Non viene eseguita la scansione di un file escluso o di un file in una cartella esclusa.
Per stabilire se un file è escluso, il
MCSHIELD.EXE processo riceve informazioni sul file dal driver del filtro AV.
Presenza di un escluso
il nome file nel file di registro non indica necessariamente che si è verificata una scansione o che il prodotto gestito ha tentato di eseguire la scansione del file. In questo esempio, il file escluso è
nHTTP.exe.
Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth
NOTE:
- Il McShield.exe elabora tutte le esclusioni. McShield esegue tutte le scansioni, ma esegue anche tutte le esclusioni.
- McShield dispone di un meccanismo di timeout.
Nell'esempio precedente,
McShield timeout quando si
nHTTP.EXE tenta di determinare se escludere o meno il file. Il file di registro non indica che il file escluso è in fase di scansione.
Procmon Analisi dei dati
In una cattura che utilizza lo
Procmon strumento, viene visualizzato
McShield il processo che utilizza un file escluso. Tuttavia, non viene visualizzata l'azione
McShield LEGGI sul file.
Dal monitoraggio
Procmon, vengono visualizzati
McShield le azioni Apri,
Query,
Impostae Chiudi. Tuttavia, queste azioni non indicano una scansione perché non viene
IRP_MJ_READ eseguita alcuna azione. Sono disponibili alcune
FASTIO_READ azioni, ma non è un'indicazione di una scansione. Pertanto, per determinare se una scansione viene eseguita,
Procmon esegui in modalità
Advanced Output , in quanto non tutte le
azioni READ elencate indicano una scansione.
Dopo
McShield aver determinato il file da escludere, viene informato il driver del filtro AV e il driver di filtro registra il nome del file (incluso il percorso). Garantisce che non
McShield elava nuovamente lo stesso file a meno che non venga modificato.
- Escludi in base alla data del file
È possibile utilizzare questo potente meccanismo per aumentare le prestazioni, in particolare per le scansioni su richiesta, con un rischio minimo.
Esempio
Per impostare una linea di base per la data, eseguire una scansione completa. Configurare un'attività per eseguire la scansione di tutti i file escludendo i file modificati x giorni prima e pianificare l'esecuzione della scansione ogni x giorni. Ad esempio, se x = 2, viene eseguita la scansione solo dei file modificati negli ultimi due giorni.
- Esclusioni solo per processi selezionati
- Potrebbe essere necessario escludere una cartella che ottiene più traffico di input/output (I/O) file. Tuttavia, il rischio di esporre questa cartella per tutti i processi è ritenuto troppo elevato.
- Ridurre il rischio utilizzando profili di scansione multipli, dedati come Default Processes, High-Risk Processes e Low-Risk Processes.
- Aggiungere il processo a un profilo specifico (rischioelevato o basso) e configurare l'esclusione per tale profilo. Solo i processi elencati nel profilo escludono il file o la cartella specificati.