Não é arquivo ou um arquivo em uma pasta excluída.
Para determinar se um arquivo é excluído,
MCSHIELD.EXE o processo recebe informações sobre o arquivo do driver de filtro do AV.
Presença de um excluído
arquivo nome no log arquivo não necessariamente indica que ocorreu uma varredura, ou que o produto gerenciado tentou varrer o arquivo. Neste exemplo, o valor arquivo é
nHTTP.exe.
Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth
NOTAS:
- O McShield.exe processa todas as exclusões. McShield Executa toda a varredura, mas O também executa todas as exclusões.
- McShield O possui um mecanismo de tempoout.
No exemplo acima, o
McShield tempo exclua ao
nHTTP.EXE tentar determinar se ou excluir o arquivo. O registro arquivo não indica que o arquivo excluído está realmente sendo varrido.
Procmon Análise de dados
Em uma captura usando a
Procmon ferramenta, você vê
McShield o processo trabalhando com um arquivo excluído. No entanto, você não verá
McShield a execução de uma ação READ na arquivo.
No monitoramento
Procmon, você verá
McShield as ações Abrir,
Consultar, Definire Fechar. No entanto, essas ações não indicam uma varredura porque nenhuma
IRP_MJ_READ ação ocorre. Você vê algumas
FASTIO_READ ações, mas isso também não é uma indicação de uma varredura. Portanto, para determinar se uma varredura ocorre, é executado
Procmon no modo
de Saída avançada, porque nem todas as ações
READ listadas indicam uma varredura.
Após
McShield determinar o arquivo a ser excluído, o driver de filtro do ANTIVÍR é informado e o driver de filtro registra o nome arquivo usuário (incluindo o caminho). Ele garante que o não
McShield processe o mesmo arquivo novamente, a menos que o arquivo seja modificado.
- Excluir por idade do arquivo
Você pode usar esse mecanismo poderoso para aumentar potencialmente o desempenho, particularmente para varreduras por solicitação, com pouco risco.
Exemplo:
Para definir uma linha de base de data, execute uma varredura completa. Configure uma tarefa para varrer todos os arquivos, mas exclua arquivos modificados x dias ou mais atrás, e programe a varredura para ser executado a cada x número de dias. Por exemplo, se x = 2, somente os arquivos modificados nos últimos dois dias serão examinados.
- Exclusões somente para processos selecionados
- Talvez seja necessário excluir uma pasta que obtém mais arquivo de entrada/saída (E/S). No entanto, o risco de exposição dessa pasta para todos os processos é muito alto.
- Rebaixe o risco usando vários perfis de varredura, os processos padrão, os processos de alto risco e os processos de baixo risco.
- Adicione o processo a um perfil específico (alto risco ou baixo risco) e configure a exclusão para esse perfil. Somente os processos listados nesse perfil excluem a pasta arquivo ou específica.