Escenario 1: Lo Riesgo bajo Procedimientos la Directiva está configurada con Analizar al leer deshabilita. Copia de seguridad. exe se utiliza como un proceso de ejemplo.
Solo con la Valor Procedimientos Directiva en uso, iniciar Backup.exe. McAfee VirusScan analiza el Backup.exe. Lo Backup.exe el proceso se está ejecutando y comienza el proceso de copia de seguridad, que realiza una acción de lectura en todos los archivos de la unidad. A continuación, McAfee VirusScan analiza cada archivo a medida que lo lee Backup.exe.

Contiene Backup.exe agregado a la Riesgo bajo Procedimientos políticas

¿Qué riesgos presenta esta situación?
Riesgo 1- Suponiendo que hay un virus o un troyano con un archivo ejecutable llamado Backup.exe:

Riesgo 2- Se ha almacenado un archivo infectado en la unidad:
Este riesgo significa que el Backup.exe el proceso puede leer y crear una copia de seguridad de un archivo infectado correctamente porque Backup.exe es un proceso de bajo riesgo. Esta directiva de análisis no Analizar al leer.

Puede mitigar el riesgo si ejecuta un análisis bajo demanda antes de realizar una copia de seguridad:

1. Realice un análisis bajo demanda completo una vez para definir una base desde la que se limpian todos los archivos.
2. Por lo tanto, configure el análisis para excluir archivos por antigüedad que se hayan modificado desde la última copia de seguridad. Esta configuración garantiza que los análisis tengan una duración breve, ya que solo acceden a los archivos relevantes.
   
   La ejecución de esta tarea antes de una copia de seguridad reduce la probabilidad de que se realice una copia de seguridad de un archivo infectado.

Escenario 2: Utilice la Riesgo bajo Procedimientos Directiva para implementar una exclusión. Lo Agent.exe el proceso se utiliza como un proceso de ejemplo que realiza muchas acciones de escritura de E/S de archivos en una carpeta utilizada habitualmente C:\Temp en los equipos cliente.

Solo con la Valor Procedimientos Directiva en uso:

1. Lo Agent.exe el proceso escribe un archivo en C:\Temp.
2. VirusScan analiza el archivo.
3. Lo Agent.exe escribe más datos en el mismo archivo en C:\Temp.
4. VirusScan analiza de nuevo el archivo.
   
   VirusScan analiza cada escritura de archivo porque el archivo es nuevo o se ha modificado. Este análisis se realiza para cada cambio en el archivo original y para los archivos recién creados.
   
   La actividad generada por este proceso puede hacer que el analizador utilice grandes cantidades de recursos del sistema. El motivo se debe al número de análisis necesarios para cada archivo.
   

Contiene Agent.exe agregado a la Procesos de bajo riesgo políticas
Lo Agent.exe el proceso se puede Agregar a la Proceso de riesgo bajo para aliviar el problema de rendimiento. Existen varios métodos posibles:

• Excluir C:\Temp en operaciones de escritura.
• Excluir C:\Temp\**.TMP en operaciones de escritura.
• Excluir .TMP Programa.

La solución que crea el menor riesgo es excluir C:\Temp\**.TMP en operaciones de escritura. Solo excluir .TMP archivos encontrados en la C:\Temp en el análisis cuando se estén escribiendo en el disco Agent.exe.

¿Qué riesgos presenta esta situación?
Es posible que una amenaza desconocida con un proceso denominado Agent.exe para escribir o modificar .TMP archivos en el C:\Temp carpeta y evitar que se analice.

Riesgo 1: Se supone que también hay un virus o troyano con un archivo ejecutable llamado Agent.exe:

1. En primer lugar, el virus o troyano tendría que escribirse en el disco. Si se escribe en el disco:
   • VirusScan detecta esta escritura si los archivos DAT incluían la detección de la amenaza.
   • VirusScan deniega la creación de archivos si el método utilizado para crear este archivo infringe una regla de protección de acceso 2.
     
2. El archivo debe ejecutarse (o leerse) para que pueda propagarse y entregar su carga útil. Si se ejecuta:
   • VirusScan detecta si los archivos DAT incluían la detección de la amenaza.
   • VirusScan deniega la ejecución del archivo si el método utilizado para iniciar el archivo está incumpliendo una regla de protección de acceso.
     
     NOTA: Incluso con las directivas de procesos de bajo riesgo en uso, existen varias capas de protección frente a archivos potencialmente infectados.
3. El virus o troyano Agent.exe ahora se está ejecutando. Intenta escribir.JPG así.INCLUIDO archivos a la C:\Temp directorio.
   • VirusScan detecta si los archivos DAT incluían la detección de la amenaza porque la exclusión solo implica .TMP archivos que se escriben en la carpeta.
   • VirusScan deniega la escritura del archivo si existe una regla de protección de acceso para este comportamiento.
     
     NOTA: Aunque se haya ejecutado la virus o el troyano y se esté ejecutando en la memoria, sus actividades se pueden interrumpir cuando se actualicen los archivos DAT o mediante la implementación de una nueva regla de protección de acceso. Cuando se actualizan los archivos DAT y se encuentra este virus o troyano, se termina desde la memoria como parte del proceso de limpieza.

Riesgo 2: Se produce una acción de lectura para ejecutar el archivo infectado:

• VirusScan detecta esta ejecución si los archivos DAT incluían la detección de la amenaza. No se excluyen las acciones de lectura.
• VirusScan deniega la lectura si existiera una regla de protección de acceso para este comportamiento.

IMPORTANTE: Existe algún riesgo asociado al uso de la Procesos de riesgo alto/bajo las. Por lo general, el riesgo es mínimo y debe evaluarlo caso por caso. Para obtener el rendimiento del producto deseado, debe determinar el grado de riesgo aceptable.