恶意软件扫描配置

Vulnerability Protection 趋势科技服务器深度安全防护系统允许您创建各种恶意软件扫描配置，以自动处理执行恶意软件检测的方式。配置选项包括：要扫描哪些文件、实时执行扫描还是根据预设执行扫描，以及检测到恶意软件时执行哪些处理措施。通过此页面，您可以定义全局恶意软件扫描配置。在策略和计算机级别上设置这些配置在计算机上生效的方式、组合及时间。此外，与 Vulnerability Protection 趋势科技服务器深度安全防护系统中的大多数元素一样，许多全局设置可以在策略和计算机级别进行覆盖。（有关更多信息，请参阅策略、继承和覆盖。）

存在以下两种恶意软件扫描配置：实时扫描和手动/预设扫描。虽然大多数的操作适用于这两种类型的扫描，但是有些操作（如拒绝访问）仅适用于实时扫描，而其他选项（如 CPU 使用率）仅适用于手动/预设扫描。

在全局恶意软件扫描配置页面上，您可以执行以下操作：

创建新的 () 实时或手动/预设扫描配置
从 XML 文件导入 () 现有的扫描配置（位于新建菜单下）。
查看恶意软件扫描配置的属性 ()。
复制 ()（然后修改）现有的文件配置。
从配置列表中删除 () 突出显示的配置文件。
将已显示的或已选定的配置导出 () 到 XML 或 CSV 文件。
从显示中添加或删除列 ()。
搜索 () 特定配置文件。

属性

常规

常规信息

恶意软件扫描配置的名称和描述，以及这是实时扫描还是手动/预设扫描类型。

扫描设置

要扫描的目录：指定要对其扫描恶意软件的目录。您可以扫描所有目录或从定义的目录列表中进行选择。
要扫描的文件：指定要对其扫描恶意软件的文件。在所有文件和由 IntelliScan 扫描的文件类型之间进行选择，或从定义的文件扩展名列表（会扫描使用列表中定义的扩展名的所有文件）中进行选择。
IntelliScan 仅扫描易于感染的文件类型（如 .zip 或 .exe）。IntelliScan 不依靠文件扩展名来确定文件类型，而是读取文件的标头和/或内容来确定是否应扫描它。相比于扫描所有文件，使用 IntelliScan 可以减少要扫描的文件总数，从而增强了性能。

排除

允许您排除对特定目录、文件及文件扩展名的扫描。例如，如果要为 Microsoft Exchange Server 创建恶意软件扫描配置，则应该排除 SMEX 隔离文件夹以避免重新扫描已确认为恶意软件的文件。

扫描排除目录设置接受正斜杠 "/" 或反斜杠 "\"，以同时支持 Windows 和 Linux 惯例。

下表介绍了可用于定义目录列表排除的语法：

排除	格式	描述	示例
目录	DIRECTORY	排除指定目录中的所有文件以及所有子目录中的所有文件。	C:\Program Files\ 排除 "Program Files" 目录以及所有子目录中的所有文件。
包含通配符 (*) 的目录	DIRECTORY\*\	排除具有任意子目录名称的所有子目录，但不排除指定目录中的文件。	**C:\abc\\* 排除所有 "abc" 子目录中的所有文件，但不排除 "abc" 目录中的文件。 C:\abc\wxz\*** 匹配： C:\abc\wxz\ C:\abc\wx123z\ 不匹配： C:\abc\wxz C:\abc\wx123z **C:\abc\wx\*** 匹配： C:\abc\wx\ C:\abc\123wx\ 不匹配： C:\abc\wx C:\abc\123wx
包含通配符 (*) 的目录	DIRECTORY\*	排除具有匹配名称的所有子目录，但不排除该目录以及所有子目录中的文件。	C:\abc\* 匹配： C:\abc\ C:\abc\1 C:\abc\123 不匹配： C:\abc C:\abc\123\ C:\abc\123\456 C:\abx\ C:\xyz\ **C:\abc\wx*** 匹配： C:\abc\wx C:\abc\123wx 不匹配： C:\abc\wx\ C:\abc\123wx\ **C:\abc\wxz*** 匹配： C:\abc\wxz C:\abc\wx123z 不匹配： C:\abc\wxz\ C:\abc\wx123z\ C:\abc\wx* 匹配： C:\abc\wx C:\abc\wx\ C:\abc\wx12 C:\abc\wx12\345\ C:\abc\wxz\ 不匹配： C:\abc\wx123z\
环境变量	${ENV VAR}	排除由格式为 ${ENV VAR} 的环境变量定义的所有文件和子目录。对于虚拟设备，必须在策略/计算机编辑器 > 设置 > 计算机 > 环境变量覆盖中定义环境变量的值对。	*${windir}* 如果该变量解析为 "c:\windows"，请排除 "c:\windows" 及其所有子目录中的所有文件。
注释	DIRECTORY #注释	允许您向排除定义添加注释。	*c:\abc #Exclude the abc directory*

下表介绍了可用于定义文件列表排除的语法：

排除	格式	描述	示例
文件	FILE	排除具有指定文件名的所有文件，无论这些文件位于何位置或目录。	abc.doc 排除所有目录中名为 "abc.doc" 的所有文件。不排除 "abc.exe"。
文件路径	FILEPATH	排除由文件路径指定的特定文件。	C:\Documents\abc.doc 仅排除 "Documents" 目录中名为 "abc.doc" 的文件。
*包含通配符 () 的文件**	FILE*	排除文件名中具有匹配特征码的所有文件。	*abc.exe** 排除前缀为 "abc" 且扩展名为 ".exe" 的任何文件。 .db 匹配：* 123.db abc.db 不匹配： 123db 123.abd cbc.dba db 匹配：* 123.db 123db ac.db acdb db 不匹配： db123 **wxy.db*** 匹配： wxy.db wxy123.db 不匹配： wxydb
包含通配符 (*) 的文件	FILE.EXT*	排除文件扩展名中具有匹配特征码的所有文件。	abc.v* 排除文件名为 "abc" 且扩展名以 ".v" 开头的任何文件。 **abc.pp*** 匹配： abc.pp abc.app 不匹配： wxy.app **abc.ap*** 匹配： abc.ap abc.a123p 不匹配： abc.pp abc.* 匹配： abc.123 abc.xyz 不匹配： wxy.123
包含通配符 (*) 的文件	FILE.EXT	排除文件名及扩展名中具有匹配特征码的所有文件。	**ac.ap** 匹配： ac.ap a123c.ap ac.a456p a123c.a456p 不匹配： ad.aa
环境变量	${ENV VAR}	排除由格式为 ${ENV VAR} 的环境变量指定的文件。可以使用系统设置 >“计算机”选项卡 > 环境变量覆盖来定义或覆盖这些文件。	*${myDBFile}* 排除文件 "myDBFile"。
注释	FILEPATH #注释	允许您向排除定义添加注释。	*C:\Documents\abc.doc #This a comment*

下表介绍了可用于定义文件扩展名列表排除的语法：

排除	格式	描述	示例
文件扩展名	EXT	排除文件扩展名匹配的所有文件。	doc 排除所有目录中扩展名为 ".doc" 的所有文件。
注释	EXT #Comment	允许您向排除定义添加注释。	*doc #This a comment*

下表包含可用于定义进程镜像文件列表排除（仅限实时扫描）的语法：

排除	格式	描述	示例
文件路径	FILEPATH	排除文件路径指定的特定进程镜像文件。	C:\abc\file.exe 仅排除 "abc" 目录中文件名为 "file.exe" 的文件。

操作

可识别的恶意软件

检测时

通过选择使用 ActiveAction 确定的处理措施选项，可以指示 Vulnerability Protection 趋势科技服务器深度安全防护系统自动决定在检测到恶意软件时采取哪些处理措施。

ActiveAction 是为每种恶意软件类别优化的一组预定义清理处理措施。趋势科技不断调整 ActiveAction 中的处理措施以确保正确处理各个检测。ActiveAction 扫描处理措施会随病毒码的更新而更新。

下表列出了选择 ActiveAction 时采取的处理措施：

恶意软件类型	实时扫描	手动/预设扫描	注意
病毒	清除	清除	病毒可以通过插入恶意代码感染正常文件。通常，只要打开受感染的文件，恶意代码就会自动运行，除了感染其他文件外，还会传送有效载荷。一些更常见的病毒类型包括 COM 和 EXE 感染源、宏病毒和引导扇区病毒。
特洛伊木马	隔离	隔离	特洛伊木马是没有文件感染能力的非感染可执行恶意文件。
加壳软件	隔离	隔离	加壳软件是压缩和/或加密后的可执行程序。为避开检测，恶意软件作者通常打包经多层压缩和加密的现有恶意软件。防恶意软件检查可执行文件以查找与恶意软件关联的压缩特征码。
间谍软件（灰色软件）	隔离	隔离	虽然可能合法，但是灰色软件会表现出与间谍软件类似且可能不需要的行为。
可能的恶意软件	不予处理	不予处理	检测为可能是恶意软件的文件通常是未知的恶意软件组件。缺省情况下，将记录下这些检测，并且文件将匿名发送回趋势科技，供分析使用。
Cookie	N/A	删除	Cookie 是 Web 浏览器存储的文本文件。Cookie 包含与站点相关的数据，如身份验证信息和站点首选项。Cookie 不是可执行文件，因此不受感染；但它们可以用作间谍软件。即使是从合法 Web 站点发送的 Cookie 也可用于恶意目的。
其他威胁	清除	清除	“其他威胁”类别包括显示错误通知或操控屏幕行为但通常无害的恶作剧程序。

或者，可以手动指定希望 Vulnerability Protection 趋势科技服务器深度安全防护系统在检测到恶意软件时采取的处理措施。Vulnerability Protection 趋势科技服务器深度安全防护系统在遇到受感染文件时，会采取以下五种可能的处理措施：

不予处理：允许完全访问受感染文件，不对文件执行任何操作。（仍将记录防恶意软件事件。）
清除：在允许完全访问文件之前清除可清除的文件。（不适用于“可能的恶意软件”。）
删除：删除受感染文件。
拒绝访问：仅可在实时扫描期间执行此扫描处理措施。当 Vulnerability Protection 趋势科技服务器深度安全防护系统检测到某操作尝试打开或执行受感染文件时，会立即阻止该操作。如果在执行手动或预设扫描期间应用已选定“拒绝访问”选项的恶意软件扫描配置，则将应用“不予处理”处理措施，并记录防恶意软件事件。
隔离：将文件移动到计算机或虚拟设备上的隔离目录中。（隔离后，您可以将文件下载到选定位置。有关更多信息，请参阅防恶意软件 > 隔离的文件。）

可能的恶意软件

选择在文件被确定为可能的恶意软件时采取的处理措施。可能的恶意软件是显示可疑特性但无法分类为特定恶意软件变种的文件。如果将此选项的设置保留为“缺省”，将采取在检测时（上面）中选定的处理措施。检测到可能的恶意软件时，趋势科技建议您联系支持提供商获取帮助以进一步分析文件。

选项

常规选项

启用间谍软件/灰色软件扫描：间谍软件扫描引擎会扫描间谍软件/灰色软件，并执行处理措施选项卡上指定的处理措施。
扫描压缩文件：指定在什么条件下扫描文件以及是否扫描压缩文件。
- 从中提取文件的最大压缩级别： 文件或文件组可以进行多层压缩。通过此选项，可以指定希望 Vulnerability Protection 趋势科技服务器深度安全防护系统扫描的压缩级别数。
- 单个提取文件的最大大小：要扫描的压缩归档中各个文件的最大大小。
  扫描采用多层压缩的大型文件可能会影响性能。
- 要提取的文件的最大数量：要从压缩归档中提取并扫描的文件的最大数量。
扫描嵌入式 Microsoft Office 对象：某些 Microsoft Office 版本使用对象链接和嵌入 (OLE) 将文件和其他对象插入到 Office 文件中。这些嵌入的对象可能包含恶意代码。由于嵌入的对象可能包含其他对象，因此在单个 Office 文件中可能存在多个嵌入层。为减轻对性能的影响，可以选择仅扫描每个文件中几个嵌入对象层。
- 扫描 Microsoft Office 对象中的入侵代码：试探性入侵检测可通过检查 Microsoft Office 文件中是否存在入侵代码来识别恶意软件。
指定的层数同时适用于 OLE 对象和扫描入侵代码选项。
启用 IntelliTrap（仅实时）：病毒制造者经常尝试通过使用实时压缩算法来避开病毒过滤。IntelliTrap 可阻止实时压缩的可执行文件并将它们与其他恶意软件特征进行配对，以帮助减少此类病毒进入网络的风险。（IntelliTrap 仅在实时模式下起作用。）
因为 IntelliTrap 会将此类文件识别为安全风险，且可能会不正确地阻止安全文件，所以请在启用 IntelliTrap 时考虑隔离（而非删除或清除）文件。如果用户定期交换实时压缩的可执行文件，请禁用 IntelliTrap。IntelliTrap 使用以下防恶意软件组件：病毒扫描引擎、IntelliTrap 特征码、IntelliTrap 例外特征码。
启用网络目录扫描（仅实时）：要扫描网络共享和映射网络驱动器中的文件和文件夹，请启用此选项。
在 "~/.gvfs" 中通过 GVFS（GNOME 桌面可用的虚拟文件系统）访问的资源将被视为本地资源，而非网络驱动器。
文件扫描时间（仅实时）：在仅当打开文件进行读取时扫描和打开文件进行读写时扫描间进行选择。
CPU 使用率（仅手动/预设扫描）：指定分配给扫描的 CPU 资源。
- 高：逐个扫描文件而不暂停
- 中：建议使用；在整体 CPU 使用率超过 50% 时暂停
- 低：在整体 CPU 使用率超过 20% 时暂停

警报

选择在此恶意软件扫描配置触发事件时是否引发警报。

已分配给

指明正在使用此特定恶意软件扫描配置的策略和计算机。