其是有許多記錄而且不容易找尋所需的特定資訊時 使用過濾時, 您可以輸入要過濾 [ 什麼 ] 字串 指定 [ 瀏覽直欄 ] 選取 [ 記錄類型 ], 並設定 [ 時間 ], 以便減少記錄數 指定某些過濾選項時, 只有相關的記錄 ( 根據這些過濾選項 ) 會在 [ 防護記錄檔案 ] 視窗中顯示, 以供輕鬆快速存取 若要開啟 [ 防護記錄過濾 ] 視窗, 請在 [ 工具 ] > [ 防護記錄檔案 ] 中按 [ 過濾...] 按鈕一次, 或使用鍵盤捷徑 Ctrl + Shift + F 附註 : 若要搜尋特定記錄, 您可以使用在防護記錄中尋找 52, 也可以搭配使用 [ 防護記錄過濾 ] 功能 指定某些過濾選項時, 將在 [ 防護記錄檔案 ] 視窗中顯示相關的記錄 ( 根據這些過濾選項 ) 這將過濾 / 減少記錄, 便於您尋找所需的記錄 使用的過濾選項愈明確, 愈能縮小出現的結果範圍 什麼 : - 輸入字串 ( 整個單字或單字的一部分 ) 將僅顯示 含此字串的記錄 將不顯示記錄的其他部分, 以便於尋找辨識 瀏覽直欄 : - 選取過濾時將考慮哪些直欄 您可以勾選將用於過濾的一個或多個直欄 預設將勾選所有的直欄 : 時間模組事件使用 記錄類型 : - 讓您選擇要顯示哪些類型的記錄 您可以選擇一個特定的記錄類型 同時選擇多個類型, 或顯示所有的記錄類型 ( 預設 ): 診斷資訊警告錯誤嚴重 時間 : - 使用此選項可按照時間過濾記錄 您可以選擇下列其中一項 : 整個防護記錄 ( 預設 ) - 不按照時間過濾, 而顯示整個防護記錄前一天上一週上個月間隔 - 選取間隔時, 可指定確切的時間 ( 日期和時間 ), 以便顯示指定時間內的記錄 除了以上的過濾設定, 另外有幾個 [ 選項 ] 所有文字相符 - 僅顯示與 [ 什麼 ] 文字方塊中的整個單字相符的字串記錄 51

52 大小寫須相符 - 僅顯示與 [ 什麼 ] 文字方塊中的確切大寫相符的字串記錄 啟用智慧型過濾 - 使用此選項可讓 ESET File Security 以自身的方法執行過濾 一旦配置過濾選項完畢, 按 [ 確定 ] 按鈕即可套用過濾 [ 防護記錄檔案 ] 視窗只會顯示與過濾選項對應的記錄 在防護記錄中尋找 除了防護記錄過濾 51, 您可以使用防護記錄檔案中的搜尋功能, 不過您也可以在防護記錄過濾之外單獨使用此功能 搜尋防護記錄中特定的記錄時, 可使用此功能 和 [ 防護記錄過濾 ] 一樣, 此搜尋功能可協助找出您搜尋的資料, 尤其是有許多記錄的情況下 使用 [ 在防護記錄中尋找 ] 時, 您可以輸入要尋找 [ 什麼 ] 字串 指定 [ 瀏覽直欄 ] 選取 [ 記錄類型 ], 並設定 [ 時間 ], 以便在該段時間內搜尋記錄 指定某些搜尋選項時, 將在 [ 防護記錄檔案 ] 視窗中搜尋相關的記錄 ( 根據這些搜尋選項 ) 為了搜尋防護記錄, 請按 Ctrl + f 鍵開啟 [ 在防護記錄中尋找 ] 視窗 附註 : 您可以搭配防護記錄過濾過濾的記錄 51 使用 [ 在防護記錄中尋找 ] 功能 您可以先使用 [ 防護記錄過濾 ] 減少記錄數, 然後開始搜尋 什麼 : - 輸入字串 ( 整個單字或單字的一部分 ) 將僅尋找 含此字串的記錄 將忽略記錄的其他部分 瀏覽直欄 : - 選取搜尋時將考慮哪些直欄 您可以勾選將用於搜尋的一個或多個直欄 預設將勾選所有的直欄 : 時間模組事件使用 記錄類型 : - 讓您選擇要尋找哪些類型的記錄 您可以選擇一個特定的記錄類型 同時選擇多個類型, 或搜尋所有的記錄類型 ( 預設 ): 診斷資訊警告錯誤嚴重 時間 : - 使用此選項可搜尋特定時間內的記錄 您可以選擇下列其中一項 : 整個防護記錄 ( 預設 ) - 不搜尋時間內的記錄, 而搜尋整個防護記錄前一天上一週上個月間隔 - 選取間隔時, 可指定確切的時間 ( 日期和時間 ), 以便搜尋指定時間內的記錄 52

53 除了以上的尋找設定, 另外有幾個 [ 選項 ] 所有文字相符 - 僅尋找與 [ 什麼 ] 文字方塊中的整個單字相符的字串記錄 大小寫須相符 - 僅尋找與 [ 什麼 ] 文字方塊中的確切大寫相符的字串記錄 搜尋 - 從目前位置向上搜尋 一旦配置搜尋選項, 按一下 [ 尋找 ] 按鈕即可開始搜尋 找到第一個對應的記錄時, 搜尋便會停止 再次按一下 [ 尋找 ] 按鈕可進一步搜尋 此時會從目前的位置 ( 強調顯示的記錄 ) 由上至下搜尋防護記錄檔案 防護記錄維護 ESET File Security 的防護記錄配置可從主要程式視窗存取 按一下 [ 設定 ] > [ 進入完整的進階設定樹狀目錄...]> [ 工具 ] > [ 防護記錄檔案 ] 您可以指定下列用於防護記錄檔案的選項 : 自動刪除記錄 : 自動刪除超過指定天數的防護記錄項目 自動最佳化防護記錄 : 如果超出指定的未使用記錄百分比, 則將啟用自動重組防護記錄檔案 記錄最簡化 : 指定記錄冗贅層級 可用的選項為 : - 診斷記錄 - 程式微調需要的防護記錄資訊及上述所有記錄 - 資訊性記錄 - 記錄資訊性訊息, 含成功更新訊息及上述所有記錄 - 警告 - 記錄嚴重錯誤及警告訊息 - 錯誤 - 記錄 下載檔案時發生錯誤 訊息以及嚴重錯誤 - 嚴重警告 - 僅記錄嚴重錯誤 ( 啟動病毒防護時發生錯誤等 ) 53

54 4.7 ESET SysI nspect or ESET SysInspect or 簡介 ESET SysInspector 是一款可徹底檢查電腦, 並能以各種方法顯示收集之資料的應用程式 諸如安裝的驅動程式和應用程式 網路連線或重要的登錄項目等 能協助您調查可疑的系統行為, 探討行為的成因究竟是來自軟體或硬體不相容, 還是惡意程式感染 有兩種方法可存取 ESET SysInspector: 從 ESET Security 解決方案中整合的版本, 或從 ESET 的網站免費下載獨立的版本 (SysInspector.exe) 這兩種版本在功能方面完全相同, 而且有相同的程式控制項 唯一的差別在於管理輸出的方式 獨立的版本和整合的版本分別讓您將系統快照匯出為.xml 檔和儲存於磁碟 不過, 整合的版本可讓您將系統快照直接儲存於 [ 工具 ] > ESET SysInspector ( 除了 ESET Remote Administrator) 如需更多資訊, 請參閱 ESET SysInspector 是 ESET File Security 的一部分 64 一節 請等候 ESET SysInspector 掃描電腦 視硬體配置 作業系統和電腦上安裝的應用程式數而定, 這可能需要 10 秒到幾分鐘的時間 啟動 ESET SysInspect or 若要啟動 ESET SysInspector, 只要執行從 ESET 網站下載的 SysInspector.exe 執行檔即可 如果您已安裝任一款 ESET Security 解決方案, 可以直接從 [ 開始 ] 功能表執行 ESET SysInspector ([ 程式集 ] > [ESET] > ESET File Security) 請稍候等待應用程式檢查您的系統, 根據收集的硬體和資料, 檢查可能需要數分鐘的時間 使用 介面和應用程式用法 為了方便使用,[ 主視窗 ] 分成四個主要區段 - [ 程式控制 ] 位於 [ 主視窗 ] 的上方,[ 瀏覽 ] 視窗位於左側,[ 說明 ] 視窗位於右側中間,[ 詳情 ] 視窗則在右側位於 [ 主視窗 ] 下方 [ 防護記錄狀態 ] 區段列出防護記錄的基本參數 ( 使用的過濾器 過濾器類型 防護記錄是否為比較的結果等 ) 54

55 程式控制項 本小節 含 ESET SysInspector 中提供的所有程式控制項說明 檔案 按 [ 檔案 ], 您即可儲存您目前的系統狀態作為稍後調查之用, 或是開啟先前儲存的防護記錄 如果您要發行防護記錄, 我們建議您產生適合傳送的防護記錄 此形式的防護記錄將會省略機密資訊 ( 目前的使用 名稱 電腦名稱 網域名稱 目前的使用 權限 環境變數等 ) 附註 : 您可以開啟先前儲存的 ESET SysInspector 報告, 只要將報告拖放至 [ 主要 ] 視窗即可 樹狀結構 讓您可以展開或關閉所有節點, 並且可以將選取的區段匯出成 服務 腳本 清單 含可以在程式內更方便瀏覽的功能, 以及各式其他功能, 如線上尋找資訊 說明 含有關應用程式及其功能的資訊 詳情 此設定會影 主視窗 [ ] 中顯示的資訊, 讓資訊更方便使用 在 基本 模式下, 您可以存取用來尋找系統常見問題的解決方案資訊 在 中階 模式下, 程式會顯示不常使用的詳情 在 完整 模式下,ESET SysInspector 會顯示解決特定問題所需的所有資訊 項目過濾 項目過濾最適合用來尋找系統中的可疑檔案或登錄項目 透過調整滑桿, 您可以依據 風險層級 過濾項目 如果滑桿被設定至最左邊 ( 風險層級 1), 則所有項目 會顯示 藉由將滑桿移動至右邊, 程式會濾除所有風險低於目前 風險層級 的項目, 只出現比顯示的層級更可疑的項目 當滑桿移至最右邊, 程式僅顯示已知的有害項目 所有標示為風險 6 至 9 的項目 可能構成安全性風險 如果您不是使用 ESET 的安全解決方案, 在 ESET SysInspector 發現此類型的項目後, 我們建議您使用 ESET Online Scanner 掃描您的系統 ESET Online Scanner 是免費的服務 附註 : 透過比較項目的色彩和風險層級滑桿上的色彩, 您可以快速判斷項目的風險層級 搜尋 搜尋可以透過項目的名稱或部分名稱, 快速尋找特定的項目 搜尋要求的結果會顯示在 [ 說明 ] 視窗中 返回 按一下 [ 向後 ] 和 [ 向前 ] 箭號, 您可返回至先前 [ 說明 ] 視窗中顯示的資訊 您可以使用退格鍵和空白鍵取代按一下 [ 向後 ] 和 [ 向前 ] 狀態區段 顯示 [ 瀏覽 ] 視窗中目前的節點 以紅色反白顯示的項目是未知的, 這就是程式將其標記為潛在危險的原因 如果項目呈現紅色, 這不表示您可以理所當然地刪除該檔案 進行刪除前, 請確認檔案真的有危險性或是並非必要 55

56 在 ESET SysInspect or 中瀏覽 ESET SysInspector 將各種資訊類型分成數個稱為節點的基本區段 將每個節點展開至子節點, 就可以找到更多詳情 ( 如果有的話 ) 若要開啟或折疊節點, 連按兩下節點名稱或 按一下節點名稱旁的或 當您在 [ 瀏覽 ] 視窗中, 透過節點和子節點的樹狀結構進行瀏覽時, 您會發現 [ 說明 ] 視窗中會顯示每個節點的各種詳情 如果您在 [ 說明 ] 視窗中從頭到尾瀏覽項目, 則每個項目的其他詳情會顯示在 [ 詳情 ] 視窗中 以下說明有關 [ 瀏覽 ] 視窗的主節點, 以及 [ 說明 ] 視窗和 [ 詳情 ] 視窗的相關資訊 執行程序 此節點 含有關應用程式和程序在產生防護記錄時的資訊 在說明 [ ] 視窗中, 您會找到更多關於每個程序的詳情, 如程序使用的動態程式庫及其在系統中的位置 應用程式供應商的名稱和檔案的風險等級 [ 詳情 ] 視窗 含在說明 [ ] 視窗中所選取項目的其他資訊, 如檔案大小或雜湊 附註 : 作業系統由數種從不間斷執行的重要核心元件構成, 並提供其他使用 應用程式基本且必要的功能 在某些狀況下, 這樣的程序會顯示在工具 ESET SysInspector 中, 其檔案路徑以 \??\ 開始 那些符號提供程序啟動前的最佳化, 這個動作對系統無害 網路連線 [ 說明 ] 視窗 含使用瀏覽 [ ] 視窗中選取的通訊協定 (TCP 或 UDP), 透過網路進行通訊的程序和應用程式清單, 以及應用程式要連接的遠端位址 您也可以查看 DNS 伺服器的 IP 位址 [ 詳情 ] 視窗 含在說明 [ ] 視窗中所選取項目的其他資訊, 如檔案大小或雜湊 重要登錄項目 含已選取的登錄項目清單, 那些登錄項目通常與系統的各種問題有關, 如指定啟動程式 瀏覽器 Helper 物件 (BHO) 等 在 [ 說明 ] 視窗中, 您可以找到與特定登錄項目相關的檔案 您可以在 [ 詳情 ] 視窗中看到其他詳情 服務 [ 說明 ] 視窗 含登錄為 Windows 服務的檔案清單 您可以檢查服務設定啟動的方式, 並在 [ 詳情 ] 視窗中檢查檔案的特定詳情 驅動程式 安裝在系統上的驅動程式清單 重要檔案 [ 說明 ] 視窗顯示與 Microsoft Windows 作業系統相關的重要檔案內容 系統工作安排精靈工作 含由 Windows 工作排程器在指定的時間 / 間隔觸發的工作清單 系統資訊 含硬體和軟體的詳細資訊, 以及有關設定環境變數 使用 權限和系統事件防護記錄的資訊 檔案詳情 重要系統檔案和 [Program Files] 資料夾中檔案的清單 檔案特定的其他資訊可在 [ 說明 ] 視窗和 [ 詳情 ] 視窗中找到 關於 ESET SysInspector 版本及程式模組清單的資訊 56

57 鍵盤捷徑 使用 ESET SysInspector 時可使用的鍵盤捷徑 括 : 檔案 Ctrl+O Ctrl+S 開啟現有的防護記錄儲存已建立的防護記錄 產生 Ctrl+G Ctrl+H 產生標準電腦狀態快照產生電腦狀態快照可能也會記錄機密資訊 項目過濾 1 或 O 良好, 會顯示風險層級 1-9 的項目 2 良好, 會顯示風險層級 2-9 的項目 3 良好, 會顯示風險層級 3-9 的項目 4 或 U 未知, 會顯示風險層級 4-9 的項目 5 未知, 會顯示風險層級 5-9 的項目 6 未知, 會顯示風險層級 6-9 的項目 7 或 B 危險, 會顯示風險層級 7-9 的項目 8 危險, 會顯示風險層級 8-9 的項目 9 危險, 會顯示風險層級 9 的項目 - 降低風險層級 + 提高風險層級 Ctrl+9 過濾模式, 同等級或更高 Ctrl+0 過濾模式, 僅同等級 檢視 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 退格鍵空白鍵 Ctrl+W Ctrl+Q 依供應商, 所有供應商檢視依供應商檢視, 僅 Microsoft 依供應商, 所有其他供應商檢視顯示完整詳情顯示媒體詳情基本顯示往回移動一個步驟往前移動一個步驟展開樹狀結構收合樹狀結構 其他控制項 Ctrl+T 在搜尋結果中選取後, 移動至項目的原始位置 Ctrl+P 顯示關於項目的基本資訊 Ctrl+A 顯示關於項目的完整資訊 Ctrl+C 複製目前項目的樹狀結構 Ctrl+X 複製項目 Ctrl+B 在網際網路尋找有關選取檔案的資訊 Ctrl+L 開啟選取檔案所在的資料夾 Ctrl+R 在登錄編輯器中開啟對應的項目 Ctrl+Z 複製檔案的路徑 ( 如果項目與檔案相關的話 ) Ctrl+F 切換至搜尋欄位 Ctrl+D 關閉搜尋結果 Ctrl+E 執行服務腳本 57

58 比較 Ctrl+Alt+O 開啟原始 / 相較防護記錄 Ctrl+Alt+R 取消比較 Ctrl+Alt+1 顯示所有項目 Ctrl+Alt+2 僅顯示新增的項目, 防護記錄將顯示目前防護記錄中出現的項目 Ctrl+Alt+3 僅顯示移除的項目, 防護記錄將顯示先前防護記錄中出現的項目 Ctrl+Alt+4 僅顯示被取代的項目 ( 括檔案 ) Ctrl+Alt+5 僅顯示防護記錄間的相異之處 Ctrl+Alt+C 顯示比較 Ctrl+Alt+N 顯示目前的防護記錄 Ctrl+Alt+P 開啟先前的防護記錄 其他選項 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 檢視說明關閉程式不詢問直接關閉程式防護記錄統計 比較 比較 功能可以讓使用 比較兩份現有的防護記錄 此功能的結果是兩份防護記錄之間非共同的項目組 如果您要追蹤系統的變更, 此功能非常適合, 是您用來偵測惡意程式活動的有用工具 功能啟動後, 應用程式會建立新的防護記錄, 該防護記錄會在新的視窗中顯示 瀏覽到 [ 檔案 ] > [ 儲存防護記錄 ], 將防護記錄儲存至檔案 您可稍後再開啟和檢視防護記錄檔案 若要開啟現有的防護記錄, 請使用 [ 檔案 ] > [ 開啟防護記錄 ] 在主程式視窗中,ESET SysInspector 會一次顯示一份防護記錄 比較兩份防護記錄的好處是, 您可以同時檢視目前作用中的防護記錄, 以及另一份儲存成檔案的記錄 若要比較防護記錄, 請使用 [ 檔案 ] > [ 比較防護記錄 ] 選項, 然後選擇 [ 選取檔案 ] 選取的防護記錄會與主程式視窗作用中的防護記錄進行比較 相較防護記錄僅會顯示兩份防護記錄間的相異之處 附註 : 如果您要比較兩份防護記錄檔案, 請選取 [ 檔案 ] > [ 儲存防護記錄 ], 然後儲存成 ZIP 檔案 ; 如此會儲存兩個檔案 如果您稍後開啟這個檔案, 內含的防護記錄就會自動進行比較 在顯示的項目旁,ESET SysInspector 會顯示符號來識別兩份比較防護記錄間的相異之處 由標記的項目只能在作用中的防護記錄找到, 而不會在開啟的相較防護記錄中出現 由標記的項目只會出現在開啟的防護記錄中, 而不會在作用中的防護記錄找到 項目旁顯示的所有符號說明如下 : 先前防護記錄沒有的新值含有新值的樹狀結構區段只存在先前防護記錄中, 現已移除的值含有已移除之值的樹狀結構區段已變更的值 / 檔案含有已修改之值 / 檔案的樹狀結構區段風險層級已降低 / 先前防護記錄中的風險層級較高風險等級已增加 / 先前防護記錄中的風險等級較低 左下角顯示的解釋區段描述所有的符號, 也顯示正在進行比較的兩份防護記錄名稱 58

59 任何相較防護記錄 可以儲存成檔案, 並稍後再開啟 範例 產生並儲存防護記錄 ( 記錄關於系統的原始資訊 ) 至名為 previous.xml 的檔案 系統變更生效後, 開啟 ESET SysInspector 以產生新的防護記錄 將防護記錄儲存至名為 current.xml 的檔案 為追蹤兩份防護記錄間的變更, 瀏覽至 [ 檔案 ] > [ 比較防護記錄 ] 程式會建立相較防護記錄, 顯示防護記錄間的相異之處 如果您使用下列命令列選項, 您可以保存相同的結果 : SysIsnpector.exe current.xml previous.xml 命令列參數 ESET SysInspector 支援使用這些參數, 透過命令列產生報告 : /gen /privacy /zip /silent /help, /? 直接由命令列產生防護記錄, 而不執行 GUI 產生排除機密資訊的防護記錄以壓縮檔方式將結果防護記錄直接儲存至磁碟強制不顯示防護記錄的產生進度列顯示有關命令列參數的資訊 範例 若要將特定防護記錄直接載入至瀏覽器, 用法如下 :SysInspector.exe "c:\clientlog.xml" 若要在目前的位置產生防護記錄, 用法如下 :SysInspector.exe /gen 若要在特定的資料夾中產生防護記錄, 用法如下 :SysInspector.exe /gen="c:\folder\" 若要將防護記錄產生於特定的檔案 / 位置中, 用法如下 :SysInspector.exe /gen="c:\folder\mynewlog.xml" 若要以壓縮檔方式直接產生排除機密資訊的防護記錄, 用法如下 :SysInspector.exe /gen="c:\mynewlog.zip" /privacy /zip 若要比較兩份防護記錄, 用法如下 :SysInspector.exe "current.xml" "original.xml" 附註 : 如果檔案 / 資料夾名稱含有空格, 則檔案 / 資料夾名稱應放在引號內 59

60 4.7.4 服務腳本 服務腳本可以輕易從系統中移除不要的物件, 是能夠對使用 ESET SysInspector 之客戶提供協助的工具 服務腳本可以讓使用 匯出整個 ESET SysInspector 防護記錄, 或是使用 選取的部份 匯出後, 您可以標記不需要的部份以便進行刪除 然後, 您可以執行修改過的防護記錄以刪除標記的物件 服務腳本適用於已擁有診斷系統問題經驗的進階使用 不合格的修改可能會導致作業系統損害 範例 如果您懷疑您的電腦遭病毒感染, 而您的防毒程式卻未偵測到病毒, 請依照下列逐步說明執行 : 執行 ESET SysInspector 以產生新的系統快照 選取左邊 ( 在樹狀結構中 ) 區段中的第一個項目, 按下 Ctrl 然後選取最後一個項目以標記所有項目 以滑鼠右鍵按一下選取的物件, 並選取 [ 將選取的區段匯出成服務腳本 ] 內容功能表選項 選取的物件會匯出至新的防護記錄 這是整個程序中最重要的步驟 : 打開新的防護記錄, 針對所有要移除的物件, 將其 - 屬性變更成 + 請確認您沒有標記任何重要的作業系統檔案 / 物件 開啟 ESET SysInspector, 並且按一下 [ 檔案 ] > [ 執行服務腳本 ], 然後輸入腳本的路徑 按一下 [ 確定 ] 以執行腳本 產生服務腳本 若要產生腳本, 請在 ESET SysInspector 主視窗中以滑鼠右鍵按一下功能表樹狀結構 ( 左側窗格 ) 中的任何項目 接著在內容功能表中選取 [ 將所有區段匯出成服務腳本 ] 選項或 [ 將選取的區段匯出成服務腳本 ] 選項 附註 : 在比較兩份防護記錄時, 無法匯出服務腳本 服務腳本的結構 您可以在腳本檔頭的第一行發現引擎版本 (ev) GUI 版本 (gv) 及防護記錄版本 (lv) 的相關資訊 這些資料可讓您追蹤產生腳本之.xml 檔案中可能存在的變更, 以避免在執行期間發生任何不一致的情況 請勿改動腳本的此部分 檔案的其他部分可分為多個區段, 而這些區段中的項目是可編輯的項目 ( 表示將由腳本處理的項目 ) 將項目前的 "-" 字元取代為 "+" 字元可將項目標記為要處理的項目 腳本中的各個區段是以空白的文字行做為區隔 每個區段 有各自的編號和標題 01) 執行中的處理程序 此區段 含系統中所有執行之程序的清單 每個程序均可透過其 UNC 路徑及隨後之星號 (*) 間的 CRC16 雜湊碼加以識別 範例 : 01) Running processes: - \SystemRoot\System32\smss.exe *4725* - C:\Windows\system32\svchost.exe *FD08* + C:\Windows\system32\module32.exe *CF8A* [...] 在此範例中,module32.exe 程序已經過選取 ( 前端有 "+" 字元標記 ); 程序將在執行腳本後結束 02) 載入的模組 此區段可列出目前使用的系統模組 範例 : 02) Loaded modules: - c:\windows\system32\svchost.exe - c:\windows\system32\kernel32.dll + c:\windows\system32\khbekhb.dll - c:\windows\system32\advapi32.dll [...] 在此範例中,khbekhb.dll 模組前有 "+" 標記 執行腳本時, 腳本能使用該特定的模組來辨識程序及結束程序 60

61 03) TCP 連線 此區段含有和現有 TCP 連線相關的資訊 範例 : 03) TCP connections: - Active connection: : > :55320, owner: ekrn.exe - Active connection: : > :50006, - Active connection: : > :30606, owner: OUTLOOK.EXE - Listening on *, port 135 (epmap), owner: svchost.exe + Listening on *, port 2401, owner: fservice.exe Listening on *, port 445 (microsoft-ds), owner: System [...] 執行腳本時, 腳本能尋找已標記之 TCP 連線的通訊端擁有, 接著再停止通訊端以釋放系統資源 04) UDP 端點 此區段含有和現有 UDP 端點相關的資訊 範例 : 04) UDP endpoints: , port 123 (ntp) , port , port 4500 (ipsec-msft) , port 500 (isakmp) [...] 執行腳本時, 腳本能隔離已標記之 UDP 端點上的通訊端擁有, 然後再停止通訊端 05) DNS 伺服器項目 此區段含有和目前 DNS 伺服器配置相關的資訊 範例 : 05) DNS server entries: [...] 執行腳本時, 已標記的 DNS 伺服器項目會遭到移除 06) 重要登錄項目 此區段含有和重要登錄項目相關的資訊 範例 : 06) Important registry entries: * Category: Standard Autostart (3 items) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - HotKeysCmds = C:\Windows\system32\hkcmd.exe - IgfxTray = C:\Windows\system32\igfxtray.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - Google Update = "C:\Users\antoniak\AppData\Local\Google\Update\GoogleUpdate.exe" /c * Category: Internet Explorer (7 items) HKLM\Software\Microsoft\Internet Explorer\Main + Default_Page_URL = [...] 執行腳本時, 已標記的項目將遭到刪除 減少為 0 位元值或重設其預設值 要套用至特定項目的處理方法取決於項目類別和特定登錄中的機碼值 07) 服務 此區段可列出系統內的已登錄服務 61

62 範例 : 07) Services: - Name: Andrea ADI Filters Service, exe path: c:\windows\system32\aeadisrv.exe, state: Running, startup: Automatic - Name: Application Experience Service, exe path: c:\windows\system32\aelupsvc.dll, state: Running, startup: Automatic - Name: Application Layer Gateway Service, exe path: c:\windows\system32\alg.exe, state: Stopped, startup: Manual [...] 執行腳本時, 已標記之服務與其相依服務均會遭到停止及解除安裝 08) 驅動程式 此區段可列出已安裝的驅動程式 範例 : 08) Drivers: - Name: Microsoft ACPI Driver, exe path: c:\windows\system32\drivers\acpi.sys, state: Running, startup: Boot - Name: ADI UAA Function Driver for High Definition Audio Service, exe path: c:\windows\system32 \drivers\adihdaud.sys, state: Running, startup: Manual [...] 當您執行腳本時, 將停止選取的驅動程式 注意, 某些驅動程式無法停止 09) 重要檔案 此區段含有和作業系統的重要檔案相關的資訊 範例 : 09) Critical files: * File: win.ini - [fonts] - [extensions] - [files] - MAPI=1 [...] * File: system.ini - [386Enh] - woafont=dosapp.fon - EGA80WOA.FON=EGA80WOA.FON [...] * File: hosts localhost - ::1 localhost [...] 選取的項目將遭到刪除或重設為原始的值 執行服務腳本 標記所有需要的項目, 接著再儲存及關閉腳本 選取 [ 檔案 ] 功能表中的 [ 執行服務腳本 ] 選項可直接從 ESET SysInspector 主視窗執行編輯過的腳本 開啟腳本時, 程式會顯示下列訊息以資提示 : 您確定要執行服務腳本 %Scriptname% 嗎? 確認您選取的項目後, 畫面中會出現另一則警告, 通知您嘗試執行的服務腳本尚未經過簽署 按一下 [ 執行 ] 以啟動腳本 畫面中隨即會出現對話方塊視窗, 確認腳本已成功執行 如果腳本只能部分執行, 畫面中會出現對話方塊視窗並顯示下列訊息 : 已部分執行服務腳本 您想要檢視錯誤報告嗎? 選取 [ 是 ] 可檢視複雜的錯誤報告, 此報告會列出未執行的作業 如果腳本無法辨識, 畫面中會出現對話方塊視窗並顯示下列訊息 : 選取的服務腳本尚未經過簽署 執行未經簽署和未知的腳本會嚴重損害您的電腦資料 您確定要執行腳本及履行處理方法嗎? 這可能是由於腳本內容不一致所引 的損壞的 ( 標題 損壞的區段標題 遺失區段間的空白文字行等 ) 您可以重新開啟腳本檔案並修正腳本內容中的錯誤, 或建立新的服務腳本 62

63 4.7.5 常見問題 ESET SysInspector 需要管理員權限才能執行嗎? ESET SysInspector 不需要管理員權限即可執行, 然而收集的部分資訊需要透過管理員帳戶才能存取 以 標準的使用 或 限制的使用 執行將會導致收集到較少的作業環境資訊 ESET SysInspector 是否會建立防護記錄檔案? ESET SysInspector 可以建立您電腦配置的防護記錄檔案 若要儲存一份防護記錄檔案, 請選取主功能表的 [ 檔案 ] > [ 儲存防護記錄 ] 防護記錄會儲存成 XML 格式 依預設, 檔案會儲存至 %USERPROFILE%\My Documents\ 目錄, 檔案命名的慣例是 SysInpsector-%COMPUTERNAME%-YYMMDD-HHMM.XML 如果需要, 在儲存之前, 可以變更防護記錄檔案的位置和名稱 我如何檢視 ESET SysInspector 防護記錄檔案? 若要檢視由 ESET SysInspector 建立的防護記錄檔案, 請執行程式, 然後選取主功能表的 [ 檔案 ] > [ 開啟防護記錄 ] 您也可以拖放防護記錄檔案至 ESET SysInspector 應用程式 如果您必須經常檢視 ESET SysInspector 防護記錄檔案, 我們建議您在桌面上建立連結至 SYSINSPECTOR.EXE 檔案的捷徑, 您就可以拖放防護記錄檔案至捷徑以便進行檢視 基於安全性理由,Windows Vista/7 可能不允許在兩種不同安全性權限的視窗之間進行拖放 防護記錄檔案格式是否有可用的規格? 或是有 SDK? 目前為止, 由於程式仍在開發中, 所以暫不提供防護記錄檔案的規格書或是 SDK 程式上市後, 視客戶的意見和需求, 我們可能會提供這些服務 ESET SysInspector 如何評估由特定物件引 的風險? 在大多數的情況下,ESET SysInspector 使用一系列的啟發式規則指派物件 ( 檔案 程序 登錄機碼等等 ) 的風險層級 ; 規則會檢查每個物件的特性, 然後衡量惡意活動的潛在性 依據這些啟發式規則, 物件會被指派為 1 - 良好 ( 綠色 ) 至 9 - 危險 ( 紅色 ) 之間的風險層級 在左邊瀏覽窗格中, 區段的色彩會依據內含的最高風險層級物件而改變 風險層級 6 - 未知 ( 紅色 ) 是否意謂著物件是危險的? ESET SysInspector 的評定不能保證物件是惡意的, 測定必須由安全性專家進行 ESET SysInspector 的設計是為安全性專家提供快速評定, 因此專家才能知道系統上哪個物件需要進一步檢查異常行為 為什麼 ESET SysInspector 執行時會連線至網際網路? 就像許多應用程式一樣,ESET SysInspector 經過數位簽章 憑證 簽署, 藉以協助確認軟體由 ESET 發行, 未曾被改動過 為了確認憑證, 作業系統會聯繫憑證授權單位, 確認軟體發行 的身份 這是在 Microsoft Windows 下, 所有經過數位簽章程式的一般行為 什麼是反隱藏技術? 反隱藏技術提供有效的 Rootkit 偵測 如果系統遭 Rootkit 方式的惡意程式攻擊, 則使用 可能會暴露在資料遺失或遭竊的風險之中 如果沒有特殊的反 Rootkit 工具, 幾乎不可能偵測得到 Rootkit 為什麼有時候標記為 由 MS 簽署 的檔案同時間會有不同的 公司名稱 項目? 嘗試辨識可執行檔的數位簽章時,ESET SysInspector 會先檢查數位簽章是否內嵌在檔案內 如果找到數位簽章, 檔案將以該資訊進行驗證 如果找不到數位簽章,ESI 會開始尋找對應的 CAT 檔案 ( 安全性目錄 - %systemroot%\system32\catroot ), 其中 含有關可執行檔案處理的資訊 如果找到相關的 CAT 檔案, 該 CAT 檔案的數位簽章將會套用到可執行檔案的驗證程序 這就是為什麼有時候標記為 由 MS 簽署 的檔案, 公司名稱 項目不同的原因 範例 : Windows 2000 內含 HyperTerminal 應用程式, 位置是 C:\Program Files\Windows NT 主應用程式的可執行檔案未經數位簽署, 但是 ESET SysInspector 將其標記為由 Microsoft 簽署的檔案 其中的源由是因為 C:\WINNT\system32 \CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\sp4.cat 中的參考指向 C:\Program Files\Windows NT\hypertrm.exe 63

64 (HyperTerminal 的應用程式主要可執行檔案 ), 而 sp4.cat 是由 Microsoft 進行數位簽署的 ESET SysInspect or 是 ESET File Securit y 的一部份 若要開啟 ESET File Security 中的 ESET SysInspector 區段, 請按一下 [ 工具 ] > ESET SysInspector ESET SysInspector 視窗中的管理系統和電腦掃描防護記錄或已排程工作的管理系統類似 所有 括系統快照的作業建立 檢 - 視 比較 移除和匯出 - 只需要按一次或按兩次即可存取 ESET SysInspector 視窗 含有關已建立快照的基本資訊, 如建立時間 簡短註解 建立快照的使用 名稱和快照狀態 若要比較 建立或刪除快照, 請使用 ESET SysInspector 視窗中位於快照清單下方的對應按鈕 那些選項也可在內容功能表中使用 若要檢視選取的系統快照, 請使用內容功能表選項的 [ 顯示 ] 若要將選取的快照匯出至檔案, 以滑鼠右鍵按一下快照, 然後選取 [ 匯出...] 以下是可用選項的詳細說明 : [ 比較 ] - 允許您比較兩份現存的防護記錄 如果您要追蹤目前防護記錄和較舊防護記錄間的變更, 此功能非常適合 若要使此選項生效, 您必須選取兩份要進行比較的快照 [ 新建...] - 可建立新記錄 建立新記錄前, 您必須輸入有關記錄的簡短註解 若要瞭解 ( 目前產生的快照的 ) 快照建立的進度, 請參閱 [ 狀態 ] 直欄 所有已完成的快照會標記為 [ 已建立 ] 狀態 [ 刪除 / 全部刪除 ] - 從清單移除項目 匯出... - 將選取的項目儲存成 XML 檔案 ( 也可以是 ZIP 版本 ) 4.8 ESET SysRescue ESET SysRescue 是一套公用程式, 可讓您建立 含 ESET Security 解決方案其中之一的開機磁碟 - 可能是 ESET NOD32 Antivirus ESET Smart Security 或甚至某些伺服器導向的產品 ESET SysRescue 主要的優勢在於 ESET Security 解決方案能在主機作業系統外獨立執行, 並且可直接存取磁碟和整個檔案系統 因此它能夠移除一般無法刪除的入侵, 例如在作業系統執行時, 進行刪除動作等 最低需求 ESET SysRescue 可以在基於 Windows Vista 的 Microsoft Windows Preinstallation Environment (Windows PE) 2.x 版中執行 Windows PE 是免費套件 Windows Automated Installation Kit (Windows AIK) 或 Windows Assessment and Deployment Kit (Windows ADK) 的一部份, 因此在建立 ESET SysRescue ( 或 ( 之前, 必須先安裝 Windows AIK 或 ADK 安裝何種套件視在您的系統上所執行的作業系統版本而定 由於支援 32 位元版本 Windows PE 的緣故, 因此在 64 位元系統上建立 ESET SysRescue 時, 必須使用 32 位元的 ESET Security 安裝套件 ESET SysRescue 支援 Windows AIK 1.1 和 Windows ADK 及其更新版本 附註 : 由於 Windows AIK 檔案大小超過 1 GB, 而 Windows ADK 檔案大小超過 1.3 GB, 因此需要更快的網路連線速度使下載更加順暢 在 ESET Security 解決方案 4.0 版及更高版本中有提供 ESET SysRescue ESET SysRescue 支援下列作業系統 : Windows Server 2003 Service Pack 1 ( 含 KB926044) Windows Server 2003 Service Pack 2 Windows Server 2008 Windows Server 2012 Windows AIK 支援 : Windows Server 2003 Windows Server 2008 Windows ADK 支援 : Windows Server

65 4.8.2 如何建立救援光碟 若要啟動 ESET SysRescue 精靈, 請按一下 [ 開始 ] > [ 程式集 ] > [ESET] > [ESET File Security] > [ESET SysRescue] 首先, 精靈會檢查系統是否存在 Windows AIK 或 Windows ADK, 以及建立開機媒體的適當裝置 如果電腦未安裝 Windows AIK 或 Windows ADK ( 或, 已毀損或安裝不正確,) 精靈將會提供您選項進行安裝, 或是提供選項讓您輸入 Windows AIK 資料夾的路徑 ( 或 Windows ADK ( 附註 : 由於 Windows AIK 檔案大小超過 1 GB, 而 Windows ADK 檔案大小超過 1.3 GB, 因此需要更快的網路連線速度使下載更加順暢 下一個步驟 65 即為選取 ESET SysRescue 所在的目標媒體 目標選擇 除了 CD/DVD/USB 以外, 您可選擇以 ISO 檔案儲存 ESET SysRescue 您可以稍後再將 ISO 映像燒錄成 CD/DVD, 或是以其他方式使用 ( 如在虛擬環境下使用, 例如 VMware 或 VirtualBox) 如果您選取 USB 作為目標媒體, 開機功能可能無法在特定電腦上運作 有些 BIOS 版本可能會回報 BIOS 問題 - 開機管理員通訊 ( 如在 Windows Vista 上 ), 並結束開機同時顯示以下錯誤訊息 : 檔案 : \ boot \ bc d 狀態 : 0x c e 資訊 : 嘗試讀取開機配置資料時發生錯誤 如果您遇到這個訊息, 我們建議您選取 CD, 而不選取 USB 媒體 設定 始建立 ESET SysRescue 之前, 在 ESET SysRescue 精靈的最後一個步驟中, 安裝精靈會顯示編譯參數 按一下 [ 變更...] 按鈕可修改這些設定 可用的選項 括 : 資料夾 65 ESET Antivirus 66 進階 66 網際網路通訊協定 66 開機 USB 裝置 66 ( 如果已選取目標 USB 裝置 ) 燒錄 67 ( 如果已選取目標 CD/DVD 磁碟機 ) 在未指定 MSI 安裝套件或未在電腦中安裝 ESET Security 解決方案時,[ 建立 ] 按鈕會處於非作用中的狀態 若要選取安裝套件, 請按一下 [ 變更 ] 按鈕並前往 [ESET Antivirus] 索引標籤 此外, 如果您未填寫使用 名稱和密碼 [ 變更 ( ] > [ESET Antivirus]), [ 建立 ] 按鈕會呈現灰色狀態 資料夾 暫存資料夾是 ESET SysRescue 編譯期間所需檔案的工作目錄 ISO 資料夾是編譯完成後, 儲存結果 ISO 檔案的資料夾 此索引標籤中的清單顯示所有本機和對應的網路磁碟機, 以及其可用的空間 如果有部分資料夾所在的磁碟機空間不足, 我們建議您選取其他擁有較多可用空間的磁碟機 否則, 編譯可能會因為磁碟可用空間不足而提前結束 外部應用程式 - 可讓您指定從 ESET SysRescue 開機後將執行或安裝的其他程式 併入外部應用程式 - 可讓您將外部應用程式新增至 ESET SysRescue 編譯 選取的資料夾 - 將新增至 ESET SysRescue 磁碟的程式所在的資料夾 65

66 ESET Ant ivirus 若要建立 ESET SysRescue 光碟, 您可以選取兩個 ESET 檔案來源以供編譯器使用 ESS/EAV 資料夾 - 電腦上安裝 ESET Security 產品的資料夾中已 含的檔案 MSI 檔案 - 使用的 MSI 安裝程式中所 含的檔案 接下來, 您可以選擇更新 (.nup) 檔案的位置 通常, 您應該將 [ESS/EAV 資料夾 /MSI 檔案 ] 設定為預設選項 但在某些情況下, 您可以選擇自訂的 [ 更新資料夾 ], 例如使用較舊或較新的病毒資料庫版本 您可以在下列使用 名稱和密碼的兩個來源之中擇一使用 : 已安裝的 ESS/EAV - 將從目前已安裝的 ESET Security 複製使用 名稱和密碼 [ 來自使用 ] - 使用在對應文字方塊中輸入的使用 名稱和密碼 附註 : ESET SysRescue 光碟中的 ESET Security 解決方案可經由網際網路更新, 或經由安裝在電腦上的 ESET Security 解決方案更新, 而該電腦就是 ESET SysRescue 光碟執行的位置 進階設定 [ 進階 ] 索引標籤可讓您根據電腦中的記憶體數量最佳化 ESET SysRescue 光碟 選取 [576 MB 以上 ] 可將光碟內容寫入至作業記憶體 (RAM) 如果您選取 [ 少於 576 MB], 則在執行 WinPE 時, 可永久存取復原光碟 在 [ 外部驅動程式 ] 區段中, 您可以插入特定硬體的驅動程式 ( 通常是網路介面卡 ) 雖然 WinPE 是以支援多種硬體的 Windows Vista SP1 為依據, 但有時候也會出現硬體無法辨識的情形, 這時候就需要您手動新增驅動程式 將驅動程式引進 ESET SysRescue 編譯的方式有兩種 - 手動 ([ 新增 ] 按鈕 ) 和自動 ([ 自動搜尋 ] 按鈕 ) 若是手動引進, 您必須選取對應的.inf 檔案路徑 ( 適用的 *.sys 檔案亦必須存在此資料夾內 ) 若是自動引進, 則會自動在指定電腦的作業系統中找到驅動程式 我們建議您, 只有在使用 ESET SysRescue 的電腦與建立 ESET SysRescue 光碟的電腦網路介面卡相同時, 才使用自動引進 在建立期間,ESET SysRescue 驅動程式會引進至編譯, 因此您不必稍後再尋找驅動程式 網際網路通訊協定 此區段可讓您設置基本網路資訊, 並且設定 ESET SysRescue 之後的預先定義連線 選取 [ 自動私人 IP 定址 ], 自動從 DHCP ( 動態主機設定通訊協定 ) 伺服器取得 IP 位址 或, 此網路連線可以使用手動指定的 IP 位址 ( 也稱為 態 IP 位址 ) 選取 [ 自訂 ] 配置適當的 IP 設定 如果您選取此選項, 就必須指定 [IP 位址 ]; 如果使用的是 LAN 和高速網際網路連線, 則必須指定 [ 子網路遮罩 ] 請在 [ 慣用 DNS 伺服器 ] 和 [ 替代 DNS 伺服器 ] 中輸入主要及次要 DNS 伺服器的位址 開機 USB 裝置 如果您已選取 USB 裝置作為目標媒體, 您可以在 [ 開機 USB 裝置 ] 索引標籤中選取可用的裝置 ( 如果有更多 USB 裝置的話 ) 選取要安裝 ESET SysRescue 的適當目標 [ 裝置 ]k : 選取的 USB 裝置將在 ESET SysRescue 建立期間格式化 將刪除裝置上所有的資料 如果您選擇 [ 快速格式化 ] 選項, 則格式化會移除分割區的所有檔案, 但不會掃描磁碟是否含有毀損的磁區 如果您的 USB 裝置先前已經過格式化, 並且您確定裝置沒有損壞, 再使用此選項 66

67 燒錄 如果您已選取 CD/DVD 作為您的目標媒體, 您可以在 [ 燒錄 ] 索引標籤中指定其他燒錄參數 刪除 ISO 檔案 - 選取這個選項以在 ESET SysRescue 光碟建立後刪除暫存 ISO 檔案 已啟用刪除 - 可讓您選取快速消除或完整消除 燒錄裝置 - 選取要用來燒錄的磁碟 這是預設選項 如果使用的是可重新寫入 CD/DVD, 該 CD/DVD 中所有資料均會被消除 [ 媒體 ] 區段 含有關 CD/DVD 裝置中的媒體資訊 燒錄速度 - 從下拉式功能表中選取想要的速度 選取燒錄速度時, 燒錄裝置的能力和使用的 CD/DVD 類型應納入考量 使用 ESET SysRescue 若要使 CD/DVD/USB 有效運作, 您必須從 ESET SysRescue 開機媒體啟動電腦 開機優先順序可在 BIOS 中進行修改 或, 您可以在電腦啟動期間使用開機功能表通常使用 - F9 - F12 鍵的其中一個, 需視主機板 /BIOS 的版本而定 從開機媒體開機之後,ESET Security 解決方案會啟動 因為 ESET SysRescue 只能在特定情況下使用, 所以不需要使用 ESET Security 解決方案標準版本中的部分保護模組及程式功能 ; 其清單縮小為 [ 電腦掃描 ] [ 更新 ] 及 [ 設定 ] 中的部分區段 更新病毒資料庫的功能是 ESET SysRescue 最重要的功能, 建議您在開始電腦掃描前先更新程式 使用 ESET SysRescue 假設網路中的電腦已感染可修改執行檔 (EXE) 的病毒 除了即使在安全模式中也無法清除的 explorer.exe 之外,ESET Security 解決方案可清除所有感染的檔案 這是因為 explorer.exe 是 Windows 的基本處理程序之一, 也會在安全模式中啟動 ESET Security 解決方案將無法針對該檔案執行任何處理方法, 而且該檔案將持續受感染 在這種情況下, 可以使用 ESET SysRescue 解決問題 ESET SysRescue 不需要主機作業系統中的任何元件, 因此能夠處理 ( 清除 刪除 ) 磁碟中的任何檔案 4.9 使用 介面 ESET File Security 中的使用 介面配置選項可讓您調整工作環境以符合您的需要 從 ESET File Security 進階設定 [ ] 樹狀目錄的 [ 使用 介面 ] 子目錄可存取這些配置選項 在 [ 使用 介面元素 ] 區段中,[ 進階模式選項提供使用 切換至 進階模式 的功能 進階模式 會顯示 ESET File Security 更多的詳細設定與其他控制項 如果圖形元素減慢電腦執行的效能或導致其他問題, 則應該停用 [ 圖形使用 介面 ] 在視覺障礙 使用時也可能需要停用圖形介面, 因為它可能與用於閱讀畫面上所顯示文字的特殊應用程式相衝突 如果您要停用 ESET File Security 開機歡迎畫面, 請取消勾選 [ 啟動時顯示開機歡迎畫面 ] 選項 ESET File Security 主程式畫面的頂端為標準功能表, 可以根據 [ 使用標準功能表 ] 選項啟動或停用它 如果啟用 [ 顯示工具提示 ] 選項, 則將游標放到任何選項上時會顯示簡短說明 [ 選取作用中的控制項元素 ] 選項會造成系統強調顯示目前在滑鼠游標作用中區域下的任何元素 按一下滑鼠即可啟動強調顯示的元素 若要降低或提高動畫效果的速度, 請選取 [ 使用動畫效果的控制項 ] 選項, 然後左右移動 [ 速度 ] 滑動橫槓 若要啟用動畫效果的圖示顯示各種作業的進度, 請選取 [ 使用動畫效果的圖示指示進度 ] 選項 如果您想要程式在發生重大事件時發出聲音警告, 請使用 [ 使用聲音信號提示 ] 選項 67

68 68 [ 使用 介面 ] 功能也 含以密碼防護 ESET File Security 設定參數的選項 此選項位於 [ 使用 介面 ] 下的 [ 設定保護 ] 子功能表中 為了提供系統最大的安全性, 請務必正確地配置程式 未獲授權的修改可能會導致重要資料遺失 若要設定密碼防護設定參數, 請按一下 [ 設定密碼 ]

69 4.9.1 警告及通知 [ 使用 介面 ] 下的 [ 警告及通知設定 ] 區段可讓您配置在 ESET File Security 中如何處理威脅警告與系統通知 第一個項目是 [ 顯示警告 ] 停用此選項會取消所有警告視窗, 且僅適用於有限的指定情況中 對於大部分使用 而言, 建議保留此選項的預設值 ( 啟用 ) 若要在某段時間內自動關閉快顯視窗, 請選取 [ 自動關閉 提示訊息 ( 秒 )] 選項 如果不手動關閉這些視窗, 則指定時間到期後將自動關閉警告視窗 桌面及球形提示上的通知僅提供資訊, 不需要或不提供使用 介入 它們會顯示在畫面右下角的通知區域中 若要啟動顯示桌面通知, 請啟用 [ 於桌面顯示通知 ] 選項 按一下 [ 配置通知...] 按鈕可以修改更多詳細選項, 如通知顯示時間及視窗透明度 若要預覽通知行為, 請按一下 [ 預覽 ] 按鈕 若要配置球形提示顯示的持續時間, 請選取 [ 在工作列顯示提示時間 ( 秒 )] 按一下 [ 進階設定...] 進入 含 [ 只顯示需要使用 介入的通知 ] 的其他 [ 警告及通知 ] 設定選項 此選項可讓您開啟 / 關閉不需要使用 介入之警告及通知的顯示 選取 [ 只顯示在全螢幕模式中執行應用程式時需要使用 介入的通知 ] 強制不顯示所有非互動通知 從 [ 最簡化要顯示的事件 ] 下拉式功能表中, 您可以選取將顯示警告及通知 始嚴重性層級 此區段的最後一個功能可讓您配置多個使用 環境的通知目的地 在多個使用 [ 的系統中於此使用 的畫面中顯示通知 ]: 欄位可讓您定義哪些人將收到 ESET File Security 發出的重要通知 通常為系統或網路的管理員 如果將所有系統通知 傳送給管理員, 則此選項特別適用於終端機伺服器 停用終端機伺服器的 GUI 本章說明如何針對使用 工作階段期間在 Windows 終端機伺服器上執行的 ESET File Security 停用其 GUI 一般而言, 遠端使用 登入伺服器並建立終端機工作階段時,ESET File Security GUI 會啟動 這對於終端機伺服器通常是不必要的 如果您想要關閉終端機工作階段的 GUI, 請遵循下列步驟 : 1. 執行 regedit.exe 2. 瀏覽至 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3. 以滑鼠右鍵按一下值 egui, 然後選取 Modify 新增 /terminal 參數至現有字串的末端 69

70 以下為 egui 值資料的範例 : "C:\Program Files\ESET\ESET File Security\egui.exe" /hide /waitservice /terminal 如果您想要還原此設定, 並啟用 ESET File Security GUI 的自動啟動, 請移除 /terminal 參數 若要瀏覽至 egui 登錄值, 請重複步驟 1 至 eshell eshell ( ESET Shell 的簡稱 ) 是 ESET File Security 的命令列介面 它是圖形使用 介面 (GUI) 的替代選擇 eshell 擁有 GUI 一般提供的所有功能和選項 eshell 可讓您無需使用 GUI, 即可配置與管理整個程式 除了可提供所有 GUI 的功能與特性之外, 此介面也可以讓您透過執行腳本, 以自動配置 修改配置或執行處理方法 此外, 對於偏好使用命令列勝過 GUI 的使用 而言,eShell 也非常實用 本節將說明如何瀏覽及如何使用 eshell, 並且列出所有命令, 以及說明特定命令的用法及用途 eshell 可在兩種模式下執行 : 互動模式 - 當您想要使用 eshell ( 不只是執行單一命令 ) 進行工作時可使用此模式, 例如變更配置 檢視防護記錄等 如果您尚未熟悉所有命令, 也可以使用互動模式 互動模式可協助您更輕鬆地瀏覽 eshell 的內容 它也會告訴您在特定內容中可使用的命令 單一命令 / 批次模式 - 如果您只需要執行一個命令而不需要進入 eshell 互動模式, 可使用此模式 請從 Windows 命令提示字元輸入 eshell 和適當的參數來執行此模式 範例 : eshell set av document status enabled 附註 : 若要從 Windows 命令提示字元 執行 eshell 命令或執行批次檔案, 您必須先啟用此功能 ( 命令 set general access batch always 必須在互動模式中執行 ) 如需更多有關設定批次命令的詳細資訊, 請按一下這裡 74 若要進入 eshell 的互動模式, 您可以使用下列兩種方法其中之一 : 經由 Windows 開始 功能表 :[ 開始 ] > [ 程式集 ] > [ESET] > [ESET File Security] > [ESET shell] 從 Windows 命令提示字元, 輸入 eshell, 然後按下 Enter 鍵 當您第一次在互動模式中執行 eshell 時, 將顯示初次執行畫面 70

71 此畫面會顯示一些基本範例, 告訴您如何搭配語法 前置詞 命令路徑 縮寫形式 別名等方式使用 eshell 基本上, 這是 eshell 的快速入門指南 附註 : 如果您想在之後也顯示初次執行畫面, 請輸入 guide 命令 附註 : 命令不區分大小寫, 因此無論使用大寫或小寫 可執行命令 使用 語法指令必須使用正確的語法格式化才能運作, 並可由前置詞 內容 引數 選項等組成 這是適用於整個 eshell 的一般語法 : [<prefix>] [<command path>] <command> [<arguments>] 範例 ( 此命令會啟動文件防護 ): SET AV DOCUMENT STATUS ENABLED SET - 前置詞 AV DOCUMENT - 特定命令的路徑, 是此命令所隸屬的內容 STATUS - 命令本身 ENABLED - 命令的引數 使用 HELP 或? 與命令搭配使用可顯示該特定命令的語法 例如,CLEANLEVEL HELP 將顯示 CLEANLEVEL 命令的語法 : 語法 : [get] restore cleanlevel set cleanlevel none normal strict 您會發現 [get] 位於括弧內 這會指定前置詞 get 是 cleanlevel 命令的預設值 這表示當您執行 cleanlevel 且未指定任何前置詞時, 命令會確實使用預設的前置詞 ( 在此情況為 get cleanlevel). 使用無前置詞的命令可節省輸入的時間 通常 get 是大部分命令的預設前置詞, 但是您必須確定特定命令是使用何種預設前置詞, 而且該命令確實是您想要執行的命令 附註 : 命令不區分大小寫, 因此無論使用大寫或小寫 可執行命令 前置詞 / 作業前置詞是一項作業 該 GET 前置詞將提供您如何配置 ESET File Security 特定功能的資訊, 或顯示狀態 ( 例如 GET AV STATUS 將顯示目前的防護狀態 ) 該 SET 前置詞將配置功能或變更其狀態 (SET AV STATUS ENABLED 將啟動防護 ) 這些是 eshell 讓您使用的前置詞 命令可能或無法支援所有前置詞 : GET - 返回目前設定 / 狀態 SET - 設定值 / 狀態 SELECT - 選取項目 ADD - 新增項目 REMOVE - 移除項目 CLEAR - 移除所有項目 / 檔案 START - 啟用處理方法 STOP - 停用處理方法 PAUSE - 暫停處理方法 RESUME - 繼續使用處理方法 RESTORE - 還原預設設定 / 物件 / 檔案 SEND - 傳送物件 / 檔案 IMPORT - 從檔案匯入 EXPORT - 匯出至檔案 前置詞如 GET 和 SET 可與許多命令搭配使用, 但是某些命令, 例如 EXIT, 不使用前置詞 命令路徑 / 內容命令位於形成樹狀結構的內容中 此樹狀結構的最高層級是根 當您執行 eshell 時, 您是位於根層級 : eshell> 您可以從此處執行命令, 或是輸入內容名稱以在樹狀結構內瀏覽 例如, 當您輸入 TOOLS 內容時, 將會列出從此處可用的所有命令與子內容 71

72 黃色項目是您可以執行的命令, 而灰色項目是您可以輸入的子內容 子內容 含更多命令 如果您需要返回更高層級, 請使用.. ( 兩個點 ) 例如, 假設您在此處 : eshell av options> 再輸入.., 您將移至更高一個層級到 : eshell av> 或, 如果您想從 eshell av options> 返回根 ( 此位置比根低兩層級 ), 只需輸入.... ( 兩個點加上空格, 再加上兩個點 ) 透過執行此動作, 您將移至上兩個層級, 在此情況為根層級 無論您在內容樹狀結構的哪個層級, 可使用此動作 依需求使用適當數目的.., 以移至想要的層級 路徑與目前的內容相關 如果命令 含在現有內容, 請不要輸入路徑 例如, 若要執行 GET AV STATUS, 輸入 : GET AV STATUS - 如果您位在根內容 ( 命令列顯示 eshell>) GET STATUS - 如果您位在內容 AV ( 命令列顯示 eshell av>).. GET STATUS - 如果您位在內容 AV OPTIONS ( 命令列顯示 eshell av options>) 引數引數是專為特定命令所執行的處理方法 例如, 命令 CLEANLEVEL 可與下列引數搭配使用 : none - 不清除 normal - 標準清除 strict - 完全清除 另一個範例則是引數 ENABLED 或 DISABLED, 可用來啟用或停用特定功能 縮寫形式 / 簡短的命令 eshell 可讓您縮短內容 命令和引數 ( 假設引數是參數或替代選項 ) 您無法縮短具體值的前置詞或引數 ( 例如數字 名稱或路徑 ) 簡短形式的範例 : set status enabled => set stat en add av exclusions C:\path\file.ext => add av exc C:\path\file.ext 72

73 當兩個命令或內容以同樣的字母為開頭時, 例如 ABOUT 和 AV, 而且您輸入 A 作為簡短的命令時,eShell 將無法決定您要執行哪一個命令 系統將會顯示錯誤訊息, 並且列出以 A 為開頭的命令供您選擇 : eshell>a 下列不是唯一的命令 : a 下列命令皆可用於此內容 : ABOUT - 顯示關於程式的資訊 AV - 內容 av 的變更 透過新增一或多個字母 ( 例如 AB 而非只是 A) eshell 將執行 ABOUT 命令, 因為此命令現在是唯一的命令 附註 : 當您想確定命令是依照您所需方式執行時, 我們建議您不要縮寫命令 引數等, 請使用完整形式 如此命令將依照您所需方式執行, 而且可避免不必要的錯誤 批次檔案 / 腳本尤其如此 別名別名是替代名稱, 可用來執行命令 ( 假設已指派別名給命令 ) 下列有數種預設別名 : (global) help -? (global) close - 結束 (global) quit - 結束 (global) bye - 結束 warnlog - 工具防護記錄事件 virlog - 工具防護記錄偵測 (global) 表示命令可用於任何位置, 無論目前內容為何 一個命令可指派多個別名, 例如命令 EXIT 的別名有 CLOSE, QUIT 和 BYE. 當您想要結束 eshell 時, 您可以使用 EXIT 命令本身, 或任一別名 別名 VIRLOG 是命令 DETECTIONS 的別名, 此命令位於 TOOLS LOG 內容中 如此, 便可從 ROOT 內容使用偵測命令, 也因此更易於存取 ( 您不需要進入 TOOLS, 然後 LOG 內容, 而且可直接從下列位置執行 :ROOT). eshell 可讓您定義自己的別名 受密碼保護的命令有些命令會受到保護, 而且需要輸入密碼才能執行 指南當您執行 GUIDE 命令時, 系統會顯示初次執行畫面, 說明如何使用 eshell 此命令可從 ROOT 內容取得 (eshell>). 說明當單獨使用 HELP 命令時, 它會列出在目前內容中所有可用的命令, 以及前置詞和子內容 也會提供每個命令 / 子內容的簡短說明 當您將 HELP 作為引數與特定命令搭配使用時 ( 例如 CLEANLEVEL HELP), 它將提供該命令的詳情 它將顯示此命令的語法 作業 引數與別名, 以及各個項目的簡短說明 命令歷程 eshell 會保留先前已執行之命令的歷程 這只適用於目前的 eshell 互動工作階段 一旦您結束 eshell, 系統將捨棄命令歷程 使用鍵盤上的方向鍵 Up 和 Down 來瀏覽歷程 在您找到尋找的命令之後, 您無需自開頭輸入完整的命令便可再次執行此命令, 或是進行修改 CLS / 清除畫面該 CLS 命令可用來清除畫面 這與 Windows 命令提示字元或類似的命令列介面運作方式相同 EXIT / CLOSE / QUIT / BYE 若要關閉或結束 eshell, 您可以輸入任一命令 (EXIT, CLOSE, QUIT 或 BYE). 73

74 命令 本節會列出所有可用的 eshell 命令, 以及各個命令的說明 附註 : 命令不區分大小寫, 因此無論使用大寫或小寫 可執行命令 含在 [ 根 ] 內容中的命令 : 關於 列出關於程式的資訊 它會顯示已安裝產品的名稱 版本編號 已安裝的元件 ( 括每個元件的版本編號,) 以及執行 ESET File Security 所在的伺服器和作業系統的基本資訊 內容路徑 : root 批次 啟動 eshell 批次模式 這在執行批次檔案 / 腳本時非常實用, 因此我們建議您與批次檔案搭配使用 將 START BATCH 作為批次檔案或腳本的第一個命令, 以啟動批次模式 當您啟用此功能時, 系統不會提示互動輸入 ( 如輸入密碼 ), 而且會以預設值取代缺少的引數 這可確保批次檔案不會中途停止, 因為 eshell 預期使用 會執行一些動作 如此一來, 批次檔案便可不間斷地執行 ( 除非發生錯誤, 或是批次檔案中的命令不正確 ) 內容路徑 : root 語法 : [start] batch start - 啟動 eshell 批次模式 內容路徑 : root 範例 : start batch - 啟動 eshell 批次模式 指南 顯示初次執行畫面 內容路徑 : root 密碼 通常, 若要執行受密碼保護的命令時, 系統會基於安全性理由提示您輸入密碼 此規則適用於停用病毒防護及可能影 ESET File Security 功能的命令 系統將在您每次執行這類命令時, 提示您輸入密碼 然而, 若要避免每次輸入密碼, 您可以定義此密碼 eshell 將會記住此密碼, 而且在執行受密碼保護的命令時, 系統會自動使用此密碼 這表示您不需要每次輸入密碼 附註 : 定義的密碼僅適用於目前的 eshell 互動工作階段 一旦您結束 eshell, 系統將捨棄此定義的密碼 當您再次啟動 eshell 時, 您需要再次定義密碼 此定義的密碼在執行批次檔案 / 腳本時也非常實用 這類批次檔案的範例如下 : eshell start batch "&" set password plain <yourpassword> "&" set status disabled 上述串連的命令會啟動批次模式 定義將使用的密碼, 並停用防護 內容路徑 : 74

75 root 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 設定或清除密碼 restore - 清除密碼 引數 : plain - 切換將輸入的密碼作為參數 password - 密碼 範例 : set password plain <yourpassword> - 設定將用於受密碼保護之命令的密碼 restore password - 清除密碼 範例 : get password - 使用此命令來檢視是否已配置密碼 ( 只會顯示星號 *, 不會列出密碼本身 ), 沒有顯示星號時, 表示尚未設定密碼 set password plain <yourpassword> - 使用此命令來設定已定義的密碼 restore password - 此命令會清除已定義的密碼 狀態 顯示關於 ESET File Security 目前防護狀態的資訊 ( 類似 GUI) 內容路徑 : root 語法 : [get] restore status set status disabled enabled get - 顯示病毒防護狀態 set - 停用 / 啟用病毒防護 restore - 還原預設設定 引數 : disabled - 停用病毒防護 enabled - 啟用病毒防護 範例 : get status - 顯示目前的防護狀態 set status disabled - 停用防護 restore status - 將防護還原至預設設定 ( 已啟用 ) 75

76 VIRLOG 這是 DETECTIONS 命令的預設前置詞 當您需要檢視關於所偵測到入侵的資訊時, 可使用此命令 WARNLOG 這是事件命令的預設前置詞 當您需要檢視關於各種事件的資訊時, 可使用此命令 內容 - AV 反隱藏啟用反隱藏 語法 : [get] restore antistealth set antistealth disabled enabled enabled - 啟用功能 / 啟動設定清除層級清除層級 語法 : [get] restore cleanlevel set cleanlevel none normal strict none - 不清除 normal - 標準清除 strict - 完全清除排除排除 語法 : [get] clear exclusions add remove exclusions <exclusion> 76

77 add - 新增項目 remove - 移除項目引數 : exclusion - 排除的檔案 / 資料夾 / 遮罩副檔名已掃描 / 排除的副檔名 語法 : [get] restore extensions add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案自我防護自我防護 語法 : [get] restore selfdefense set selfdefense disabled enabled 停用 - 停用功能 / 停用設定 enabled - 啟用功能 / 啟動設定狀態病毒防護狀態 語法 : [get] restore status set status disabled enabled 77

78 get - 顯示病毒防護狀態 set - 停用 / 啟用病毒防護 disabled - 停用病毒防護 enabled - 啟用病毒防護 內容 - AV 文件清除層級清除層級 語法 : [get] restore cleanlevel set cleanlevel none normal strict none - 不清除 normal - 標準清除 strict - 完全清除副檔名已掃描 / 排除的副檔名 語法 : [get] restore extensions add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案整合 78

79 將文件防護整合至系統 語法 : [get] restore integration set integration disabled enabled enabled - 啟用功能 / 啟動設定狀態目前文件防護狀態 語法 : [get] restore status set status disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 文件限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> number - 層級從 1 到 20 或預設設定值 0 大小 79

80 壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小以 kb ( ) 為單位或預設設定值 內容 - AV 文件限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小以 kb ( ) 為單位或預設設定值 0 逾時壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> number - 時間以秒 (1-3600) 為單位或預設設定值 0 80

81 內容 - AV 文件物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled enabled - 啟用功能 / 啟動設定電子郵件掃描電子郵件檔案 語法 : [get] restore set disabled enabled 81

82 enabled - 啟用功能 / 啟動設定檔案掃描檔案 語法 : [get] restore file set file disabled enabled enabled - 啟用功能 / 啟動設定記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled 82

83 enabled - 啟用功能 / 啟動設定 SFX 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 文件選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定廣告程式廣告程式 / 間諜程式 / 高風險程式偵測 語法 : [get] restore adware set adware disabled enabled 83

84 enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled enabled - 啟用功能 / 啟動設定簽章使用簽章 語法 : [get] restore signatures set signatures disabled enabled enabled - 啟用功能 / 啟動設定不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled 84

85 enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 文件其他記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled restore - 還原預設設定 / 物件 / 檔案 85

86 引數 : enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件 處理方法 受感染郵件的處理方法 語法 : [get] restore action set action none delete movedeleted moveto restore - 還原預設設定 / 物件 / 檔案 引數 : none - 不進行處理 delete - 刪除郵件 movedeleted - 移到已刪除 moveto - 移到資料夾 用戶端 電子郵件用戶端 語法 : [get] clients add remove clients <path> add - 新增項目 remove - 移除項目 引數 : path - 應用程式路徑 附註 : 只在依應用程式進行過濾時, 才必須指定哪些應用程式將充當電子郵件用戶端 如果未將應用程式標示為電子郵件用戶端, 則可能不會掃描電子郵件 隔離區 受感染電子郵件資料夾 語法 : [get] restore quarantine set quarantine <string> 86

87 string - 資料夾名稱狀態電子郵件用戶端防護狀態 語法 : [get] restore status set status disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件一般清除層級清除層級 語法 : [get] restore cleanlevel set cleanlevel none normal strict none - 不清除 normal - 標準清除 strict - 完全清除副檔名已掃描 / 排除的副檔名 語法 : [get] restore extensions 87

88 add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案 內容 - AV 電子郵件一般限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> number - 層級從 1 到 20 或預設設定值 0 大小壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 88

89 內容 - AV 電子郵件一般限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 逾時壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> number - 時間 ( 以秒為單位 ) 或預設設定值 內容 - AV 電子郵件一般物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定 89

90 開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled enabled - 啟用功能 / 啟動設定電子郵件掃描電子郵件檔案 語法 : [get] restore set disabled enabled enabled - 啟用功能 / 啟動設定檔案掃描檔案 語法 : [get] restore file set file disabled enabled enabled - 啟用功能 / 啟動設定 90

91 記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled enabled - 啟用功能 / 啟動設定 SFX 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 91

92 內容 - AV 電子郵件一般選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定廣告程式廣告程式 / 間諜程式 / 高風險程式偵測 語法 : [get] restore adware set adware disabled enabled enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled 92

93 enabled - 啟用功能 / 啟動設定簽章使用簽章 語法 : [get] restore signatures set signatures disabled enabled enabled - 啟用功能 / 啟動設定不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled 93

94 enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件一般其他記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件郵件轉換純文字將電子郵件內文轉換為純文字 語法 : [get] restore plain set plain disabled enabled restore - 還原預設設定 / 物件 / 檔案 94

95 引數 : enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件修改範本新增到受感染郵件主旨的範本 語法 : [get] restore template set template [<string>] string - 文字 內容 - AV 電子郵件修改已接收內文將標籤訊息附加到已接收並已閱讀的郵件 語法 : [get] restore body set body never infected all never - 不新增 infected - 僅受感染郵件 all - 所有郵件主旨將附註附加到已接收 已傳送且受感染電子郵件的主旨 語法 : [get] restore subject set subject disabled enabled 95

96 enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件已傳送內文將標籤訊息附加到已接收並已閱讀的郵件 語法 : [get] restore body set body never infected all never - 不新增 infected - 僅受感染郵件 all - 所有郵件主旨將附註附加到已接收 已傳送且受感染電子郵件的主旨 語法 : [get] restore subject set subject disabled enabled enabled - 啟用功能 / 啟動設定 96

97 內容 - AV 電子郵件 OEXPRESS/ WINMAIL 整合整合至 Outlook Express 和 Windows Mail 語法 : [get] restore integration set integration disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件 OUTLOOK FORCEADDIN 在舊版的 Microsoft Outlook 中使用 COM 增益集 語法 : [get] restore forceaddin set forceaddin 2010newer 2007newer allversions 2010newer - Miscrosoft Outlook 2010 和更新版本 2007newer - Miscrosoft Outlook 2007 和更新版本 allversions - 所有 Microsoft Outlook 版本整合整合至 Microsoft Outlook 語法 : [get] restore integration set integration disabled enabled restore - 還原預設設定 / 物件 / 檔案 97

98 引數 : enabled - 啟用功能 / 啟動設定 SYNCFIX 解決 Microsoft Outlook 中的同步化衝突 語法 : [get] restore syncfix set syncfix <number> restore - 還原預設設定 / 物件 / 檔案 0 - 已停用,3 - 完全啟用, 其他可能值 內容 - AV 電子郵件 OUTLOOK 重新掃描 ONCHANGE 停用收件匣內容變更檢查 語法 : [get] restore onchange set onchange disabled enabled enabled - 啟用功能 / 啟動設定 Cont ext - AV 電子郵件通訊協定 POP3 相容性相容性設定 語法 : [get] restore compatibility set compatibility compatible both effective restore - 還原預設設定 / 物件 / 檔案 98

99 引數 : compatible - 最高相容性層級 both - 中等相容性層級 effective - 最佳效能 附註 : 在標準模式下, 並非所有電子郵件用戶端均可與 POP3 過濾結合並正常運作 下列設定允許調整相容性層級, 以解決潛在衝突 但是, 提高相容性層級可能會導致網際網路監視效能降低, 或無法利用其所有功能 連接埠 POP3 使用的連接埠 語法 : [get] restore ports set ports [<string>] restore - 還原預設設定 / 物件 / 檔案 引數 : string - 以逗號分隔的連接埠號碼 使用 檢查 POP3 語法 : [get] restore use set use disabled enabled restore - 還原預設設定 / 物件 / 檔案 引數 : enabled - 啟用功能 / 啟動設定 Cont ext - AV 電子郵件通訊協定 POP3S 相容性相容性設定 語法 : [get] restore compatibility set compatibility compatible both effective 99

100 restore - 還原預設設定 / 物件 / 檔案 引數 : compatible - 最高相容性層級 both - 中等相容性層級 effective - 最佳效能 附註 : 在標準模式下, 並非所有電子郵件用戶端均可與 POP3S 過濾結合並正常運作 下列設定允許調整相容性層級, 以解決潛在衝突 但是, 提高相容性層級可能會導致網際網路監視效能降低, 或無法利用其所有功能 模式 POP3S 過濾模式 語法 : [get] restore mode set mode none ports clients restore - 還原預設設定 / 物件 / 檔案 引數 : none - 不使用 POP3 通訊協定檢查 ports - 針對選取的連接埠使用 POP3S 通訊協定檢查 clients - 針對標記為使用所選取連接埠的電子郵件用戶端應用程式, 使用 POP3S 通訊協定檢查 連接埠 POP3S 使用的連接埠 語法 : [get] restore ports set ports [<string>] restore - 還原預設設定 / 物件 / 檔案 引數 : string - 以逗號分隔的連接埠號碼 100

101 內容 - AV 電子郵件重新掃描 ONUPDATE 更新後重複掃描 語法 : [get] restore onupdate set onupdate disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件掃描其他模組接受其他模組的掃描結果 語法 : [get] restore othermodules set othermodules disabled enabled enabled - 啟用功能 / 啟動設定純文字掃描純文字電子郵件內文 語法 : [get] restore plain set plain disabled enabled 101

102 enabled - 啟用功能 / 啟動設定已閱讀掃描已閱讀郵件 語法 : [get] restore read set read disabled enabled enabled - 啟用功能 / 啟動設定已接收掃描已接收郵件 語法 : [get] restore received set received disabled enabled enabled - 啟用功能 / 啟動設定 RTF 掃描 RTF 電子郵件內文 語法 : [get] restore rtf set rtf disabled enabled 102

103 enabled - 啟用功能 / 啟動設定已傳送掃描已傳送郵件 語法 : [get] restore sent set sent disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件 THUNDERBIRD 整合整合至 Mozilla Thunderbird 語法 : [get] restore integration set integration disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 電子郵件 WINLIVE 整合整合至 Windows Live Mail 語法 : [get] restore integration set integration disabled enabled 103

104 enabled - 啟用功能 / 啟動設定 內容 - AV 限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> number - 層級從 1 到 20 或預設設定值 0 大小壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 內容 - AV 限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> 104

105 number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 逾時壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> number - 時間 ( 以秒為單位 ) 或預設設定值 內容 - AV NETFILTER 自動啟動自動執行 HTTP 和 POP3 應用程式通訊協定內容過濾 語法 : [get] restore autostart set autostart disabled enabled enabled - 啟用功能 / 啟動設定排除從通訊協定過濾排除的應用程式 語法 : [get] excluded add remove excluded <path> add - 新增項目 remove - 移除項目 105

106 引數 : path - 應用程式路徑模式重新導向流量以進行過濾 語法 : [get] restore mode set mode ports application both ports - HTTP 及 POP3 連接埠 application - 已標記為網際網路瀏覽器或電子郵件用戶端的應用程式 both - 連接埠及已標記為網路瀏覽器或電子郵件用戶端的應用程式狀態啟用 HTTP 和 POP3 應用程式通訊協定內容過濾 語法 : [get] restore status set status disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV NETFILTER 通訊協定 SSL BLOCKSSL2 封鎖利用過時通訊協定 SSL 第 2 版的加密通訊 語法 : [get] restore blockssl2 set blockssl2 disabled enabled 106

107 enabled - 啟用功能 / 啟動設定例外套用根據憑證建立的例外 語法 : [get] restore exceptions set exceptions disabled enabled enabled - 啟用功能 / 啟動設定模式 SSL 過濾模式 語法 : [get] restore mode set mode allways ask none allways - 一律使用 SSL 檢查 ask - 詢問未造訪的網站 ( 可以設定排除 ) none - 不使用 SSL 通訊協定檢查 內容 - AV NETFILTER 通訊協定 SSL 憑證新增至瀏覽器將系統管理員的憑證新增至已知瀏覽器 語法 : [get] restore addtobrowsers set addtobrowsers disabled enabled 107

108 restore - 還原預設設定 / 物件 / 檔案 引數 : enabled - 啟用功能 / 啟動設定 附註 : 若要正確地檢查 SSL 加密的流量, 用來簽署憑證的 ESET, spol. s r.o 系統管理員的憑證會新增至 信任的憑證授權 (TRCA) 憑證儲存區 排除 從內容過濾排除的憑證清單 語法 : [get] excluded remove excluded <name> remove - 移除項目 引數 : name - 憑證名稱 不受信任 如果憑證無效或損毀, 則不受信任 語法 : [get] restore nottrusted set nottrusted ask block restore - 還原預設設定 / 物件 / 檔案 引數 : ask - 詢問憑證有效性 block - 封鎖使用憑證的通訊 信任 信任的憑證清單 語法 : [get] trusted remove trusted <name> 108

109 remove - 移除項目引數 : name - 憑證名稱未知的根未知的根 - 如果無法使用 TRCA 憑證儲存區驗證憑證 語法 : [get] restore unknownroot set unknownroot ask block ask - 詢問憑證有效性 block - 封鎖使用憑證的通訊 內容 - AV 物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled 109

110 enabled - 啟用功能 / 啟動設定電子郵件掃描電子郵件檔案 語法 : [get] restore set disabled enabled enabled - 啟用功能 / 啟動設定記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled 110

111 enabled - 啟用功能 / 啟動設定 SFX 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled 111

112 enabled - 啟用功能 / 啟動設定不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 其他記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled 112

113 enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 即時自動啟動自動啟動即時防護 語法 : [get] restore autostart set autostart disabled enabled enabled - 啟用功能 / 啟動設定清除層級清除層級語法 : [get] restore cleanlevel set cleanlevel none normal strict 113

114 none - 不清除 normal - 標準清除 strict - 完全清除副檔名已掃描 / 排除的副檔名 語法 : [get] restore extensions add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案狀態即時電腦防護狀態 語法 : [get] restore status set status disabled enabled enabled - 啟用功能 / 啟動設定 114

115 內容 - AV 即時磁碟磁碟片掃描可移除的媒體 語法 : [get] restore floppy set floppy disabled enabled enabled - 啟用功能 / 啟動設定本機掃描本機磁碟機 語法 : [get] restore local set local disabled enabled enabled - 啟用功能 / 啟動設定網路掃描網路磁碟機 語法 : [get] restore network set network disabled enabled 115

116 enabled - 啟用功能 / 啟動設定 內容 - AV 即時事件建立建立時掃描檔案 語法 : [get] restore create set create disabled enabled enabled - 啟用功能 / 啟動設定執行執行時掃描檔案 語法 : [get] restore execute set execute disabled enabled enabled - 啟用功能 / 啟動設定磁碟片存取存取磁碟片時掃描 語法 : [get] restore floppyaccess set floppyaccess disabled enabled 116

117 enabled - 啟用功能 / 啟動設定開啟開啟時掃描檔案 語法 : [get] restore open set open disabled enabled enabled - 啟用功能 / 啟動設定關閉電腦關閉時掃描 語法 : [get] restore shutdown set shutdown disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 即時執行進階啟發式在執行檔案時啟動進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled restore - 還原預設設定 / 物件 / 檔案 117

118 引數 : enabled - 啟用功能 / 啟動設定 內容 - AV 即時執行從可移除進階啟發式執行來自可移除媒體的檔案時啟用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定排除 USB 磁碟排除 語法 : [get] restore exclusion select exclusion none <drive> all select - 選取項目 none - 取消選取所有磁碟機 drive - 要選取 / 取消選取的磁碟機代號 all - 選取所有磁碟機附註 : 使用此選項允許檔案執行時使用進階啟發式的掃描出現例外 硬碟的進階啟發式設定會套用至選擇的磁碟機 118

119 內容 - AV 即時限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> number - 層級從 1 到 20 或預設設定值 0 大小壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 內容 - AV 即時限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 逾時 119

120 壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> number - 時間 ( 以秒為單位 ) 或預設設定值 內容 - AV 即時物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled enabled - 啟用功能 / 啟動設定電子郵件 120

121 掃描電子郵件檔案 語法 : [get] restore set disabled enabled enabled - 啟用功能 / 啟動設定記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled enabled - 啟用功能 / 啟動設定 SFX 121

122 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 即時 ONWRITE 進階啟發式啟用全新和已修改檔案的進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描全新和已修改的執行時期壓縮檔 語法 : [get] restore runtime set runtime disabled enabled enabled - 啟用功能 / 啟動設定 122

123 SFX 掃描全新和已修改的自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 即時 ONWRITE 壓縮檔層級壓縮檔巢狀深度 語法 : [get] restore level set level <number> number - 層級 (0-20) 大小已掃描的壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 (kb) 123

124 內容 - AV 即時選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled enabled - 啟用功能 / 啟動設定不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled 124

125 enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV 即時其他記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled 125

126 enabled - 啟用功能 / 啟動設定 內容 - AV 即時可移除封鎖封鎖可移除的媒體 語法 : [get] restore block set block disabled enabled enabled - 啟用功能 / 啟動設定排除允許的可移除媒體 語法 : [get] restore exclusion select exclusion none <drive> all select - 選取項目 none - 取消選取所有磁碟機 drive - 要選取 / 取消選取的磁碟機代號 all - 選取所有磁碟機附註 : 使用此選項, 可存取可移除媒體 (CD 磁片 USB 磁碟 ) 標記媒體會導致嘗試存取該特定媒體時, 移除存取限制 內容 - AV WEB 瀏覽器網際網路瀏覽器 語法 : [get] browsers add remove browsers <path> 126

127 add - 新增項目 remove - 移除項目 引數 : path - 應用程式路徑 附註 : 為了增加安全性, 我們建議您勾選適當方塊以標記任何作為網際網路瀏覽器的應用程式 如果未將應用程式標記為 Web 瀏覽器, 則可能不會掃描使用該應用程式所傳送的資料 清除層級 清除層級 語法 : [get] restore cleanlevel set cleanlevel none normal strict restore - 還原預設設定 / 物件 / 檔案 引數 : none - 不清除 normal - 標準清除 strict - 完全清除 副檔名 已掃描 / 排除的副檔名 語法 : [get] restore extensions add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 restore - 還原預設設定 / 物件 / 檔案 引數 : extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案 狀態 Web 存取防護 語法 : 127

128 [get] restore status set status disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV WEB 位址管理位址選取清單中的位址管理 語法 : [get] clear address add remove address <address> import export address <path> add - 新增項目 remove - 移除項目 import - 從檔案匯入 export - 匯出至檔案 clear - 移除所有項目 / 檔案引數 : address - 位址 path - 檔案路徑清單位址清單管理 語法 : [get] restore list set list <listname> disabled enabled select remove list <listname> add list allowed <listname> blocked <listname> excluded <listname> 128

129 select - 選取以進行編輯 add - 新增項目 remove - 移除項目引數 : listname - 清單名稱 disabled - 不使用清單 enabled - 使用清單 allowed - 允許的位址清單 blocked - 封鎖的位址清單 excluded - 已從過濾中排除的位址清單附註 : 若要編輯選取的清單 ( 以 - x 標記 ), 請使用 av web addressmgmt address 命令 通知套用來自清單的位址時通知 語法 : [get] restore notify set notify disabled enabled enabled - 啟用功能 / 啟動設定列入白名單僅允許在允許位址清單中的 HTTP 位址存取 語法 : [get] restore whitelisted set whitelisted disabled enabled enabled - 啟用功能 / 啟動設定 129

130 內容 - AV WEB 限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> number - 層級從 1 到 20 或預設設定值 0 大小壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 內容 - AV WEB 限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 逾時 130

131 壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> number - 時間 ( 以秒為單位 ) 或預設設定值 內容 - AV WEB 物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled enabled - 啟用功能 / 啟動設定電子郵件 131

132 掃描電子郵件檔案 語法 : [get] restore set disabled enabled enabled - 啟用功能 / 啟動設定檔案掃描檔案 語法 : [get] restore file set file disabled enabled enabled - 啟用功能 / 啟動設定記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期 132

133 掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled enabled - 啟用功能 / 啟動設定 SFX 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV WEB 選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定 133

134 廣告程式廣告程式 / 間諜程式 / 高風險程式偵測 語法 : [get] restore adware set adware disabled enabled enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled enabled - 啟用功能 / 啟動設定簽章使用簽章 語法 : [get] restore signatures set signatures disabled enabled enabled - 啟用功能 / 啟動設定 134

135 不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV WEB 選項瀏覽器主動模式網際網路瀏覽器的主動模式 語法 : [get] activemode add remove activemode <path> add - 新增項目 remove - 移除項目引數 : path - 應用程式路徑 135

136 附註 : 新增至清單的程式會自動新增至網際網路瀏覽器清單中 內容 - AV WEB 其他記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV WEB 通訊協定 HTTP 連接埠 HTTP 使用的連接埠 語法 : [get] restore ports set ports [<string>] restore - 還原預設設定 / 物件 / 檔案 136

137 引數 : string - 以冒號分隔的連接埠號碼使用掃描 HTTP 語法 : [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - AV WEB 通訊協定 HTTPS 模式 HTTPS 過濾模式 語法 : [get] restore mode set mode none ports browsers none - 不使用通訊協定檢查 ports - 針對選取的連接埠使用 HTTPS 通訊協定檢查 browsers - 針對標記為使用所選取連接埠的瀏覽器應用程式, 使用 HTTPS 通訊協定檢查連接埠 HTTPS 通訊協定使用的連接埠 語法 : [get] restore ports set ports [<string>] 137

138 restore - 還原預設設定 / 物件 / 檔案 引數 : string - 以逗號分隔的連接埠號碼 內容 - 一般配置匯入 / 匯出設定 語法 : import export config <path> import - 從檔案匯入 export - 匯出至檔案引數 : path - 檔案路徑授權授權管理 語法 : [get] license import license <path> export license <ID> <path> remove license <ID> remove - 移除項目 import - 從檔案匯入 export - 匯出至檔案引數 : path - 授權檔案路徑 ID - 授權 ID 內容 - 一般存取管理管理員權限設定防護 語法 : [get] restore admin set admin disabled enabled 138

139 restore - 還原預設設定 / 物件 / 檔案 引數 : enabled - 啟用功能 / 啟動設定 批次 當 eshell 執行時, 將輸入的命令以引數方式執行 語法 : [get] restore batch set batch disabled <time> allways restore - 還原預設設定 / 物件 / 檔案 引數 : disabled - 已停用 time - 時間間隔 ( 分鐘 ) ( 分鐘 ) always - 一律 密碼 此密碼是用於受密碼保護的命令 通常, 若要執行受密碼保護的命令時, 系統會提示您輸入密碼 這是基於安全性理由 此規則適用於停用病毒防護及可能影 ESET File Security 功能的命令 系統將在您每次執行這類命令時, 提示您輸入密碼 或, 您可以針對目前的 eshell 工作階段定義此密碼, 則系統將不會提示您輸入密碼 如需詳情, 請按一下這裡 74 若為互動密碼輸入 ( 建議 ), 請將參數保留空白 若要重設密碼, 請輸入空白密碼 內容路徑 : general access 語法 : [get] restore set password get - 顯示密碼 set - 設定密碼 restore - 重設密碼 範例 : get password - 使用此命令來檢視是否已配置密碼 ( 只會顯示星號 *, 不會列出密碼本身 ), 沒有顯示星號時, 表示尚未設定密碼 set password - 使用此命令來設定密碼, 只需輸入您的密碼 ( 如果沒有輸入密碼, 便不會使用設定防護 ) restore password - 此命令會清除現有的密碼 ( 將不會使用設定防護 ) GUI 對應功能 : 139

140 按一下這裡, 以瞭解如何經由 GUI 配置此功能 內容 - 一般 ESHELL 別名別名管理 語法 : [get] clear restore alias add alias [.] <alias>=<command> remove alias <alias> import export alias <path> add - 新增項目 remove - 移除項目 import - 從檔案匯入 export - 匯出至檔案. - 建立全域別名 alias - 新別名 command - 相關的命令 ( 未檢查命令有效性 ) alias - 要刪除的別名 path - 檔案路徑 LISTER 使用 Lister 語法 : [get] restore lister set lister disabled enabled enabled - 啟用功能 / 啟動設定 140

141 內容 - 一般 ESHELL 顏色 別名 別名顏色 語法 : [get] restore alias set alias [black navy grass ltblue brown purple olive ltgray gray blue green cyan re magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 命令 命令顏色 語法 : [get] restore command set command [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] 141

142 restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 內容 內容顏色 語法 : [get] restore context set context [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 142

143 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 預設 基本顏色 語法 : [get] restore default set default [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 停用 N/A 顏色 143

144 語法 : [get] restore disabled set disabled [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 錯誤 錯誤訊息的顏色 語法 : [get] restore error set error [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 144

145 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 互動 互動作業顏色 語法 : [get] restore interactive set interactive [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 145

146 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 清單 1 清單顏色 1 語法 : [get] restore list1 set list1 [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 清單 2 清單顏色 2 語法 : [get] restore list2 set list2 [black navy grass ltblue brown purple olive ltgray gray blue green 146

147 cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 成功 狀態正常顏色 語法 : [get] restore success set success [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 147

148 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 yellow - 黃 white - 白 警告 警告訊息的顏色 語法 : [get] restore warning set warning [black navy grass ltblue brown purple olive ltgray gray blue green cyan red magenta yellow white] restore - 還原預設設定 / 物件 / 檔案 引數 : black - 黑 navy - 海軍藍 grass - 草綠 ltblue - 淡藍 brown - 棕 purple - 紫 olive - 橄欖綠 ltgray - 淡灰 gray - 灰 blue - 藍 green - 綠 cyan - 青 red - 紅 magenta - 洋紅 148

149 yellow - 黃 white - 白 內容 - 一般 ESHELL 輸出 UTF8 UTF8 編碼輸出 語法 : [get] restore utf8 set utf8 disabled enabled enabled - 啟用功能 / 啟動設定附註 : 若要正確顯示, 命令列必須使用 TrueType 字型, 如 Lucida Console 內容 - 一般 ESHELL 啟動載入命令啟動時載入所有命令 語法 : [get] restore loadcommands set loadcommands disabled enabled enabled - 啟用功能 / 啟動設定狀態啟動時顯示防護狀態 語法 : [get] restore status set status disabled enabled 149

150 enabled - 啟用功能 / 啟動設定 內容 - 一般 ESHELL 檢視 CMDHELP 命令失敗時顯示說明 語法 : [get] restore cmdhelp set cmdhelp disabled enabled enabled - 啟用功能 / 啟動設定顏色使用顏色 語法 : [get] restore colors set colors disabled enabled enabled - 啟用功能 / 啟動設定符合寬度修剪文字以符合寬度 語法 : [get] restore fitwidth set fitwidth disabled enabled 150

151 enabled - 啟用功能 / 啟動設定全域顯示全域命令 語法 : [get] restore global set global disabled enabled enabled - 啟用功能 / 啟動設定隱藏顯示隱藏的命令 語法 : [get] restore hidden set hidden disabled enabled enabled - 啟用功能 / 啟動設定作業顯示命令清單中的作業 語法 : [get] restore operations set operations disabled enabled 151

152 enabled - 啟用功能 / 啟動設定簡短清單在內容變更時顯示簡短命令的清單 語法 : [get] restore shortlist set shortlist disabled enabled enabled - 啟用功能 / 啟動設定語法提示顯示命令語法提示 語法 : [get] restore syntaxhint set syntaxhint disabled enabled enabled - 啟用功能 / 啟動設定僅值僅顯示值, 不顯示說明語法 : [get] restore valuesonly set valuesonly disabled enabled 152

153 enabled - 啟用功能 / 啟動設定 內容 - 一般效能掃描器執行中掃描的數目 語法 : [get] restore scanners set scanners <number> number - 計數 (1-20) 內容 - 一般 PROXY 位址 Proxy 伺服器位址 語法 : [get] restore address set address [<string>] string - 位址偵測偵測 Proxy 伺服器配置 語法 : detect 登入登入名稱 153

154 語法 : [get] restore login set login [<string>] string - 名稱密碼 Proxy 伺服器密碼 語法 : [get] restore password set password [plain <password>] plain - 切換將輸入的密碼作為參數 password - 密碼連接埠連接埠語法 : [get] restore port set port <number> number - 連接埠號碼使用使用 Proxy 伺服器 語法 : [get] restore use 154

155 set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 一般隔離區重新掃描更新每次更新後掃描隔離檔案 語法 : [get] restore update set update disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 一般遠端間隔連線間隔 ( 分鐘 ) 語法 : [get] restore interval set interval <number> number - 時間 ( 分鐘 ) (1-1440) 使用 ERA Server 連線 語法 : 155

156 [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 一般遠端伺服器主要位址 ERA Server 位址 語法 : [get] restore address set address [<string>] string - 位址加密封鎖未加密連線 語法 : [get] restore encrypt set encrypt disabled enabled enabled - 啟用功能 / 啟動設定密碼 ERA Server 密碼 語法 : 156

157 [get] restore password set password [plain <password>] plain - 切換將輸入的密碼作為參數 password - 密碼連接埠 ERA Server 連接埠 語法 : [get] restore port set port <number> number - 連接埠號碼 內容 - 一般遠端伺服器次要位址 ERA Server 位址 語法 : [get] restore address set address [<string>] string - 位址加密封鎖未加密連線 語法 : [get] restore encrypt 157

158 set encrypt disabled enabled enabled - 啟用功能 / 啟動設定密碼 ERA Server 密碼 語法 : [get] restore password set password [plain <password>] plain - 切換將輸入的密碼作為參數 password - 密碼連接埠 ERA Server 連接埠 語法 : [get] restore port set port <number> number - 連接埠號碼 158

159 內容 - 一般 TS.NET 排除從提交排除 語法 : [get] restore exclusion add remove exclusion <exclusion> add - 新增項目 remove - 移除項目 exclusion - 副檔名來自連絡人電子郵件 語法 : [get] restore from set from [<string>] string - 電子郵件地址記錄防護記錄建立 語法 : [get] restore loging set loging disabled enabled enabled - 啟用功能 / 啟動設定 159

160 傳送提交可疑檔案 語法 : [get] restore sending set sending none ask auto none - 不提交 ask - 傳送以進行分析之前先確認 auto - 直接傳送以進行分析無需確認經由檔案提交的方式 語法 : [get] restore via set via auto ra direct auto - 透過 Remote Administrator 或直接提交至 ESET ra - 透過 Remote Administrator direct - 直接提交至 ESET 時間提交可疑檔案的時間 語法 : [get] restore when set when asap update 160

161 asap - 盡快 update - 更新時 內容 - 一般 TS.NET 統計資料傳送提交統計資料 語法 : [get] restore sending set sending disabled enabled enabled - 啟用功能 / 啟動設定時間匿名統計資訊提交 語法 : [get] restore when set when asap update asap - 盡快 update - 更新時 內容 - 掃描器清除層級清除層級 語法 : [get] restore cleanlevel set cleanlevel none normal strict 161

162 restore - 還原預設設定 / 物件 / 檔案 引數 : none - 不清除 normal - 標準清除 strict - 完全清除 副檔名 已掃描 / 排除的副檔名 語法 : [get] restore extensions add remove extensions <extension> /all /extless add - 新增項目 remove - 移除項目 restore - 還原預設設定 / 物件 / 檔案 引數 : extension - 副檔名 all - 所有檔案 extless - 無副檔名的檔案 設定檔 電腦掃描設定檔管理 語法 : [get] profile select remove profile <name> add profile new:<name> [copyfrom:<name>] select - 選取項目 add - 新增項目 remove - 移除項目 引數 : name - 設定檔名稱 new - 新增設定檔 copyfrom - 從設定檔複製設定 附註 : 其他內容命令, 請參閱作用中設定檔 ( 以 - x 標記 ) 針對作用中設定檔選擇, 請使用 select scanner profile <profile name>. 掃描 162

163 電腦掃描 語法 : [get] clear scan start scan [readonly] pause resume stop scan <ID> all get - 顯示執行中和已完成的掃描 start - 針對所選掃描設定檔執行電腦掃描 stop - 停止掃描 resume - 繼續暫停的掃描 pause - 暫停掃描 clear - 從清單移除已完成的掃描引數 : readonly - 掃描但不清除 ID - 掃描命令執行的 ID all - 執行所有掃描的命令目標掃描作用中設定檔的目標 語法 : [get] target add remove target <path> add - 新增項目 remove - 移除項目引數 : path - 路徑 / 掃描目標附註 : 針對開機磁區掃描, 請輸入 X:\${Boot}, 其中 'X' 是已掃描磁碟的名稱 內容 - 掃描器限制壓縮檔層級壓縮檔巢狀層級 語法 : [get] restore level set level <number> 163

164 number - 層級從 1 到 20 或預設設定值 0 大小壓縮檔中檔案的大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 內容 - 掃描器限制物件大小壓縮檔大小上限 (kb) 語法 : [get] restore size set size <number> number - 大小 ( 以 kb 為單位 ) 或預設設定值 0 逾時壓縮檔的掃描時間上限 ( 秒 ) 語法 : [get] restore timeout set timeout <number> restore - 還原預設設定 / 物件 / 檔案 164

165 引數 : number - 時間 ( 以秒為單位 ) 或預設設定值 內容 - 掃描器物件壓縮檔掃描壓縮檔 語法 : [get] restore archive set archive disabled enabled enabled - 啟用功能 / 啟動設定開機掃描開機磁區 語法 : [get] restore boot set boot disabled enabled enabled - 啟用功能 / 啟動設定電子郵件掃描電子郵件檔案 語法 : [get] restore set disabled enabled restore - 還原預設設定 / 物件 / 檔案 165

166 引數 : enabled - 啟用功能 / 啟動設定記憶體掃描記憶體 語法 : [get] restore memory set memory disabled enabled enabled - 啟用功能 / 啟動設定執行時期掃描 Runtime Packer 語法 : [get] restore runtime set runtime disabled enabled enabled - 啟用功能 / 啟動設定 SFX 掃描自我解壓檔 語法 : [get] restore sfx set sfx disabled enabled restore - 還原預設設定 / 物件 / 檔案 166

167 引數 : enabled - 啟用功能 / 啟動設定 內容 - 掃描器選項進階啟發式使用進階啟發式 語法 : [get] restore advheuristics set advheuristics disabled enabled enabled - 啟用功能 / 啟動設定啟發式使用啟發式 語法 : [get] restore heuristics set heuristics disabled enabled enabled - 啟用功能 / 啟動設定不安全潛在不安全的應用程式偵測 語法 : [get] restore unsafe set unsafe disabled enabled 167

168 enabled - 啟用功能 / 啟動設定不需要潛在不需要應用程式偵測 語法 : [get] restore unwanted set unwanted disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 掃描器其他 ADS 掃描替代資料串流 (ADS) 語法 : [get] restore ads set ads disabled enabled enabled - 啟用功能 / 啟動設定記錄所有記錄所有物件 語法 : [get] restore logall set logall disabled enabled 168

169 enabled - 啟用功能 / 啟動設定低優先順序以低優先順序執行背景掃描 語法 : [get] restore lowpriority set lowpriority disabled enabled enabled - 啟用功能 / 啟動設定最佳化智慧型最佳化 語法 : [get] restore optimize set optimize disabled enabled enabled - 啟用功能 / 啟動設定保存時間保存最後一次的存取時間郵戳 語法 : [get] restore preservetime set preservetime disabled enabled 169

170 enabled - 啟用功能 / 啟動設定捲動捲動掃描防護記錄 語法 : [get] restore scroll set scroll disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 伺服器自動排除自動排除管理 語法 : [get] restore autoexclusions select autoexclusions <server> select - 選取項目 server - 伺服器名稱 內容 - 工具隔離區隔離區 語法 : [get] quarantine add quarantine <path> send remove restore quarantine <ID> 170

171 add - 新增項目 remove - 移除項目 restore - 還原預設設定 / 物件 / 檔案 send - 傳送項目 / 檔案引數 : path - 檔案路徑 ID - 隔離檔案 ID 統計統計資料 語法 : [get] clear statistics get - 顯示統計 clear - 重設統計 SYSINSPECTOR SysInspector 語法 : [get] sysinspector add remove sysinspector <name> export sysinspector <name> to:<path> add - 新增項目 remove - 移除項目 export - 匯出至檔案引數 : name - 註解 path - 檔案名稱 (.zip 或.xml) 171

172 內容 - 工具活動檔案系統檔案系統活動 語法 : [get] filesystem [<count>] [seconds minutes hours [<year>-<month>]] 引數 : count - 要顯示的記錄數目 seconds - 範例 1 秒鐘 minutes - 範例 1 分鐘 hours - 範例 1 小時 year - 顯示的年份 month - 顯示的月份 內容 - 工具防護記錄偵測當您需要檢視關於所偵測到入侵的資訊時, 可使用此命令 內容路徑 : root 語法 : [get] detections [count <number>] [from <year>-<month>-<day> <hour>:<minute>:<second>] [to <year>-<month>-<d clear detections clear - 移除所有項目 / 檔案引數 : count - 顯示選取的記錄數目 number - 記錄數目 from - 顯示從指定時間 的記錄 year - 年 month - 月 day - 日 hour - 小時 minute - 分鐘 second - 秒鐘 to - 顯示到所選時間為止的記錄別名 : virlog 172

173 範例 : get detections from :30:00 - 顯示 2011 年 4 月 14 日 01:30:00 之後偵測到的所有入侵 ( 若要讓命令正常運作, 定義日期時必須 含時間 ) clear detections - 清除整個防護記錄 事件 當您需要檢視關於各種事件的資訊時, 可使用此命令 語法 : [get] events [count <number>] [from <year>-<month>-<day> <hour>:<minute>:<second>] [to <year>- <month>-<day> <hour>:<minute>:<second>] clear events clear - 移除所有項目 / 檔案 引數 : count - 顯示選取的記錄數目 number - 記錄數目 from - 顯示從指定時間 的記錄 year - 年 month - 月 day - 日 hour - 小時 minute - 分鐘 秒 - 秒鐘 to - 顯示到所選時間為止的記錄 別名 : warnlog 範例 : get events from :30:00 - 顯示 2011 年 4 月 14 日 01:30:00 之後發生的所有事件 ( 若要讓命令正常運作, 定義日期時必須 含時間 ) clear events - 清除整個防護記錄 過濾 最簡化要顯示的事件 語法 : [get] restore filter set filter [[none] [critical] [errors] [warnings] [informative] [diagnostic] [all]] [smart] 173

174 restore - 還原預設設定 / 物件 / 檔案 引數 : none - 無記錄 critical - 嚴重錯誤 errors - 錯誤 warnings - 警告 informative - 資訊性記錄 diagnostic - 診斷記錄 all - 所有記錄 smart - 智慧型過濾 掃描 電腦掃描 防護記錄或防護記錄清單 語法 : [get] scans [id:<id>] [count:<number>] [from:<year>-<month>-<day> <hour>:<minute>:<second>] [to: <year>-<month>-<day> <hour>:<minute>:<second>] clear scans clear - 移除所有項目 / 檔案 引數 : id - 顯示電腦掃描詳情與 ID id - 掃描 ID count - 僅顯示選取的記錄數目 number - 記錄數目 from - 僅顯示所選時間之後的記錄 year - 年 month - 月 day - 日 hour - 小時 minute - 分鐘 second - 秒鐘 to - 僅顯示所選時間之後的記錄 冗贅 記錄最簡化 語法 : [get] restore verbosity set verbosity critical errors warnings informative diagnostic 174

175 critical - 嚴重錯誤 errors - 錯誤 warnings - 警告 informative - 資訊性記錄 diagnostic - 診斷記錄 內容 - 工具防護記錄清除逾時防護記錄保存時間 ( 天 ) 語法 : [get] restore timeout set timeout <number> number - 天 (1-365) 使用自動刪除防護記錄 語法 : [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 175

176 內容 - 工具防護記錄最佳化層級透過超出未使用的記錄數目 ( 百分比 ) 來最佳化 語法 : [get] restore level set level <number> number - 未使用的記錄百分比 (1-100) 立即立即最佳化通訊協定檔案 語法 : now 命令執行可能會費時幾分鐘 使用自動最佳化防護記錄 語法 : [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 工具通知冗贅通知最簡化 語法 : [get] restore verbosity set verbosity critical errors warnings informative diagnostic 176

177 critical - 嚴重錯誤 errors - 錯誤 warnings - 警告 informative - 資訊性記錄 diagnostic - 診斷記錄 內容 - 工具通知電子郵件來自寄件 電子郵件地址 語法 : [get] restore from set from [<string>] string - 電子郵件地址登入登入名稱 語法 : [get] restore login set login [<string>] string - 名稱密碼密碼 語法 : [get] restore password 177

178 set password [plain <password>] plain - 切換將輸入的密碼作為參數 password - 密碼伺服器 SMTP 伺服器位址 語法 : [get] restore server set server [<string>] string - 位址到達收件 電子郵件地址 語法 : [get] restore to set to [<string>] string - 電子郵件地址使用透過電子郵件傳送事件 語法 : [get] restore use set use disabled enabled 178

179 enabled - 啟用功能 / 啟動設定 內容 - 工具通知訊息編碼警告訊息編碼 語法 : [get] restore encoding set encoding nolocal localcharset localencoding ISO-2022-JP nolocal - 不使用國際字母字元 localcharset - 使用國際字母字元 localencoding - 使用國際字母字元與編碼 ISO - 使用 ISO-2022-JP 編碼 ( 僅適用於日文版本 ) 內容 - 工具通知訊息格式偵測威脅警告訊息格式 語法 : [get] restore detection set detection [<string>] string - 訊息格式訊息格式選項 : %TimeStamp% - 事件的日期及時間 %Scanner% - 已偵測到事件的模組 179

180 %ComputerName% - 電腦名稱 %ProgramName% - 導致事件發生的程式 %ErrorDescription% - 錯誤說明 針對訊息格式, 您必須使用對應值來取代關鍵字 ( 在此處列於百分比符號 % 之間 ) 附註 : ESET File Security 病毒訊息和警告具有預設格式 不建議變更此格式 如果您使用的是自動電子郵件處理系統, 您可以變更此格式 事件 事件格式 語法 : [get] restore event set event [<string>] restore - 還原預設設定 / 物件 / 檔案 引數 : string - 訊息格式 訊息格式選項 : %TimeStamp% - 事件的日期及時間 %Scanner% - 已偵測到事件的模組 %ComputerName% - 電腦名稱 %ProgramName% - 導致事件發生的程式 %InfectedObject% - 受感染的物件 ( 檔案 電子郵件等...) %VirusName% - 病毒名稱 針對訊息格式, 您必須使用對應值來取代關鍵字 ( 在此處列於百分比符號 % 之間 ) 附註 : ESET File Security 病毒訊息和警告具有預設格式 不建議變更此格式 如果您使用的是自動電子郵件處理系統, 您可以變更此格式 內容 - 工具通知 WINPOPUP 位址將通知傳送至電腦名稱 語法 : [get] restore address set address [<string>] restore - 還原預設設定 / 物件 / 檔案 180

181 引數 : string - 以逗點分隔的電腦名稱逾時傳送至 LAN 電腦的間隔 語法 : [get] restore timeout set timeout <number> number - 間隔 ( 秒鐘 ) (1-3600) 使用將事件傳送至 LAN 電腦 語法 : [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 工具排程器處理方法已排程工作的處理方法 語法 : [get] action set action external logmaintenance startupcheck status scan update 引數 : external - 執行外部應用程式 181

182 logmaintenance - 防護記錄維護 startupcheck - 啟動掃描 status - 建立電腦狀態快照 scan - 掃描電腦 update - 更新工作已排程的工作 語法 : [get] select task [<ID>] set task <ID> disabled enabled add task <task_name> remove start task <ID> select - 選取項目 add - 新增項目 remove - 移除項目 start - 啟動工作引數 : ID - 工作 ID enabled - 啟用功能 / 啟動設定 task_name - 工作名稱觸發執行工作 語法 : [get] trigger set trigger once repeat daily weekly event 引數 : once - 一次 repeat - 重複 daily - 每日 182

183 weekly - 每星期 event - 事件觸發 內容 - 工具排程器事件間隔僅在指定的間隔內執行工作一次 l ( 小時 ) 語法 : [get] interval set interval <hours> 引數 : hours - 時間 ( 小時 ) (1-720 小時 ) 類型事件觸發的工作 語法 : [get] type set type startup startuponcedaily dialup engineupdate appupdate logon detection 引數 : startup - 電腦啟動 startuponcedaily - 每天第一次啟動電腦時 dialup - 撥號連線至網際網路 /VPN engineupdate - 病毒資料庫更新 appupdate - 程式元件更新 logon - 使用 登入 detection - 威脅偵測 內容 - 工具排程器 FAILSAFE 執行工作未執行時要採取的處理方法 語法 : [get] execute set execute asap iftimeout no 183

184 引數 : asap - 盡快執行工作 iftimeout - 如果距離上次執行工作的時間超過指定的時間間隔, 則立即執行工作 no - 不延遲執行附註 : 若要設定限制, 請輸入 SET TOOLS SCHEDULER EDIT FAILSAFE TIMEOUT <HOURS>. 逾時工作間隔 ( 小時 ) 語法 : [get] timeout set timeout <hours> 引數 : hours - 時間 ( 小時 ) (1-720 小時 ) 內容 - 工具排程器參數檢查層級掃描層級 語法 : [get] level set level [before_logon after_logon most_frequent frequent common rare all] 引數 : before_logon - 使用 登入前執行的檔案 after_logon - 使用 登入後執行的檔案 most_frequent - 僅最常用的檔案 frequent - 經常使用的檔案 common - 常使用的檔案 rare - 很少使用的檔案 all - 登錄的檔案優先順序掃描優先順序 184

185 語法 : [get] priority set priority [normal low lowest idle] 引數 : normal - 正常 low - 較低 lowest - 最低 idle - 閒置時 內容 - 工具排程器參數外部引數引數 語法 : [get] arguments set arguments <arguments> 引數 : arguments - 引數目錄工作資料夾 語法 : [get] directory set directory <path> 引數 : path - 路徑執行檔執行檔 語法 : [get] executable 185

186 set executable <path> 引數 : path - 路徑 內容 - 工具排程器參數掃描設定檔掃描設定檔 語法 : [get] profile set profile <profile> 引數 : profile - 設定檔名稱唯讀掃描但不清除 語法 : [get] readonly set readonly disabled enabled 引數 : enabled - 啟用功能 / 啟動設定目標掃描目標 語法 : [get] clear target add remove target <path> add - 新增項目 186

187 remove - 移除項目 clear - 移除所有項目 / 檔案引數 : path - 掃描路徑 / 目標 內容 - 工具排程器參數更新主要更新設定檔 語法 : [get] primary set primary [<profile>] 引數 : profile - 設定檔名稱次要替代更新設定檔 語法 : [get] secondary set secondary [<profile>] 引數 : profile - 設定檔名稱 內容 - 工具排程器重複間隔工作間隔 ( 分鐘 ) 語法 : [get] interval set interval <minutes> 引數 : minutes - 時間 ( 分鐘 ) (1-720 小時 ) 187

188 內容 - 工具排程器啟動 日期 工作將在選取的日期執行 語法 : [get] date set date <year>-<month>-<day> 引數 : year - 年 month - 月 day - 日 天 工作將在下列的日期執行 語法 : [get] days set add remove days none [monday] [tuesday] [wednesday] [thurdsday] [friday] [saturday] [sunday] all add - 新增項目 remove - 移除項目 引數 : none - 無指定的日期 monday - 星期一 tuesday - 星期二 wednesday - 星期三 thurdsday - 星期四 friday - 星期五 saturday - 星期六 sunday - 星期日 all - 每天 時間 工作將在選取的時間執行 語法 : 188

189 [get] time set time <hour>:<minute>:<second> 引數 : hour - 小時 minute - 分鐘 second - 秒鐘 內容 - 更新快取清除更新快取 語法 : clear cache 元件更新程式元件 語法 : [get] restore components set components never allways ask never - 不更新 allways - 一律更新 ask - 下載程式元件前詢問登入登入使用 名稱 語法 : [get] restore login set login [<string>] restore - 還原預設設定 / 物件 / 檔案 189

190 引數 : string - 名稱 附註 : 請輸入購買或啟動後收到的 使用 名稱 及 密碼 我們強烈建議您從註冊電子郵件中複製 (Ctrl+C), 然後再貼上 (Ctrl+V) 密碼 密碼 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 刪除的密碼組 restore - 還原預設設定 / 物件 / 檔案 引數 : plain - 切換將輸入的密碼作為參數 password - 密碼 附註 : 請輸入購買或啟動後收到的 使用 名稱 及 密碼 我們強烈建議您從註冊電子郵件中複製 (Ctrl+C), 然後再貼上 (Ctrl+V) 發佈前 啟用發佈前更新 語法 : [get] restore prerelease set prerelease disabled enabled restore - 還原預設設定 / 物件 / 檔案 引數 : enabled - 啟用功能 / 啟動設定 設定檔 更新設定檔管理 語法 : [get] profile select remove profile <name> add profile new:<name> [copyfrom:<name>] 190

191 select - 選取項目 add - 新增項目 remove - 移除項目 引數 : name - 設定檔名稱 new - 新增設定檔 copyfrom - 從設定檔複製設定 附註 : 其他內容命令, 請參閱作用中設定檔 ( 以 - x 標記 ) 針對作用中設定檔選擇, 請使用 select update profile <profile name>. 伺服器 更新伺服器 語法 : [get] restore server select add remove server <server> select - 選取項目 add - 新增項目 remove - 移除項目 restore - 還原預設設定 / 物件 / 檔案 引數 : server - 伺服器位址 狀態 顯示更新狀態 語法 : [get] status 更新 更新 語法 : start stop update start - 執行更新 stop - 取消更新 191

192 內容 - 更新連線中斷連線更新後中斷與伺服器的連線 語法 : [get] restore disconnect set disconnect disabled enabled enabled - 啟用功能 / 啟動設定登入使用 名稱 語法 : [get] restore login set login [<string>] string - 名稱密碼密碼 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 設定或刪除密碼 plain - 切換將輸入的密碼作為參數 password - 密碼 192

193 RUNAS 以下列身分連接到區域網路 語法 : [get] restore runas set runas system current specified system - 系統帳戶 ( 預設 ) current - 目前使用 specified - 指定的使用 內容 - 更新映像元件更新程式元件 語法 : [get] start restore components set components disabled enabled start - 開始更新 enabled - 啟用功能 / 啟動設定資料夾儲存映像檔案的資料夾 語法 : [get] restore folder set folder [<string>] restore - 還原預設設定 / 物件 / 檔案 193

194 引數 : string - 資料夾路徑登入使用 名稱 語法 : [get] restore login set login [<string>] string - 名稱密碼密碼 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 設定或刪除密碼 plain - 切換將輸入的密碼作為參數 password - 密碼使用建立更新映像 語法 : [get] restore use set use disabled enabled 194

195 enabled - 啟用功能 / 啟動設定版本更新版本管理 語法 : [get] restore versions select versions <version> get - 顯示可用的版本 select - 選取 / 取消選取更新版本 version - 版本名稱 內容 - 更新映像連線中斷連線更新後中斷與伺服器的連線 語法 : [get] restore disconnect set disconnect disabled enabled enabled - 啟用功能 / 啟動設定登入使用 名稱 語法 : [get] restore login set login [<string>] string - 名稱 195

196 PASSWORD 密碼 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 設定或刪除密碼 plain - 切換將輸入的密碼作為參數 password - 密碼 RUNAS 以下列身分連接到區域網路 語法 : [get] restore runas set runas system current specified system - 系統帳戶 ( 預設 ) current - 目前使用 specified - 指定的使用 內容 - 更新映像伺服器驗證使用授權 語法 : [get] restore authentication set authentication none basic ntlm 196

197 none - 無 basic - 基本 ntlm - NTLM 連接埠連接埠 語法 : [get] restore port set port <number> number - 連接埠號碼使用透過內部 HTTP 伺服器提供更新檔案 語法 : [get] restore use set use disabled enabled enabled - 啟用功能 / 啟動設定 內容 - 更新通知下載下載更新前詢問 語法 : [get] restore download set download disabled enabled restore - 還原預設設定 / 物件 / 檔案 197

198 引數 : enabled - 啟用功能 / 啟動設定隱藏不顯示成功更新的通知 語法 : [get] restore hide set hide disabled enabled enabled - 啟用功能 / 啟動設定大小如果更新檔案大於指定的值便詢問 (kb) 語法 : [get] restore size set size <number> number - 檔案大小 (kb) 附註 : 若要停用更新通知, 請輸入 內容 - 更新 PROXY 登入使用 名稱 語法 : [get] restore login set login [<string>] 198

199 string - 名稱模式 HTTP Proxy 設定 語法 : [get] restore mode set mode global noproxy userdefined global - 使用全域 Proxy 伺服器設定值 noproxy - 不使用 Proxy 伺服器 userdefined - 透過 Proxy 伺服器連線密碼密碼 語法 : [get] restore password set password [plain <password>] get - 顯示密碼 set - 設定或刪除密碼 plain - 切換將輸入的密碼作為參數 password - 密碼連接埠 Proxy 伺服器連接埠 語法 : [get] restore port set port <number> 199

200 number - 連接埠號碼伺服器 Proxy 伺服器 語法 : [get] restore server set server [<string>] string - 伺服器位址 內容 - 更新系統通知通知從層級遺漏的更新 語法 : [get] restore notify set notify no optional recommended important critical no - 無 optional - 選用 recommended - 建議 important - 重要 critical - 嚴重重新啟動程式元件更新後重新啟動電腦 語法 : [get] restore restart set restart never ask auto 200

201 never - 不重新啟動 ask - 重新啟動前詢問 auto - 自動重新啟動 4.11 匯入及匯出設定 按一下 [ 匯入及匯出設定 ], 即可在 [ 設定 ] 下方匯入及匯出 ESET File Security 設定 匯入或匯出皆使用.xml 檔案類型 如果您需要備份 ESET File Security 的目前配置以供稍後使用, 匯入和匯出很有幫助 匯出設定選項對想要在多個系統上使用 ESET File Security 慣用配置的使用 也很方便, 他們可以輕鬆匯入.xml 檔案以傳送所需的設定 4.12 Threat Sense.Net ThreatSense.Net 預早警告系統 可讓 ESET 立即並持續得到新入侵的通知 雙向 ThreatSense.Net 預早警告系統 有一個目的, 就是提高我們可以為您提供的保護 確保我們能儘快看到新威脅的最佳方式為 連結 儘可能多的客戶, 並將它們用作我們的 威脅斥候 有兩個選項 : 1. 您可以決定不啟用 ThreatSense.Net 預早警告系統 您不會失去軟體的任何功能, 而且仍會收到我們提供的最佳防護 2. 您可以配置 ThreatSense.Net 預早警告系統, 以提交新威脅與 含新威脅代碼位置的匿名資訊 此檔案可傳送至 ESET, 以供詳細分析 研究這些威脅會協助 ESET 更新其威脅偵測能力 ThreatSense.Net 預早警告系統 會收集與新偵測到之威脅相關的電腦資訊 此資訊可能 括出現威脅的檔案範例或副本 檔案路徑 檔案名稱 日期與時間 威脅出現在電腦上程序, 以及電腦作業系統的相關資訊 然而, 偶爾有可能發生將您及您電腦相關資訊 ( 目錄路徑中的使用 名稱等洩露給 ) ESET 威脅實驗室, 此資訊用於協助我們對新威脅立即作出反應, 除此之外不作其他任何用途 依預設,ESET File Security 會配置為先詢問, 之後再將可疑檔案提交至 ESET 威脅實驗室以供詳細分析 例如.doc 或.xls 等某些副檔名的檔案一律排除 如果有您或您的組織要避免傳送的特殊檔案, 您也可以新增其他副檔名 201

202 您可從 [ 進階設定 ] 樹狀目錄中的 [ 工具 ] > [ThreatSense.Net] 下, 存取 ThreatSense.Net 設定 選取 [ 啟用 ThreatSense 預早警告系統 ] 選項以啟動, 然後按一下 [ 進階設定...] 按鈕 可疑檔案 [ 可疑檔案 ] 索引標籤可讓您配置將威脅提交至 ESET 威脅實驗室進行分析的方法 如果您找到可疑檔案, 您可以提交給我們的威脅實驗室進行分析 若檔案為惡意的應用程式, 則其偵測會新增到下一個病毒資料庫更新 檔案提交可設定為自動進行, 如果想知道已提交哪些檔案進行分析, 並確認提交, 可選取 [ 提交前詢問我 ] 選項 如果不想提交任何檔案, 請選取 [ 不提交檔案以供分析 ] 選項 選取 [ 不提交任何檔案以供分析 ] 不會影 在各自設定中配置的統計資訊提交 ( 請參閱統計 203 一節 ) 202

203 [ 提交時間 - 預設選取 [ 儘快 ] 選項, 將可疑檔案傳送至 ESET 的威脅實驗室 如果具有永久網際網路連線時建議使用此選項, 會儘快傳遞可疑檔案 選取 [ 更新時 ] 選項, 可疑檔案便會在下次更新時上傳到 ThreatSense.Net 排除過濾 - [ 排除過濾 ] 可讓您排除某些不提交的檔案 / 資料夾 例如, 您可使用此選項, 排除可能 含機密資訊的檔案, 例如文件或試算表 依預設, 最常見的檔案類型 (.doc 等 ) 均會被排除在外 如果需要, 您可以新增到排除檔案清單中 連絡人電子郵件 - 傳送任何可疑的檔案時會連同連絡人電子郵件 [ 選用 ] 一併傳送 在分析時若需要您提供進一步的資訊, 便可利用這個電子郵件連絡您 請注意, 除非需要更多資訊, 否則您將不會收到 ESET 的任何回應 統計資料 ThreatSense.Net 預早警告系統 會收集與新偵測到之威脅相關的匿名電腦資訊 此資訊可 括入侵名稱 偵測日期及時間 ESET 安全產品版本 作業系統版本, 以及位置設定 在一般情況下, 每天會將統計資料傳遞到 ESET 伺服器一或兩次 提交的統計套件範例如下所示 : # utc_time= :21:28 # country="slovakia" # language="english" # osver= NT # engine=5417 # components= # moduleid=0x4e4f4d41 # filesize=28368 # filename=c:\documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\C14J8 提交時間 - 您可以定義提交統計資訊的時間 如果您選擇盡快提交, 則統計資訊在建立之後會立即傳送 此設定適用於具有永久網際網路連線時 如果選取 [ 更新時 ] 選項, 統計資訊會在下次更新時一併提交 203

204 提交 您可以選取將檔案和統計資訊提交給 ESET 的方式 對於將以任何可用方式提交的檔案和統計資料, 選取 [ 透過 Remote Administrator 或直接提交至 ESET] 選項 選取 [ 透過 Remote Administrator] 選項將檔案和統計資料提交給遠端管理員伺服器, 如此可確保後續提交給 ESET 威脅實驗室 如果選取 [ 直接提交至 ESET] 選項, 則會將所有可疑檔案及統計資訊直接從程式傳送至 ESET 病毒實驗室 檔案提交擱置時, 則可使用 [ 立即提交 ] 按鈕 按一下此按鈕即可立即提交檔案及統計資訊 選取 [ 啟用防護記錄 ] 選項可建立防護記錄, 以記錄檔案及統計資訊提交 204

205 4.13 遠端管理 ESET Remote Administrator (ERA) 是一種管理安全原則及取得網路內整體安全概觀的強大工具 尤其適用於較大型網路 ERA 不僅可提高安全等級, 而且也在用戶端工作站管理 ESET File Security 時易於使用 您可從主要 ESET File Security 程式視窗中使用遠端管理設定選項 按一下 [ 設定 ] > [ 進入完整的進階設定樹狀目錄...]> [ 其他選項 ] > [ 遠程管理 ] 選取 [ 連接到遠端管理伺服器 ] 選項以啟動遠端管理 您可以存取下面說明的其他選項 : [ 與伺服器連線的間隔 ] ( 分鐘 ): 此選項可指定 ESET File Security 連線到 ERA Server 的頻率 如果設定為 0, 則提交資訊的間隔為 5 秒 伺服器位址 :ERA Server 安裝的伺服器網路位址 連接埠 : 此欄位 含預先定義用於連線的伺服器連接埠 建議您保留預設的連接埠設定 2222 Remote Administrator 伺服器需要驗證 : 可讓您輸入密碼以連接 ERA Server ( 如果需要 ) 按一下 [ 確定 ], 以確認變更並套用設定 ESET File Security 將使用這些設定連接至 ERA Server 205

206 4.14 授權 [ 授權 ] 子目錄可讓您管理 ESET File Security 及其他 ESET 產品 ( 例如 ESET Mail Security 等 ) 的授權金鑰 購買授權金鑰之後, 該授權金鑰就會與您的使用 名稱和密碼一 傳送 若要新增 / 移除授權金鑰, 請按一下授權管理程式視窗中的相應按鈕 授權管理程式可從 [ 其他選項 ] > [ 授權 ] 下的 [ 進階設定 ] 樹狀目錄存取 授權金鑰是 含所購買產品相關資訊的文字檔案 : 其擁有 授權數量及到期日 授權管理程式視窗可讓您上傳及檢視授權金鑰的內容, 使用 [ 新增...] 按鈕, 含的資訊會顯示在管理程式中 若要從清單刪除授權檔案, 請按一下 [ 移除 ] 如果授權金鑰已到期且您想要續訂, 請按一下 [ 訂購...] 按鈕, 您會被重新導向至我們的線上商店 206