In einer Aufzeichnung über das Procmon-Tool wird weiterhin angezeigt, dass der McShield-Prozess mit einer ausgeschlossenen Datei arbeitet, es wird jedoch nicht angezeigt, dass McShield die Aktion GELESEN für die Datei durchgeführt hat.
Anhand der Überwachung durch ProcMon sehen Sie, dass McShield die Aktionen Öffnen, Abfragen, Einstellen und Schließen ausführt. Diese Aktionen deuten jedoch nicht auf ein Scannen hin, da die Aktion IRP_MK_READ nicht erfolgt. Sie sehen einige Aktionen FASTIO_READ, jedoch sind auch diese kein Zeichen für ein erfolgtes Scannen. Um daher festzustellen, ob ein Scannen erfolgt ist, führen Sie ProcMon im Modus Erweiterte Ausgabe aus, da nicht alle aufgeführten Aktionen GELESEN auf ein Scannen hindeuten.
Nachdem McShield die auszuschließende Datei bestimmt hat, wird der McAfee AV-Filtertreiber darüber informiert, und der Filtertreiber erfasst den Dateinamen (inklusive Pfad), so dass dieselbe Datei erst dann erneut von McShield verarbeitet wird, wenn Änderungen daran vorgenommen werden.
-
Ausschließen nach Dateialter
Mit diesem leistungsstarken Verfahren können Sie bei geringem Risiko die Leistung steigern, insbesondere für On-Demand-Scans.
Beispiel
Führen Sie einen vollständigen Scan aus, um eine Datumsbasislinie festzulegen, konfigurieren Sie dann einen Task zum Scannen aller Dateien, schließen Sie jedoch Dateien aus, die vor x oder mehr Tagen geändert wurden, und planen Sie den Scan so ein, dass dieser alle x Tage ausgeführt wird.
Bei x = 2 werden nur Dateien gescannt, die innerhalb der letzten zwei Tage geändert wurden.
- Ausschlüsse nur für ausgewählte Prozesse
- Möglicherweise müssen Sie einen Ordner mit viel E/A-Dateiverkehr ausschließen, jedoch erscheint Ihnen das Risiko, diesen Ordner für alle Prozesse offenzulegen, als zu hoch.
- Verringern Sie das Risiko durch die Verwendung mehrerer Scan-Profile aus VirusScan Enterprise. Diese heißen Standardvorgänge, Vorgänge mit hohem Risiko und Vorgänge mit geringem Risiko.
- Fügen Sie den gewünschten Vorgang einem bestimmten Profil hinzu (Hohes Risiko oder Geringes Risiko), und konfigurieren Sie den Ausschluss für das Profil. Nur die Vorgänge, die in diesem Profil aufgeführt werden, schließen die angegebene Datei oder den angegebenen Ordner aus.
