关键区域扫描任务(Critical_Areas_Scan,ID:4)

关键区域扫描任务允许您扫描引导扇区、启动对象、进程内存和内核内存。

检测到恶意软件后,Kaspersky Endpoint Security 可能会删除受感染的文件并终止从该文件启动的恶意软件进程。

该表介绍了您可以为关键区域扫描任务指定的所有可用值和所有设置的默认值。

关键区域扫描任务设置

设置

描述

ScanFiles

启用文件扫描。

Yes — 扫描文件。

No(默认值)— 不扫描文件。

ScanBootSectors

启用引导扇区扫描。

Yes(默认值)— 扫描引导扇区。

No — 不扫描引导扇区。

ScanComputerMemory

启用进程内存和内核内存扫描。

Yes(默认值)— 扫描进程内存和内核内存。

No — 不扫描进程内存和内核内存。

ScanStartupObjects

启用启动对象扫描。

Yes(默认值)— 扫描启动对象。

No — 不扫描启动对象。

ScanArchived

启用存档扫描(包括 SFX 自解压存档)。

应用程序会扫描以下压缩文件:.zip;.7z *;.7-z;.rar;.iso;.cab;.jar;.bz;.bz2;.tbz;.tbz2;.gz;.tgz;.arj。支持的压缩文件格式列表取决于所使用的应用程序数据库。

Yes(默认值)— 扫描压缩文件。如果指定了 FirstAction=Recommended 值,则根据存档类型,应用程序会删除受感染的对象,也可能删除包含威胁的整个存档。

No - 不扫描压缩文件。

ScanSfxArchived

仅允许扫描自解压存档(包含可执行文件提取模块的存档)。

Yes(默认值)- 扫描自解压存档。

No - 不扫描自解压存档。

ScanMailBases

启用对 Microsoft Outlook、Outlook Express、The Bat 和其他邮件客户端的电子邮件数据库的扫描。

Yes — 扫描电子邮件数据库的文件。

No(默认值)— 不扫描电子邮件数据库的文件。

ScanPlainMail

启用对纯文本电子邮件的扫描。

Yes — 扫描纯文本电子邮件。

No(默认值)— 不扫描纯文本电子邮件。

ScanPriority

任务优先级。任务优先级是一个结合了许多 Kaspersky Endpoint Security 内部设置和进程启动设置的设置。通过使用此设置,您可以指定应用程序为运行任务消耗系统资源的方式。

Idle — 以低优先级运行任务:耗用处理器资源不超过 10%。指定此值可释放应用程序资源以便用于其他任务,包括用户进程。当前扫描任务需要更长的时间才能完成。

Normal(默认值)— 以普通优先级运行任务:耗用处理器资源不超过所有处理器资源的 50%。

High — 在不限制处理器资源消耗的情况下以高优先级运行任务。指定此值可以更快地执行当前扫描任务。

SizeLimit

指定要扫描的对象的最大大小(以 MB 为单位)。如果要扫描的对象大于指定值,应用程序将跳过此对象。

0 – 999999

0 — 应用程序扫描任意大小的对象。

默认值:0。

TimeLimit

最长对象扫描持续时间(以秒为单位)。如果扫描对象所花费的时间超过此设置指定的时间,应用程序将停止扫描对象。

0 – 9999

0 — 对象扫描时间不受限制。

默认值:0。

FirstAction

选择应用程序将对受感染对象执行的第一个操作。

如果在包括在扫描范围内的符号链接所引用的文件中检测到受感染的对象(而该符号链接所引用的文件不包括在扫描范围内),则将对目标文件执行指定的操作。例如,如果您指定“删除”操作,则应用程序将删除目标文件,但符号链接文件将保留并指向不存在的文件。

Disinfect — 应用程序尝试对于对象进行清除,并将其副本保存到存储。如果清除失败(例如,如果无法清除对象类型或对象中的威胁类型),则应用程序将保持对象不变。如果第一项操作为 Disinfect,推荐使用 SecondAction 设置来指定第二项操作。

Remove — 应用程序在创建受感染对象的备份副本后将其删除。

Recommended(执行推荐的操作)— 应用程序根据对象中检测到的威胁的有关信息自动选择该对象并对其执行操作。例如,Kaspersky Endpoint Security 会立即删除木马,因为它们不会将自身整合到其他文件中,因此不需要进行清除。

Skip — 应用程序不会尝试清除或删除受感染的对象。受感染对象的信息会予以记录。

默认值:Recommended

SecondAction

选择应用程序将对受感染对象执行的第二个操作。如果第一项操作失败,则应用程序将执行第二项操作。

SecondAction 设置的可能值与 FirstAction 设置的可能值相同。

如果选择 SkipRemove 作为第一项操作,则无需指定第二项操作。在所有其他情况下,推荐指定两项操作。如果您没有指定第二项操作,则应用程序会将 Skip 用作第二项操作。

默认值:Skip

UseExcludeMasks

允许从扫描中排除 ExcludeMasks 设置指定的对象。

Yes — 从扫描中排除 ExcludeMasks 设置指定的对象。

No(默认值)— 不从扫描中排除 ExcludeMasks 设置指定的对象。

ExcludeMasks

按名称或掩码在扫描中排除对象。您可以使用此设置来按名称从指定的扫描范围中排除单个文件,或者使用 Shell 格式的掩码一次性排除多个文件。

在为此设置指定值之前,请确保已启用 UseExcludeMasks 设置。

默认值为未定义。

示例:

UseExcludeMasks=Yes

ExcludeMasks.item_0000=eicar1.*

ExcludeMasks.item_0001=eicar2.*

 

UseExcludeThreats

允许从扫描中排除包含 ExcludeThreats 设置指定的威胁的对象。

Yes — 从扫描中排除包含由 ExcludeThreats 指定的威胁的对象。

No(默认值)— 不从扫描中排除包含 ExcludeThreats 指定的威胁的对象。

ExcludeThreats

按对象中检测到的威胁的名称从扫描中排除对象。在为此设置指定值之前,请确保已启用 UseExcludeThreats 设置。

要从扫描中排除对象,请指定在该对象中检测到的威胁的全名 – 包含应用程序确定已感染的对象的字符串。

例如,您可能正在使用实用程序来收集有关您的网络的信息。要防止应用程序对其进行阻止,请将其中包含的威胁的全名添加到排除在扫描范围之外的威胁列表中。

您可以在应用程序日志中或在病毒百科全书网站上找到在对象中检测到的威胁的全名。

该设置值区分大小写。

默认值为未定义。

示例:

UseExcludeThreats=Yes

ExcludeThreats.item_0000=EICAR-Test-*

ExcludeThreats.item_0001=?rojan.Linux

 

 

ReportCleanObjects

允许记录有关应用程序报告为未受感染的扫描对象的信息。

例如,您可以启用此设置,以确保应用程序已扫描了特定对象。

Yes — 记录有关未感染的对象的信息。

No(默认值)—不记录有关未感染的对象的信息。

ReportPackedObjects

启用记录作为复合对象一部分的已扫描对象的有关信息。

例如,您可以启用此设置,以确保应用程序已扫描压缩文件中的某个对象。

Yes — 记录有关存档中已扫描对象的信息。

No(默认值)— 不记录有关存档中已扫描对象的信息。

ReportUnprocessedObjects

启用记录由于某种原因尚未处理的对象的有关信息。

Yes — 记录有关未处理对象的信息。

No(默认值)—不记录有关未处理对象的信息。

UseAnalyzer

启用启发式分析。

启发式分析可帮助应用程序检测威胁,甚至在病毒分析人员尚未意识到威胁之前。

Yes(默认值)— 启用启发式分析器。

No — 禁用启发式分析器。

HeuristicLevel

指定启发式分析级别。

您可以指定启发式分析级别。启发式分析级别在威胁搜索的全面性、操作系统资源的负载以及扫描持续时间之间建立平衡。启发式分析级别越高,扫描所需的资源和时间就越多。

Light — 扫描最不全面,系统负载最小。

Medium — 中度启发式分析级别,操作系统负载均衡。

Deep — 最全面的扫描,操作系统负载最大。

Recommended(默认值)— 推荐值。

UseIChecker

启用 iChecker 技术。

Yes(默认值)— 启用 iChecker 技术。

No — 禁用 iChecker 技术。

DeviceNameMasks.item_#

设备名称列表。应用程序将扫描这些设备的引导扇区。

设置值不能为空。必须至少指定一个设备名掩码才能运行此任务。

AllObjects – 扫描所有设备的引导扇区。

<设备名称掩码> – 扫描其名称与指定掩码匹配的设备的引导扇区。

默认值:/** – 设备名称中的任意一组字符,包括 / 字符)。

[ScanScope.item_#] 部分包含以下设置:

AreaDesc

扫描范围的说明,其中包含有关扫描范围的其他信息。使用此设置指定的字符串的最大长度为 4096 个字符。

默认值:All objects

示例:

AreaDesc="邮件库扫描"

 

UseScanArea

启用指定范围的扫描。要运行任务,请启用至少一个范围的扫描。

Yes(默认值)— 扫描指定的范围。

No — 不扫描指定的范围。

AreaMask

扫描范围限制在扫描范围内,应用程序仅扫描使用 shell 格式的掩码指定的文件。

如果未指定此设置,则应用程序会扫描位于扫描范围内的所有对象。您可以为此设置指定多个值。

默认值:*(扫描所有对象)。

示例:

AreaMask_<项目号>=*doc

 

Path

包含要扫描的对象的目录的路径。

<本地目录的路径> — 扫描指定目录中的对象。您可以使用掩码指定路径。

Shared:NFS — 扫描可通过 NFS 协议访问的设备文件系统资源。

Shared:SMB – 扫描可通过 Samba 协议访问的设备文件系统资源。

Mounted:NFS — 扫描使用 NFS 协议挂载到设备上的远程目录。

Mounted:SMB — 扫描使用 Samba 协议挂载到设备上的远程目录。

AllRemoteMounted — 扫描使用 Samba 和 NFS 协议挂载到设备上的所有远程目录。

AllShared — 扫描可通过 SMB 和 NFS 协议访问的所有设备文件系统资源。

<文件系统类型> — 扫描指定设备文件系统的所有资源。

[ExcludedFromScanScope.item_#] 部分包含以下设置:

AreaDesc

扫描排除范围的说明,其中包含有关扫描排除范围的其他信息。

默认值为未定义。

UseScanArea

从扫描中排除指定的范围。

Yes(默认值)— 排除指定的范围。

No — 不排除指定的范围。

AreaMask

扫描排除范围的限制。在排除范围中,应用程序仅排除使用 shell 格式的掩码指定的文件。

如果未指定此设置,则应用程序将排除位于排除范围内的所有对象。您可以为此设置指定多个值。

默认值:*(排除所有对象)。

Path

包含要排除的对象的目录的路径。

<本地目录的路径> — 从扫描中排除指定目录中的对象。您可以使用掩码指定路径。

为了优化扫描任务的操作,对于具有 btrfs 文件系统并启用了活动快照的系统,建议将系统以只读模式挂载的快照的路径添加到排除项中。例如,对于基于 SUSE/OpenSUSE 的系统,可以添加以下排除项:/.snapshots/*/snapshot/

<本地目录的路径> — 从扫描中排除指定目录(包括子目录)中的对象。您可以使用掩码指定路径。

为了优化扫描任务的操作,对于具有 btrfs 文件系统并启用了活动快照的系统,建议将系统以只读模式挂载的快照的路径添加到排除项中。例如,对于基于 SUSE/OpenSUSE 的系统,可以添加以下排除项:/.snapshots/*/snapshot/

Mounted:NFS — 从扫描中排除使用 NFS 协议在设备上挂载的远程目录。

Mounted:SMB — 从扫描中排除使用 SMB 协议在设备上挂载的远程目录。

AllRemoteMounted — 在扫描中排除使用 SMB 和 NFS 协议挂载在设备上的所有远程目录。

<文件系统类型> — 从扫描中排除指定设备文件系统的所有资源。

仅当远程目录在任务启动之前安装时,应用程序才会将其排除在扫描之外。任务启动后安装的远程目录不会被排除在扫描之外。

页面顶部