恶意软件扫描是由 Kaspersky Endpoint Security 针对设备上的文件执行的一次性完整扫描或自定义扫描。该应用程序可以同时执行多个恶意软件扫描任务。您还可以创建自定义恶意软件扫描任务。
默认情况下,应用程序中会创建预安装的恶意软件扫描任务 — 全盘扫描。在全盘扫描期间,应用程序会使用推荐的安全设置扫描位于设备本地驱动器上的所有对象,以及通过 Samba 或 NFS 协议访问的所有已挂载和共享的对象。
检测到恶意软件后,Kaspersky Endpoint Security 可能会移除受感染的文件并终止从该文件启动的恶意软件进程。
如果在执行恶意软件扫描任务期间,应用程序被控制服务或用户手动重新启动,任务将被停止。应用程序会记录 OnDemandTaskInterrupted 事件。
该表介绍了可为恶意软件扫描任务指定的所有设置的全部可用值以及默认值。
恶意软件扫描任务设置
设置 |
描述 |
值 |
|
---|---|---|---|
|
启用文件扫描。 |
|
|
|
启用引导扇区扫描。 |
|
|
|
启用进程内存和内核内存扫描。 |
|
|
|
启用启动对象扫描。 |
|
|
|
启用存档扫描(包括 SFX 自解压存档)。 应用程序会扫描以下压缩文件:.zip;.7z *;.7-z;.rar;.iso;.cab;.jar;.bz;.bz2;.tbz;.tbz2;.gz;.tgz;.arj。支持的压缩文件格式列表取决于所使用的应用程序数据库。 |
|
|
|
仅允许扫描自解压存档(包含可执行文件提取模块的存档)。 |
|
|
|
启用对 Microsoft Outlook、Outlook Express、The Bat 和其他邮件客户端的电子邮件数据库的扫描。 |
|
|
|
启用对纯文本电子邮件的扫描。 |
|
|
|
指定要扫描的对象的最大大小(以 MB 为单位)。如果要扫描的对象大于指定值,应用程序将跳过此对象。 |
0 – 999999 0 — 应用程序扫描任意大小的对象。 默认值:0。 |
|
|
最长对象扫描持续时间(以秒为单位)。如果扫描对象所花费的时间超过此设置指定的时间,应用程序将停止扫描对象。 |
0 – 9999 0 — 对象扫描时间不受限制。 默认值:0。 |
|
|
选择应用程序将对受感染对象执行的第一个操作。 |
默认值: |
|
|
选择应用程序将对受感染对象执行的第二个操作。如果第一项操作失败,则应用程序将执行第二项操作。 |
如果选择 默认值: |
|
|
对 |
|
|
|
按名称或掩码在扫描中排除对象。您可以使用此设置来按名称从指定的扫描范围中排除单个文件,或者使用 Shell 格式的掩码一次性排除多个文件。 在为此设置指定值之前,请确保已启用 |
默认值为未定义。
|
|
|
对包含 |
|
|
|
按对象中检测到的威胁的名称从扫描中排除对象。在为此设置指定值之前,请确保已启用 要从扫描中排除对象,请指定在该对象中检测到的威胁的全名 – 包含应用程序确定已感染的对象的字符串。 例如,您可能正在使用实用程序来收集有关您的网络的信息。要防止应用程序对其进行阻止,请将其中包含的威胁的全名添加到排除在扫描范围之外的威胁列表中。 您可以在应用程序日志中或在网站 https://threats.kaspersky.com 上找到在对象中检测到的威胁的全名。 |
该设置值区分大小写。 默认值为未定义。
|
|
|
允许记录有关应用程序报告为未受感染的扫描对象的信息。 例如,您可以启用此设置,以确保应用程序已扫描了特定对象。 |
|
|
|
启用记录作为复合对象一部分的已扫描对象的有关信息。 例如,您可以启用此设置,以确保应用程序已扫描压缩文件中的某个对象。 |
|
|
|
启用记录由于某种原因尚未处理的对象的有关信息。
|
|
|
|
启用启发式分析。 启发式分析可帮助应用程序检测威胁,甚至在病毒分析人员尚未意识到威胁之前。 |
|
|
|
指定启发式分析级别。 您可以指定启发式分析级别。启发式分析级别在威胁搜索的全面性、操作系统资源的负载以及扫描持续时间之间建立平衡。启发式分析级别越高,扫描所需的资源和时间就越多。 |
|
|
|
启用 iChecker 技术。 如果在 Light Agent 模式下使用 Kaspersky Endpoint Security 来保护虚拟环境,则不支持使用 iChecker 技术。通过 Protection Server 实施扫描优化。 |
|
|
|
设备名称列表。应用程序将扫描这些设备的引导扇区。 设置值不能为空。必须至少指定一个设备名掩码才能运行此任务。 |
默认值: |
|
[ScanScope.item_#] 部分包含以下设置: |
|||
|
扫描范围的说明,其中包含有关扫描范围的其他信息。使用此设置指定的字符串的最大长度为 4096 个字符。 |
默认值:
|
|
|
启用指定范围的扫描。要运行任务,请启用至少一个范围的扫描。 |
|
|
|
扫描范围限制。在扫描范围内,应用程序仅扫描使用 shell 格式的掩码指定的文件。 如果未指定此设置,则应用程序会扫描位于扫描范围内的所有对象。您可以为此设置指定多个值。 |
默认值:
|
|
|
包含要扫描的对象的目录的路径。
|
|
|
[ExcludedFromScanScope.item_#] 部分包含以下设置: |
|||
|
扫描排除范围的说明,其中包含有关扫描排除范围的其他信息。 |
默认值为未定义。 |
|
|
从扫描中排除指定的范围。 |
|
|
|
扫描排除范围的限制。在排除范围中,应用程序仅排除使用 shell 格式的掩码指定的文件。 如果未指定此设置,则应用程序将排除位于排除范围内的所有对象。您可以为此设置指定多个值。 |
默认值: |
|
|
包含要排除的对象的目录的路径。
|
为了优化扫描任务的操作,对于具有 btrfs 文件系统并启用了活动快照的系统,建议将系统以只读模式挂载的快照的路径添加到排除项中。例如,对于基于 SUSE/OpenSUSE 的系统,可以添加以下排除项:
仅当远程目录在任务启动之前安装时,应用程序才会将其排除在扫描之外。任务启动后安装的远程目录不会被排除在扫描之外。 |