Un fichier exclu ou un fichier figurant dans un dossier exclu n’est pas analysé.
Pour déterminer si un fichier est exclu, le
MCSHIELD.EXE processus reçoit des informations sur le fichier du pilote de filtre AV.
Présence d’un élément exclu
Le nom du fichier dans le fichier journal n’indique pas nécessairement qu’une analyse s’est produite ou que le produit managé a tenté d’analyser le fichier. Dans cet exemple, le fichier exclu est
nHTTP.exe.
Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth
REMARQUES :
- Le McShield.exe processus toutes les exclusions. McShield Effectue toutes les analyses, mais effectue également toutes les exclusions.
- McShield dispose d’un mécanisme d’expiration.
Dans l’exemple ci-dessus,
McShield le délai d’expiration
nHTTP.EXE est dépassé lors de la tentative d’exclusion du fichier. Le fichier journal n’indique pas que le fichier exclu est en cours d’analyse.
Procmon Analyse des données
Dans une capture utilisant l’outil
Procmon , le
McShield processus fonctionne avec un fichier exclu. Cependant, l’exécution d’une action DE LECTURE sur le fichier ne s’affiche
McShield pas.
A partir de la surveillance
Procmon, vous voyez les actions
McShield Ouvrir,
Requête,
Définir et
Fermer . Cependant, ces actions n’indiquent pas une analyse, car aucune action n’a
IRP_MJ_READ lieu. Certaines actions s’affichent
FASTIO_READ , mais elles n’indiquent pas non plus une analyse. Ainsi, pour déterminer si une analyse a lieu, exécutez-la
Procmon en mode
Sortie avancée , car toutes les actions
READ répertoriées n’indiquent pas une analyse.
Après
McShield avoir déterminé le fichier à exclure, le pilote de filtre AV est informé et le pilote de filtre enregistre le nom du fichier (y compris le chemin d’accès). Il s’assure que
McShield le même fichier n’est plus traité, sauf si le fichier est modifié.
- Exclure par âge de fichier
Vous pouvez utiliser ce mécanisme puissant pour potentiellement augmenter les performances, en particulier pour les analyses à la demande, avec peu de risque.
Exemple
Pour définir une référence de date, effectuez une analyse complète. Configurez une tâche d’analyse de tous les fichiers, mais excluez les fichiers modifiés il y a x jours ou plus, et planifiez l’analyse pour qu’elle s’exécute tous les x jours. Par exemple, si x = 2, seuls les fichiers modifiés au cours des deux derniers jours sont analysés.
- Exclusions pour certains processus uniquement
- Il se peut que vous deviez exclure un dossier qui obtient plus de trafic d’entrée/sortie de fichier (E/S). Toutefois, il est jugé que le risque d’exposition de ce dossier à tous les processus est trop élevé.
- Réduisez le risque en utilisant plusieurs profils d’analyse, appelés Processus par défaut, Processus à haut risque et Processus à faible risque.
- Ajoutez le processus à un profil spécifique (risque élevé ou risque faible) et configurez les exclusion pour ce profil. Seuls les processus répertoriés dans ce profil excluent le fichier ou le dossier spécifié.