排除的文件或排除的文件夹中的文件不会被扫描。
要确定某个文件是否被排除,该
MCSHIELD.EXE 进程会从 AV 过滤器驱动程序接收有关该文件的信息。
存在已排除
日志文件中的文件名并不一定表示扫描发生,或托管产品尝试扫描文件。在此示例中,已排除的文件为
nHTTP.exe 。
Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth
注意:
- McShield.exe 处理所有排除项。 McShield 执行所有扫描,但 同时执行所有排除项。
- McShield 具有超时机制。
在上面的示例中,
McShield 尝试确定是否排除文件时超时
nHTTP.EXE 。日志文件并不表示实际正在扫描已排除的文件。
Procmon 数据分析
在使用
Procmon 工具的捕获中,您会看到
McShield 处理已排除的文件的进程。但是,您不会看到
McShield 对该文件执行读取操作。
从监控
Procmon 中,您可以看到
McShield 打开、
查询、
设置和
关闭 操作。但是,这些操作不会指示扫描,因为没有发生任何
IRP_MJ_READ 操作。您会看到某些
FASTIO_READ 操作,但并不表示扫描。因此,要确定扫描是否会发生,请在
高级输出模式下运行
Procmon ,因为并非所有列出的
读取操作都指示扫描。
确定要排除的文件后
McShield ,会通知 AV 过滤器驱动程序,并且过滤器驱动程序会记录文件名(包括路径)。它确保
McShield 不会再次处理相同的文件,除非文件被修改。
- 按文件保留时间排除
您可以使用此功能强大的机制来潜在提高性能,尤其是在按需扫描时,风险很小。
示例
要设置日期基准,请执行完全扫描。将任务配置为扫描所有文件,但排除修改日期为 x 天或更多之前的文件,并将扫描安排为每 x 天运行一次。例如,如果 x = 2,则只会扫描最近两天内修改的文件。
- 仅限选择进程的排除项
- 您可能需要排除获取更多文件输入/输出(i/o)流量的文件夹。但是,将此文件夹暴露给所有进程的风险被认为太高。
- 通过使用多个扫描配置文件(称为 默认进程、 高风险进程和 低风险进程)来降低风险。
- 将进程添加到特定配置文件(高风险 或 低风险),并为该配置文件配置排除项。只有该配置文件中列出的进程才会排除指定的文件或文件夹。