ESET NOD32 Antivirus

Transcription

1 ESET NOD32 ANTIVIRUS 10 使用者手冊 (僅適用於 10.0 和更新版本) Microsoft Windows 10 / 8.1 / 8 / 7 / Vista 按一下這裡以下載此文件的最新版本

2 ESET NOD32 ANTIVIRUS Copyright 2016 by ESET, spol. s r. o. ESET NOD32 Anti vi rus 是由 ESET, s pol. s r. o. 開發的產品 如需相關資料 請造訪 et.com 保留所有權利 本文件的任何部分在未獲得作者的書面同意下 不得以 任何形式或利用任何方式進行重製 儲存在可擷取的系統或進行傳輸 包括電子 機械 影印 錄音或掃描等方式 ESET, s pol. s r. o. 保留變更所述應用程式軟體的權利 恕不另行通知 全球客戶支援 et.com/s upport 修訂 2016/10/24

3 內容 ESET NOD32 Antivirus 1.1 第 版 中 的 新 增 功 能 1.2 我所...5 擁有的是哪款產品 1.3 系統...6 需求 1.4 預防 安裝 Liv...8 e Installer 2.2 離線...9 安裝 進...10 階設定 2.3 常...10 見安裝問題 2.4 產...10 品啟動 2.5 輸...10 入您的授權金鑰 2.6 升...10 級至最新版本 2.7 安...11 裝完成後先掃描 初學者手冊 3.1 主...12 要程式視窗 3.2 更...14 新 4.3 更...53 新程式 更...55 新設定 更新 設定檔 進階 更新設定 更新 模式 HT T P Proxy 更...57 新還原設定 如...58 何建立更新工作 4.4 工...58 具 ESET NOD32 Antiv irus 中 的 工 具 防護 記錄檔案 防護 記錄檔案 執行 中的處理程序 防護 統計 即時 監控 ESET SysInspec tor 排程 器 ESET SysResc ue ESET Liv egrid 可疑 檔案 隔離 Proxy 伺服器 電子 郵件通知 訊息 格式 選取 樣本以供分析 Mic...70 rosoft W indows 更 新 4.5 使...70 用者介面 使...71 用者介面元素 警...72 告及通知 進階 設定 存...73 取設定 程...74 式功能表 使用 ESET NOD32 Antivirus 電...16 腦防護 病...17 毒防護 即時 檔案系統防護 其他 T hreatsense 參 數 清除 層級 何時 修改即時防護配置 檢查 即時防護 即時 防護無法運作時怎麼辦 電腦 掃描 自訂 掃描啟動器 掃描 進度 掃描 設定檔 電腦 掃描防護記錄 閒置 狀態掃描 啟動 掃描 啟動 檔案自動檢查 排除 T hreatsense 參數 清除 從掃 描中排除的檔案副檔名 偵測 到入侵 文件 防護 可...32 移除的媒體 裝...33 置控制 裝置 控制規則編輯器 新增 裝置控制規則 主...36 機 入 侵 預 防 系 統 (HIPS) 進階 設定 HIPS 互動視窗 偵測 到潛在的勒索軟體行為 玩...40 家模式 URL 位址管理...43 電...44 子郵件用戶端防護 電子 郵件用戶端...44 電子 郵件通訊協定...45 警告 及通知...46 與電 子郵件用戶端整合...47 電子 郵件用戶端防護配置...47 POP3 POP3S 過濾器...47 通...47 訊協定過濾 W eb 和電子郵件用戶端...48 排除 的應用程式...48 排除 的 IP 位 址...49 新增 IPv 4 位 址...49 新增 IPv 6 位 址...49 SSL/ T LS...49 憑證...50 加密 的網路流量...50 已知 的憑證清單...51 SSL/ T LS 過 濾 應 用 程 式 清 單...51 網...52 路釣魚防護 進階使用者 5.1 設...75 定檔管理程式 5.2 鍵...75 盤快捷鍵 5.3 網...41 際網路防護 W...42 eb 存 取 防 護 基本 W eb 通訊協定...43 診...75 斷 匯...76 入及匯出設定 ESET...77 SysInspec tor ESET SysInspec tor 簡 介...77

4 啟動 ESET SysInspec tor...77 使...77 用者介面和應用程式用法 程式 控制項...78 在 ESET SysInspec tor 中 瀏 覽...79 鍵盤 捷徑...80 比較...81 命...82 令列參數 服...82 務腳本 產生 服務腳本...83 服務 腳本的結構...83 執行 服務腳本...85 常...86 見問題 ESET SysInspec tor 做 為 ESET NOD Antiv irus 的 一 部 份 命...87 令列 字彙 6.1 入...89 侵類型 病...89 毒 蠕...89 蟲 特...89 洛伊木馬程式 Rootk it 廣...90 告程式 間...90 諜程式 壓...90 縮器 潛...90 在不安全的應用程式 潛...90 在不需要應用程式 6.2 ESET...92 技術 惡...92 意探索封鎖程式 進...93 階記憶體掃描器 ESET Liv egrid Jav a 惡意探索封鎖程式 指...93 令碼型攻擊防護 勒...93 索軟體防護 6.3 電...94 子郵件 廣...94 告 惡...94 作劇 網...94 路釣魚 常見問題 7.1 如...95 何 更 新 ESET NOD32 Antiv irus 7.2 如...95 何 從 我 的 PC 移 除 病 毒 7.3 如...95 何在排程器中建立新的工作 7.4 如...96 何安排每週電腦掃描

5 1. ESET NOD32 Antivirus ESET NOD32 Antivirus 代表確實整合電腦安全性的新方法 最新版的 ESET LiveGrid 掃描引擎利用速度及精確度維護您電 腦的安全 其成品就是能夠持續監控可能危害您電腦的攻擊及惡意軟體的智慧型系統 ESET NOD32 Antivirus 是完整的安全性解決方案 結合最大防護與最低系統使用量 我們進階的技術使用人工智慧預防病 毒 間諜程式 特洛伊木馬 蠕蟲 廣告程式 Rootkit 及其他威脅的入侵 而且不會妨礙系統效能或中斷電腦運作 功能與優點 重新設計的使用者介面 第 10 版的使用者介面已根據使用性測試的結果大幅重新設計並簡化 所有 GUI 文 字內容和通知均已謹慎檢閱 使用者介面現在支援由右至左書寫的語言 例如希伯 來文和阿拉伯文 線上說明現已整合至 ESET NOD32 Antivirus 並提供動態更新支 援內容 病毒及間諜程式防護 主動偵測及清除多種已知和未知的病毒 蠕蟲 特洛伊木馬程式及 Rootkit 進階 啟發式甚至可標記前所未見的惡意軟體 讓您避免不明威脅的危害 並在威脅造成 任何傷害之前使其失去效力 Web 存取防護和網路釣魚防護會監視 Web 瀏覽器 與遠端伺服器 (含 SSL) 之間的通訊 電子郵件用戶端防護可控制透過 POP3(S) 和 IMAP(S) 通訊協定收到的電子郵件通訊 定期更新 定期更新病毒資料庫與程式模組是確保電腦有最高度安全性的最佳方法 E S E T Liv egrid (具有雲端功能聲譽) 您可以直接從 ESET NOD32 Antivirus 檢查執行中處理程序與檔案的聲譽 裝置控制 自動掃描所有 USB 隨身碟 記憶卡及 CD/DVD 根據媒體類型 製造商 大小與 其他特性封鎖可移除的媒體 HIP S 功能 您可以更詳細地自訂系統的行為 並為系統登錄 作用中的處理程序與程式指定規 則 也可以微調您的安全性狀態 玩家模式 讓所有快顯視窗 更新或其他佔用大量系統資源的活動延後顯示或進行 保留系統 資源供遊戲和其他全螢幕活動使用 您需要啟用授權才可使用 ESET NOD32 Antivirus 的功能 建議您在 ESET NOD32 Antivirus 過期前數週即更新授權 1.1 第 10 版中的新增功能 ESET NOD32 Antivirus 的第 10 版具備下列改良功能 效能超高且對系統影響甚低 - 第 10 版是專為有效使用系統資源所設計 其在系統抵擋各式新類型威脅的同時 讓您仍可 享受電腦的效能 Windows 10 相容性 - ESET 可完整支援 Microsoft Windows 10 如需關於 ESET NOD32 Antivirus 功能的詳細資訊 請閱讀以下 ESET 知識庫文章 家用產品第 10 版中的新增功能 1.2 我所擁有的是哪款產品 ESET 提供了多種安全性層級的全新產品 從強大且快速的防毒解決方案 到僅需佔用最低系統使用量的全方位安全性解決方 案 ESET ESET ESET ESET NOD 32 A nt iv irus Int ernet S ec urit y S mart S ec urit y S mart S ec urit y 付費版 為判斷您已安裝了哪款產品 請開啟主要程式視窗 (請參閱知識庫文章) 且您將會在視窗頂端 (標題) 處看到產品名稱 下列表格詳細記載了各個特定產品中所提供的功能 5

6 E S E T NOD 32 A nt iv irus E S E T Int ernet S ec urit y E S E T S mart S ec urit y E S E T S mart S ec urit y 付費版 病毒防護???? 間諜程式防護???? 惡意探索封鎖程式???? 指令碼型攻擊防護???? 網路釣魚防護???? 垃圾郵件防護??? 個人防火牆??? 家用網路防護??? 網路攝影機防護??? 網路攻擊防護??? 殭屍網路防護??? 銀行和付款防護??? 家長控制????? 防盜 E S E T P as s word Manager? E S E T S ec ure Dat a? 1.3 系統需求 為使 ESET NOD32 Antivirus 能以最佳化的狀態執行 您的系統應符合下列軟硬體需求 支援的處理器 Intel 或 AMD x86-x64 支援的作業系統 Microsoft Microsoft Microsoft Microsoft Microsoft Microsoft Windows Windows Windows Windows Windows Windows Vista Home Server 2011 (64 位元) 附註 ESET 防盜 不支援 Microsoft Windows Home Servers 6

7 1.4 預防 當您使用電腦時 尤其是在瀏覽網際網路時 請記得世界上沒有任何防毒系統可以完全消除 入侵 與攻擊.為達到最大的保護 性及方便性 正確地使用防毒解決方案並遵守數項有用的規則是很重要的 定期更新 根據 ThreatSense 的統計資料顯示 每天都有好幾千種新奇的入侵活動被創造出來 目的為通過現有的安全措施 為其作者 帶來利益 而且全由其他使用者買帳 ESET 研究實驗室的專家每天都會分析那些威脅 準備並發佈更新 以不斷提高對我們 使用者的防護層級 為確保這些更新能發揮最大效益 您系統上的更新必須正確配置 如需有關如何設定更新的資訊 請參閱 更新設定一章 下載安全修補程式 惡意軟體的作者通常會利用各種系統弱點來增加散播惡意程式碼的效力 軟體公司瞭解這一點 因此密切注意其應用程式是否 出現任何弱點 並定期發佈安全更新 以排除潛在的威脅 當這些安全更新發佈時請務必下載 Microsoft Windows 與 Internet Explorer 等 Web 瀏覽器就是會有安全更新定期發佈的兩個範例程式 備份重要資料 惡意程式的作者通常不在乎使用者的需求 且惡意程式的活動常會導致作業系統整體故障 並遺失重要資料 請定期將重要及 敏感資料備份至外部來源 例如 DVD 或外接硬碟機 這是很重要的 當系統發生故障時 這可讓您更容易且更快復原資 料 定期掃描電腦中的病毒 即時檔案系統防護模組會偵測更多已知與未知的病毒 蠕蟲 特洛伊木馬程式及 Rootkit 這表示每次您存取或開啟檔案時 便會掃描檔案中是否有惡意軟體活動 建議您每個月執行電腦完整掃描至少一次 因為惡意軟體簽章會不斷改變 病毒資料庫 也會每天自行更新 遵循基本安全規則 這是最有用且最有效的規則 -務必要小心謹慎 現在有很多入侵活動都需要使用者介入才能執行及散佈 如果您在開啟新檔案 時能夠小心謹慎 就不需耗費龐大的時間和精力來清除入侵活動 以下是一些實用的方針 不要造訪具有多重快顯視窗及閃動廣告的可疑網站 安裝免費程式 轉碼器封裝等時 要很小心 僅使用安全的程式 僅造訪安全的網際網路網站 開啟電子郵件附件時 要很謹慎 尤其是大量傳送的郵件 以及來自不明寄件者的郵件 不要使用系統管理員帳戶來處理電腦的日常工作 7

8 2. 安裝 有許多方法可以在您的電腦上安裝 ESET NOD32 Antivirus 安裝的方法各式各樣 取決於各國家和各種經銷方式 Live Installer 可以從 ESET 網站上下載 此安裝套件普遍適用於所有語言 (請選擇想要的語言) Live Installer 本身是一個 小型的檔案 安裝 ESET NOD32 Antivirus 時所需要的其他檔案都將自動下載 離線安裝 - 從 CD/DVD 安裝時則使用這種檔案類型 其所使用的.exe 檔案比 Live Installer 更大 且不需要網際網路連線 或是其他檔案即可完成安裝 重要 在您安裝 ESET NOD32 Antivirus 之前 請確定電腦上未安裝任何其他防毒程式 如果在單一電腦上安裝兩個或兩個以上 的防毒解決方案 會造成彼此衝突 我們建議您解除安裝系統上的任何其他防毒程式 請參閱 ESET 知識庫文章以取得一 般防毒軟體的解除安裝程式工具清單 (提供英文與其他語言版本) 2.1 Live Installer 當您下載 Live Installer 安裝套件後 按兩下安裝檔案 並遵循安裝程式視窗中的逐步指示 重要 此安裝類型需要連接至網際網路 從下拉式功能表中選取您所需的語言 並按一下 [ 繼續] 需要一點時間下載安裝檔 同意 [ 使用者授權合約] 後 系統會提示您設定 [ E S E T Liv egrid ] ESET LiveGrid 有助於確保迅速持續通知 ESET 新 入侵的相關資訊 以快速保護其客戶 此系統允許您將新威脅提交到 ESET 研究實驗室 並對其進行分析 處理及新增到病 毒資料庫 [ 啟用 E S E T Liv egrid 意見系統 (建議)] 預設為選取 將會啟動此功能 安裝程序的下一步是配置潛在不需要應用程式的偵測作業 潛在不需要應用程式不一定是惡意的 但是可能會對作業系統的行 為造成負面影響 請參閱潛在不需要應用程式一章以取得詳細資訊 按一下 [ 安裝] 以啟動安裝程序 8

9 2.2 離線安裝 一旦啟動離線安裝程式 (.exe) 安裝精靈將引導您進行設定程序 首先 程式會檢查是否有 ESET NOD32 Antivirus 的新版本可使用 如果找到更新版本 則會在安裝程序的第一個步驟通知 您 如果您選取 [ 下載並安裝新版本] 選項 則系統會下載新版本 並且繼續安裝 只有存在比安裝中版本更新的版本時才會 顯示此核取方塊 下一個步驟便會顯示 使用者授權合約 請閱讀合約並按一下 [ 接受] 以認知您已接受使用者授權合約 在接受後 會繼續 安裝 如需有關安裝步驟 E S E T Liv egrid 及 潛在不需要應用程式偵測 的指示 請遵循先前所提之章節的指示 (請參閱 Live Installer ) 9

10 2.2.1 進 階 設 定 在選取 [ 變更安裝資料夾] 之後 系統將提示您選取安裝的位置 依預設 程式會安裝至以下目錄 C:\Program Files\ESET\ESET NOD32 Antivirus\ 按一下 [ 瀏覽] 變更此位置 (不建議) 若要完成接下來的安裝步驟 [ E S E T Liv egrid ] 及 [ 潛在不需要應用程式偵測] 請遵循 Live Installer 一節中的指示進 行 (請參閱 Live Installer ) 按一下 [ 繼續] 然後 [ 安裝] 以完成安裝 2.3 常見安裝問題 若安裝期間發生問題 請參閱我們的常見安裝錯誤和解決方案以尋找您問題的解決方案 2.4 產品啟動 完成 安裝之後 系統將提示您啟動您的產品 有數個方法可啟動您的產品 啟動視窗中可使用的特定啟動狀況會視國家及發行方法 (CD/DVD ESET 網頁等) 而異 如果您購買零售版本的產品 請使用 授權金鑰 來啟動產品 授權金鑰通常位於產品包裝內或背部 您必須輸入提供的授權 金鑰 才能成功啟動產品 授權金鑰 - 採用格式為 XXXX-XXXX-XXXX-XXXX-XXXX 或 XXXX-XXXXXXXX 的唯一字串 可供您識別授權擁有者和啟動授權 如果您在購買之前想要評估 ESET NOD32 Antivirus 請選取 [ 免費試用版授權] 請輸入您的電子郵件地址和國家 以在 有限的時間內啟動 ESET NOD32 Antivirus 測試授權將傳送至您的電子郵件 每位客戶只能啟動一次試用版授權 如果您沒有授權但想要購買授權 請按一下 [購買授權] 此選項會將您重新引導至當地的 ESET 經銷商網站 2.5 輸入您的授權金鑰 自動更新對您的安全性而言相當重要 只有在使用您的授權金鑰啟動 ESET NOD32 Antivirus 後 才能收到更新 如果在安裝完成後仍未輸入您的授權金鑰 您的產品將不會啟動 您可以在主要程式視窗中變更您的授權 若要這樣做 請按 一下 [ 說明及支援] > [ 啟動授權] 然後將您所收到的隨附於 ESET 安全性產品之授權資料輸入到 [產品啟動] 視窗中 當您輸入授權金鑰時 請務必照實輸入 您的授權金鑰是採用格式 XXXX-XXXX-XXXX-XXXX-XXXX 的唯一字串 可供您用來識別授權擁有者和授權的啟動 我們建議您從您的註冊電子郵件中複製並貼上授權金鑰以確保正確無誤 2.6 升級至最新版本 新推出的 ESET NOD32 Antivirus 版本已改善或修正自動程式模組更新無法解決的問題 透過以下幾種方式即可升級為新版 1. 透過程式更新自動升級 由於程式更新會散佈至所有使用者 而且可能影響某些系統配置 因此會在經過長時間測試後才發行 以針對所有可能的 系統配置完成平順的運作 如果您需要在此發行後立即升級為新版本 請使用以下其中一種方法 2. 在主要程式視窗中 按一下檢查更新] (位於 [ 更新] 區段) 3. 透過下載新版本並安裝覆蓋舊版的方式手動升級 10

11 2.7 安裝完成後先掃描 在安裝 ESET NOD32 Antivirus 之後 電腦掃描將在第一次成功更新之後自動啟動 以檢查惡意程式碼 您也可以按一下 [ 電腦掃描] > [ 掃描您的電腦] 從主要程式視窗手動啟動電腦掃描 如需有關電腦掃描的詳細資訊 請參閱 電腦掃描一節 11

12 3. 初學者手冊 本章提供 ESET NOD32 Antivirus 及其基本設定的初始概觀 3.1 主要程式視窗 ESET NOD32 Antivirus 的主要程式視窗分為兩個主要區段 右側的主要視窗顯示對應從左側的主要功能表中所選取選項的資 訊 以下為主要功能表中選項的說明 首頁 - 提供與 ESET NOD32 Antivirus 的防護狀態有關的資訊 [ 電腦掃描] - 配置並啟動電腦掃描 或建立自訂掃描 更新 - 顯示有關病毒資料庫更新的資訊 工具 - 可存取防護記錄檔案 防護統計 即時監控 執行中的處理程序 排程器 ESET SysInspector 及 ESET SysRescue 設定 - 選取此選項以調整您電腦 網際網路. 說明及支援 - 可存取說明檔案 ESET 知識庫 ESET 網站和連結 以提交支援要求 [ 首頁] 畫面包含您電腦目前防護層級的重要相關資訊 此狀態視窗會顯示經常使用的 ESET NOD32 Antivirus 功能 您也可 以在此處找到有關程式最新更新以及到期日的資訊 綠色圖示和綠色的 [ 最嚴格的防護] 狀態表示已確保最嚴格的防護 如果程式運作不正常怎麼辦 如果作用中的防護模組運作正常 其防護狀態圖示會顯示為綠色 紅色驚嘆號或橙色通知圖示表示不確定為最嚴格的防護 同 時還會在 [ 首頁] 下方顯示各模組防護狀態的額外資訊 以及還原完整防護的建議解決方案 若要變更個別模組的狀態 請按 12

13 一下 [ 設定] 並選取所需的模組 紅色圖示及紅色的 最嚴格的防護 狀態不一定表示嚴重問題 有幾個原因會顯示此狀態 例如 產品未啟動 - 您可以按一下防護狀態下方的 [ 啟動產品] 或 [ 立即購買] 從 [ 首頁] 啟動 ESET NOD32 Antivirus 病毒資料庫已過期 - 在數次嘗試更新病毒資料庫失敗之後 就會出現此錯誤 我們建議您檢查更新設定 此錯誤 最常見的原因是輸入的驗證資料錯誤或連線設定的配置錯誤 病毒及間諜程式防護已停用 - 您可以按一下 [ 啟用病毒及間諜程式防護] 以重新啟用病毒及間諜程式防護 授權已到期 - 這是由紅色的防護狀態圖示所表示 您的授權過期後即無法更新程式 請按照警告視窗中的指示更新 您的授權 橙色圖示表示防護有限 例如 程式更新可能發生問題或授權可能接近到期日期 有幾個原因會顯示此狀態 例如 玩家模式作用中 - 啟用玩家模式有潛在的安全性風險 啟用此功能會停用所有快顯視窗並停止任何已排程的工 作 您的授權即將到期 - 這是由在系統時鐘旁顯示驚嘆號的防護狀態圖示所表示 您的授權到期後 程式將無法更 新 [防護] 狀態圖示將變成紅色 如果您無法使用建議的解決方案解決問題 請按一下 [ 說明及支援] 以存取說明檔案或搜尋 ESET 知識庫 如果您仍需要協 助 可提出支援要求 ESET 客戶服務 將快速回答您的問題並協助尋找解決方法 13

14 3.2 更新 更新病毒資料庫及更新程式元件是保護系統不受惡意代碼威脅的一個重要部分 請注意其配置與作業 從主要功能表中 按一 下 [ 更新] 然後按一下 [ 立即更新] 檢查是否有病毒資料庫更新 如果在啟用 ESET NOD32 Antivirus 期間沒有輸入授權金鑰 系統會提示您輸入 [進階設定] 視窗 (從主要功能表按一下 [ 設定] 然後按一下 [ 進階設定] 或按鍵盤上的 F5) 包含其他的更新選項 若要配置 例如更新模式 Proxy 伺服器存取 LAN 連線之類的進階更新選項 請按一下 [ 更新] 視窗中的特定索引標籤 14

15 4. 使用 ESET NOD32 Antivirus ESET NOD32 Antivirus 設定選項可讓您調整電腦的防護層級. [ 設定] 功能表分為下列區段 電腦防護 網際網路防護 按一下元件 以調整相對應防護模組的進階設定 [ 電腦防護] 設定可讓您啟用或停用下列元件 即時檔案系統防護 - 開啟 建立或在電腦上執行所有檔案時 都會掃描這些檔案是否具有惡意程式碼 HIP S - HIPS 系統監控作業系統中的事件 並根據自訂的規則集合執行反應動作 玩家模式 - 啟用或停用玩家模式 啟用玩家模式之後 您將收到警告訊息 (潛在的安全性風險) 接著主視窗會轉為橙色 [ 網際網路防護] 設定可讓您啟用或停用下列元件 Web 存取防護 - 啟如果啟用 則會掃描透過 HTTP 的所有流量以尋找惡意軟體 電子郵件用戶端防護 - 可監視透過 POP3 和 IMAP 通訊協定收到的通訊 網路釣魚防護 - 過濾疑似散佈內容以操控使用者提交機密資訊的網站 若要重新啟用已停用的安全性元件 請按一下滑桿 便會顯示綠色的核取標誌 附註 使用此方法停用防護時 所有停用的防護模組將在電腦重新啟動後啟用 設定視窗最下方提供其他選項 使用 [ 進階設定] 連結 為每個模組設定詳細參數 使用 [ 匯入/ 匯出設定] 選項可使用.xml 配置檔案載入設定參數 或將目前的設定參數儲存至配置檔案 15

16 4.1 電腦防護 從設定視窗按一下 [電腦防護] 以查看所有防護模組概要 若要暫時關閉個別模組 請按一下 腦的防護層級 按一下 按一下 請注意 這會降低電 (位於防護模組旁) 以存取該模組的進階設定 > 按一下[ 即時檔案系統防護] 旁邊的 [ 編輯例外] 來開啟 [排除] 設定視窗 您可從掃描中排除檔案與資料夾 暫停病毒及間諜程式防護 - 停用所有病毒及間諜程式防護模組 當您停用防護之後 視窗將會開啟 您可在該處使用 [ 時間 間隔] 下拉式功能表來決定停用防護的時間長度 按一下 [ 套用] 以確認 16

17 4.1.1 病 毒 防 護 病毒防護可藉由控制檔案 電子郵件及網際網路通訊來防止惡意系統攻擊 如果偵測到含有惡意代碼的威脅 防毒 模組可 透過封鎖 接著清除 刪除或將其移至隔離區來消滅它 所有防護模組的掃描器選項 (例如即時檔案系統防護 Web 存取防護... ) 皆可讓您啟用或停用以下項目的偵測功能 潛在不需要應用程式 (PUA) 不一定是惡意的 但是對電腦效能可能會造成負面影響 請在字彙中閱讀更多有關這些類型應用程式的資訊 潛在不安全的應用程式是指合法但可能不當用於惡意用途的商業軟體 例如遠端存取工具 密碼破解應用程式及鍵盤記錄 程式 (記錄每次使用者按鍵的程式) 等 皆為潛在不安全的應用程式 依預設會停用此選項 請在字彙中閱讀更多有關這些類型應用程式的資訊 [ 可疑的應用程式] 包括以壓縮器或保護程式壓縮的程式 惡意軟體作者通常會使用這些類型的保護程式規避偵測 [ 反隱藏技術] 是一種精密的系統 能偵測例如 rootkits 等危險程式 這些危險程式可隱藏於作業系統中 這就意味著使用一 般測試技術無法偵測到它們 [ 排除] 可讓您從掃描中排除檔案及資料夾 為確保所有物件已掃描是否存在威脅 我們建議您只有在絕對必要時建立排除 在某些情況下 您可能需要排除可能包含掃描大型資料庫項目的物件 因其在掃描期間或是軟體與掃描衝突時 可能會降低電 腦速度 若要從掃描中排除物件 請參閱排除 透過 A MS I 啟用進階掃描 - Microsoft 反惡意軟體掃描介面工具可讓應用程式開發人員防護新的惡意軟體 (僅限 Windows 10) 17

18 即 時 檔 案 系 統 防 護 即時檔案系統防護控制系統中與防毒相關的所有事件 開啟 建立或在電腦上執行所有檔案時 都會掃描這些檔案是否具有惡 意程式碼 在系統啟動時會啟動即時檔案系統防護 依預設 即時檔案系統防護會在系統啟動時同時啟動 並持續提供不間斷地掃描 在特殊情況下 (例如 如果與其他即時掃描 器發生衝突) 則可以解除 [ 即時檔案系統防護] > [ 基本] 下 [ 進階] 設定中的 [ 自動啟動即時檔案系統防護] 以停用即時防 護 要掃描的媒體 依預設 會掃描所有媒體類型是否有潛在的威脅 本機磁碟 - 控制所有系統硬碟 [ 可移除的媒體] - 控制 CD/DVD USB 儲存裝置 藍芽裝置等 網路磁碟 - 掃描所有對應的磁碟機 我們建議使用預設值設定 只有在特殊情況下才修改這些設定 例如 掃描某些媒體而明顯減慢資料傳送時 執行掃描的時間 依預設 在開啟 建立或執行時會掃描所有檔案 我們建議您保留預設設定 因為這些預設值會為電腦提供最高等級的即時防 護 [ 開啟檔案] - 啟用/ 停用在開啟檔案時掃描 [ 建立檔案] - 啟用/ 停用在建立檔案時掃描 [ 執行檔案] - 啟用/ 停用在執行檔案時掃描 可移除媒體存取 - 啟用或停用存取有儲存空間的特定可移除媒體所觸發的掃描 [ 關閉電腦] - 啟用或停用關閉電腦所觸發的掃描 即時檔案系統防護會檢查所有媒體類型 而且各種系統事件 (例如存取檔案) 都會觸發掃描 使用 ThreatSense 技術偵測方法 (如 ThreatSense 引擎參數設定一節所述) 即時檔案系統防護可設定為將新建立檔案視為與現有檔案不同 例如 您可以設定 即時檔案系統防護以更密切監視新建立的檔案 為確保在使用即時防護時佔用最低的系統使用量 已掃描的檔案不予重複掃描 (除非已經過修改) 每次更新病毒資料庫之後 會立即重新掃描檔案 使用 [ 智慧型最佳化] 可控制此行為 如果停用此 [ 智慧型最佳化] 則所有檔案都會在每次存取時進 18

19 行掃描 若要修改此設定 請按 F5 以開啟 [ 進階設定] 然後展開 [ 病毒防護] > [ 即時檔案系統防護] 請按一下 [ Threat S ens e 參數] > [ 其他] 並選取或取消選取 [ 啟用智慧型最佳化] 其 他 T hre a ts e ns e 參 數 用於新建立及已修改檔案的其他 Threat S ens e 參數 新建立或已修改檔案感染的可能性高於現有的檔案 這正是為何程式會以額外的掃描參數檢查這些檔案的原因 ESET NOD32 Antivirus 配合病毒碼式掃描方式 使用可在病毒碼資料庫更新發行前 先行偵測新威脅的啟發式 除了新建立的檔案之 外 也可針對 [ 自我解壓檔] (.sfx) 及 [ 加殼技術虛擬機偵測] (內部壓縮的執行檔案) 執行掃描 依預設 至多可以掃描至保 存檔的第 10 層巢狀層級 並不論其實際大小都會進行檢查 若要修改壓縮檔掃描設定 請取消選取 [ 預設壓縮檔掃描設 定] 用於已執行檔案的其他 Threat S ens e 參數 執行檔案時的進階啟發式 - 依預設 執行檔案時使用進階啟發式 啟用時 我們強烈建議您保持啟用智慧型最佳化和 ESET LiveGrid 以減輕對系統效能的影響 執行來自可移除的媒體之檔案時的進階啟發式 - 進階啟發式會在虛擬環境中模擬程式碼 並在允許執行可移除媒體中的程 式碼前先評估其行為 清 除 層 級 即時防護具有三個清除層級 (若要存取清除層級設定 請按一下 [ 即時檔案系統防護] 區段中的 [ Threat S ens e 引擎參數設 定] 然後按一下 [ 清除] ) 不清除 - 不會自動清除受感染的檔案 程式會顯示警告視窗並允許使用者選擇處理方法 此層級針對進階使用者而設計 進 階使用者瞭解出現入侵時需採取哪些步驟 正常清除 - 程式會根據預先定義的處理方法 (視入侵的類型而定) 嘗試自動清除或刪除受感染檔案 畫面右下角會顯示通知 表示受感染檔案的偵測及刪除 如果無法自動選取正確的處理方法 則程式會提供其他的後續處理方法 無法完成預先定義的 處理方法時 程式也會提供後續處理方法的選項 完全清除 - 程式會清除或刪除所有受感染檔案 只有系統檔案例外 如果無法清除受感染的檔案 則系統會提示使用者在警 告視窗中選取一個處理方法 警告 如果壓縮檔包含受感染的檔案 則您可以選用兩個選項來處理壓縮檔 在標準模式 (正常清除) 中 如果壓縮檔內所有檔案 均受感染 則刪除整個壓縮檔 在 [ 完全清除] 模式中 當壓縮檔內含有至少一個受感染的檔案時 即會刪除壓縮檔 無 論壓縮檔中其他檔案的狀態為何 何 時 修 改 即 時 防 護 配 置 即時防護是維護系統安全的最重要組成部分 修改其參數時請務必小心 建議您僅在特定情況中修改其參數 安裝 ESET NOD32 Antivirus之後 所有設定都已最佳化 為使用者提供最高層級的系統安全 若要還原預設值 請按一下視 窗中每個索引標籤旁的 ([ 進階設定] > [ 病毒防護] > [ 即時檔案系統防護] ) 檢 查 即 時 防 護 若要驗證即時防護正在運作並偵測病毒 請使用來自 eicar.com 的測試檔案 此測試檔案是所有防毒程式都可偵測到的無害檔 案 該檔案由 EICAR (European Institute for Computer Antivirus Research) 公司建立 以測試防毒程式的功能 此檔案的下 載連結為 19

20 即 時 防 護 無 法 運 作 時 怎 麼 辦 在本章中 我們說明使用即時防護時可能發生的問題 以及如何疑難排解這些問題 已停用即時防護 如果使用者不小心停用即時防護 則需要重新啟動它 若要重新啟動即時防護 請瀏覽至主要程式視窗的 [ 設定] 並且按一 下 [ 電腦防護] > [ 即時檔案系統防護] 如果在系統啟動時未啟動即時保護 則通常是由於已停用 [ 自動啟動即時檔案系統防護] 的緣故 若要確保已啟用此選項 請瀏覽至 [ 進階設定] (F5) 並按一下 [ 防毒] > [ 即時檔案系統防護] 如果即時防護不會偵測及清除入侵 請確定電腦上未安裝任何其他防毒程式 若您同時安裝兩個防毒程式 它們可能會與彼此衝突 我們建議您先解除安裝系統上 的任何其他防毒程式 再安裝 ESET 即時防護未啟動 如果在系統啟動時未啟動即時保護 (且已啟用 [ 自動啟動即時檔案系統保護] ) 則可能是由於與其他程式發生衝突 如需解決 此問題的協助 請連絡 ESET 客戶服務 電 腦 掃 描 指定掃描器是防毒解決方案中的一個重要部分 它可用來針對電腦中的檔案及資料夾執行掃描 從安全性來看 不應該僅在懷 疑有感染時才執行電腦掃描 出於常規安全性考量也應定期執行掃描 我們建議您定期為系統執行深入掃描 以偵測有否於寫 入磁碟時未遭 [即時檔案系統防護] 所攔截的病毒 資料寫入磁碟時 若即時檔案系統防護已停用 病毒資料庫已過時 或是 檔案儲存至磁碟時未偵測為病毒 就可能發生上述情況 可以使用兩種 [ 電腦掃描] 類型 [ 掃描您的電腦] 可快速掃描系統 無須指定掃描參數 [ 自訂掃描] 可讓您選取針對目標特 定位置所設計的預先定義掃描設定檔 也會讓您選擇特定的掃描目標 掃描您的電腦 掃描您的電腦可讓您快速啟動電腦掃描並清除感染的檔案 無需使用者介入 掃描您的電腦的優點在於可以輕鬆執行作業 而 不需要詳細的掃描配置 掃描會檢查本機磁碟中所有的檔案 且會自動清除或刪除偵測到的入侵 清除層級會自動設為預設 值 如需更多有關清除類型的資訊 請參閱清除 自訂掃描 自訂掃描可讓您指定掃描參數 例如掃描目標與掃描方法 自訂掃描的優點是可以詳細地配置參數 您可以將配置儲存為使用 者定義的掃描設定檔 以利於使用相同參數重複執行掃描 可移除的媒體掃描 與 掃描您的電腦 類似 -可快速啟動掃描目前與電腦連接的可移除媒體 (如 CD/DVD/USB) 當您將 USB 隨身碟連接到電腦 時 並想要掃描其內容是否有潛在威脅 這功能十分有用 按一下 [ 自訂掃描]? 再選取 [ 掃描目標] 下拉式功能表中的 可移除的媒體 移 並按一下 [ 掃描] 也可啟動這類型掃描 重複上次掃描 可讓您使用先前執行時所使用的相同設定 快速啟動先前執行的掃描 請參閱掃描進度 取得更多關於掃描進度的資訊 附註 我們建議您一個月至少執行一次電腦掃描 您可以透過 [ 工具] > [ 排程器] 將掃描配置為排程工作 如何安排每週電腦 掃描? 20

21 自 訂 掃 描 啟 動 器 您可以使用 [自訂掃描] 來掃描磁碟內的特定部分 而不是掃描整個磁碟 若要這樣做 請按一下 [ 電腦掃描] > [ 自訂掃描] 然後從 [ 掃描目標] 下拉式功能表中選取選項 或從資料夾 (樹狀) 結構中選取特定目標 [ 掃描目標] 下拉式功能表可讓您選取預先定義的掃描目標 使用設定檔設定 - 選取所選掃描設定檔指定的目標 可移除媒體 - 選取磁碟片 USB 儲存裝置 CD/DVD 本機磁碟機 - 選取所有系統硬碟 網路磁碟機 - 選取所有對應的網路磁碟機 不選擇 - 取消所有選擇 若要快速瀏覽至掃描目標 或是新增目標資料夾或檔案 請於資料夾清單下方的空白欄位中輸入目標目錄 僅當樹狀結構中沒 有選取任何目標 且掃描目標功能表設為不選擇時才可以這樣做 您可以針對在進階設定 > 防毒 > 指定電腦掃描 > Threat S ens e 參數 > 清除下的掃描配置清除參數 若要執行不使用清 除處理方式的掃描 請選取 [ 掃描但不清除] 掃描歷程會儲存在掃描防護記錄中 當選取 [ 忽略例外] 時 先前從掃描排除的包含副檔名檔案將會進行掃描而沒有例外 您可以從 [ 掃描設定檔] 下拉式功能表中選擇用於掃描特定目標的設定檔 預設的設定檔是 [ 智慧型掃描] 還有兩個預先定 義的掃描設定檔 名稱分別是 [ 深入掃描] 與 [ 內容功能表掃描] 這些掃描設定檔會使用不同的 ThreatSense 參數 按一下 [ 設定... ] 以設定自訂掃描設定檔 在 ThreatSense 參數中的其他區段下有掃描設定檔選項的說明 按一下 [ 掃描] 使用您已設定的自訂參數來執行掃描 [ 以管理員身分掃描] 可讓您在管理員帳戶下執行掃描 若目前的使用者權限不足 無法存取您想要掃描的檔案時 請使用此 選項 如果目前的使用者無法以管理員身分呼叫 UAC 作業 則無法使用此按鈕 附註 當掃描完成時 您可以按一下 [ 顯示記錄檔] 來檢視電腦掃描防護記錄檔 21

22 掃 描 進 度 掃描進度視窗顯示掃描的目前狀態 以及發現包含惡意程式碼的檔案數目 附註 通常無法掃瞄某些檔案 例如密碼保護的檔案或系統專用的檔案 (一般是 pagefile.sys 及某些防護記錄檔案) 掃描進度 - 進度列可顯示已掃描物件與待掃描物件的狀態 此掃描進度狀態衍生自掃描中包括的物件總數 目標 - 目前掃描的物件名稱及其位置 發現的威脅 - 顯示掃描期間已掃描檔案 找到的威脅與已清除威脅的總數 暫停 - 暫停掃描 繼續 - 當掃描進度暫停時 則可看見此選項 按一下 [ 繼續] 以繼續掃描 停止 - 終止掃描 捲動掃描防護記錄 - 如果啟用 掃描防護記錄將在加入新項目時自動向下捲動 以顯示最新的項目 附註 按一下放大鏡或箭號以顯示目前執行中掃描的相關詳細資訊 您可以按一下 [ 掃描您的電腦] 或 [ 自訂掃描] 以執行另一 個平行掃描 掃描後的處理方法 - 當電腦掃描完成後 觸發已排程的關機或重新開機 完成掃描後 關閉確認對話方塊視窗將開啟並於 60 秒後逾時 22

23 掃 描 設 定 檔 您偏好的掃描參數可儲存供未來掃描時使用 我們建議您盡量為定期進行的掃描建立不同設定檔 (含有各種掃描目標 掃描方 法及其他參數) 若要建立新的設定檔 請開啟 [進階設定] 視窗 (F5) 然後按一下 [ 病毒防護] > [ 指定電腦掃描] > [ 基本] > [ 設定檔清單] [ 設定檔管理員] 視窗包括 [ 已選取的設定檔] 下拉式功能表 其中列出現有的掃描設定檔與可建立新設定檔的選項 若要協 助您建立掃描設定檔以符合您的需求 請參閱 ThreatSense 引擎參數設定一節 以取得每個掃描設定參數的說明 附註 假設您要建立您自己的掃描設定檔且 [ 掃描您的電腦] 配置有部份適用 但不要掃描 運行時間壓縮器 或潛在不安全的應用 程式 並且要套用 [ 完全清除] 在 [ 設定檔管理程式] 視窗中輸入新設定檔的名稱並按一下 [ 新增] 從 [ 已選取的設定 檔] 下拉式功能表中選取新設定檔 並調整剩餘的參數以符合您的需求 接著按一下 [ 確定] 以儲存新的設定檔 電 腦 掃 描 防 護 記 錄 電腦掃描防護記錄可提供您關於掃描的一般資訊 例如 完成時間 掃描時間總計 已發現的威脅數目 已掃描的物件數目 已掃描的磁碟 資料夾及檔案 掃描的日期及時間 病毒資料庫的版本 閒 置 狀 態 掃 描 在 [ 進階設定] > [ 病毒防護] > [ 閒置狀態掃描] > [ 基本] 下 按一下 [ 啟用閒置狀態掃描] 旁的開關以允許電腦不在使用狀 態時 進行自動系統掃描 依預設 當電腦 (筆記型電腦) 使用電池的電源時 閒置狀態掃描器不會執行 您可以使用即使電腦電源來自電池仍然要執 行功能來覆寫此設定 開啟 [ 啟用記錄] 可在防護記錄檔案區段中記錄電腦掃描輸出 (在主要程式視窗中按一下 [ 工具] > [ 防護記錄檔案] 並從 [ 防 護記錄] 下拉式功能表中選擇 [ 電腦掃描] ) 閒置狀態偵測將在您的電腦處於以下狀態時執行: 螢幕保護程式 電腦鎖定 使用者登出 請按一下 ThreatSense 參數以修改閒置狀態掃描器的掃描參數 (例如偵測方法) 啟 動 掃 描 依預設 在系統啟動和病毒資料庫更新時 將執行啟動檔案自動檢查 這項掃描取決於排程器配置及工作 啟動掃描選項是 [ 系統啟動檔案檢查] 排程器工作的一部分 若要修改其設定 請瀏覽至 [ 工具] > 排程器 按一下 [ 自動啟 動檔案檢查] 接著 [ 編輯] 在最後一個步驟中 [啟動檔案自動檢查] 視窗將出現 (請參閱下一章以取得詳細資訊) 如需排程器工作建立及管理的詳細指示 請參閱建立新工作 23

24 啟 動 檔 案 自 動 檢 查 建立 系統啟動檔案檢查 排程工作時 有數個選項可供您調整下列參數 [ 一般使用的檔案] 下拉式功能表根據精密的演算法指定系統啟動時檔案的掃描深度 系統會根據下列條件依遞減順序排列檔 案 所有登錄的檔案 (掃描的檔案最多) 很少使用的檔案 一般使用的檔案 經常使用的檔案 僅最常使用的檔案 (掃描的檔案最少) 此外也包含兩個特定的群組 使用者登入前執行的檔案 - 包含在使用者不用登入即可存取之位置中的檔案 (包含幾乎所有的啟動位置 例如服務 瀏 覽器 Helper 物件 Winlogon 通知 Windows 排程器項目 已知 DLL 等) 使用者登入後執行的檔案 - 包含在只有使用者登入後才能存取之位置中的檔案 (包含僅針對特定使用者執行的檔案 一 般是 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的檔案) 每個上述群組的待掃描檔案清單是固定的 掃描優先順序 - 用於決定何時開始掃描的優先順序層級 閒置時 - 只有在系統閒置時才會執行工作 最低 - 系統負載可能最低時 較低 - 低系統負載 正常 - 平均系統負載 排 除 [排除] 可讓您從掃描中排除檔案及資料夾 為確保所有物件已掃描是否存在威脅 我們建議您只有在絕對必要時建立排除 然 而 在某些情況下 您可能需要排除物件 例如 大型資料庫項目在掃描期間或是軟體與掃描衝突時 可能會降低電腦速度 若要從掃描中排除物件 1. 按一下 [ 新增]? 2. 輸入物件的路徑或在樹狀結構中進行選取 您可以使用萬用字元來涵蓋一組檔案 問號 (?) 代表一個變數字元 而星號 (*) 代表含有零或多個字元的變數字串 範例 24 如果您想要排除資料夾中的所有檔案 請輸入資料夾的路徑並使用遮罩 *. * 若要排除包含所有檔案與子資料夾的整個磁碟機 請使用遮罩 D:\* 如果您只想要排除 doc 檔案 請使用遮罩 *. doc 如果執行檔的名稱具有特定數目的字元 (且字元不同) 但您只確切瞭解第一個字元 (例如 D) 請使用下列格式 D????.exe 問號取代遺漏 (未知) 字元

25 附註 如果檔案符合條件排除掃描的條件 即時檔案系統防護模組或電腦掃描模組便無法偵測到該檔案內的威脅 直欄 路徑 - 排除檔案及資料夾的路徑 威脅 - 如果排除檔案旁有威脅的名稱 則代表該檔案只是因為指定威脅而排除 不是完全排除 如果該檔案在稍後被其他 惡意軟體感染 則防毒模組仍會偵測到它 此類排除僅適用於特定類型的入侵 並可在報告入侵的威脅警告視窗 (按一下 [ 顯示進階選項] 然後選取 [ 從偵測中排除] ) 或按一下 [ 工具] > [ 隔離] 用滑鼠右鍵按一下隔離檔案 並選取內容功 能表中的 [ 還原並從偵測中排除] 控制項元素 新增 - 從偵測中排除物件 編輯 - 可讓您編輯已選取的項目 移除 - 移除已選取的項目 25

26 T hre a ts e ns e 參 數 ThreatSense 是由許多複雜威脅偵測方法組成 此技術是主動式的 也就是說該技術也可在新威脅擴散初期提供防護 其使用 代碼分析 代碼模擬 一般資料庫和病毒資料庫的組合 共同合作以大幅增強系統安全性 掃描引擎可以同時控制數個資料串 流 以最大化效能及偵測率 此外 ThreatSense 技術還可以成功消除 Rootkit ThreatSense 引擎設定選項可讓您指定數個掃描參數 要掃描的檔案類型及副檔名 各種偵測方法的組合 清除層級等 若要進入設定視窗 請按一下任何使用 ThreatSense 技術之模組進階設定視窗中的 Threat S ens e[ 參數] (如下所示) 不同 的安全情況可能需要不同的設定 瞭解這一點之後 就可針對下列防護模組 分別進行 ThreatSense 配置 即時檔案系統防護 閒置狀態掃描 啟動掃描 文件防護 電子郵件用戶端防護 Web 存取防護 電腦掃描 每個模組的 ThreatSense 參數都已高度最佳化 其修改對系統作業有很大影響 例如 將參數變更為一律掃描運行時間壓縮 器 或在即時檔案系統防護模組中啟用進階啟發式可能會導致系統速度減慢 (通常 使用這些方法僅掃描新建立的檔案) 除了 電腦掃描 之外 我們建議您不要變更任何模組的預設 ThreatSense 參數 要掃描的物件 此區段可讓您定義要掃描是否有入侵的電腦元件及檔案 [ 作業記憶體] - 掃描攻擊系統作業記憶體的威脅 開機磁區 - 掃描開機磁區的主要開機記錄中是否有病毒 電子郵件檔案 - 程式支援下列副檔名 DBX (Outlook Express) 及 EML 壓縮檔 - 程式支援下列副檔名 ARJ BZ2 CAB CHM DBX GZIP ISO/BIN/NRG LHA MIME NSIS RAR SIS TAR TNEF UUE WISE ZIP ACE 及許多其他副檔名 自解壓縮檔 - 自解壓縮檔 (SFX) 是可以自行解壓縮的壓縮檔 加殼技術虛擬機偵測 - 執行之後 加殼技術虛擬機偵測 (不同於標準壓縮檔類型) 會在記憶體中解壓縮 除了標準靜態壓縮 器 (UPX yoda ASPack FSG 等) 掃描器還能透過使用代碼模擬 辨識幾種其他類型的壓縮器 掃描選項 選取在掃描系統是否有入侵時使用的方法 可用選項如下 啟發式 - 啟發式是分析程式 (惡意) 活動的演算法 這項技術的主要優點是可以識別不存在或先前病毒資料庫不涵蓋的惡意 軟體 缺點是有錯誤警示的可能性 (很小) 進階啟發式/ DNA 簽章 - 進階啟發式是 ESET 開發的獨特啟發式演算法 經過最佳化以偵測電腦蠕蟲及特洛伊木馬程式 並以高階程式設計語言撰寫 使用進階啟發式能大幅提高 ESET 產品的威脅偵測功能 簽章可以可靠地偵測及識別病毒 採用自動更新系統 發現威脅數個小時之後便有可用的新病毒碼 病毒碼的缺點是僅偵測瞭解的病毒 (或這些病毒略微修改 的版本) 潛在不需要應用程式是含有廣告軟體 安裝工具列或具有其他不明企圖的程式 在某些情況下 使用者可能會認為潛在不需要 應用程式的優點大於風險 因此 相較於其他例如特洛伊木馬或蠕蟲惡意軟體的類型 ESET 將此類應用程式指定為低風險的 類別 警告 發現潛在的威脅 偵測到潛在不需要應用程式時 您可以決定要採取的處理方法 26

27 1. 清除/ 中斷連線 此選項結束動作 並且防止潛在的威脅進入系統 2. 略過 此選項會允許潛在威脅進入您的系統 3. 若要讓應用程式以後在電腦上不中斷地執行 請按一下 [ 進階選項] 然後選取 [ 從偵測中排除] 旁的核取方塊 偵測到潛在不需要應用程式且無法清除時 將會顯示位址已被封鎖通知 如需有關此事件的詳細資訊 請從主功能表瀏覽至 [ 工具] > 從主要功能表中的 [ 防護記錄檔案] > [ 過濾的網站] 27

28 潛在不需要應用程式 -設定 安裝您的 ESET 產品時 可以決定是否要啟用不需要應用程式的偵測 如下所示 警告 潛在不需要應用程式可能會安裝廣告軟體 工具列 或者具有其他不安全和不需要的程式功能 您隨時可以在程式設定裡修改這些設定 若要啟用或停用潛在不需要 不安全或可疑應用程式的偵測 請遵循下列指示 1. 開啟您的 ESET 產品 如何開啟我的 ESET 產品 2. 按 F5 鍵以存取 [ 進階設定] 3. 按一下 [ 防毒] 根據您的喜好啟用或停用 [ 啟用潛在不需要應用程式偵測]? [ 啟用潛在不安全應用程式偵測] 和 [ 啟用 可疑應用程式偵測] 選項 按一下 [ 確定] 以確認 28

29 潛在不需要應用程式 -軟體包裝函式 軟體包裝函式是檔案裝載網站使用的一種特殊應用程式修改類型 其為第三方工具 會安裝您要下載的程式 但也會新增其他 軟體 例如工具列或廣告軟體 這些其他軟體可能會變更您網頁瀏覽器的首頁和搜尋設定 除此之外 檔案裝載網站通常不會 通知軟體廠商或接收下載的用戶其已經執行修改 且通常會隱藏用於退出的選項 因為上述原因 ESET 將軟體包裝函式分類 為一種潛在不需要應用程式 讓使用者選擇接受或不接受下載 請參閱這份 ESET 知識庫文章以取得此說明頁面的更新版本 [ 潛在不安全的應用程式] - [潛在不安全的應用程式] 是用於商業 合法程式的分類 例如遠端存取工具 密碼破解應用程 式及鍵盤記錄程式 (記錄每次使用者按鍵的程式) 依預設會停用此選項 清除設定會決定在掃描器清除受感染檔案期間的行為 有 3 個清除層級 排除 副檔名是檔案名稱中以句點隔開的部份 副檔名定義檔案的類型及內容 ThreatSense 參數設定的此區段可讓您定義要掃描 的檔案類型 其他 配置 [指定電腦掃描] 的 ThreatSense 引擎參數設定時 [ 其他] 區段也有以下可用選項 掃描替代資料串流 (A DS ) NTFS 檔案系統使用的替代資料串流是使用一般掃描技術無法看到的檔案及資料夾關聯 許多 入侵會透過將自己偽裝為替代資料串流來嘗試躲避偵測 以低優先順序執行背景掃描 - 每個掃描序列都會消耗大量的系統資源 如果處理的程式佔有大量的系統資源 則可以啟動 低優先順序背景掃描 從而節省應用程式的資源 記錄所有物件 - 如果已選取此選項 則防護記錄檔案會顯示所有已掃描的檔案 (包括未受感染的檔案) 例如 如果壓縮檔 內發現入侵 防護記錄將同時清除壓縮檔內的其他檔案 啟用智慧型最佳化 - 啟用 智慧型最佳化 時 會使用最佳設定以確保最有效率的掃描層級 同時維持最快的掃描速度 各種防護模組都會聰明地掃描 利用不同的掃描方式並將其套用至特定的檔案類型 如果停用 智慧型最佳化 則當執行 掃描時 只會套用特定模組的 ThreatSense 核心中使用者定義的設定 保存最後一次的存取時間郵戳 - 選取此選項 以保留掃描檔案的原始存取時間 而不會更新該時間 (例如 以用於資料備 份系統) 29

30 限制 [限制] 區段可讓您指定物件的大小上限 以及要掃描的巢狀保存檔層級 物件設定 物件大小上限 - 定義要掃描的物件大小上限 然後 指定的防毒模組只會掃描小於所指定大小的物件 只有進階使用 者基於特定的理由 才應變更此選項來排除掃描較大物件 預設值 無限制 物件的掃描時間上限 (秒) - 定義掃描物件的時間值上限 如果已在這裡輸入使用者定義的值 則當該時間到期 防毒 模組會停止掃描物件 無論掃描是否完成 預設值 無限制 壓縮檔掃描設定 壓縮檔巢狀層級 - 指定壓縮檔掃描的深度上限 預設值 10. 壓縮檔中檔案的大小上限 - 此選項可讓您指定要掃描的壓縮保存檔中 所包含檔案的大小上限 (解壓縮時) 預設值 無限制 附註 我們不建議變更預設值 在正常情況下 應該沒有要修改的理由 清 除 清除設定會決定在掃描器清除受感染檔案期間的行為 有 3 個清除層級 從 掃 描 中 排 除 的 檔 案 副 檔 名 副檔名是檔案名稱中以句點隔開的部份 副檔名定義檔案的類型及內容 ThreatSense 參數設定的此區段可讓您定義要掃描的 檔案類型 依預設 會掃描所有檔案 無論它們的副檔名為何 可以將任何副檔名新增至從掃描中排除的檔案清單 如果掃描某些檔案類型會造成使用副檔名的程式無法正常執行 有時必須排除這種檔案不予掃描 例如 使用 Microsoft Exchange 伺服器時 可能建議排除. edb. eml 及. tmp 等副檔名 使用 [ 新增] 及 [ 移除] 按鈕 您可以允許或禁止指定檔案副檔名的掃描 若要將新的副檔名新增至清單 請按一下 [ 新增] 在空白欄位輸入副檔名並按一下 [ 確定] 當您選取 [ 輸入多個值] 時 您可新增多個以行 逗號或分號分隔的檔案副檔名 當 您啟用多個選項時 副檔名將於清單中顯示 選取清單中的副檔名 並按一下 [ 移除] 以從清單中刪除副檔名 若您想要編輯 已選取的副檔名 請按一下 [ 編輯] 特殊符號? (問號) 該問號代表任何字符 附註 為在 Windows 作業系統中看到實際的副檔名 (若有) 您必須取消勾選 [ 控制台] > [ 資料夾選項] > [ 檢視] (索引標籤) 中 的 [ 隱藏已知檔案類型的副檔名] 選項並套用此變更 偵 測 到 入 侵 入侵可以從網頁 共用資料夾等不同的進入點透過電子郵件 或從可移除的裝置 (USB 外部磁碟 CD DVD 磁碟片等) 到 達系統 標準行為 做為 ESET NOD32 Antivirus 處理入侵的一般範例 入侵的偵測可使用 30 即時檔案系統防護 Web 存取防護 電子郵件用戶端防護 指定電腦掃描

31 個別使用標準清除層級 並且將嘗試清除檔案並移至隔離或終止連線 通知視窗會顯示在畫面右下角的通知區域中 如需有關 清除層級和行為的詳細資訊 請參閱清除 清除及刪除 如果沒有要針對即時檔案系統防護採取的預先定義處理方法 則會提示您在警告視窗中選取一個選項 通常可以使用 [ 清 除]? [ 刪除] 及 [ 不進行處理] 選項 不建議選取 [ 不進行處理] 因為它不會清除受感染的檔案 但若您確定檔案無害 只是 因失誤而偵測為入侵 則可破例選用此選項 如果已將惡意程式碼連接至檔案的病毒已攻擊檔案 則套用清除 如果是這種情況 則請先嘗試清除受感染的檔案 以將其還 原為原始狀態 如果該檔案僅由惡意程式碼組成 則會刪除該檔案 如果受感染的檔案 已鎖定 或正由系統程序使用 則通常只會在釋放之後才會刪除它 (通常在系統重新啟動後) 多種威脅 如果在電腦掃描期間沒有清除任何受感染的檔案 (或清除層級設為 [ 不清除] ) 則警告視窗會提示您針對顯示的那些檔案選取 處理方法 先針對檔案選取處理方法 (為清單中的每個檔案個別設定處理方法) 然後按一下 [ 完成] 31

32 刪除壓縮檔中的檔案 在預設清除模式中 只有在整個壓縮檔包含受感染的檔案而不包含未感染檔案時 才會刪除它 也就是說 如果壓縮檔還包含 無害的未感染檔案 則不會進行刪除 執行完全清除掃描時請小心 因為啟用完全清除後 當壓縮檔內含有至少一個受感染的 檔案時 即會刪除壓縮檔 無論壓縮檔中其他檔案的狀態為何 如果您的電腦正在顯示惡意程式感染的信號 (例如 速度更慢 頻繁凍結等) 我們建議您執行下列各項 開啟 ESET NOD32 Antivirus 然後按一下 [電腦掃描] 按一下 [ 掃描您的電腦] (如需詳細資訊 請參閱電腦掃描) 完成掃描之後 請檢閱已掃描 受感染及已清除的防護記錄 如果您僅想要掃描磁碟的某一部分 請按一下 [ 自訂掃描] 並選取要進行病毒掃描的目標 文 件 防 護 文件防護功能可在 Microsoft Office 文件開啟前先行掃描文件 以及掃描 Internet Explorer 自動下載的檔案 (如 Microsoft ActiveX 元素) 文件防護在即時檔案系統防護之外再提供一層防護 若停用可增強無須處理大量 Microsoft Office 文件的系統 效能 若要啟動文件防護 請開啟 [ 進階設定] 視窗 (按下 F5) > [ 病毒防護] > [ 文件防護] 然後按一下 [ 整合至系統] 開關 附註 使用 Microsoft Antivirus API 的應用程式 (如 Microsoft Office 2000 與更新版本 或 Microsoft Internet Explorer 5.0 與更 新版本) 可啟動此功能 可 移 除 的 媒 體 ESET NOD32 Antivirus 提供自動可移除媒體 (CD/DVD/USB/...) 掃描 此模組可讓您掃描插入的媒體 若電腦管理員想要避 免使用者使用含有來路不明內容的可移除媒體時 這功能便非常實用 插入可移除媒體之後要採取的處理方法 - 選取預設處理方法 在將可移除媒體裝置插入電腦之後執行 (CD/DVD/USB) 如 果選取 [ 顯示掃描選項] 則會顯示通知 讓您選擇想要的處理方法 不掃描 - 不執行任何處理方法 且會關閉 [ 偵測到新裝置] 視窗 自動裝置掃描 - 將針對已插入的可移除媒體裝置執行指定電腦掃描 顯示掃描選項 - 開啟 [可移除的媒體設定] 區段 插入可移除的媒體後會顯示下列對話方塊 立即掃描 - 將會觸發掃描可移除的媒體 稍後掃描 - 將延後掃描可移除的媒體 設定 - 開啟 [進階設定] 永遠使用選取的選項 - 選取後 在其他時間插入可移除媒體後會執行相同的處理方法 此外 ESET NOD32 Antivirus 具備裝置控制功能 能夠讓您定義在指定的電腦使用外部裝置的規則 在裝置控制一節中可找 到裝置控制的詳細資訊 32

33 4.1.3 裝 置 控 制 裝置控制 ESET NOD32 Antivirus 提供自動裝置 (CD/DVD/USB/...) 控制項 此模組可讓您掃描 封鎖或調整擴充的過濾器/ 權限 以及 定義使用者存取和使用指定裝置的方式 若電腦管理員想要避免使用者使用含有來路不明內容的裝置時 這功能便非常實用 支援的外部裝置 磁碟儲存裝置 (HDD USB 卸除式磁碟) CD/DVD USB 印表機 FireWire 儲存裝置 藍牙裝置 智慧卡讀卡機 影像裝置 數據機 LPT/COM 連接埠 可攜式裝置 麥克風 所有裝置類型 選取 [ 進階設定] (F5) > [ 裝置控制] 即可修改裝置控制設定選項 開啟 [ 整合至系統] 旁的切換以啟動 ESET NOD32 Antivirus 中的裝置控制功能 若要使變更生效 您需要重新啟動電腦 在 啟用裝置控制之後 [ 規則] 將會變成啟用狀態 使您可以開啟規則編輯器視窗 附註 您可以建立不同裝置群組 並套用不同規則 您也可以只建立一個裝置群組 該群組則會套用具有讀取/ 寫入或唯讀的規 則 這樣可確保在無法辨識的裝置連接至您電腦時 裝置控制會將其封鎖 如果插入的裝置遭到現有規則封鎖 將會顯示通知視窗且不授與裝置的存取權限 網路攝影機防護 將整合至系統旁的開關開啟便會啟動 ESET NOD32 Antivirus 中的網路攝影機防護功能 在啟用網路攝影機防護之後 規則 將會變成啟用狀態 使您可以開啟規則編輯器視窗 33

34 裝 置 控 制 規 則 編 輯 器 [ 裝置控制規則編輯器] 視窗會顯示現有規則 並允許準確控制使用者連接到電腦的外部裝置 針對使用者或使用者群組 並按照可在規則設定中指定的其他裝置參數 可允許或封鎖特定裝置 規則清單包含規則的數個說 明 例如名稱 外部裝置類型 將外部裝置連接到電腦後要執行的動作 以及防護記錄嚴重性 按一下 [ 新增] 或 [ 編輯] 以管理規則 按一下 [ 複製] 可使用另一個所選取規則使用的預先定義選項建立新的規則 按一下規 則時顯示的 XML 字串會複製到剪貼簿 以協助系統管理員匯出/ 匯入並使用這些資料 例如在 ESET Remote Administrator 中 按下 CTRL 並按一下左鍵 您可以選取多個規則並將動作 (例如刪除或在清單中向上或向下移) 套用到所有選取的規則 [ 已啟 用] 核取方塊可停用或啟用規則 如果您不希望永久刪除規則以供日後使用 此選項很有用 控制是由按照決定優先順序的順序進行排序的規則所完成 優先順序較高的規則出現在頂端 在 ESET NOD32 Antivirus 的主要視窗中選取 [ 工具] 即可檢視防護記錄項目 > 防護記錄檔案 裝置控制防護記錄會記錄所有裝置控制防護遭到觸發的事件 按一下 [ 填入] 可為電腦所連接的裝置自動填入可移除媒體裝置參數 34

35 新 增 裝 置 控 制 規 則 裝置控制規則會定義符合規則條件的裝置連接到電腦時將採取的處理方法 將規則說明輸入到 [ 名稱] 欄位中 以便進一步識別 按一下 [ 已啟用規則] 旁的切換選項可停用或啟用此規則 如果您不想 要永久刪除規則 此選項很有用 裝置類型 從下拉式功能表選擇外部裝置類型 (磁碟儲存裝置/ 可攜式裝置/ 藍牙/ FireWire/...) 裝置的類型資訊是從作業系統收集而來 而 且 如果裝置連接到電腦 可在系統裝置管理程式中看見裝置的類型資訊 儲存裝置包括透過 USB 或 FireWire 連接的外部磁 碟或常見的讀卡機 智慧卡讀卡機包括各種配備內嵌積體電路之智慧卡 (如 SIM 卡或驗證卡) 的讀卡機 掃描器或相機都是影 像裝置 因為這些裝置僅提供其行動相關的資訊且不會提供與使用者有關的資訊 無法以全域方式封鎖這些裝置 處理方法 可允許或封鎖對於非儲存裝置的存取 另一方面 儲存裝置的規則允許選取下列其中一個權限設定 讀取/ 寫入 - 將允許裝置的完整存取權限 封鎖 - 將封鎖裝置的存取權限 唯讀 - 僅允許讀取裝置的存取權限 警告 - 每次連線到一個裝置就會通知使用者是否允許存取該裝置或是要封鎖 並會建立一筆記錄項目 不會記取裝置 針 對相同裝置進行後續連線時仍會顯示通知 請注意 並非所有裝置類型都適用所有處理方法 (權限) 如果其類型為儲存裝置 則四種處理方法都可以使用 對於非儲存裝 置 只可使用三種處理方法 (例如 [ 唯讀] 不適用於藍牙 因此只能允許 封鎖或警告藍牙裝置) 標準類型- 選取 [ 裝置群組] 或 [ 裝置] 下面列出可用來微調規則並針對裝置進行調整的其他參數 所有參數均區分大小寫 供應商 - 依供應商名稱或 ID 進行過濾 型號 - 裝置的指定名稱 序號 - 外部裝置通常擁有其專屬的序號 若是 CD/DVD 則是指定的媒體會有序號 而非 CD 光碟機 附註 如果並未定義這些參數 規則在比對時就會忽略這些欄位 所有文字欄位中的過濾參數均不區分大小寫 且不支援萬用字 元 (* 與?) 35

36 附註 若要檢視關於裝置的資訊 請為該類型的裝置建立規則 將裝置連接到電腦 然後查看裝置控制防護記錄中的裝置詳細資 訊 記錄嚴重性 ESET NOD32 Antivirus 會將所有重大事件儲存在防護記錄檔案中 您可以從主要功能表直接檢視該檔案 按一下 [ 工具] > [ 防護記錄檔案] 然後從 [ 防護記錄] 下拉式功能表中選取 [ 裝置控制] 永遠 - 記錄全部的事件 診斷 - 記錄微調程式時所需的資訊 資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 無 - 不記錄任何防護記錄 將某些使用者或使用者群組新增至 [ 使用者清單] 即可將規則限制在某些使用者或使用者群組 新增 - 開啟 [ 物件類型 使用者或群組] 對話方塊視窗 可讓您選取所需的使用者 移除 - 從過濾器移除選取的使用者 附註 所有裝置都可以使用者規則篩選 (例如 影像裝置不會提供使用者相關資訊 僅提供動作相關資訊) 主 機 入 侵 預 防 系 統 (H IP S ) 警告 HIPS 設定若要變更 僅能由有經驗的使用者執行 未正確配置的 HIPS 設定可能導致系統不穩定 主機入侵預防系統 (HIPS) 能保護您的系統抵抗惡意軟體以及任何嘗試對電腦產生不良影響的不必要活動 HIPS 利用進階 行為分析再加上網路過濾的偵測能力 可監視執行中的程序 檔案及登錄機碼 HIPS 與即時檔案系統防護各自獨立 且不是 防火牆 它只會監視在作業系統內執行的處理程序 按一下 [ 進階設定] (F5) > [ 病毒防護] > [ HIP S ] > [ 基本] 便可找到 HIPS 設定 HIPS 狀態 (已啟用/ 已停用) 顯示在 ESET NOD32 Antivirus 主要程式視窗中的 [ 設定] > [ 電腦防護] 36

37 ESET NOD32 Antivirus 使用內建的 [ 自我保護] 技術 可防止惡意軟體損毀或停用您的病毒及間諜程式防護 因此能確定系 統隨時受到保護 需要重新啟動 Windows 才能停用 HIPS 或 [自我保護] 啟用受保護的服務 - 啟用核心防護 (Windows 8.1 及 10) [ 進階記憶體掃描器] 可與惡意探索封鎖程式一起搭配 強化對抗惡意軟體在整個利用欺騙及/ 或加密時對惡意軟體防護產品所 啟用偵測功能的規避動作 進階記憶體掃描器依預設已啟用 請在字彙中閱讀更多有關此類型防護的資訊 惡意探索封鎖程式是設計用來強化常遭利用的應用程式類型的防護 例如 Web 瀏覽器 PDF 閱讀器 郵件用戶端和 MS Office 元件 惡意探索封鎖程式依預設已啟用 請在字彙中閱讀更多有關此類型防護的資訊 勒索軟體防護是另一種層級的防護 可作為 HIPS 功能的一部分運作 您必須啟用 LiveGrid 聲譽系統以便讓勒索軟體防護正 常運作 請在這裡閱讀更多有關此類型防護的資訊 過濾可使用以下四種模式其中之一執行 自動模式 - 系統會啟用作業 但受到保護系統的預先定義規則封鎖的作業除外 智慧型模式 - 僅會通知使用者關於非常可疑的事件 互動模式 - 系統將提示使用者確認作業 原則型模式 - 系統會封鎖作業 [ 學習模式] - 系統會啟用作業 且每次作業後會建立規則 以此模式建立的規則可在 [規則編輯器] 中檢視 但與手動建立的 規則或自動模式下建立的規則相較之下 其優先順序較低 當您從 [HIPS 過濾模式] 下拉式功能表選取 [學習模式] 即可使用 [ 學習模式將在下列情況結束] 設定 選取您要啟用學習模式的時間範圍 最長持續時間為 14 天 過了指定的持續時間之 後 會提示您在學習模式中編輯 HIPS 建立的規則 您可以選擇不同的過濾模式 或者延後決定並持續使用學習模式 學習模式到期後的模式設定 - 選取在學習模式到期後的過濾模式 HIPS 系統監控作業系統中的事件 並根據類似個人防火牆規則的規則執行反應動作 按一下 [ 編輯] 開啟 HIPS 規則管理視 窗 在此您可以選取 建立 編輯或刪除規則 在下列範例中 我們將說明如何限制應用程式發生不想要的行為 1. 命名規則 並選取 [ 處理方法] 下拉式功能表中的 [ 封鎖] 2. 啟用 [ 通知使用者] 切換選項 以在每次套用規則時顯示通知 3. 請至少選取一個要套用規則的作業 在 [ 來源應用程式] 視窗中 從下拉式功能表選取 [ 所有應用程式] 將您的新規 則套用至所有嘗試在您指定的應用程式上執行任何已選取應用程式作業的應用程式 4. 選取 [ 修改另一個應用程式的狀態] (產品說明中會有所有作業的說明 按下 F1 鍵即可顯示). 5. 從下拉式功能表中選取 [ 特定應用程式] 並 [ 新增] 一個或多個您要保護的應用程式 6. 按一下 [ 完成] 以儲存您的新規則 37

38 進 階 設 定 以下選項可用於除錯及分析應用程式的行為 一律允許載入驅動程式 - 除非使用者規則明確封鎖 否則一律允許載入選取的驅動程式 無論配置的過濾模式為何 記錄所有封鎖的作業 - 所有封鎖的作業將寫入至 HIPS 防護記錄 當啟動應用程式發生變更時通知 - 每次在系統啟動中新增或移除應用程式時 便會顯示桌面通知 請參閱我們的 知識庫文章以取得此說明頁面的更新版本 38

39 H IP S 互 動 視 窗 若規則的預設處理方法已設定為 [ 詢問] 每次觸發規則時都會出現對話方塊視窗 您可以選擇 [ 拒絕] 或 [ 允許] 作業 如果 您不在指定時間內選擇處理方法 則會根據規則選取新處理方法 對話視窗可讓您根據 HIPS 偵測的任何新處理方法來建立規則 然後定義允許或拒絕該處理方法所依據的條件 按一下 [ 詳細 資訊] 可存取確實的參數設定 系統認定使用此方法建立的規則等於手動建立的規則 因此由對話視窗建立的規則無需像觸發 該對話視窗的規則那般明確 這表示 建立此類規則後 同樣的作業可以觸發相同的視窗 [ 直到結束應用程式之前都會記住] 會造成使用處理方法 ([ 允許/ 拒絕] ) 直到規則或過濾模式變更 HIPS 模組更新或系統 重新啟動為止 在進行上述三個處理方法的任何之一後 則會刪除暫時的規則 39

40 偵 測 到 潛 在 的 勒 索 軟 體 行 為 在偵測到潛在的勒索軟體行為時 此互動視窗將會出現 您可以選擇 [ 拒絕] 或 [ 允許] 作業 對話視窗允許您提交檔案以供分析或從偵測中排除 按一下 [ 詳情] 以檢視特定的偵測參數 玩 家 模 式 玩家模式是一項專為要求可不間斷地使用軟體 不想受到快顯視窗打擾 而且想要將用量減到最少的 CPU 使用者所設計的功 能 玩家模式也可在簡報期間使用 在此期間中病毒活動無法干擾簡報 透過啟用此功能 所有的快顯視窗均會停用 而且排 程器的活動也將完全停止 然而 系統保護功能仍會在背景執行 不需要和使用者互動 您可以在主要程式視窗的 [ 設定] > [ 電腦防護] 下啟用或停用玩家模式 方式為按一下 或 [ 玩家模式] 旁的 啟用玩家模式有潛在的安全性風險 所以工作列上的防護狀態圖示會變成橙色並顯示警告 您也會在主要程式視窗 中看見這個警告 玩家模式作用中則以橙色顯示 啟動 [ 進階設定] (F5) > [ 工具] 下的 [ 以全螢幕執行應用程式時自動啟用玩家模式] 在您開始全螢幕應用程式時啟動玩家 模式 並在離開應用程式後停止 啟動 [ 自動停用玩家模式於] 以定義一段時間 玩家模式會在這段時間過後自動停用 40

41 4.2 網際網路防護 按一下 [ 網際網路防護] 之後 您便可以在 [ 設定] 窗格中找到 Web 和電子郵件設定 您可以在這裡存取更詳細的程式設定 網際網路連線是個人電腦中的標準功能 但很糟糕的是 網際網路也成為傳輸惡意程式碼的主要媒介 因為如此 您必須審慎 考量您的 [ Web 存取防護] 設定 按一下 以開啟進階設定中的 Web/電子郵件/ 網路釣魚 防護設定 [ 電子郵件用戶端防護] 可控制透過 POP3 和 IMAP 通訊協定收到的電子郵件通訊 使用電子郵件用戶端的外掛程式 ESET NOD32 Antivirus 可控制與電子郵件用戶端之間往來的所有通訊 (POP3 MAPI IMAP HTTP) [ 網路釣魚防護] 可讓您封鎖已知會散佈網路釣魚內容的網頁 強烈建議您將網路釣魚防護保留為啟用 您可以停用 Web/電子郵件/ 網路釣魚 防護模組 方式為按一下 41

42 4.2.1 W e b 存 取 防 護 網際網路連線是個人電腦中的標準功能 不幸的是 它也成為傳輸惡意程式碼的主要媒介 Web 存取的運作方式是監視 Web 瀏覽器與遠端伺服器之間的通訊 並遵循 HTTP (超文字傳輸通訊協定) 及 HTTPs (加密的通訊) 規則 在內容下載之前封鎖已知含惡意內容網頁的存取權限 所有其他網頁會在下載時由 ThreatSense 掃描引擎進行掃描 並在偵 測到其包含惡意內容時加以封鎖 Web 存取防護會提供兩層防護 依黑名單封鎖和依內容封鎖 強烈建議您啟用 Web 存取防護功能 此選項可從 ESET NOD32 Antivirus 的主要視窗存取 (瀏覽至 [ 設定] > [ 網際網路防護] > [ Web 存取防護] 您可在 [ 進階設定] (F5) > [ Web 和電子郵件] > [ Web 存取防護] 中使用下列選項 Web 通訊協定 - 可讓您配置監控大多數網際網路瀏覽器使用的這類標準通訊協定 URL 位址管理- 可讓您指定要封鎖 允許或從檢查中排除的 HTTP 位址 Threat S ens e 參數 - 進階病毒掃描器設定 可讓您配置如要掃描的物件類型 (電子郵件和壓縮檔等) Web 存取防護的偵 測方法等設定 基 本 啟用 Web 存取防護 - 停用之後 無法執行 Web 存取防護和網路釣魚防護 啟用瀏覽器腳本進階掃描 - 啟用之後 防毒掃描器將會檢查所有由網際網路瀏覽器執行的 JavaScript 程式 附註 強烈建議您啟用 Web 存取防護功能 42

43 W e b 通 訊 協 定 依預設 ESET NOD32 Antivirus 已配置為監視大多數網際網路瀏覽器所使用的 HTTP 通訊協定 HTTP 掃描器設定 Windows Vista 以及更新版的作業系統會一律監視所有應用程式連接埠上的 HTTP 流量 於 Windows XP 您可以在 [ 進 階設定] (F5) > [ Web 和電子郵件] >[ Web 存取防護] > [ Web 通訊協定] 中修改 [ HTTP 通訊協定使用的連接埠] 系統會監視所有應用程式特定連接埠上的 HTTP 流量 且應用程式的所有連接埠將標記為 [Web 和電子郵件用戶端] HTTP S 掃描器設定 ESET NOD32 Antivirus 也支援 HTTPS 通訊協定檢查 HTTPS 的通訊使用加密的通道以在伺服器與用戶端間傳輸資 訊 ESET NOD32 Antivirus會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊 此程式將只掃描 [ HTTP S 通訊協定使用的連接埠] 中定義的連接埠流量 無論其作業系統的版本為何 不掃描加密的通訊 若要掃描加密的通訊並且檢視掃描器設定 請瀏覽至 [進階設定] 區段中的 SSL/TLS 按一下 [ Web 和電 子郵件] > [ S S L/ TLS ] 並啟用 [ 啟用 S S L/ TLS 通訊協定過濾] 選項 U R L 位 址 管 理 URL 位址管理區段可讓您指定要封鎖 允許或從檢查中排除的 HTTP 位址 不可以存取 [ 封鎖位址清單] 中的網站 除非它們包含在 [ 允許的位址清單] 中 [ 從檢查中排除的位址清單] 中的網站在存 取時將不檢查是否含有惡意程式碼 若除了 HTTP 網頁之外 您也想過濾 HTTPS 位址 則必須選取 [ 啟用 S S L/ TLS 通訊協定過濾] 否則只有您已造訪 HTTPS 網站的網域將會新增 但完整 URL 則不會新增 如果您將 URL 位址新增至 [ 已從過濾中排除的位址清單] 則會從掃描中排除該位址 您也可以將特定位址新增至 [ 允許的 位址清單] 或 [ 封鎖的位址清單] 以允許或封鎖這些位址 若您想封鎖所有位於作用中 [ 允許的位址清單] 以外的 HTTP 位址 請將 *新增至作用中的 [ 封鎖的位址清單] 可以使用特殊符號 *(星號) 及?(問號) 星號可以代替任何字元字串 問號可代替任何符號 在指定排除的位址時應特別注 意 因為此清單只能包含受信任且安全的位址 同樣地 必須確定在此清單中正確使用字符 *及? 請參閱 新增 HTTP 位址/ 網域遮罩 以瞭解如何使整個網域 包含所有子網域能安全地相符 若要啟動清單 請選取 [ 作用中的清單] 如果您想在進入 目前清單中的位址時收到通知 請選取 [ 套用時通知] 附註 URL 位址管理也允許您在瀏覽網際網路時封鎖或允許開啟特定檔案類型 例如 若您不想開啟執行檔 請從下拉式功能表 選取您要封鎖這些檔案的清單 接著輸入遮罩 * *. exe 43

44 控制項元素 新增 - 除了預先定義的清單之外 將建立新的清單 若您想有邏輯地分隔不同的位址群組 這樣做很有幫助 例如 一個 封鎖的位址清單可能包含外部公用黑名單上的位址 而第二個清單則可能包含您自己黑名單上的位址 這會讓您在保持自 己的清單不變時更容易更新外部清單 編輯 - 修改現有清單 使用它來新增或移除位址 移除 - 刪除現有清單 僅適用於使用 [ 新增] 建立的清單 預設清單並不適用 電 子 郵 件 用 戶 端 防 護 電 子 郵 件 用 戶 端 ESET NOD32 Antivirus 與您的電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼 增加作用中的防護層級 如果您的 電子郵件用戶端受支援 即可在 ESET NOD32 Antivirus 中啟用此整合 如果整合至電子郵件用戶端 ESET NOD32 Antivirus 工具列會直接插入電子郵件用戶端 (不插入較新版的 Windows Live Mail 工具列) 以便更有效進行電子郵件防護 整 合設定位於進階設定 (F5) > Web 和電子郵件 > 電子郵件用戶端防護 > 電子郵件用戶端下方 電子郵件用戶端整合 目前支援的電子郵件用戶端包括 Microsoft Outlook Outlook Express Windows Mail 和 Windows Live Mail 電子郵件 防護是以外掛程式的形式在這些程式中運作 外掛程式的主要優勢為其獨立於所使用的通訊協定 當電子郵件用戶端接收 到加密的郵件 它會將其解密並傳送到病毒掃描器 如需支援的電子郵件用戶端及其版本清單 請參閱以下 ESET 資料 庫文章 即使未啟用整合 電子郵件通訊仍會受到電子郵件用戶端防護模組 (POP3 IMAP) 保護 若您在使用 MS Outlook 時發生系統速度減慢 請開啟 [ 停用收件匣內容變更檢查] 當從 Kerio Outlook Connector Store 擷取電子郵件時會發生這種狀況 要掃描的電子郵件 透過用戶端外掛程式啟用電子郵件用戶端防護 - 停用透過電子郵件用戶端的電子郵件用戶端防護時 透過通訊協定過 濾防護電子郵件用戶端仍會啟用 已接收的電子郵件 - 可切換接收郵件的檢查 已傳送的電子郵件 - 可切換傳送郵件的檢查 已閱讀的電子郵件 - 可切換讀取郵件的檢查 44

45 針對受感染電子郵件執行的處理方法 不進行處理 - 如果啟用 則程式會識別受感染附件 但不會對電子郵件採取任何處理方法 刪除電子郵件 - 程式會通知使用者有關入侵的資訊並刪除該訊息 將受感染電子郵件移到刪除的郵件資料夾 - 自動將受感染電子郵件移至 [刪除的郵件] 資料夾 將受感染電子郵件移到資料夾 - 自動將受感染電子郵件移至指定的資料夾 資料夾 - 指定偵測到受感染電子郵件時 要將其移到哪個自訂資料夾 更新後重複掃描 - 可切換為在病毒資料庫更新後重新掃描 接受其他模組的掃描結果 - 如果選取此選項 則電子郵件防護模組會接受其他防護模組 (POP3 IMAP 通訊協定掃描) 的掃描結果 附註 我們建議您啟用透過用戶端外掛程式啟用電子郵件防護和啟用通訊協定過濾的電子郵件防護選項 這些設定位於 進 階設定 (F5) > Web 和電子郵件 > 電子郵件用戶端防護 > 電子郵件通訊協定 下方) 電 子 郵 件 通 訊 協 定 在電子郵件用戶端應用程式中 IMAP 和 POP3 通訊協定是接收電子郵件通訊使用最廣泛的通訊協定 網際網路訊息存取通訊 協定 (IMAP) 是另一種用於擷取電子郵件的網際網路通訊協定 IMAP 有些優點凌駕 POP3 例如多重用戶端可以同時連接到 相同信箱 並維持郵件狀態資訊 (例如郵件是否已讀取 回覆或刪除) 無論使用的電子郵件用戶端為何 ESET NOD32 Antivirus 均可防護這些通訊協定 而無須重新配置電子郵件用戶端 提供此控制項的防護模組會自動在系統啟動時同時啟動 接著在記憶體中發生作用 IMAP 通訊協定控制會自動執行 不需要 重新配置電子郵件用戶端 依預設 系統會掃描連接埠 143 上的所有通訊 不過您可以視需要新增其他通訊連接埠 多個連 接埠號必須以逗號分隔 您可以在 [進階] 設定中配置 IMAP/IMAPS 和 POP3/POP3S 通訊協定檢查 若要存取此設定 請展開 [ Web 和電子郵件] > [ 電子郵件用戶端防護] > [ 電子郵件通訊協定] 啟用通訊協定過濾的電子郵件防護 - 啟用檢查電子郵件通訊協定 在 Windows Vista 和更新版 所有連接埠會自動偵測並掃描 IMAP 和 POP3 通訊協定 在 Windows XP 中 只會針對所有應 用程式掃描已配置的 IMA P / P OP 3 通訊協定所使用的連接埠 並且會針對標記為 Web 和電子郵件用戶端的應用程式掃描 所有連接埠 ESET NOD32 Antivirus 也支援掃描 IMAPS 和 POP3S 通訊協定 其使用加密的通道以在伺服器與用戶端間傳輸資訊 ESET NOD32 Antivirus 會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 通訊協定的通訊 此程式將只掃描 IMA P S / P OP 3S 通訊協定使用的連接埠中定義的連接埠之流量 無論其作業系統的版本為何 不掃描加密的通訊 若要掃描加密的通訊並且檢視掃描器設定 請瀏覽至 [進階設定] 區段中的 SSL/TLS 按一下 [ Web 和電 子郵件] > [ S S L/ TLS ] 並啟用 [ 啟用 S S L/ TLS 通訊協定過濾] 選項 45

46 警 告 及 通 知 電子郵件防護可控制透過 POP3 及 IMAP 通訊協定收到的電子郵件通訊 使用 Microsoft Outlook 及其他電子郵件用戶端的外 掛程式 ESET NOD32 Antivirus 可控制來自電子郵件用戶端的所有通訊 (POP3 MAPI IMAP HTTP) 當檢查對內的郵件 時 程式會使用包含在 ThreatSense 掃描引擎中的所有進階掃描方法 這表示即使針對病毒資料庫進行比較之前 也會發生 惡意程式的偵測 POP3 及 IMAP 通訊協定的掃描獨立於所使用的電子郵件用戶端 在 [ Web 和電子郵件] > [ 電子郵件用戶端防護] > [ 警告及通知] 下的 [ 進階設定] 可找到此功能的選項 檢查電子郵件之後 帶有掃描結果的通知會附加到訊息 您可以選取 [ 將標籤訊息附加到已接收並已閱讀的郵件]? [ 將附註 附加到已接收 已閱讀且受感染電子郵件的主旨] 或 [ 將標籤訊息附加到已傳送的郵件] 請注意 雖然這些情況不常發 生 但是標籤訊息有可能會在有問題 HTML 訊息中省略 或訊息由惡意程式所產生 標籤訊息可以新增至已接收及已讀取的 電子郵件或已傳送的電子郵件 (或兩者) 可用選項如下 絕不 - 不會新增標籤訊息 僅針對受感染電子郵件 - 只有包含惡意軟體的訊息才會標示為已勾選 (預設值) 針對所有已掃描的電子郵件 - 程式會將訊息附加到所有已掃描的電子郵件 將附註附加到已傳送之受感染電子郵件的主旨 - 如果您不要讓電子郵件防護在受感染電子郵件的主旨中包含病毒警告 請 停用這項功能 此功能允許對受感染電子郵件進行簡單 基於主旨的過濾 (如果電子郵件程式支援的話) 它也會增加收件者的 可靠性 如果偵測到入侵 則會提供有關指定電子郵件或寄件者的重要資訊 新增到受感染電子郵件主旨的範本 - 如果您想修改受感染電子郵件的主旨字首格式 請編輯此範本 此功能會將字首值為 "[virus]" 的郵件主旨 "Hello" 取代成下列格式 "[virus] Hello" 變數 %VIRUSNAME% 代表偵測到的威脅 46

47 與 電 子 郵 件 用 戶 端 整 合 ESET NOD32 Antivirus 與電子郵件用戶端的整合會針對電子郵件訊息中的惡意代碼 增加作用中的防護層級 如果您的電子 郵件用戶端受支援 即可在 ESET NOD32 Antivirus 中啟用此整合 如果啟用整合 ESET NOD32 Antivirus 工具列會直接插 入電子郵件用戶端 以便更有效進行電子郵件防護 可經由 [ 設定] > [ 進階設定] > [ Web 和電子郵件] > [ 電子郵件用戶端 防護] > [ 電子郵件用戶端] 進行整合設定 目前支援的電子郵件用戶端包括 Microsoft Outlook Outlook Express Windows Mail Windows Live Mail 如需支援的電 子郵件用戶端及其版本清單 請參閱以下 ESET 資料庫文章 如果在處理電子郵件用戶端時系統速度減慢 請選取 [ 停用收件匣內容變更檢查] 旁的核取方塊 當從 Kerio Outlook Connector Store 擷取電子郵件時會發生這種狀況 即使未啟用整合 電子郵件通訊仍會受到電子郵件用戶端防護模組 (POP3 IMAP) 保護 電 子 郵 件 用 戶 端 防 護 配 置 電子郵件用戶端防護模組支援下列電子郵件用戶端 Microsoft Outlook Outlook Express Windows Mail Windows Live Mail 及 Mozilla Thunderbird 電子郵件防護是以外掛程式的形式在這些程式中運作 外掛程式的主要優勢為其獨立於所使用 的通訊協定 當電子郵件用戶端接收到加密的郵件 它會將其解密並傳送到病毒掃描器 P OP 3 P OP 3S 過 濾 器 在電子郵件用戶端應用程式中 POP3 通訊協定是接收電子郵件通訊使用最廣泛的通訊協定 無論使用的電子郵件用戶端為 何 ESET NOD32 Antivirus 均可防護此通訊協定 提供此控制項的防護模組會自動在系統啟動時同時啟動 接著在記憶體中發生作用 若要讓模組正確運作 請確定已啟用它 系統會自動執行 POP3 通訊協定檢查 而無需重新配置電子郵件用戶端 依預設 通訊埠 110 中的所有通訊均會經過檢查 必要時 您也可以新增其他通訊埠 多個連接埠號必須以逗號分隔 不掃描加密的通訊 若要掃描加密的通訊並且檢視掃描器設定 請瀏覽至 [進階設定] 區段中的 SSL/TLS 按一下 [ Web 和電 子郵件] > [ S S L/ TLS ] 並啟用 [ 啟用 S S L/ TLS 通訊協定過濾] 選項 您可以在此區段中配置 POP3 與 POP3S 通訊協定檢查 啟用 P OP 3 通訊協定檢查 - 如果啟用 則會監視通過 POP3 的所有流量以尋找惡意軟體 P OP 3 通訊協定使用的連接埠 - POP3 通訊協定使用的連接埠清單 (預設為 110) ESET NOD32 Antivirus 也支援 POP3S 通訊協定檢查 這類型的通訊使用加密的通道以在伺服器與用戶端間傳輸資訊 ESET NOD32 Antivirus 會檢查利用 SSL (安全通訊端層) 與 TLS (傳輸層安全性) 加密方法的通訊 不使用 P OP 3S 檢查 - 不會檢查加密的通訊 針對選取的連接埠使用 P OP 3S 通訊協定檢查 - 勾選此選項以只針對在 [ P OP 3S 通訊協定使用的連接埠] 中定義的連接 埠啟用 POP3S 檢查 P OP 3S 通訊協定使用的連接埠 - 要檢查的 POP3S 連接埠清單 (預設為 995) 通 訊 協 定 過 濾 應用程式通訊協定的病毒防護由 ThreatSense 掃描引擎控制 該引擎可密切地整合所有進階惡意程式掃描技術 無論是使用 網際網路瀏覽器或電子郵件用戶端 通訊協定過濾都會自動運作 想編輯加密 (SSL/TLS) 設定 請移至 [ Web 和電子郵件] > [ S S L/ TLS ] 啟用應用程式通訊協定內容過濾 - 可用於停用通訊協定過濾 請注意 許多 ESET NOD32 Antivirus 元件 (Web 存取防護 電子郵件通訊協定防護 網路釣魚防護 Web 控制) 必須啟用此選項才能正常運作 排除的應用程式 - 允許您從通訊協定過濾排除特定的應用程式 對於通訊協定過濾導致相容性問題時很有幫助 排除的 IP 位址 - 允許您從通訊協定過濾排除特定的遠端位址 對於通訊協定過濾導致相容性問題時很有幫助 Web 和電子郵件用戶端 - 只適用於 Windows XP 作業系統 可讓您選取所有流量皆經過通訊協定過濾的應用程式 無論使 用何種連接埠 47

48 W e b 和 電 子 郵 件 用 戶 端 附註 從 Windows Vista Service Pack 1 與 Windows Server 2008 起 新的 Windows 過濾平台 (WFP) 架構就被用來檢查網路 通訊 由於 WFP 技術使用特殊監視技術 因此無法使用 [ Web 和電子郵件用戶端] 區段 由於在網際網路周圍散佈著大量的惡意代碼 因此能安全地瀏覽網際網路是電腦防護非常重要的面向 網路瀏覽器的弱點和詐 騙連結會幫助惡意代碼在不被察覺的情況下進入系統 這也就是 ESET NOD32 Antivirus 著重在網路瀏覽器安全性的原因之 一 每個存取網路的應用程式都可以標記為網際網路瀏覽器 核取方塊有兩種狀態 取消選取 - 只過濾使用指定連接埠的應用程式通訊 已選取 - 永遠過濾通訊 (設定不同的連接埠時亦同) 排 除 的 應 用 程 式 若要將特定的網路識別應用程式排除在內容過濾之外 請在清單中選取這些應用程式 屆時將不會針對所選應用程式的 HTTP/POP3/IMAP 通訊檢查是否存在威脅 建議僅針對在檢查通訊時無法正常運作的應用程式使用此選項 執行中的應用程式及服務會自動顯示在此處 按一下 [ 新增] 手動新增未顯示於通訊協定過濾清單上的應用程式 48

49 排 除 的 IP 位 址 在清單中的項目將排除於通訊協定內容過濾之外 屆時將不會針對所選位址的 HTTP/POP3/IMAP 往來通訊檢查是否存在威 脅 我們建議只將此選項用於已知值得信賴的位址 按一下 [ 新增] 以排除通訊協定過濾清單位顯示的遠端位置 IP 位址/ 位址範圍/ 子網路 按一下 [ 移除] 從清單中移除選取的項目 新 增 IP v 4 位 址 這可讓您新增要套用規則的遠端位置 IP 位址/ 位址範圍/ 子網路 網路通訊協定版本 4 是較舊的版本 但仍被廣為使用 單一位址 - 新增要套用規則之個別電腦的 IP 位址 (例如 ) 位址範圍 - 輸入第一個及最後一個 IP 位址以指定要套用規則的 (數台電腦) IP 範圍 (例如 至 ) 子網路 - IP 位址及遮罩定義的子網路 (電腦群組) 例如 是 /24 字首的網路遮罩 這表示 到 的位址範圍 新 增 IP v 6 位 址 這可讓您新增要套用規則的遠端位置 IPv6 位址/ 子網路 這是最新版本的網際網路通訊協定 該版本即將要取代較舊的第 4 版 單一位址 - 新增要套用規則的個別電腦 IP 位址 (例如 2001:718:1c01:16:214:22ff:fec9:ca5 子網路 - IP 位址及遮罩定義的子網路 (例如 2002:c0a8:6301:1::1/64 ) ) S S L/ T LS ESET NOD32 Antivirus 能檢查使用 SSL 通訊協定的通訊中是否存在威脅 對於使用信任的憑證 未知憑證或排除在 SSL 防 護通訊檢查之外的憑證進行的 SSL 防護通訊 您可以運用各種掃描模式來檢查 啟用 S S L/ TLS 通訊協定過濾 - 若停用通訊協定過濾 將不會掃描使用 SSL 的通訊 S S L/ TLS 通訊協定過濾模式可選擇下列選項 自動模式 - 預設模式僅會掃描適當的應用程式 例如網頁瀏覽器和電子郵件用戶端 您可選取要掃描其通訊的應用程式來 加以覆寫 49

50 互動模式 - 如果您輸入新的 SSL 防護網站 (含有未知憑證) 則會顯示處理方式選取項目對話方塊 此模式可讓您建立將 排除在掃描之外的 SSL 憑證/ 應用程式列在其中的清單 原則模式 - 選取此選項可掃描所有 SSL 防護通訊 但不包括排除在檢查之外的憑證所防護的通訊 如果使用未知的已簽 署憑證建立新通訊 則不會通知您出現此情況 而且將自動過濾通訊 存取含有標記為信任的不信任憑證 (在信任憑證清 單中) 在其中的伺服器時 將允許對於伺服器的通訊 並且將過濾通訊通道的內容 S S L 過濾應用程式清單 - 可讓您針對特定應用程式自訂 ESET NOD32 Antivirus 行為 已知的憑證清單 - 可讓您為特定的 SSL 憑證自訂 ESET NOD32 Antivirus 行為 排除使用擴充驗證憑證 (E V ) 保護的通訊 - 啟用後 與此類型 SSL 憑證的通訊將會排除而不進行檢查 擴充驗證 SSL 憑 證可確保您實際檢視您的網站 而非看似您網站的假網站 (通常為網路釣魚網站) 封鎖利用過時通訊協定 S S L 第 2 版的加密通訊 - 自動封鎖使用舊版 SSL 通訊協定的通訊 系統管理員的憑證 將系統管理員的憑證新增至已知瀏覽器 - 為了使 SSL 通訊能在瀏覽器/ 電子郵件用戶端中正常運作 您需要將 ESET 的系統管理員憑證新增至已知系統管理員憑證 (發行者) 的清單中 啟用後 ESET NOD32 Antivirus 可自動將 ESET 系 統管理員憑證新增至已知瀏覽器中 (例如 Opera 和 Firefox) 對於使用系統憑證儲存區的瀏覽器來說 憑證會自動新增 (例 如 Internet Explorer) 若要將憑證套用至不支援的瀏覽器 請按一下 [ 檢視憑證] > [ 詳情] > [ 複製到檔案... ] 再手動匯入至瀏覽器 憑證有效性 如果使用 TRCA 憑證儲存區無法驗證憑證 - 在某些情況下 無法使用 信任的根憑證授權 (TRCA) 儲存區驗證網站 憑證 這表示憑證已由他人 (例如 Web 伺服器或小型企業的管理員) 簽署 因此將此憑證視為受信任憑證的風險不大 大 型企業 (例如銀行) 大多使用 TRCA 簽署的憑證 如果設定 [ 詢問憑證有效性] (預設選取) 系統就會提示使用者選取在建 立加密通訊時要採取的處理方法 您可選取 [ 封鎖使用憑證的通訊] 一律終止與使用未驗證憑證的網站之間的加密連線 如果憑證無效或損毀 - 這表示憑證已到期或簽署方式不正確 在此情況下 我們建議維持選取 [ 封鎖使用憑證的通 訊] 憑 證 為了使 SSL 通訊能在瀏覽器/ 電子郵件用戶端中正常運作 您需要將 ESET 的系統管理員憑證新增至已知系統管理員憑證 (發 行者) 的清單中 應該啟用 [ 將系統管理員的憑證新增至已知瀏覽器] 選取此選項可自動將 ESET 根憑證新增至已知瀏覽 器中 (例如 Opera 和 Firefox) 對於使用系統憑證儲存區的瀏覽器來說 憑證會自動新增 (如 Internet Explorer) 若要將憑證 套用至不支援的瀏覽器 請按一下 [ 檢視憑證] > [ 詳情] > [ 複製到檔案... ] 然後再手動匯入至瀏覽器 在某些情況下 無法使用 信任的根憑證授權 儲存區 (例如 VeriSign) 驗證憑證 這表示憑證已由他人 (例如 Web 伺服器或 小型企業的管理員) 自我簽署 因此將此憑證視為受信任憑證的風險不大 大型企業 (例如銀行) 大多使用 TRCA 簽署的憑 證 如果設定 [ 詢問憑證有效性] (預設選取) 系統就會提示使用者選取在建立加密通訊時要採取的處理方法 這樣會顯示處 理方法選取項目對話方塊 讓您能決定將憑證標示為受信任或排除 如果 TRCA 清單中沒有憑證 視窗就會變成紅色 如果 TRCA 清單中有憑證 視窗就會變成綠色 您可以選取 [ 封鎖使用憑證的通訊] 一律終止與使用未驗證憑證的網站之間的加密連線 如果憑證無效或損毀 則表示憑證已到期或自我簽署方式不正確 在此情況下 我們建議封鎖使用該憑證的通訊 加 密 的 網 路 流 量 如果配置電腦進行 SSL 通訊協定掃描 則當嘗試建立加密通訊 (使用未知憑證) 時會開啟對話方塊視窗 提示您選擇處理方 法 對話方塊視窗包含下列資訊 啟動通訊的應用程式名稱 所使用憑證的名稱 要執行的處理方法 -是否要掃描加密的通訊以及是否要記住應用程式/ 憑證的處理方法 如果憑證不在 信任的根憑證授權 (TRCA) 儲存區中 則會視為不信任的憑證 50

51 已 知 的 憑 證 清 單 [ 已知的憑證清單] 可用於為特定的 SSL 憑證自訂 ESET NOD32 Antivirus 行為 且若在 [ S S L/ TLS 通訊協定過濾模式] 中選取 [ 互動模式] 則可記住選擇的處理方法 您可於[ 進階設定] (F5) > [ Web 和電子郵件] > [ S S L/ TLS ] > [ 已知的憑 證清單] 中檢視與編輯清單 [ 已知的憑證清單] 視窗包含 直欄 名稱 - 憑證名稱 憑證發行者 - 憑證建立者名稱 憑證主旨 - 主旨欄位可識別與主旨公用金鑰欄位中所儲存公用金鑰相關聯的實體 存取 - 選取作為 [ 存取處理方法] 的 [ 允許] 或 [ 封鎖] 以允許/ 封鎖憑證認為安全的通訊 無論憑證的可信任度為何 選 取 [ 自動] 以允許信任的憑證並要求不信任的憑證 選取 [ 詢問] 以一律詢問使用者處理方法 掃描 - 選取作為 [ 掃描處理方法] 的 [ 掃描] 或 [ 略過] 以掃描或忽略此憑證認為安全的通訊 選取 [ 自動] 以於自動模 式中掃描並於互動模式中詢問 選取 [ 詢問] 以一律詢問使用者處理方法 控制項元素 [ 新增] - 新增新憑證並調整關於存取和掃描選項的設定 編輯 - 選取您想配置的憑證並按一下 [ 編輯] 移除 - 選取您想刪除的憑證並按一下 [ 移除] 確定/ 取消 - 若您想儲存變更 請按一下 [確定] 或若您想離開而不儲存 請按一下 [取消] S S L/ T LS 過 濾 應 用 程 式 清 單 S S L/ TLS 過濾應用程式清單可用於為特定的應用程式自訂 ESET NOD32 Antivirus 行為 且若在S S L/ TLS 通訊協定過 濾模式中選取 [ 互動模式] 則可記住選擇的處理方法 您可於進階設定 (F5) > Web 和電子郵件 > S S L/ TLS > S S L/ TLS 過濾應用程式清單中檢視與編輯清單 S S L/ TLS 過濾應用程式清單視窗包含 直欄 應用程式 - 應用程式名稱 掃描處理方法 - 選取 [ 掃描] 或 [ 忽略] 來掃描或略過通訊 選取 [ 自動] 以於自動模式中掃描並於互動模式中詢問 選 取 [ 詢問] 以一律詢問使用者處理方法 控制項元素 新增 - 新增過濾應用程式 編輯 - 選取您想配置的憑證並按一下 [ 編輯] 移除 - 選取您想刪除的憑證並按一下 [ 移除] 確定/ 取消 - 若您想儲存變更 請按一下 [確定] 或若您想離開而不儲存 請按一下 [取消] 51

52 4.2.4 網 路 釣 魚 防 護 網路釣魚這個詞彙是用來定義利用社交工程 (操縱使用者以取得機密資訊) 的犯罪活動 網路釣魚通常用於存取像是銀行帳 號 PIN 碼等敏感資料 請在字彙中閱讀更多有關此活動的資訊 ESET NOD32 Antivirus 提供網路釣魚防護 封鎖已知會散 佈這類內容的網頁 強烈建議您啟用 ESET NOD32 Antivirus 中的網路釣魚防護 若要這麼做 請開啟 [ 進階設定] (F5) 然後瀏覽至 [ Web 和電 子郵件] > [ 網路釣魚防護] 造訪我們的知識庫文章以取得 ESET NOD32 Antivirus 中網路釣魚防護的詳細資訊 存取網路釣魚網站 存取已識別的網路釣魚網站時 Web 瀏覽器中會顯示下列對話方塊 如果您仍想存取網站 請按一下 [ 略過威脅] (不建議) 附註 已列入白名單的潛在網路釣魚網站會依預設在數小時後過期 若要能永久存取該網站 請使用 URL 位址管理工具 從 [ 進 階設定] (F5) 展開 [ Web 和電子郵件] > [ Web 存取防護] > [ URL 位址管理] > [ 位址清單] 按一下 [ 編輯] 再新增 您要編輯的網站至此清單 網路釣魚網站回報 回報連結可讓您向 ESET 回報網路釣魚/ 惡意網站以供分析 附註 在將網站提交至 ESET 之前 請確定其符合下列一或多個條件 完全未偵測該網站 錯將該網站偵測為威脅 在這個情況下 您可以報告不當封鎖的頁面 或者您可以使用電子郵件提交該網站 將您的電子郵件傳送至 samples@eset.com 請記得使用敘述性主旨 並盡可能提供 網站的相關資訊 (例如 您是從哪一個網站參照至該網站 您如何得知該網站等等) 52

53 4.3 更新程式 定期更新 ESET NOD32 Antivirus 是讓電腦確保有最高安全性等級的最佳方法 更新 模組會透過兩種方式來確保程式永遠 為最新 藉由更新病毒資料庫及更新系統元件 在主要程式視窗中按一下 [ 更新] 可以檢視目前更新狀態 包括最後的成功更新日期與時間 並在需要時更新 主要視窗內也 含有病毒資料庫版本 此數字指示是連往 ESET 網站的作用中連結 而網站中會列出指定更新中新增的所有病毒碼 除了自動更新以外 您也可以按一下 [ 立即更新] 以手動觸發更新 更新病毒資料庫及更新程式元件是維持完整防護 防止惡 意代碼的一個重要部分 請注意其配置與作業 您必須使用您的授權金鑰啟動產品 才可接收更新 如果您未在安裝期間這麼 做 您可以在更新以存取 ESET 更新伺服器時輸入您的授權金鑰以啟動產品 附註 購買 ESET NOD32 Antivirus 後 ESET 會透過電子郵件提供您授權金鑰 上一次成功更新 - 上次更新的日期 如果您看到的不是最近的日期 表示病毒資料庫不是最新的狀態 病毒資料庫版本 - 病毒資料庫號碼 也是連結至 ESET 網站的作用中連結 按一下可檢視在指定更新內新增的所有病毒碼清 單 按一下 [ 檢查更新] 以偵測最新的可用 ESET NOD32 Antivirus 版本 更新處理程序 按一下 [ 立即更新] 之後 即會開始下載 畫面上會顯示下載進度列及下載剩餘時間 若要中斷更新 請按一下 [ 取消更新] 53

54 重要 在正常情況下 更新 視窗中會出現 [ 不需要更新 -病毒資料庫是最新狀態] 訊息 若非如此 即表示程式過期 因此更 容易遭到感染 請儘快更新病毒資料庫 前一個通知與下列關於失敗更新的兩項 [ 病毒資料庫更新結束時發生錯誤] 訊息相關 1. 無效的授權 - 在更新設定中已錯誤地輸入授權金鑰 建議您檢查驗證資料 [進階設定] 視窗 (從主要功能表按一下 [ 設 定] 然後按一下 [ 進階設定] 或按鍵盤上的 F5) 包含其他的更新選項 從主要功能表按一下 [ 說明及支援] > [ 變更授 權] 以輸入新的授權金鑰 2. 下載更新檔案時發生錯誤 - 這可能是因不正確的網際網路連線設定所造成 建議您檢查網際網路連線 (透過在 Web 瀏覽 器中開啟任何網站) 如果網站未開啟 可能是尚未建立網際網路連線 或是電腦連線有問題 請與 網際網路服務提供者 (ISP) 確認是否有可使用的網際網路連線 54

55 附註 如需詳細資訊 請造訪此 ESET 知識庫文章 更 新 設 定 在 [ 更新] > [ 基本] 下的 [ 進階設定] 樹狀結構 (F5) 中可使用更新設定選項 此區段可指定更新來源資訊 如正在使用的更新 伺服器及這些伺服器的驗證資料 一般 目前使用的更新設定檔顯示於 [ 已選取的設定檔] 下拉式功能表中 若要建立新設定檔 請按一下 [ 設定檔清單] 旁的 [ 編 輯] 並輸入您自己的 [ 設定檔名稱] 然後按一下 [ 新增] 如果您在嘗試下載病毒資料庫更新時遇到困難 請按一下 [ 清除] 以清除暫時更新檔案/ 快取 還原 如果您懷疑病毒資料庫和/ 或程式模組的新更新不穩定或損壞 您可以還原回上一版 並在一段期間內停用任何更新 如果您 先前已無限期延後更新 您也可以啟用這些停用的更新 ESET NOD32 Antivirus 會記錄病毒資料庫與程式模組的快照 以搭配 還原 功能使用 若要建立病毒資料庫快照 請讓 [ 建立 更新檔案快照] 切換選項保持在啟用狀態 [ 儲存於本機的快照數目] 欄位定義先前儲存的病毒資料庫快照數目 如果您按一下 [ 還原] ([ 進階設定] (F5) > [ 更新] > [ 一般] ) 您必須從 [暫停更新] 下拉式功能表中選取時間間隔 這代表暫停 病毒資料庫與程式模組更新的時間 若要適當地下載更新 必須正確地填入所有更新參數 如果您使用防火牆 請確定您的 ESET 程式可以與網際網路通訊 (即 HTTP 通訊) 基本 依預設 [ 更新類型] 會設定成 [ 定期更新] 以確保更新檔案會自動從 ESET 伺服器使用最少網路流量下載 發佈前更新 ([ 發佈前更新] 選項) 就是已完成內部測試且即將廣泛提供的更新 啟用發佈前更新 可讓您存取最新的偵測方法與修復程 式 不過 發佈前更新有時可能會不穩定 而 不應該 在需要最大可用性與穩定性的生產伺服器與工作站上使用 55

56 停用成功更新後顯示通知 - 關閉畫面右下角的系統匣通知 如果正在執行全螢幕應用程式或遊戲 則選取此選項很有用 請 注意 玩家模式將關閉所有通知 更 新 設 定 檔 對於各種更新配置及工作 可建立更新設定檔 建立更新設定檔對於行動使用者特別有用 對於會定期變更的網際網路連線內 容 行動使用者需要這些內容的替代設定檔 [ 選取的設定檔] 下拉式功能表會顯示目前選取的設定檔 預設是設定為 [ 我的設定檔] 若要建立新設定檔 請按一下 [ 設定 檔清單] 旁的 [ 編輯] 並輸入您自己的 [ 設定檔名稱] 然後按一下 [ 新增] 進 階 更 新 設 定 進階更新設定選項包含 [ 更新模式]? [ HTTP P rox y ] 的配置 更 新 模 式 [ 更新模式] 索引標籤包含定期程式更新相關的選項 這些設定讓您在新的病毒資料庫或程式元件更新可用時 可以預先定義 程式行為 程式元件升級包含新功能 或變更舊版已存在的功能 且包含在定期 (病毒資料庫) 更新內 安裝程式元件更新之後 可能需 要重新啟動電腦 以下是可用的設定 應用程式更新 - 啟用之後 將會以無訊息方式自動執行每個程式元件升級 而不完整升級產品 下載更新前詢問 - 此選項啟用時 在安裝任何可用的更新前將會顯示通知要求您確認安裝 若更新檔案大於 (k B ) 則詢問 - 若更新檔案超過此處指定的大小 在安裝任何可用的更新前將會顯示通知要求您確認安 裝 H T T P P ro xy 若要存取指定更新設定檔的 Proxy 伺服器設定選項 請按一下 [ 進階設定] 樹狀目錄 (F5) 中的 [ 更新] 然後按一下 [ HTTP P rox y ] 按一下 [ P rox y 模式] 下拉式功能表 然後選取下列三個選項之一 不使用 Proxy 伺服器 經由 Proxy 伺服器連線 使用全域 Proxy 伺服器設定 選取 [ 使用全域 P rox y 伺服器設定] 來使用已經在 [進階設定] 樹狀結構的 [ 工具] > [ P rox y 伺服器] 子目錄中指定的 Proxy 伺服器配置選項 選取 [ 不使用 P rox y 伺服器] 可明確定義不使用任何 Proxy 伺服器更新 ESET NOD32 Antivirus 如果出現下列狀況 務必選取 [ 透過 P rox y 伺服器連線] 選項 已使用與 工具 > P rox y 伺服器中定義不相同的 Proxy 伺服器來更新 ESET NOD32 Antivirus 在此配置中 應該在 P rox y 伺服器位址和通訊連接埠 (預設為 3128) 下指定新 Proxy 的資訊 並在有需要時指定 Proxy 伺服器的使用者 名稱以及密碼 並未全域設定 Proxy 伺服器 但是 ESET NOD32 Antivirus 將連接至 Proxy 伺服器進行更新 電腦透過 Proxy 伺服器連接至網際網路 系統在程式安裝期間從 Internet Explorer 取得設定 但如果它們隨後有所變更 (例如您變更 ISP) 請檢查此視窗中的 HTTP Proxy 設定是否正確 否則 程式將無法連接至更新伺服器 Proxy 伺服器的預設值為 [ 使用全域 P rox y 伺服器設定] 如果 P rox y 無法使用 請使用直接連線 - 如果 Proxy 無法存取 便會在更新期間略過 Proxy 附註 56

57 此區段中的使用者名稱和密碼欄位專屬於該 Proxy 伺服器 只有在需要使用者名稱及密碼來存取 Proxy 伺服器時 才填 寫這些欄位 這些欄位並不是使用 ESET NOD32 Antivirus 的使用者名稱/ 密碼 僅當您瞭解您需要密碼以透過 Proxy 伺服 器存取網際網路時才填寫 更 新 還 原 設 定 如果您懷疑病毒資料庫和/ 或程式模組的新更新不穩定或損壞 您可以還原回上一版 並在一段期間內停用任何更新 如果您 先前已無限期延後更新 您也可以啟用這些停用的更新 ESET NOD32 Antivirus 會記錄病毒資料庫與程式模組的快照 以搭配 還原 功能使用 若要建立病毒資料庫快照 請讓 [ 建立 更新檔案快照] 核取方塊保持在勾選狀態 [ 儲存於本機的快照數目] 欄位定義先前儲存的病毒資料庫快照數目 如果您按一下 [ 還原] ([ 進階設定] (F5) > [ 更新] > [ 一般] ) 您必須從 [ 持續時間] 下拉式功能表中選取時間間隔 這代表暫 停病毒資料庫與程式模組更新的時間 選取 [ 直到取消為止] 可無限期延後定期更新 直到您手動還原更新功能為止 由於這有潛在性安全風險 因此不建議選取此 選項 如果還原已執行 則 [ 還原] 按鈕會變成 [ 允許更新] 不允許在從 [ 暫停更新] 下拉式功能表中選取的時間間隔內進行更新 病毒資料庫版本會降級到最舊的可用版本 並以快照形式儲存在本機電腦檔案系統中 附註 57

58 假設編號 6871 是病毒資料庫的最新版本 6870 與 6868 則儲存成病毒資料庫快照 請注意 6869 無法使用 例如 因為 電腦已關機 且在 6869 下載前已進行較新的更新 如果您在 [ 儲存於本機的快照數目] 欄位中設為 2 並按一下 [ 還 原] 則病毒資料庫 (包含程式模組) 將還原回編號 6868 的版本 此程序可能需要一些時間 從 ESET NOD32 Antivirus 主 要程式視窗的 [更新] 區段中檢查病毒資料庫版本是否已降級 如 何 建 立 更 新 工 作 您可使用下列方式手動觸發更新 按一下主要功能表中的 [ 更新] 之後 在顯示的主要視窗中按一下 [ 更新病毒資料庫] 更新還可以執行為已排程的工作 若要設定已排程的工作 請按一下 [ 工具] > [ 排程器] 依預設 會在 ESET NOD32 Antivirus 中啟動下列工作 定期自動更新 撥號連線後自動更新 使用者登入後自動更新 各個更新工作都可以修改 以滿足您的需求 除了預設更新工作之外 您亦可利用使用者定義的配置來建立新的更新工作 如 需建立及配置更新工作的詳細資料 請參閱排程器一節 4.4 工具 [ 工具] 功能表包括的模組 可協助簡化程式管理 並為進階使用者提供其他選項 按一下更多工具以顯示其他工具來保護您的電腦 E S E T N OD 32 A ntiv irus 中 的 工 具 該工具 功能表包括的模組 可協助簡化程式管理 並為進階使用者提供其他選項 58

59 此功能表包括下列工具 防護記錄檔案 防護統計 即時監控 執行中的處理程序 (如果已在 ESET NOD32 Antivirus 中啟用 ESET LiveGrid ) ESET SysInspector ESET SysRescue Live - 將您重新導向至 ESET SysRescue Live 頁面 您可以在此處下載 Microsoft Windows 作業系 統的 ESET SysRescue Live 影像或 Live CD/USB Creator 排程器 提交樣本以供分析 - 可讓您將可疑檔案提交至 ESET 研究實驗室以供分析 本節會說明按一下此選項之後顯示的對話方 塊視窗 隔離 附註 舊版 ESET 安全性產品中的 ESET SysRescue 可能不適用於 Windows 8 在此情況下 我們建議您升級產品或在其他的 Microsoft Windows 版本中建立 ESET SysRescue 磁碟 防 護 記 錄 檔 案 防護記錄檔案包含已發生之重要程式事件的相關資訊 並提供偵測到之威脅的概觀 在系統分析 威脅偵測及疑難排解方面 記錄都是一項很重要的工具 記錄作業會主動在背景中執行 不需使用者介入 系統會依據目前的防護記錄冗贅設定來記錄資 訊 您可以直接從 ESET NOD32 Antivirus 環境檢視文字訊息及防護記錄 以及保存防護記錄 從主要程式視窗中按一下 [ 工具] 可存取防護記錄檔案 > 防護記錄檔案 從 [ 防護記錄] 下拉式功能表中選取所需的防護 記錄類型 以下是可用的防護記錄 偵測到威脅 - 威脅防護記錄提供 ESET NOD32 Antivirus 所偵測到入侵的詳細資訊 防護記錄資訊包括偵測時間 入 侵的名稱 位置 以及在偵測到入侵時 所登入的使用者名稱及其執行的處理方法 按兩下任何防護記錄項目 以在個 別視窗中顯示其詳細資訊 事件 - ESET NOD32 Antivirus 執行的所有重要處理方法都會記錄在事件防護記錄中 事件防護記錄包含程式中已發生 事件及錯誤的相關資訊 此選項專供系統管理員及使用者用來解決問題 通常在這裡找到的資訊可協助您找到程式中所 發生問題的解決方案 電腦掃描 - 所有已完成的手動或計劃之掃描結果都會顯示在此視窗中 每一行均與單一電腦控制項對應 按兩下任何項 目 以檢視各個掃描的詳情 HIP S - 包含已標記要記錄之特定 HIPS 規則的記錄 通訊協定會顯示觸發作業 結果 (是否允許或禁止規則) 及規則 名稱的應用程式 已過濾的網站 -如果您想要檢視 Web 存取防護所封鎖的網站清單 此功能很實用 每個防護記錄會包含建立特定網站 連線的時間 URL 位址 使用者與應用程式 裝置控制 - 包含連接到電腦的可移除媒體或裝置記錄 僅含有個別裝置控制規則的裝置將記錄於防護記錄檔案中 如果 規則不符合連接的裝置 將不會對連接的裝置建立防護記錄項目 您也可以檢視詳細資訊 例如裝置類型 序號 供應 商名稱及媒體大小 (如果有) 選取任何防護記錄的內容並按下 Ct rl + C 將其複製到剪貼簿 按住 Ct rl 和 S hif t 以選取多個項目 按一下 [ 過濾] 開啟 [ 防護記錄過濾] 視窗 您可以在其中定義過濾條件 59

60 以滑鼠右鍵按一下特定記錄 來開啟內容功能表 內容功能表有以下可用選項 顯示 - 顯示有關在新視窗中所選取防護記錄的詳細資訊 過濾相同的記錄 - 啟動此過濾器之後 您只會看見相同類型的記錄 (診斷 警告... ) 過濾... / 尋找...- 按一下此選項之後 會出現 [搜尋防護記錄] 視窗 可讓您定義特定防護記錄項目的過濾條件 啟用過濾 - 啟動過濾設定 停用過濾 - 清除所有過濾器設定值 (如上所述) 複製/ 全部複製 - 複製視窗中所有記錄的相關資訊 刪除/ 全部刪除 - 刪除選取的記錄或所有顯示的記錄 -此動作需要管理員權限才能執行 匯出...- 以 XML 格式匯出記錄相關資訊 全部匯出...- 以 XML 格式匯出所有記錄的相關資訊 捲動防護記錄 - 將此選項保持在啟用狀態 以自動捲動舊的防護記錄 並且檢視 [ 防護記錄檔案] 視窗中的作用中防護 記錄 防 護 記 錄 檔 案 ESET NOD32 Antivirus 的防護記錄配置可從主要程式視窗存取 按一下 [ 設定] > [ 進入進階設定... ] > [ 工具] > [ 防護記錄 檔案] 防護記錄區段用於定義管理防護記錄的方式 程式會自動刪除較舊的防護記錄以節省硬碟空間 您可以指定下列用於 防護記錄檔案的選項 記錄最簡化 - S指定要記錄事件的最小冗贅層級 診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊 資訊性 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 錯誤 - 會記錄諸如 下載檔案時發生錯誤 類型的錯誤及嚴重錯誤 嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護等時發生錯誤) 將自動刪除超過 [ 自動刪除超過指定 (天數) 的記錄] 欄位中指定天數的防護記錄項目 自動最佳化防護記錄檔案 - 如果勾選 且百分比高於 [ 如果未使用的記錄數目超過 (% )] 欄位所指定的值 則將自動重組 防護記錄檔案 按一下 [ 最佳化] 開始重組防護記錄檔案 在此程序中將移除所有空白的防護記錄項目 以提升效能及防護記錄處理速度 如果防護記錄包含大量的項目 則可明顯察覺此提升效果 [ 啟用文字通訊協定] 讓除了使用防護記錄檔案以外 還可用其他檔案格式來儲存防護記錄檔案 [ 目標目錄] - 防護記錄檔案所儲存的目錄 (僅適用於 Text/CSV) 每個防護記錄區段皆具備已預先定義檔案名稱的檔案 (例 如 若您使用純文字檔案格式以儲存防護記錄 則 virlog.txt 適用於防護記錄檔案的 [ 偵測到威脅] 區段) 類型 - 若您選取 [ 文字] 檔案格式 則防護記錄將以文字檔格式儲存 而資料將分隔為索引標籤 相同方法也適用於以逗號 分隔的 [ CS V ] 檔案格式 若您選擇 [ 事件] 防護記錄將儲存於 Windows 事件記錄檔 (可使用 [控制台] 中的 [事件檢視器] 進行檢視) 與檔案相反 刪除所有防護記錄檔案 - 消除所有目前在 [ 類型] 下拉式功能表中所選取的已儲存防護記錄 會顯示成功刪除記錄檔案的通 知 附註 為了協助您更快速解決問題 ESET 可能會要求您提供電腦中的防護記錄 ESET Log Collector 讓收集所需資訊變得更加 容易 如需 ESET Log Collector 的詳細資訊 請造訪 ESET 知識庫文章 60

61 執 行 中 的 處 理 程 序 執行中處理程序會顯示電腦上執行的 程式或處理程序 確保迅速持續地通知 ESET 新入侵的相關資訊 ESET NOD32 Antivirus 可提供執行中處理程序的詳細資訊 以使用 ThreatSense 技術保護使用者 處理程序 - 目前在電腦上執行的程式或處理程序的影像名稱 若要查看電腦上的所有處理程序 您也可以使用 Windows 工作 管理員 若要開啟 [工作管理員] 請於工具列的空白區按下滑鼠右鍵 然後按一下 [ 工作管理員] 或按下鍵盤上的 Ct rl +S hif t +E s c 鍵 風險等級 - 在大部分情況下 ESET NOD32 Antivirus 和 ThreatSense 技術會使用一系列的啟發式規則 (檢查每個物件的特 性 然後衡量惡意活動潛在的可能性) 來指派物件 (檔案 處理程序 登錄機碼等) 的風險等級 根據這些啟發式規則 指派 從 1 - 良好 (綠色) 至 9 - 危險 (紅色) 的風險層級給物件 附註 標記為良好 (綠色) 的已知應用程式是絕對安全的 (列入白名單) 且將會從掃描中排除以改善效能 P ID - 處理程序識別碼可在不同的功能呼叫中作為參數使用 例如 調整程序的優先順序 使用者數目 - 使用指定應用程式的使用者數目 此資訊是由 ThreatSense 技術收集 發現時間 - 應用程式由 ThreatSense 技術發現以來的時間 附註 標記為未知 (橙色) 的應用程式並不代表一定是惡意軟體 它通常只是新的應用程式 若您對檔案不確定 可以提交檔案以 供分析至 ESET 的研究實驗室 如果檔案證實為惡意的應用程式 則其偵測會新增到近期的更新中 應用程式名稱 - 程式或處理程序的指定名稱 在新視窗中開啟 - 在開啟的新視窗中顯示執行中處理程序的資訊 61

62 對任一應用程式按一下以顯示該應用程式的下列詳細資訊 路徑 - 電腦上應用程式的位置 大小 - 單位為 B (位元組) 的檔案大小 說明 - 根據作業系統說明的檔案特性 公司 - 供應商或應用程式處理程序的名稱 版本 - 來自應用程式發行者的資訊 產品 - 應用程式名稱和/ 或商業名稱 建立/ 修改日期 - 建立 (修改) 的日期及時間 附註 您也可以針對不作為執行中程式/ 處理程序的檔案檢查聲譽 若要這麼做 對這些項目按一下右鍵然後選取 [ 進階選項] > [ 檢查檔案聲譽] 防 護 統 計 若要檢視與 ESET NOD32 Antivirus 防護模組相關的統計資料圖表 請按一下 [ 工具] > [ 防護統計] 從 [ 統計] 下拉式功能 表中選取想要的防護模組 以查看對應的圖表及圖例 如果將滑鼠游標置於圖例中的項目上 則在圖表中只會顯示該項目的資 料 下列為可用的統計圖表 病毒及間諜程式防護 - 顯示受感染及已清除的物件數目 [ 檔案系統防護] - 只顯示已讀取或寫入檔案系統的物件 電子郵件用戶端防護 - 只顯示電子郵件用戶端傳送或接收的物件 [ Web 存取及網路釣魚防護] - 只顯示 Web 瀏覽器下載的物件 在統計圖表下方 您可以看見已掃描物件的總數 最近掃描的物件 以及統計資料時間郵戳 按一下 [ 重設] 以清除所有的統 計資訊 62

63 即 時 監 控 若要以圖形格式查看目前的 [ 檔案系統活動] 請按一下 [ 工具] > 監控活動 在圖形的底端 是根據選取之時間範圍即時記 錄 檔案系統活動 的時間表 若要變更時間範圍 請從 [ 重新整理率] 下拉式功能表中選取 可用選項如下 跳過 1 跳過 1 跳過 1 跳過 1 秒 - 圖表每秒鐘都會重新整理 且時間表包含最近 10 分鐘 分鐘 (最近 24 小時) - 圖表每分鐘都會重新整理 且時間表包含最近 24 小時 小時 (最近一個月) - 圖表每小時都會重新整理 且時間表包含最近一個月 小時 (選取的月份) - 圖表每小時都會重新整理 且時間表包含選取的最近 X 個月 [ 檔案系統活動圖形] 中的縱軸表示已讀取資料量 (藍色) 及已寫入資料量 (紅色) 兩個值都以 KB/MB/GB 為單位 如果將滑 鼠游標置於圖表下方圖例中已讀取資料或已寫入資料上 則圖表將只會顯示該活動類型的資料 63

64 E S E T S y s Ins p e c to r ESET SysInspector 是全面檢查電腦 收集系統元件 (例如驅動程式和應用程式 網路連線 或重要的登錄項目) 的詳細資訊 並評估各個元件風險層級的應用程式 此資訊可協助判定可疑系統行為是肇因於軟體或硬體不相符 還是惡意軟體感染 SysInspector 視窗會顯示建立的防護記錄相關的下列資訊 時間 - 防護記錄建立的時間 註解 - 簡短註解 使用者 - 建立防護記錄的使用者名稱 狀態 - 防護記錄建立的狀態 以下是可用的處理方法 顯示- 開啟已建立的防護記錄 您也可以在指定的防護記錄檔案上按一下右鍵 並從內容功能表選取 [ 顯示] 比較 - 比較兩份現有防護記錄 建立...- 建立新的防護記錄 請等候直到 ESET SysInspector 完成 (防護記錄狀態會顯示為 [已建立]) 再嘗試存取防護記 錄 刪除 - 從清單移除選取的防護記錄 選取一個或多個防護記錄後 內容功能表中即有以下項目可供使用 顯示 - 在 ESET SysInspector 中開啟所選取的防護記錄 (與按兩下防護記錄的功能相同) 比較 - 比較兩份現有防護記錄 建立...- 建立新的防護記錄 請等候直到 ESET SysInspector 完成 (防護記錄狀態會顯示為 [已建立]) 再嘗試存取防護記 錄 刪除 - 從清單移除選取的防護記錄 全部刪除 - 刪除所有防護記錄 匯出...- 將防護記錄匯出至.xml 檔或壓縮的.xml 排 程 器 排程器使用預先定義的配置與屬性管理及啟動已排程的工作 按一下 [ 工具] > [ 排程器] 即可從 ESET NOD32 Antivirus 主要程式視窗存取 排程器 [ 排程器] 包含已排程的工作與其 配置內容 (如預先定義的日期 時間及使用的掃描設定檔) 的清單 [排程器] 可用來排程下列工作 病毒資料庫更新 掃描工作 系統啟動檔案檢查及防護記錄維護 您可以直接在主 [排程器] 視窗中新增或刪除工作 (按一下底端的[ 新增... ] 或 [ 刪除] ) 在 [排程器] 視窗中的任何位置按一下滑鼠右鍵 以執行下列處理 方法 顯示詳細資訊 立即執行工作 新增工作及刪除現有工作 使用每個項目前端的核取方塊來啟動/ 停用工作 依預設 下列排定工作會顯示在 [ 排程器] 中 防護記錄維護 定期自動更新 撥號連線後自動更新 使用者登入後自動更新 定期檢查最新產品版本 (參閱更新模式) 自動啟動檔案檢查 (使用者登入後) 啟動檔案自動檢查 (成功更新病毒資料庫後) 若要編輯 (預設及使用者定義的) 現有排定工作的配置 請在工作上按一下滑鼠右鍵並按一下 [ 編輯... ] 或選取要修改的工 作 再按一下 [ 編輯... ] 新增工作 1. 按一下視窗底部的 [ 新增工作] 2. 輸入工作的名稱 64

65 3. 自下拉式功能表選取想要的工作 執行外部應用程式 - 排程以執行外部應用程式 防護記錄維護 - 防護記錄檔案還包括已刪除記錄的剩餘部分 此工作會定期最佳化防護記錄檔案中的記錄 以有效運作 系統啟動檔案檢查 - 檢查系統啟動或登入時允許執行的檔案 建立電腦掃描 - 建立 ESET SysInspector 電腦快照 -收集關於系統元件 (例如驅動程式 應用程式) 的詳細資訊 並評估各 個元件的風險層級 指定電腦掃描 - 針對電腦中的檔案及資料夾執行掃描 更新 - 更新病毒資料庫與程式模組來排程更新工作 4. 若您要啟用工作 則請開啟 [ 已啟用] 選項 (您可以稍後在已排程工作清單中選取/ 取消選取核取方塊以完成開啟) 接著按 一下 [ 下一步] 並選取其中一個時間選項 一次 - 工作將在預先定義的日期及時間執行 重複 - 工作將在指定的時間間隔內執行 每日 - 工作會重複每天在指定的時間執行 每星期 - 工作將在選取的日期及時間執行 事件觸發 - 工作會在指定的事件發生時執行 5. 選取 [ 使用電池執行時略過工作] 以在膝上型電腦使用電池執行時 將系統資源消耗降到最低 工作會在 [ 工作執行] 欄 位中的指定日期和時間執行 如果工作無法在預先定義的時間執行 您可以指定工作的再次執行時間 於下次排程的時間 盡快(A ) 如果距離上次執行的時間超過指定值 則立即執行工作 (可以使用 [ 自上次執行後經過的時間] 捲動方塊定義間隔) 您可以按一下滑鼠右鍵並按一下 [ 顯示工作詳情] 以檢閱已排程的工作 E S E T S y s R e s c ue ESET SysRescue 是一套公用程式 可讓您建立包含 ESET Security 解決方案其中之一的開機磁碟 -可能是 ESET NOD32 Antivirus <%ESET_INTERNET_SECURITY%> ESET Smart Security <%ESET_SMART_SECURITY_PREMIUM%> 或某些伺服器導向的產品 ESET SysRescue 的主要優點是 ESET Security 解決方案獨立於主機作業系統之外執行 且同時 可以直接存取磁碟及檔案系統 因此它能夠移除一般無法刪除的入侵 例如在作業系統執行時 進行刪除動作等 65

66 E S E T Liv e Grid ESET LiveGrid (以先進的 ESET ThreatSense.Net 進階預早警告系統為基礎) 會應用全球各地 ESET 使用者提交 並傳送 到 ESET 研究實驗室的資料 透過全球提供可疑樣本和中繼資料的方式 ESET LiveGrid 可讓我們立即回應客戶需求 並讓 ESET 隨時掌握最新威脅情報 請在字彙中閱讀更多有關 ESET LiveGrid 的資訊 使用者可直接從程式的介面或關聯式功能表 查看執行中的處理程序與檔案的聲譽 以及可從 ESET LiveGrid 取得的其他資 訊 有兩個選項 1. 您可以選擇不啟用 ESET LiveGrid 您不會失去軟體的任何功能 但在有些情況下 當 ESET Live Grid 啟用時 ESET NOD32 Antivirus 可能會比病毒資料庫更新更快回應新威脅 2. 您可以配置 ESET LiveGrid 以提交新威脅與包含新威脅代碼位置的匿名資訊 此檔案可傳送至 ESET 以供詳細分 析 研究這些威脅會協助 ESET 更新其威脅偵測能力 ESET LiveGrid 會收集與新偵測到之威脅相關的電腦資訊 此資訊可能包括出現威脅的檔案範例或副本 檔案路徑 檔案名 稱 日期與時間 威脅出現在電腦上程序 以及電腦作業系統的相關資訊 依預設 ESET NOD32 Antivirus 配置為將可疑檔案提交至 ESET 病毒實驗室以供詳細分析 例如.doc 或.xls 等某些副檔名 的檔案一律排除 如果有您或您的組織要避免傳送的特殊檔案 您也可以新增其他副檔名 ESET LiveGrid 設定功能表提供數個用於啟用/ 停用 ESET LiveGrid 的選項 可將可疑檔案及匿名統計資訊提交至 ESET 實驗室 按一下 [ 工具] > [ E S E T Liv egrid ] 即可從 [進階設定] 樹狀目錄中存取該設定 啟用 E S E T Liv egrid 聲譽系統 (建議) - ESET LiveGrid 聲譽系統可將掃描的檔案與雲端中的白名單和黑名單項目比 較 以改善 ESET 惡意軟體防護解決方案的效益 提交匿名統計 - 允許 ESET 收集新偵測到威脅的相關資訊 例如威脅名稱 偵測的日期與時間 偵測方法與關聯的中繼資 料 產品版本與配置 (包括您系統的相關資訊) 提交檔案 - 類似威脅的檔案 和/ 或有異常特性或行為的檔案 可提交至 ESET 進行分析 選取 [ 啟用記錄] 可建立事件防護記錄 以記錄檔案及統計資訊提交 當傳送檔案或統計資訊時 此選項允許記錄在事件防護 記錄中 連絡人電子郵件 (選用) - 傳送任何可疑的檔案時會連同您的連絡人電子郵件一併傳送 在分析時若需要您提供進一步的資 訊 便可利用這個電子郵件連絡您 請注意 除非需要更多資訊 否則您將不會收到 ESET 的任何回應 [ 排除] - 排除過濾可讓您排除某些不提交的檔案/ 資料夾 (例如 您可使用此選項 排除可能包含機密資訊的檔案 例如文件或 試算表) 絕對不會將列出的檔案傳送至 ESET 實驗室以供分析 即使其包含可疑代碼 依預設 最常見的檔案類型 (.doc 等) 均會被排除在外 如果需要 您可以新增到排除檔案清單中 如果您使用過 ESET LiveGrid 但現已停用 則可能還有待傳送的資料套件 即使已停用 此類套件仍會傳送到 ESET 一旦 已傳送所有目前資訊 便不會繼續建立套件 可 疑 檔 案 如果您找到可疑檔案 您可以提交給我們的 ESET 研究實驗室以供分析 若檔案為惡意的應用程式 則其偵測會新增到下一 個病毒資料庫更新 排除過濾 - [排除過濾] 可讓您排除某些不提交的檔案/ 資料夾 我們絕對不會將列出的檔案傳送至 ESET 研究實驗室以供分 析 即使其包含可疑代碼 例如 您可使用此選項 排除可能包含機密資訊的檔案 例如文件或試算表 依預設 最常見的檔 案類型 (.doc 等) 均會被排除在外 如果需要 您可以新增到排除檔案清單中 連絡人電子郵件 (選用) - 傳送任何可疑的檔案時會連同您的連絡人電子郵件一併傳送 在分析時若需要您提供進一步的資 訊 便可利用這個電子郵件連絡您 請注意 除非需要更多資訊 否則您將不會收到 ESET 的任何回應 選取 [ 啟用記錄] 可建立事件防護記錄 以記錄檔案及統計資訊提交 當傳送檔案或統計資訊時 此選項允許記錄在事件防護 記錄中 66

67 隔 離 隔離區的主要功能是安全地儲存受感染檔案 對於無法清除 無法安全刪除或不建議刪除的檔案 或者 ESET NOD32 Antivirus 錯誤偵測到的檔案 應該予以隔離 您可以選擇隔離任何檔案 如果檔案行為可疑 但防毒掃描器沒有偵測到 則建議進行隔離 您可將隔離的檔案提交至 ESET 研究實驗室進行分析 您可以在表格中檢視隔離資料夾中儲存的檔案 其中顯示隔離的日期與事件 受感染檔案原始位置的路徑 大小 (以位元組為 單位) 原因 (例如 由使用者新增... ) 以及威脅數量 (例如 包含多個入侵的壓縮檔) 隔離檔案 ESET NOD32 Antivirus 會自動隔離刪除的檔案 (如果您尚未在警告視窗中取消此選項) 如果需要 您可以按一下 [ 隔離... ] 手動隔離任何可疑檔案 如果是這種情況的 不會從原始位置移除原始檔案 內容功能表也可用於此目的 -以滑鼠右鍵按一 下 [ 隔離] 視窗 並選取 [ 隔離... ] 從隔離區還原 隔離的檔案還可還原至其原始位置 使用 [ 還原] 功能可達到此目的 此功能可從內容功能表取得 方法是以滑鼠右鍵按一下 [隔離] 視窗中的特定檔案 如果檔案標記為 [潛在不需要應用程式] 則 [ 還原並從掃描中排除] 選項已啟用 請在字彙中閱讀 更多有關此類型應用程式的資訊 內容功能表還提供 [ 還原到... ] 選項 可讓您將檔案還原到其原始刪除位置外的其他位置 附註 如果程式不小心隔離了無惡意檔案 請在還原後從掃描中排除檔案 並將該檔案傳送至 ESET 客戶服務 從隔離區提交檔案 如果您已隔離程式未偵測到的可疑檔案 或錯誤地將檔案判定為受感染 (例如以代碼的啟發式分析) 且因此隔離 請將檔案傳 送至 ESET 病毒實驗室 若要從隔離提交檔案 請在檔案上按一下滑鼠右鍵 並從內容功能表選取 [ 提交檔案以供分析] 67

68 P ro xy 伺 服 器 在大型 LAN 網路中 Proxy 伺服器可用來調節電腦與網際網路的通訊 使用此配置則需要定義下列設定 否則 程式將無法 自動進行更新 在 ESET NOD32 Antivirus 中 Proxy 伺服器設定位於 [進階設定] 樹狀目錄的兩個不同區段中 首先 Proxy 伺服器設定可在 [ 工具] > [ P rox y 伺服器] 下的 [ 進階設定] 中配置 在這個等級指定 Proxy 伺服器 會定義所 有 ESET NOD32 Antivirus 的全域 Proxy 伺服器設定 需連線到網際網路的所有模組 都會使用這裡的參數 若要指定此層級的 Proxy 伺服器設定 請選取 [ 使用 P rox y 伺服器] 然後將 Proxy 伺服器的位址和 [ 連接埠] 號碼輸入 [ P rox y 伺服器] 欄位中 如果與 Proxy 伺服器之間的通訊需要驗證 請選取 [ P rox y 伺服器需要驗證] 並將有效的 [ 使用者名稱] 及 [ 密碼] 輸入各 自的欄位中 按一下 [ 偵測] 以自動偵測和填入 Proxy 伺服器設定 將複製 Internet Explorer 中指定的參數 附註 您必須在 [ P rox y 伺服器] 設定中手動輸入使用者名稱和密碼 如果 P rox y 無法使用 請使用直接連線 - 如果產品已配置為使用 HTTP Proxy 且 Proxy 無法存取 產品將避開 Proxy 並 與 ESET 伺服器直接通訊 Proxy 伺服器設定也可以在 [進階] 更新設定中建立 (從 [ P rox y 模式] 下拉式功能表選取 [ 透過 P rox y 伺服器連線] 中的 [ 進階設定] > [ 更新] > [ HTTP P rox y ] ) 此設定適用於指定更新設定檔且建議用於筆記型電腦 筆記型電腦通常會從遠端位 置接收病毒碼更新 如需此設定的詳細資訊 請參閱進階更新設定 電 子 郵 件 通 知 如果發生與所選簡化層級相關的事件 則 ESET NOD32 Antivirus 可以自動傳送電子郵件通知 啟用 [ 利用電子郵件傳送事 件通知] 以啟動電子郵件通知 S MTP 伺服器 S MTP 伺服器 - 用於傳送通知的 SMTP 伺服器 (例如 smtp.provider.com:587 附註 ESET NOD32 Antivirus 支援具備 TLS 加密功能的 SMTP 伺服器 68 預先定義的連接埠為 25)

69 使用者名稱及密碼 - 如果 SMTP 伺服器需要驗證 則應該在這些欄位中填寫有效的使用者名稱及密碼 以存取 SMTP 伺 服器 寄件者地址 - 此欄位指定將在通知電子郵件檔頭顯示的寄件者地址 收件者地址 - 此欄位指定將在通知電子郵件檔頭顯示的收件者地址 從 [ 通知最簡化] 下拉式功能表中 您可以選取將傳送通知的起始嚴重性層級 診斷 資訊 警告 錯誤 嚴重 - 要微調程式和上述的所有記錄所需的防護記錄資訊 - 記錄例如非標準網路事件的資訊性訊息 包含成功更新訊息及上述所有記錄 - 記錄嚴重錯誤及警告訊息 (反隱藏技術未正確執行或更新失敗) - 會記錄錯誤 (例如文件防護未啟用) 及嚴重錯誤 - 僅記錄嚴重錯誤 例如啟動病毒防護或除受感染的系統 啟用 TLS - 啟用 TLS 加密支援的傳送警告及通知訊息 傳送新通知電子郵件的間隔 (分鐘) - 以電子郵件傳送新通知的間隔 (分鐘) 如果您將該值設為 0 則會立即傳送通知 以不同的電子郵件傳送每個通知 - 啟用後 收件者會收到各個通知的新電子郵件 這可能會造成短時間內收到大量的電子 郵件 訊息格式 事件訊息格式 - 在遠端電腦顯示的事件訊息格式 威脅警告訊息格式 - 威脅警告及通知訊息具有預先定義的預設格式 我們建議您不要變更此格式 然而 在某些情況下 (例 如 如果您具有自動電子郵件處理系統) 您可能需要變更訊息格式 使用本機字母字元 - 以 Windows Regional 設定的編碼將電子郵件訊息轉換為 ANSI 字元 (例如 windows-1250) 如果您 將此選項保持為空白 則訊息會以 ACSII 7 位元轉換並編碼 (例如 " á" 會變更為 " a" 未知符號會變更為 "?") 使用本機字元編碼 - 電子郵件訊息來源會編碼為 Quoted-printable (QP) 格式 此格式會使用 ASCII 字元 並正確透過電子 郵件以 8 位元格式 (áéíóú) 傳輸特殊國家字元 訊 息 格 式 在此您可以設定在遠端電腦上顯示的事件訊息格式 威脅警告及通知訊息具有預先定義的預設格式 我們建議您不要變更此格式 然而 在某些情況下 (例如 如果您具有自動電 子郵件處理系統) 您可能需要變更訊息格式 訊息中的關鍵字 (以 % 符號分隔的字串) 會由特定的實際資訊取代 可用關鍵字如下所示 % TimeS t amp% - 事件的日期及時間 % S c anner% - 模組的相關資訊 % Comput ername% - 發生警告的電腦名稱 % P rogramname% - 產生警告的程式 % Inf ec t edobjec t % - 受感染的檔案 郵件等的名稱 % V irus Name% - 感染的識別碼 % E rrordes c ript ion% - 非病毒事件的說明 % Inf ec t edobjec t % 及 % V irus Name% 關鍵字僅用於威脅警告訊息 而 % E rrordes c ript ion% 僅用於事件訊息 使用本機字母字元 - 根據 Windows 地區設定將電子郵件訊息轉換為 ANSI 字元編碼 (e.g. windows-1250) 如果您將此選項 保持為空白 則訊息會以 ACSII 7 位元轉換並編碼 (例如 " á" 會變更為 " a" 未知符號會變更為 "?") 使用本機字元編碼 - 電子郵件訊息來源會編碼為 Quoted-printable (QP) 格式 此格式會使用 ASCII 字元 並正確透過電子郵 件以 8 位元格式 (áéíóú) 傳輸特殊國家字元 69

70 選 取 樣 本 以 供 分 析 [檔案提交] 對話方塊可讓您將檔案或網站傳送給 ESET 以供分析 而這個對話方塊可在 [ 工具] 中找到 > 提交樣本以供分 析 如果您在電腦中發現行跡可疑的檔案 或在網際網路中發現可疑的網站 您可以將其提交至 ESET 研究實驗室以供分 析 如果檔案證實為惡意的應用程式或網站 則其偵測會新增到近期的更新中 您也可以透過電子郵件來提交檔案 若您偏好此選項 請使用 WinRAR/ZIP 壓縮檔案 使用密碼 infected 來保護壓縮檔 然後將其傳送至 samples@eset.com 請記得使用敘述性的主旨 並盡可能涵蓋檔案的相關資訊 (例如下載的網站) 附註 在將檔案提交至 ESET 之前 請確定其符合下列一或多個條件 完全未偵測該檔案 錯將該檔案偵測為威脅 除非需要進一步的資訊以供分析 否則您將不會收到任何回應 從 [ 提交檔案的原因] 下拉式功能表中選取最符合您訊息的說明 可疑檔案 可疑網站 (受到惡意軟體感染的網站) 誤判檔案 (偵測為感染但實際上未受感染的檔案) 誤判網站 其他 檔案/ 網站 - 要提交的檔案或網站路徑 連絡人電子郵件 - 這個連絡人電子郵件會與可疑檔案一併傳送到 ESET 並可用於在需要進一步資訊以供分析時連絡您 輸 入連絡人電子郵件是選用選項 樣本可以匿名提交 由於我們的伺服器每天都會接收到成千上萬個檔案 所以除非需要更多 資訊 否則我們不可能一一回覆 因此您將不會收到 ESET 的回應 Mic ro s o ft W ind o ws 更 新 Windows Update 功能是保護使用者遠離惡意軟體的重要元件 因此 當有可用的 Microsoft Windows 更新時 立即安裝更新 是很重要的 ESET NOD32 Antivirus 會根據指定的層級通知您遺漏的更新 以下是可用的層級 無更新 - 不提供系統更新下載 選用更新 - 提供下載標記為低與更高優先順序的更新 建議更新 - 提供下載標記為一般與更高優先順序的更新 重要更新 - 提供下載標記為重要與更高優先順序的更新 重大更新 - 只提供重大更新下載 按一下 [ 確定] 儲存變更 在與更新伺服器進行狀態驗證之後 會顯示 [系統更新] 視窗 因此 在儲存變更之後 可能不會立 即出現系統更新資訊 4.5 使用者介面 [ 使用者介面] 區段可讓您配置程式圖形使用者介面 (GUI) 的行為 使用 [圖形] 工具就可以調整程式的視覺外觀與使用的特效 配置警告及通知就可以變更已偵測到的威脅警告及系統通知的行為 這些全都可以自訂 以符合您的需求 若要讓安全軟體的安全性達到極致 您可以使用存取設定工具 70

71 4.5.1 使 用 者 介 面 元 素 ESET NOD32 Antivirus 中的使用者介面配置選項可讓您調整工作環境以符合您的需要 在 ESET NOD32 Antivirus [進階設 定] 樹狀目錄的 [ 使用者介面] > [ 使用者介面元素] 子目錄中可存取這些配置選項 如果您要停用 ESET NOD32 Antivirus 開機歡迎畫面 請取消選取 [ 啟動時顯示開機歡迎畫面] 若要 ESET NOD32 Antivirus 在掃描期間發生重大事件 (例如當發現威脅或掃描結束) 時播放音效 請選取 [ 使用聲音信 號提示] 整合至內容功能表 - 將 ESET NOD32 Antivirus 控制項元素整合至內容功能表 狀態 應用程式狀態 - 按一下 [ 編輯] 按鈕以管理 (停用) 顯示在主要功能表防護狀態窗格中顯示的狀態 71

72 4.5.2 警 告 及 通 知 [ 使用者介面] 下的 [ 警告及通知] 區段可讓您配置 ESET NOD32 Antivirus 如何處理威脅警告與系統通知 (例如 成功更新訊 息) 您也可以設定顯示時間及系統匣通知的透明度 (這僅適用於支援系統匣通知的系統) 警告視窗 停用 [ 顯示警示] 會取消所有警告視窗 且僅適用於有限的指定情況中 對於大部分使用者而言 我們建議保留此選項的 預設值 (啟用) 產品內的訊息 顯示行銷訊息 - 產品內訊息的設計是為了通知使用者 ESET 的最新消息與其他通訊 如果您不想要收到行銷訊息 請停 用此選項 桌面通知 桌面及球形提示上的通知僅提供資訊 不需要使用者介入 它們會顯示在畫面右下角的通知區域中 若要啟動桌面通知 請選取 [ 於桌面顯示通知] 啟用 [ 以全螢幕模式執行應用程式時不顯示通知] 以強制不顯示所有非互動通知 可在以下修改更多詳細選項 如通知 顯示時間及視窗透明度 [ 最簡化要顯示的事件] 下拉式功能表中 允許您可以選取要顯示的警告及通知嚴重性層級 可用選項如下 診斷 資訊 警告 錯誤 嚴重 - 要微調程式和上述的所有記錄所需的防護記錄資訊 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 - 記錄嚴重錯誤及警告訊息 - 記錄諸如 下載檔案時發生錯誤 等類型的錯誤及嚴重錯誤 - 僅記錄嚴重錯誤 (啟動病毒防護等時發生錯誤) 此區段的最後一個功能可讓您配置多個使用者環境的通知目的地 [ 在多個使用者的系統中 在此使用者的畫面中顯示 通知] 欄位可針對允許多位使用者同時連接的系統 指定要接收系統通知與其他通知的使用者 通常為系統或網路的管理 員 如果將所有系統通知都傳送給管理員 則此選項特別適用於終端機伺服器 72

73 信箱 若要在某段時間內自動關閉快顯視窗 請選取 [ 自動關閉訊息方塊] 如果不手動關閉這些視窗 則經過指定時間後將自 動關閉警告視窗 確認訊息 - 向您顯示確認訊息的清單 並可讓您選取是否要顯示 進 階 設 定 從 [ 最簡化要顯示的事件] 下拉式功能表中 您可以選取將顯示警告及通知起始嚴重性層級 診斷 - 要微調程式和上述的所有記錄所需的防護記錄資訊 資訊性 - 記錄資訊性訊息 包含成功更新訊息及上述所有記錄 警告 - 記錄嚴重錯誤及警告訊息 錯誤 - 會記錄諸如 下載檔案時發生錯誤 類型的錯誤及嚴重錯誤 嚴重 - 僅記錄嚴重錯誤 (啟動病毒防護等時發生錯誤) 此區段的最後一個功能可讓您配置多個使用者環境的通知目的地 [ 在多個使用者的系統中 在此使用者的畫面中顯示通 知] 欄位可針對允許多位使用者同時連接的系統 指定要接收系統通知與其他通知的使用者 通常為系統或網路的管理員 如 果將所有系統通知都傳送給管理員 則此選項特別適用於終端機伺服器 存 取 設 定 ESET NOD32 Antivirus 設定是您安全原則最重要的部分 未獲授權的修改可能會危害您系統的穩定性及防護功能 為了避免 未獲授權的修改 您可以使用密碼保護 ESET NOD32 Antivirus 的設定參數 密碼保護設定 - 指出密碼設定 按一下以開啟 [密碼設定] 視窗 若要設定或變更密碼以保護設定參數 請按一下 [ 設定] 受限管理員帳號需要完整的管理員權限 - 選取此選項以在修改特定系統參數時 提示現有使用者 (如果沒有管理員權限的 話) 輸入管理員使用者名稱及密碼 (與 Windows Vista 和 Windows 7 中的 使用者帳戶控制 (UAC) 相似) 這類修改包括停 用防護模組 在未執行 UAC 的 Windows XP 系統上 使用者則可使用 [ 需要管理員權限 (沒有 UA C 支援的系統)] 選項 僅限 Windows XP 需要管理員權限 (沒有 UA C 支援的系統) - 啟用此選項 讓 ESET NOD32 Antivirus 提示要求管理員憑證 73

74 4.5.4 程 式 功 能 表 以滑鼠右鍵按一下系統匣圖示 可以使用某些最重要的設定選項及功能 快速連結 - 顯示 ESET NOD32 Antivirus 最常使用的部分 您可以從程式功能表快速存取這些部分 暫停防護 - 顯示停用病毒及間諜程式防護的確認對話方塊 此功能藉由控制檔案 Web 和電子郵件通訊防止惡意系統攻擊 [ 時間間隔] 下拉式功能表顯示病毒及間諜程式防護停用的期間 進階設定 - 選取此選項以進入 [ 進階設定] 樹狀目錄 其他開啟進階設定的方式還有按下 F5 鍵或瀏覽至 [ 設定] > [ 進階設 定] [ 防護記錄檔案] - 防護記錄檔案包含已發生之重要程式事件的相關資訊 並提供偵測到之威脅的概觀 隱藏 E S E T NOD32 A nt iv irus - 隱藏螢幕上的 ESET NOD32 Antivirus 視窗 重設視窗配置 - 將 ESET NOD32 Antivirus 的視窗重設為螢幕上的預設大小及位置 病毒資料庫更新 - 啟動更新病毒資料庫作業以確保您對抗惡意程式碼的防護層級 關於 - 提供系統資訊 ESET NOD32 Antivirus 已安裝版本的詳情 以及已安裝的程式模組 您還可以在這裡找到作業系統與 系統資源的授權到期日期及相關資訊 74

75 5. 進階使用者 5.1 設定檔管理程式 設定檔管理程式是用於 ESET NOD32 Antivirus 中的兩個區段 -[ 指定電腦掃描] 區段和 [ 更新] 區段 電腦掃描 您偏好的掃描參數可儲存供未來掃描時使用 我們建議您盡量為定期進行的掃描建立不同設定檔 (含有各種掃描目標 掃描方 法及其他參數) 若要建立新的設定檔 請開啟 [進階設定] 視窗 (F5) 然後按一下 [ 病毒防護] > [ 指定電腦掃描] > [ 基本] > [ 設定檔清單] [ 設定檔管理員] 視窗包括 [ 已選取的設定檔] 下拉式功能表 其中列出現有的掃描設定檔與可建立新設定檔的選項 若要協 助您建立掃描設定檔以符合您的需求 請參閱 ThreatSense 引擎參數設定一節 以取得每個掃描設定參數的說明 附註 假設您要建立您自己的掃描設定檔且 [ 掃描您的電腦] 配置有部份適用 但不要掃描 運行時間壓縮器 或潛在不安全的應用 程式 並且要套用 [ 完全清除] 在 [ 設定檔管理程式] 視窗中輸入新設定檔的名稱並按一下 [ 新增] 從 [ 已選取的設定 檔] 下拉式功能表中選取新設定檔 並調整剩餘的參數以符合您的需求 接著按一下 [ 確定] 以儲存新的設定檔 更新 [更新] 設定區段中的設定檔編輯器可讓使用者建立新的更新設定檔 請只有在您的電腦使用多種方法來連接更新伺服器時 才 建立及使用您自己的自訂設定檔 (亦即 預設 [ 我的設定檔] 以外的其他設定檔) 其中一個例子 就是膝上型電腦 它通常會連接至區域網路中的本機伺服器 (Mirror) 但是與區域網路中斷連線 (出差) 時 需 要直接從 ESET 的更新伺服器下載更新 並使用兩種設定檔 第一個連接至本機伺服器 另一個連接至 ESET 的伺服器 在 設定這些設定檔之後 請瀏覽至 [ 工具] > [ 排程器] 並編輯更新工作參數 指定一個設定檔為主要設定檔 另一個為次要設定 檔 已選取的設定檔 - 目前使用的更新設定檔 若要變更 請從下拉式功能表選擇設定檔 新增...- 建立新的更新設定檔 視窗底部會列出現有的設定檔 5.2 鍵盤快捷鍵 為了更方便在 ESET 產品中瀏覽 可以使用下列鍵盤快捷鍵 F1 F5 向上/ 向下 TAB 鍵 Esc 鍵 5.3 開啟 [說明] 頁面 開啟進階設定 在產品中瀏覽項目 收合 [進階設定] 樹狀結構節點 在視窗中移動游標 關閉作用中的對話方塊視窗 診斷 診斷可提供 ESET 處理程序 (例如 ekrn ) 的應用程式當機傾印 如果應用程式當機 就會產生傾印 這可以協助開發人員除錯 和修正各種 ESET NOD32 Antivirus 問題 按一下 [ 傾印類型] 旁的下拉式功能表 並從三個可用選項中選取一個 選取 [ 停用] (預設) 來停用這項功能 最小 - 記錄最低限度的有用資訊 可用來協助識別應用程式意外當機的原因 如果空間有限 這種傾印檔案就很有助益 然 而 因為資訊受限 所以分析此檔案時 可能會找不到發生問題時並非由正在執行之執行緒直接造成的錯誤 完整 - 記錄系統記憶體在應用程式意外停止時的所有內容 完整記憶體傾印可能包含收集記憶體傾印時正在執行之處理程序 的內容 75

76 啟用通訊協定過濾進階記錄 - 以 PCAP 格式記錄所有通過通訊協定過濾引擎的資料 以協助開發人員診斷及修正通訊協定 過濾的相關問題 您可以在以下路徑中找到防護記錄檔案 Windows Vista 和更新版的 C:\ProgramData\ESET\ESET NOD32 Antivirus\Diagnostics\ and Settings\All Users\... 或舊版 Windows 的 C:\Documents 目標目錄 - 在當機期間產生傾印的目錄 開啟診斷資料夾 - 按一下 [ 開啟] 在新的 [Windows 檔案總管] 視窗內開啟此目錄 建立診斷傾印 - 按一下 [ 建立] 以在目標目錄中建立診斷傾印檔案 5.4 匯入及匯出設定 您可從 [ 設定] 功能表匯入或匯出您的自訂 ESET NOD32 Antivirus.xml 配置檔案 如果您必須備份 ESET NOD32 Antivirus 的目前配置以供日後使用 匯入與匯出配置檔案功能則十分有用 匯出設定選項對想 要在多個系統上使用慣用配置的使用者也很方便 他們可以輕鬆匯入.xml 檔案以傳送這些設定 匯入配置很簡單 從主要程式視窗中 按一下 [ 設定] > [ 匯入及匯出設定] 然後選取 [ 匯入設定] 輸入配置檔案的名稱 或按一下 [... ] 按鈕以瀏覽您要匯入的配置檔案 匯出配置的步驟非常類似 從主要程式視窗中 按一下 [ 設定] > [ 匯入及匯出設定] 選取 [ 匯出設定] 並輸入配置檔案的檔 案名稱 (即 export.xml ) 使用瀏覽器 選取在電腦上儲存配置檔案的位置 附註 如果您沒有足夠的權限將匯出檔案寫入指定目錄 則可能會在匯出設定時遭遇錯誤 76

77 5.5 ESET SysInspector E S E T S y s Ins p e c to r 簡 介 ESET SysInspector 是一款可徹底檢查電腦 並能以各種方法顯示收集之資料的應用程式 諸如安裝的驅動程式和應用程 式 網路連線或重要的登入項目等都能協助您調查可疑的系統行為 探討行為的成因究竟是來自軟體或硬體不相容 還是惡意 程式感染 您可以使用下列兩種方式存取 ESET SysInspector 從 ESET Security 解決方案中的整合版本 或透過從 ESET 網站免費下 載獨立版本 (SysInspector.exe) 兩個版本的功能相同 且擁有相同的程式控制項 唯一的不同在於管理輸出的方式 獨立與 整合版本都可讓您將系統快照匯出至.xml 檔案 並將其儲存至磁碟 但是 整合版本也可讓您將系統快照直接儲存在 [ 工具] > E S E T S y s Ins pec t or 中 (ESET Remote Administrator 除外) 如需更多資訊 請參閱 ESET SysInspector 做為 ESET NOD32 Antivirus 的一部份 一節 請花一點時間來讓 ESET SysInspector 掃描您的電腦 根據您的硬體配置 作業系統以及電腦上安裝的應用程式數而定 這 可能會花費 10 秒到最多幾分鐘不等的時間 啟 動 E S E T S y s Ins p e c to r 若要啟動 ESET SysInspector 只要執行從 ESET 網站下載的 SysInspector.exe 執行檔即可 如果您已安裝任一款 ESET Security 解決方案 可以直接從 [開始] 功能表執行 ESET SysInspector (按一下 [ 程式] > [ E S E T] > [ E S E T NOD32 A nt iv irus ] ) 應用程式檢查系統時請稍候 這可能需花費數分鐘 使 用 者 介 面 和 應 用 程 式 用 法 為清楚起見 主要程式視窗分為四個主要區段 位於主要程式視窗頂端的 程式控制 位於中間左側的 瀏覽 視窗 位於 右側的 說明視窗 以及位於主要程式視窗底部的 詳細資料 視窗 [防護記錄狀態] 區段列出防護記錄的基本參數 (使用 的過濾器 過濾器類型 防護記錄是否為比較的結果等) 77

78 程 式 控 制 項 本小節包含 ESET SysInspector 中提供的所有程式控制項說明 檔案 按一下 [ 檔案] 您即可儲存您目前的系統狀態作為稍後調查之用 或是開啟先前儲存的防護記錄 如果您要發行防護記錄 我們建議您產生適合傳送的防護記錄 此形式的防護記錄將會省略機密資訊 (目前的使用者名稱 電腦名稱 網域名稱 目前 的使用者權限 環境變數等) 附註 您可以開啟先前儲存的 ESET SysInspector 報告 只要將報告拖放至主要程式視窗即可 樹狀結構 讓您可以展開或關閉所有節點 並且可以將選取的區段匯出成 服務 腳本 清單 包含可以在程式內更方便瀏覽的功能 以及各式其他功能 如線上尋找資訊 說明 包含有關應用程式及其功能的資訊 詳情 此設定影響在主要程式視窗顯示的資訊 讓您更加輕鬆使用資訊 在 基本 模式下 您可以存取用來尋找系統常見問題的解 決方案資訊 在 中階 模式下 程式會顯示不常使用的詳情 在 完整 模式下 ESET SysInspector 會顯示解決特定問 題所需的所有資訊 過濾 項目過濾最適合用來尋找系統中的可疑檔案或登錄項目 透過調整滑桿 您可以依據風險等級過濾項目 如果將滑桿設定至最 左邊 (風險等級 1) 則所有項目都會顯示 藉由將滑桿移動至右邊 程式會濾除所有風險低於目前風險等級的項目 只出現比 顯示的層級更可疑的項目 當滑桿移至最右邊 程式僅顯示已知的有害項目 所有標示為風險範圍 6 至 9 的項目都會引起安全性風險 如果您不是使用 ESET 的安全性解決方案 在 ESET SysInspector 發現此類型的項目後 我們建議您使用 ESET Online Scanner 掃描您的系統 ESET Online Scanner 是免費的服務 附註 透過比較項目的色彩和風險層級滑桿上的色彩 您可以快速判斷項目的風險等級 比較 在比較兩筆防護記錄時 您可以選擇顯示所有項目 只顯示新增項目 只顯示移除的項目 或只顯示已取代的項目 尋找 搜尋可以透過物件的名稱或部分名稱 快速尋找特定的物件 搜尋要求的結果會顯示在 [說明] 視窗中 返回 按一下 [返回] 和 [下一個] 箭號 您可返回至先前 [說明視窗] 中顯示的資訊 您可以使用退格鍵和空白鍵取代按一下 [返回] 和 [下一個] 狀態區段 顯示 [瀏覽] 視窗中目前的節點 重要 以紅色反白顯示的項目是未知的 這就是程式將其標記為潛在危險的原因 如果項目呈現紅色 這不表示您可以理所 當然地刪除該檔案 進行刪除前 請確認檔案真的有危險性或是並非必要 78

79 在 E S E T S y s Ins p e c to r 中 瀏 覽 ESET SysInspector 將各種資訊類型分成數個稱為節點的基本區段 將每個節點展開至子節點 就可以找到更多詳情 (如果有 的話) 若要開啟或折疊節點 連按兩下節點名稱或者按一下節點名稱旁的 或 當您在 [瀏覽] 視窗中 透過節點和子節點 的樹狀結構進行瀏覽時 您會發現 [說明] 視窗中會顯示每個節點的各種詳情 如果您在 [說明] 視窗中從頭到尾瀏覽項目 則 每個項目的其他詳情會顯示在 [詳情] 視窗中 以下說明有關 [瀏覽] 視窗的主節點 以及 [說明] 視窗和 [詳情] 視窗的相關資訊 執行程序 此節點包含有關應用程式和程序在產生防護記錄時的資訊 在 [說明] 視窗中 您會找到更多關於每個程序的詳情 如程序使 用的動態程式庫及其在系統中的位置 應用程式供應商的名稱 與檔案的風險等級 [詳情] 視窗包含在 [說明] 視窗中所選取項目的其他資訊 如檔案大小或雜湊 附註 作業系統由數種從不間斷執行的重要核心元件構成 並提供其他使用者應用程式基本且必要的功能 在某些狀況下 這樣的程序會顯示在工具 ESET SysInspector 中 其檔案路徑以 \??\ 開始 那些符號提供程序啟動前的最佳化 這個動作對 系統無害 網路連線 [說明] 視窗包含使用 [瀏覽] 視窗中選取的通訊協定 (TCP 或 UDP) 透過網路進行通訊的程序和應用程式清單 以及應用程式 要連接的遠端位址 您也可以查看 DNS 伺服器的 IP 位址 [詳情] 視窗包含在 [說明] 視窗中所選取項目的其他資訊 如檔案大小或雜湊 重要的登錄項目 包含已選取的登錄項目清單 那些登錄項目通常與系統的各種問題有關 如指定啟動程式 瀏覽器協助程式物件 (BHO) 等 在 [說明] 視窗中 您可以找到與特定登錄項目相關的檔案 您可以在 [詳情] 視窗中看到其他詳情 服務 [說明] 視窗包含登錄為 Windows 服務的檔案清單 您可以檢查服務設定啟動的方式 並在 [詳情] 視窗中檢查檔案的特定詳 情 驅動程式 安裝在系統上的驅動程式清單 重要檔案 [說明] 視窗顯示與 Microsoft Windows 作業系統相關的重要檔案內容 系統排程器工作 包含 Windows 工作排程器在指定時間/ 間隔觸發的工作清單 系統資訊 包含硬體和軟體的詳細資訊 以及有關設定環境變數 使用者權限和系統事件防護記錄的資訊 檔案詳情 重要系統檔案和 [Program Files] 資料夾中檔案的清單 檔案特定的其他資訊可在 [說明] 視窗和 [詳情] 視窗中找到 關於 關於 ESET SysInspector 的版本與程式模組清單的資訊 79

80 鍵 盤 捷 徑 使用 ESET SysInspector 時可使用的鍵盤捷徑包括 檔案 Ctrl+O Ctrl+S 開啟現有的防護記錄 儲存已建立的防護記錄 產生 Ctrl+G Ctrl+H 產生標準電腦狀態快照 產生可能也會記錄機密資訊的電腦狀態快照 項目過濾 1或O 2 3 4或U 5 6 7或B Ctrl+9 Ctrl+0 良好 會顯示風險等級 1-9 的物件 良好 會顯示風險等級 2-9 的物件 良好 會顯示風險等級 3-9 的物件 未知 會顯示風險等級 4-9 的物件 未知 會顯示風險等級 5-9 的物件 未知 會顯示風險等級 6-9 的物件 危險 會顯示風險等級 7-9 的物件 危險 會顯示風險等級 8-9 的物件 危險 會顯示風險等級 9 的物件 降低風險等級 提高風險等級 過濾模式 同等級或更高 過濾模式 僅同等級 檢視 Ctrl+5 Ctrl+6 Ctrl+7 Ctrl+3 Ctrl+2 Ctrl+1 退格鍵 空白鍵 Ctrl+W Ctrl+Q 依供應商 所有供應商檢視 依供應商檢視 僅 Microsoft 依供應商 所有其他供應商檢視 顯示完整詳情 顯示媒體詳情 基本顯示 往回移動一個步驟 往前移動一個步驟 展開樹狀結構 收合樹狀結構 其他控制 Ctrl+T Ctrl+P Ctrl+A Ctrl+C Ctrl+X Ctrl+B Ctrl+L Ctrl+R Ctrl+Z Ctrl+F Ctrl+D Ctrl+E 在搜尋結果中選取後 移動至項目的原始位置 顯示關於物件的基本資訊 顯示關於物件的完整資訊 複製目前物件的樹狀結構 複製物件 在網際網路尋找有關選取檔案的資訊 開啟選取檔案所在的資料夾 在登錄編輯器中開啟對應的項目 複製檔案的路徑 (如果項目與檔案相關的話) 切換至搜尋欄位 關閉搜尋結果 執行服務腳本 比較 Ctrl+Alt+O 80 開啟原始/ 相較防護記錄

81 Ctrl+Alt+R Ctrl+Alt+1 Ctrl+Alt+2 Ctrl+Alt+3 Ctrl+Alt+4 Ctrl+Alt+5 Ctrl+Alt+C Ctrl+Alt+N Ctrl+Alt+P 取消比較 顯示所有項目 僅顯示新增的項目 防護記錄將顯示目前防護記錄中出現的項目 僅顯示移除的項目 防護記錄將顯示先前防護記錄中出現的項目 僅顯示被取代的項目 (包括檔案) 僅顯示防護記錄間的相異之處 顯示比較 顯示目前的防護記錄 開啟先前的防護記錄 其他選項 F1 Alt+F4 Alt+Shift+F4 Ctrl+I 檢視說明 關閉程式 不詢問直接關閉程式 防護記錄統計 比 較 比較 功能可以讓使用者比較兩份現有的防護記錄 此功能的結果是兩份防護記錄之間非共同的項目組 如果您要追蹤系統 的變更 此功能非常適合 -是偵測惡意程式的實用工具 功能啟動後 應用程式會建立新的防護記錄 該防護記錄會在新的視窗中顯示 按一下 [ 檔案] > [ 儲存防護記錄] 將防護記 錄儲存至檔案 您可稍後再開啟和檢視防護記錄檔案 若要開啟現有的防護記錄 請按一下 [ 檔案] > [ 開啟防護記錄] 在主 程式視窗中 ESET SysInspector 會一次顯示一份防護記錄 比較兩份防護記錄的好處是 您可以檢視目前作用中的防護記錄與儲存在檔案中的防護記錄 若要比較防護記錄 請按一下 [ 檔案] > [ 比較防護記錄] 然後選擇 [ 選取檔案] 選取的防護記錄會與主程式視窗作用中的防護記錄進行比較 相較防護記 錄只會顯示這兩份防護記錄間的相異之處 附註 如果您要比較兩份防護記錄檔案 請按一下 [ 檔案] > [ 儲存防護記錄] 然後儲存成 ZIP 檔案 則會儲存兩個檔案 如果您稍後開啟此檔案 內含的防護記錄就會自動進行比較 在顯示的項目旁 ESET SysInspector 會顯示符號來識別兩份比較防護記錄間的相異之處 項目旁顯示的所有符號說明如下 先前防護記錄沒有的新值 含有新值的樹狀結構區段 只存在先前防護記錄中 現已移除的值 含有已移除之值的樹狀結構區段 已變更的值 /檔案 含有已修改之值 /檔案的樹狀結構區段 風險等級已降低 /先前防護記錄中的風險等級較高 風險等級已增加 /先前防護記錄中的風險等級較低 左下角顯示的解釋區段描述所有的符號 也顯示正在進行比較的兩份防護記錄名稱 任何相較防護記錄都可以儲存成檔案 並稍後再開啟 81