隔离的文件
隔离的文件是已查明为(或包含)恶意软件且因此已进行加密并移动到特殊文件夹中的文件。(“隔离”是一种可以在创建恶意软件扫描配置时指定的扫描处理措施。)已标识和隔离文件后,您可以选择以加密和压缩格式将文件下载到计算机上。是否隔离受感染文件取决于扫描文件时生效的防恶意软件配置。
为存储隔离文件设置了有限的磁盘空间。该空间容量可在策略/计算机编辑器 > 防恶意软件 > 高级 > 隔离的文件中进行配置。当没有足够空间可用于隔离可疑文件时会引发警报。
如果使用趋势科技服务器深度安全防护系统虚拟设备为虚拟机提供保护,无客户端 VM 的所有隔离文件都将存储在虚拟设备上。因此,您应该为虚拟设备上的隔离文件增加磁盘空间。
在以下情况下,将自动从虚拟设备删除隔离的文件:
- 如果 VM 被 vMotion 移到另一个 ESXi 主机上,将从虚拟设备删除与该 VM 关联的隔离文件。
- 如果从 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心停用了 VM,将从虚拟设备删除与该 VM 关联的隔离文件。
- 如果从 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心停用了虚拟设备,将删除该虚拟设备上存储的所有隔离文件。
- 如果从 vCenter 删除虚拟设备,也将删除存储在该虚拟设备上的所有隔离文件。
通过防恶意软件隔离的文件页面,可以管理隔离任务。使用菜单栏或右键单击上下文菜单,您可以:
- 恢复... (
) 将隔离文件恢复到其原始位置和状况。 - 下载... (
) 可将隔离文件从计算机或虚拟设备移动到选定位置。 - 删除... (
) 可从计算机或虚拟设备删除一个或多个隔离文件。 - 将有关隔离文件(并非文件本身)的信息导出 (
) 为 CSV 文件。 - 查看隔离文件的详细信息 (
)。 - 查看检测到恶意软件的计算机的计算机详细信息 () 窗口。
- 查看防恶意软件事件... () 显示与此隔离文件关联的防恶意软件事件。
- 添加或删除列 (
) 通过单击添加/删除可添加或删除列。 - 搜索 (
) 特定隔离文件。
详细信息
隔离文件详细信息窗口显示有关文件的更多信息,您可以将隔离文件下载到计算机或从其所在位置将其删除。
- 检测时间:检测到感染的日期/时间(受感染计算机上)。
- 受感染的文件:受感染文件的名称。
- 恶意软件:找到的恶意软件的名称。
- 扫描类型:指示恶意软件是由实时扫描、预设扫描还是手动扫描检测到的。
- 采取的操作:检测到恶意软件时 Vulnerability Protection 趋势科技服务器深度安全防护系统所采取的处理措施的结果。
- 计算机:找到此文件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)
过滤列表和/或搜索隔离文件
使用期间工具栏可以过滤列表,从而只显示在特定时间范围内隔离的文件。
使用计算机工具栏,可以按照计算机组或计算机策略来组织隔离文件条目的显示。
从“搜索”下拉菜单中选择“打开高级搜索”,可选择是否显示高级搜索选项:
高级搜索功能(搜索不区分大小写):
- 包含:选定列中的条目包含该搜索字符串。
- 不包含:选定列中的条目不包含该搜索字符串。
- 等于:选定列中的条目完全符合该搜索字符串。
- 不等于:选定列中的条目并不完全符合该搜索字符串。
- 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配。
- 不在范围内:选定列中的条目并未与任何逗号分隔的搜索字符串条目完全匹配。
按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。
- 受感染文件:显示受感染文件的名称和特定安全风险。
- 恶意软件:命名恶意软件感染。
- 计算机:指明带有可疑感染的计算机的名称。
手动恢复隔离文件
要手动恢复隔离文件,必须使用隔离文件解密工具解密文件,然后将文件移回到原始位置。解密工具位于 zip 文件 QFAdminUtil_win32.zip 中,该文件位于 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心根目录下的 "util" 文件夹中。该压缩文件包含两个执行相同功能的工具:QDecrypt.exe 和 QDecrypt.com。运行 QDecrypt.exe 会调用打开文件对话框,通过该对话框可以选择要解密的文件。QDecrypt.com 是一个命令行工具,具有以下选项:
- /h, --help:显示此帮助消息
- --verbose:生成详细日志消息
- /i, --in=<str>:要解密的隔离文件,其中 <str> 是隔离文件的名称
- /o, --out=<str>:解密文件输出,其中 <str> 是为生成的解密文件指定的名称