常规	涵盖其他主题的产品信息。
安装	介绍 GetSusp 的安装要求，以及如何使用 ePolicy Orchestrator 部署 GetSusp。
用法	介绍有关使用 GetSusp 的信息。
功能	介绍产品特性和功能，包括脱机扫描。
示例提交	介绍提交示例的方法。

什么是 GetSusp？
GetSusp 是一个免费工具，可帮助您查找和记录未检测到的恶意软件，并可让您向 McAfee Labs 自动提交示例。 为了查找可疑文件，GetSusp 将使用启发式检测，并将示例与已知干净文件的 McAfee Global Threat Intelligence (GTI) 数据库进行比较。 在分析可疑计算机时，请先使用 GetSusp。

有关 GetSusp 产品手册，请参阅文章 PD23648。


GetSusp 与其他防恶意软件工具有什么不同？
市场上有许多免费的诊断工具，但是，您必须分析这些工具的输出，隔离可疑示例，并想尽办法找到向防病毒供应商提交文件的途径。借助于 GetSusp，不需要懂得高深的技术知识就能隔离未检测到恶意软件。


GetSusp 与 GetClean 之间的差别是什么？
GetSusp 可帮助您查找和隔离未检测到的恶意软件，并提供给所有 McAfee 客户使用。

GetClean 工具可帮助您最大程度地减少环境中的误报，减少提交给 McAfee 的文件数，消除重复提交。该工具只提供给 McAfee Platinum 支持客户使用。有关 GetClean 的详细信息，请参阅 KB73044。

所提及的文章仅对 ServicePortal 注册用户可用。

要查看注册文章，请：

1. 登录 ServicePortal：http://support.mcafee.com。
2. 在主页上的“搜索”字段中键入该文章 ID。
3. 单击搜索或者按 Enter 键。

可以从何处获取有关即将发布的 GetSusp 的信息及其他版本信息？
请参阅 McAfee 社区中的 McAfee GetSusp <当前版本>文章，网址如下：https://community.mcafee.com/message/216447。
 

可以从何处发送有关 GetSusp 的反馈？
可以在 McAfee GetSusp 社区论坛页上提供反馈，网址如下：https://community.mcafee.com/groups/getsusp30-beta-feedback。

返回目录


 

安装

GetSusp 的连接要求是什么？
GetSusp 需要连接 Internet 才能很好地执行功能。要执行 GTI 和已知文件数据库查找，必须允许出站 UDP 端口 53 和 TCP 端口 80。已知文件数据库是 McAfee IT 支持的后端服务器。


可以从何处下载最新版本的 GetSusp？
可从 http://www.mcafee.com/us/downloads/free-tools/getsusp.aspx 下载最新版本。


是否可以使用 ePolicy Orchestrator 将 GetSusp.exe 部署到端节点？
可以。您可以从 http://downloadcenter.mcafee.com/products/mcafee-avert/getsusp/getsusp-ePO.zip 下载 ePolicy Orchestrator 可部署的版本。
有关如何部署该工具的更多详细信息，请参阅文章 KB70405。

返回目录

用法
 

如何使用 GetSusp？
有关用法说明，请访问 http://www.mcafee.com/us/downloads/free-tools/how-to-use-getsusp.aspx。


GetSusp 是否支持命令行开关？
支持。有关所有 GetSusp 开关的列表，请在命令提示符处键入 getsusp.exe --? 或 getsusp.exe --Help，然后按 ENTER 键。


GetSusp 在启动后创建了一个 GetSusp.opt 文件。这是什么文件？
当您启动 GetSusp 时，它将创建一份包含 GetSusp 用户首选项的 GetSusp.opt 文件。这些首选项会在您下一次使用 GetSusp 时予以加载，但前提是 GetSusp.opt 与 GetSusp.exe 位于同一个目录中。


当我在感染了 W32/Sality 或 W32/Virut 等文件型病毒的计算机上运行 GetSusp.exe 时，如果该文件受感染，我该怎么办？
GetSusp 不会按预期运行，并且您会看到以下消息：
 

 
GetSusp.exe 已经过数字签名，在运行之前会执行完整性检查。要在感染了文件型病毒的计算机上运行 GetSusp，请使用 getsusp.exe --nc 开关运行。这个隐藏开关会禁用完整性检查。

返回目录
 

功能
 

GetSusp 在扫描期间会收集有关计算机的哪些信息？
GetSusp 将会收集有关程序/可执行文件、计算机名称、IP 地址、操作系统和 Service Pack 的数据，以及有关已安装 McAfee 产品的信息。GetSusp 不收集任何用户数据、跟踪信息或个人信息。


是否可以阻止 GetSusp 通过计算机向 McAfee 发送示例或信息？
GetSusp 将连接到 McAfee Global Threat Intelligence (GTI) 以匹配在您的计算机上找到的文件。如果您不想要向 McAfee 提交文件和日志，请以脱机模式运行扫描。这样，搜集的文件和日志将不会上载到 McAfee。但是，由于没有在线查找白名单数据库，因此结果的准确性将会下降。

 

GetSusp 如何在三到五分钟内完成大部分系统扫描？
通常，不管硬盘大小如何，系统扫描都只需三到五分钟。这是因为，GetSusp 扫描仅限于运行中的进程、Windows 注册表以及恶意软件利用的文件位置。
 

GetSusp 为何没有识别我的可疑恶意软件？
要使 GetSusp 识别恶意软件，恶意软件必须在计算机中活跃运行，或者存在一个关联的注册表启动条目。GetSusp 只能识别可疑的可执行文件。GetSusp 不会扫描文档、脚本、媒体和其他文件格式。McAfee 已计划在将来的 GetSusp 版本中添加 Rootkit 扫描。

返回目录

 
 

示例提交
 

如何将超过 10 MB 的 GetSusp 提交项目发送到 McAfee Labs？
McAfee Labs 仅支持不超过 10 MB 的 ZIP 文件。您可以将更大的示例提交到 McAfee 技术支持提供的 FTP 位置。在此情况下，请选择仅 MD5 选项来提交元数据。将文件列入白名单或进行哈希处理后，ZIP 文件大小将会减小。


如何使用 GetSusp 手动提交文件？
可以使用 GetSusp 中的“上载”选项手动指向可疑文件并将其发送到 McAfee。


如果与 McAfee 保持联系以获得有关某个 GetSusp 提交项目的支持？
为方便您的跟踪，Virus_Research@avertlabs.com 将会向您发送一封包含参考工作项目 ID 的电子邮件。McAfee 将使用您在“GetSusp 首选项”下提供的电子邮件地址。请使用该工作项目 ID 来联系 McAfee 技术支持。
 

返回目录