Per determinare se un file è stato escluso, il MCSHIELD.EXE il processo riceve informazioni sul file dal driver del filtro McAfee AV.

Presenza di un esclusi il nome del file nel file di registro non indica necessariamente che si è verificata una scansione o che il prodotto gestito ha tentato di eseguire la scansione del file. (In questo esempio, il file escluso è nHTTP. exe.)

Not scanned (scan timed out) NT AUTHORITY\SYSTEM G:\Lotus\Domino\nHTTP.EXE F:\Lotus\Domino\Data\keyfile2010.sth

NOTA:

• Il McShield.exe elabora tutte le esclusioni. McShield esegue tutte le scansioni, ma Inoltre, esegue tutte le esclusioni.
• McShield dispone di un meccanismo di timeout.

Nell'esempio sopra riportato, McShield scaduta il nHTTP.EXE nel tentativo di stabilire se escludere o meno il file. Il file di registro non non indicare che il file escluso viene effettivamente sottoposto a scansione.

Procmon Analisi dei dati

In una cattura utilizzando il Procmon , viene visualizzato il processo McShield che utilizza un file escluso. Tuttavia, non si vede McShield eseguire un'azione di lettura sul file.

Dal monitoraggio Procmon, viene visualizzato McShield Aprire, Query, Impostare, e Vicino azioni. Tuttavia, queste azioni non indicano una scansione perché non IRP_MJ_READ azione eseguita. Vengono visualizzati alcuni FASTIO_READ azioni, ma non è anche un'indicazione di una scansione. Quindi, per determinare se si è verificata una scansione, eseguire Procmon in Output avanzato modalità, perché non tutti elencati LEGGERE le azioni indicano una scansione.

Dopo che McShield ha determinato il file da escludere, il driver del filtro di McAfee AV viene informato e il driver del filtro registra il nome del file (compreso il percorso). Si assicura che McShield non elabori nuovamente lo stesso file a meno che il file non venga modificato.

• Escludi in base all'età del file
  È possibile utilizzare questo potente meccanismo per aumentare potenzialmente le prestazioni, in particolare per le scansioni su richiesta, con un rischio minimo.
  
  Esempio
  Per impostare una linea di base per la data, eseguire una scansione completa. Configurazione di un'attività per eseguire la scansione di tutti i file ma escludere i file modificati x giorni o più fa, e pianificare la scansione per l'esecuzione di ogni x numero di giorni.
  Se x = 2, vengono sottoposti a scansione solo i file modificati negli ultimi 2 giorni.
  
• Esclusioni solo per i processi selezionati
  • Potrebbe essere necessario escludere una cartella che ottiene più traffico di input/output (I/O) di file. Tuttavia, il rischio di esporre questa cartella a tutti i processi è troppo elevato.
  • Ridurre il rischio utilizzando i profili di scansione multipli di VSE, definiti Processi predefiniti, Processi ad alto rischio, e Processi a basso rischio.
  • Aggiungere il processo a un profilo specifico (Ad alto rischio o A basso rischio) e configurare l'esclusione per tale profilo. Solo i processi elencati in tale profilo escludono il file o la cartella specificata.