Scenario 1- Il A basso rischio Processi policy è configurato con Scansione in lettura disattivato. Backup. exe viene utilizzato come processo di esempio.
Con solo il Predefinita Processi policy in uso, avviare Backup.exe. McAfee VirusScan esegue la scansione del Backup.exe. Il Backup.exe il processo è ora in esecuzione e inizia il processo di backup, che esegue un'azione di lettura su tutti i file dell'unità. McAfee VirusScan quindi esegue la scansione di ciascun file quando viene letto da Backup.exe.

Con Backup.exe aggiunto al A basso rischio Processi policy:

Quali sono i rischi introdotti da questo scenario?
Rischio 1- Supponendo che esista un virus o trojan con un file eseguibile denominato Backup.exe:

Rischio 2- Un file infetto è stato memorizzato nell'unità:
Questo rischio indica la Backup.exe il processo è in grado di leggere e eseguire il backup di un file infetto Backup.exe è un processo a basso rischio. Questo policy di scansione non Scansione in lettura.

È possibile mitigare il rischio eseguendo una scansione su richiesta prima di eseguire un backup:

1. Eseguire una scansione completa su richiesta una volta per impostare una linea di base dalla quale tutti i file sono puliti.
2. Pertanto, configurare la scansione in modo da escludere i file in base all'età che sono stati modificati dall'ultimo backup. Questa configurazione garantisce che le scansioni siano di breve durata perché accedono solo ai file rilevanti.
   
   L'esecuzione di questa attività prima di un backup riduce la probabilità di eseguire il backup di un file infetto.

Scenario 2- Utilizzare il A basso rischio Processi policy per implementare un'esclusione. Il Agent.exe il processo viene utilizzato come processo di esempio che esegue molte azioni di scrittura I/O di file in una cartella comunemente utilizzata C:\Temp sui computer client.

Con solo il Predefinita Processi policy in uso:

1. Il Agent.exe il processo scrive un file in C:\Temp.
2. VirusScan esegue la scansione del file.
3. Il Agent.exe scrive più dati nello stesso file in C:\Temp.
4. VirusScan esegue nuovamente la scansione del file.
   
   VirusScan esegue la scansione di ogni file da scrivere perché il file è nuovo o è stato modificato. Questa scansione viene eseguita per ogni modifica apportata al file originale e per tutti i file appena creati.
   
   L'attività generata da questo processo può causare l'utilizzo di grandi quantità di risorse di sistema da parte di programma di scansione. Il motivo è dovuto al numero di scansioni necessarie per ciascun file.
   

Con Agent.exe aggiunto al Processi a basso rischio policy:
Il Agent.exe il processo può essere aggiunto al Processo a basso rischio per alleviare il problema delle prestazioni. Esistono diversi metodi possibili:

• Escludere C:\Temp dalle operazioni di scrittura.
• Escludere C:\Temp\**.TMP dalle operazioni di scrittura.
• Escludere .TMP file.

La soluzione che crea il minimo rischio è quella di escludere C:\Temp\**.TMP dalle operazioni di scrittura. Escludi solo .TMP file trovati nel C:\Temp cartella dalla scansione quando vengono scritti sul disco da Agent.exe.

Quali sono i rischi introdotti da questo scenario?
È possibile che una minaccia sconosciuta con un processo denominato Agent.exe per scrivere o modificare .TMP file nella C:\Temp cartella ed evitare di essere sottoposti a scansione.

Rischio 1: Supponendo che esista anche un virus o trojan con un file eseguibile denominato Agent.exe:

1. In primo luogo, il virus o trojan deve essere scritto sul disco. Se scritto sul disco:
   • VirusScan rileva questa scrittura se i file dat includevano il rilevamento per la minaccia.
   • VirusScan nega la creazione del file se il metodo utilizzato per creare questo file viola una regola di protezione dell'accesso 2.
     
2. Il file dovrebbe essere eseguito (o letto) in modo che possa diffondersi e consegnare il suo payload. Se eseguito:
   • VirusScan rileva se i file DAT includono il rilevamento della minaccia.
   • VirusScan nega l'esecuzione del file se il metodo utilizzato per avviare il file viola una regola di protezione dell'accesso.
     
     Nota Anche con le policy dei processi a basso rischio in uso, esistono più livelli di protezione da file potenzialmente infetti.
3. virus o trojan Agent.exe è ora in esecuzione. Tenta di scrivere.JPG e.DOC file in C:\Temp cartella.
   • VirusScan rileva se i file DAT includono il rilevamento della minaccia perché l'esclusione riguarda solo .TMP file scritti nella cartella.
   • VirusScan nega la scrittura del file se esiste una regola di protezione dell'accesso per questo comportamento.
     
     Nota Anche se il virus o trojan ha eseguito e potrebbe essere in esecuzione in memoria, le sue attività possono comunque essere interrotte quando i dat vengono aggiornati o implementando una nuova regola di protezione dell'accesso. Quando i file dat vengono aggiornati e viene rilevata questa virus o trojan, viene interrotta dalla memoria come parte del processo di pulizia.

Rischio 2: Si verifica un'azione di lettura per eseguire il file infetto:

• VirusScan rileva questa esecuzione se i file DAT includono il rilevamento per la minaccia. Le azioni di lettura non sono escluse.
• VirusScan nega la lettura se esistesse una regola di protezione dell'accesso per questo comportamento.

IMPORTANTE Si è verificato un certo rischio associato all'utilizzo del Processi a rischio elevato/basso generali. In genere, il rischio è minimo ed è necessario valutarlo caso per caso. Per ottenere le prestazioni del prodotto desiderate, è necessario determinare il livello di rischio accettabile.