I prodotti antivirus McAfee hanno un tempo di interruzione intenzionale quando la scansione di un file specifico deve essere interrotta. La funzione di timeout della scansione ha lo scopo di impedire un Denial-of-Service.
Tutti i prodotti antivirus McAfee funzionano in modo analogo:
- L'programma di scansione all'accesso intercetta una richiesta di un file.
- Il file viene sottoposto a scansione.
-
Il file viene trasmesso all'utente o all'applicazione che ha richiesto il file. Oppure, se il file è infetto, il programma di scansione esegue l'azione appropriata e l'utente viene informato dell'infezione.
Nota Tutti i file che sono attivamente sottoposti a scansione non sono disponibili fino al completamento della scansione.
La quantità di tempo impiegato per eseguire la scansione del file dipende principalmente dai seguenti fattori:
- Complessità file
- Dimensione file
- Percorso file
- Tipo di file: estensioni di file come .jar, .chm, .cab, e .zip tutti i file di archivio che in genere utilizzano una velocità di compressione elevata. Per eseguire la scansione di questi archivi, ogni file deve essere estratto dall'archivio e sottoposto a scansione singolarmente. Questo processo può utilizzare una grande quantità di memoria, a seconda del tipo di dati dell'archivio e di quanto bene comprime.
- Potenza di elaborazione del computer che esegue la scansione dei file e la quantità di memoria se il file deve essere decompresso
- Velocità di rete, se il file deve essere copiato su una rete da sottoporre a scansione
Se non viene utilizzato un meccanismo di timeout, l'accesso al file viene negato fino al completamento della scansione. Questo periodo di tempo potrebbe essere di minuti o addirittura ore, a seconda dei fattori citati in precedenza. Ad esempio, se il file continua a essere sottoposto a scansione dopo 30 secondi, il programma di scansione verrà timeout. L'intervallo di tempo prima che questo timeout avvenga varia in base al prodotto e in genere può essere configurato. Per informazioni sulla configurazione delle impostazioni di timeout della scansione per il prodotto, consultare la guida del prodotto appropriata. Ad esempio, l'opzione ENS nella scansione all'accesso policy per configurare il timeout è
Specificare il numero massimo di secondi per ogni scansione file come descritto nella
Endpoint Security 10.7 Guida di riferimento dell'interfaccia.
Se la scansione di un determinato file richiede più tempo di quanto consentito dal valore di timeout, la scansione viene interrotta. Viene generato un evento nel registro eventi applicazioni per tenere presente che la scansione è scaduta nel file. Queste informazioni vengono inviate anche a Alert Manager e ePolicy Orchestrator se sono installate. Un esempio di questo messaggio di errore è il seguente:
La scansione del nome file ha richiesto troppo tempo per essere completata ed è stata annullata. La versione del motore di scansione xxx e DAT è xxxx
Nota Il comportamento di timeout della scansione è presente in tutti McAfee scanner all'accesso antivirus. Le scansioni su richiesta non dispongono di timeout e richiedono il tempo necessario per eseguire la scansione completa di tutti i file di destinazione, ad eccezione di quanto segue:
- ENS e ENSM hanno un timeout incorporato e non configurabile di 45 secondi.
- SL dispone di un timeout configurabile integrato con un valore predefinito di 45 secondi. L'opzione della scansione su richiesta policy per configurare il timeout è Specificare il numero massimo di secondi per ogni scansione file.
Tutti i prodotti McAfee analizzano tutti i file in un archivio all'estrazione. Se un archivio grande e complesso causa il timeout della scansione, il rischio è minimo. Quando il contenuto viene estratto sul disco rigido, l'programma di scansione all'accesso esegue la scansione di ciascun file singolarmente.