跳至主内容

实时防护

反恶意软件 > 实时防护 策略模块中,可配置终端用户访问本地及网络文件时的反恶意软件防护。

policy_antimalware_on_access_cp_48187_en.png

重要提示

仅当终端上安装的安全代理运行于 检测与防护 模式时,此功能才会启用。要访问此设置,请前往 安装包 页面并点击所需使用的安装包。该设置位于 运行模式 下,属于 安全模块与角色 部分。

实时扫描

实时扫描通过在被访问(打开、移动、复制或执行)时检查本地及网络文件、引导扇区及潜在有害程序(PUA),可阻止新型恶意软件威胁侵入系统。

注意

该功能在基于Linux的系统上存在特定限制。详情请参阅 GravityZone .

配置实时扫描:

  1. 点击开关以启用 实时扫描 .

    警告

    若关闭实时扫描,终端将面临恶意软件威胁。

  2. 快速配置时,请选择最符合需求的安全等级( 严格 , 普通 宽松 ).

    参考描述说明进行选择。

  3. 或者,开始配置任务设置。安全级别将自动变为 自定义 .

扫描任务设置按以下方式组织:

  • 文件位置 - 使用这些选项指定需要扫描的文件类型。可分别为本地文件(存储在本地终端)或网络文件(存储在网络共享中)单独配置扫描偏好。

    • 若网络中所有计算机均安装了反恶意软件防护,可禁用网络文件扫描以加快网络访问速度。

      您可将安全代理设置为扫描所有访问文件(无论其扩展名)、仅扫描应用程序文件或您认为危险的具体文件扩展名。

    • 扫描所有访问文件能提供最佳防护,而仅扫描应用程序可提升系统性能。

      注意

      应用程序文件比其他类型文件更易受恶意软件攻击。更多信息请参阅 应用程序文件类型 .

    • 若需仅扫描特定扩展名,请从菜单中选择 用户自定义扩展名 ,然后在编辑字段中输入扩展名,每个扩展名输入后按 回车键 确认。

      policy_antimalware_on_access_extensions_cp_48187_en.png

      要在其他地方使用扩展名列表,请点击 icon_copy_to_clipboard.png 复制到剪贴板 按钮。

      要逐个删除扩展名,点击对应 icon_delete.png 删除 按钮。要清除所有扩展名,点击 清空列表 选项。

      注意

      在Linux系统中,文件扩展名区分大小写,同名不同扩展名的文件被视为不同对象。例如 file.txt file.TXT .

    • 出于系统性能考虑,您还可以将大文件排除在扫描范围之外。

      选择 最大尺寸 复选框并指定待扫描文件的尺寸上限。请谨慎使用此选项,因为恶意软件同样可能感染大文件。

  • 扫描 - 勾选对应复选框以启用所需扫描选项:

    • 仅扫描新增或变更文件

      通过仅扫描新增和变更文件,您可以在安全影响最小化的前提下显著提升系统整体响应能力。

    • 引导扇区

      扫描系统引导扇区。

      硬盘此区域包含启动引导流程的必要代码。

      当病毒感染引导扇区时,驱动器可能无法访问,导致系统无法启动且数据不可读取。

    • 进程内存

      扫描进程内存以检测内存中的恶意行为。

    • 针对键盘记录程序

      键盘记录程序会记录您的键盘输入内容,并通过互联网将报告发送给恶意攻击者(黑客)。

      黑客可从窃取数据中获取敏感信息(如银行账号和密码),并利用这些信息谋取私利。

    • 针对潜在有害程序(PUA)

      潜在有害程序(PUA)指可能不受欢迎且常与免费软件捆绑的程序。此类程序可能在未经用户同意的情况下安装(亦称广告软件),或默认包含在快速安装包中(广告支持)。这些程序可能导致弹出广告、在默认浏览器安装不需要的工具栏,或在后台运行多个进程从而降低电脑性能。

    • 压缩文件

      如需启用对压缩文件的实时扫描,请选择此选项。扫描压缩文件内容是一个缓慢且消耗资源的过程,因此不建议用于实时防护。含有感染文件的压缩包不会立即威胁系统安全,只有当受感染文件被解压且在没有启用实时扫描的情况下执行时,恶意软件才会影响系统。

      若启用此选项,可配置以下优化设置:

      • 压缩文件最大尺寸

        可设置实时扫描的压缩文件尺寸上限。

        勾选对应复选框并输入最大压缩文件尺寸(单位MB)。

      • 压缩文件最大深度(层级)

        勾选对应复选框并从菜单中选择最大压缩深度。

        追求最佳性能选择最小值,追求最高防护选择最大值。

    • 延迟扫描

      延迟扫描可提升执行文件访问操作时的系统性能。例如在复制大文件时不会影响系统资源。此选项默认启用。

  • 扫描操作 - 根据检测到的文件类型,将自动执行以下操作:

    • 感染对象处理方式

      Bitdefender 通过包括恶意软件特征码、机器学习及人工智能(AI)技术在内的多种先进机制,将对象(文件、注册表项等)识别为感染对象。

      Bitdefender 安全代理通常会将感染对象移至隔离区,拒绝访问该对象,并通过移除恶意代码并重建原始对象来尝试清除威胁。

      默认情况下,若检测到感染对象, Bitdefender 安全代理将自动尝试修复。

      您可根据需求调整此推荐流程。

      重要说明

      对于特定类型的恶意软件,由于检测到的文件完全为恶意文件,因此无法进行清除。此类情况下,感染对象将从磁盘中删除。

    • 潜在有害程序处理方式

      默认情况下,检测到的潜在有害程序仅进行报告,不进行修复。

    • 网络文件处理方式

      默认情况下,对网络文件采取拒绝访问操作。

    虽然不推荐,但您可以更改默认操作。可选操作包括:

    • 拒绝访问

      禁止访问感染对象。

      重要说明

      对于MAC终端, 移至隔离区 将替代 拒绝访问 .

    • 修复

      禁止访问感染对象并将其移至隔离区。随后尝试通过移除恶意代码及恶意软件生成的任何产物来清除系统威胁。

      建议始终将此作为处理受感染对象时的首要操作。

      注意

      要自动将受感染对象移至隔离区,请确保已在策略的 执行清除操作前将文件复制到隔离区 选项中勾选 反恶意软件 > 设置 部分。

    • 移至隔离区

      受感染对象将从当前位置移至隔离文件夹。隔离对象无法被执行或打开,因此感染风险随之消除。您可以通过控制台的 隔离区 页面管理隔离对象。

    • 仅报告

      不会对受感染对象采取任何操作,这些对象仅会出现在扫描日志中。

  • Linux目录扫描 - 输入Linux终端上用于实时扫描的目录路径。

    默认情况下,表格中包含五个条目,每个条目对应终端上的特定位置: /home , /bin , /sbin , /usr , /etc .

    要添加更多条目:

    1. 添加目录 字段中,每次输入一个自定义位置。

    2. 点击 add-icon_mdr_204803_en.png 添加 按钮。

    编辑现有位置:

    1. 点击 edit.png 编辑 按钮(位于 操作 列)。

    2. 修改目录路径。

    3. 点击 exclusionsOKicon.png 确定 按钮保存更改。

      或点击 icon_cancel.png 取消 按钮放弃更改。

    删除位置:点击 icon_delete.png 删除 按钮(位于 操作 列)。

    policy_antimalware_on_access_linux_cp_48187_en.png

DazukoFS第三方内核模块

DazukoFS第三方内核模块使 Bitdefender终端安全工具 能够在Linux上执行实时扫描。有关启用实时扫描及指定Linux扫描目录的信息,请参阅 反恶意软件实时扫描章节 .

Linux版本的 Bitdefender终端安全工具 包含一个实时扫描模块,该模块针对特定Linux发行版和内核版本需要第三方可加载内核模块DazukoFS。DazukoFS是一种堆叠式文件系统,允许第三方应用程序控制Linux系统上的文件访问。

Bitdefender终端安全工具 安装包已包含并自动为选定的受支持Linux内核版本安装DazukoFS。随 Bitdefender终端安全工具 附带的DazukoFS包已针对下表中列出的内核版本进行编译:

Linux发行版

内核版本

CentOS 6.x

2.6.32-754.35.1.el6

Red Hat Enterprise Linux 6.x

若要在内核版本较低且不受DazukoFS支持的Linux发行版上使用实时扫描功能,必须手动编译并安装适用于对应内核的DazukoFS包。

重要说明

DazukoFS是传统解决方案。要在内核版本2.6.38及更高的Linux系统上执行实时扫描,需启用Fanotify。有关Linux实时扫描的要求(包括支持DazukoFS和Fanotify的内核列表),请参阅 此文章 .

要了解Linux实时扫描可能存在的问题,请参考 Linux版 Bitdefender终端安全工具 中的实时扫描 .

其他实用主题:

手动编译安装DazukoFS模块

本节将指导您如何手动编译和安装DazukoFS模块。请按以下步骤操作:

  1. 下载正确的内核头文件。

    • Ubuntu 系统上,运行以下命令:

      $sudoapt-getinstalllinux-headers-'uname-r'

    • RHEL / CentOS 系统上,运行以下命令:

      $sudoyuminstallkernel-develkernel-headers-'uname-r'

    • Ubuntu 系统上,您需要安装 build-essential :

      $sudoapt-getinstallbuild-essential

    • RHEL / CentOS 系统上,您需要安装 yum-utils :

      $yuminstall-yyum-utils

  3. 将DazukoFS源代码复制并解压到指定目录:

    #mkdir/tmp/Dazukotemp

    #cd/tmp/Dazukotemp

    #cp/opt/bitdefender-security-tools/share/src/dazukofs-source.tar.gz.

    #tar-xzvfdazukofs-source.tar.gz

    #cddazukofs-3.1.4

  4. 编译模块:

    #make

  5. 安装并加载模块:

    #makedazukofs_install

DazukoFS限制说明

要使DazukoFS与实时扫描模块协同工作,需满足一系列条件。请检查以下情况是否适用于您的Linux系统,并遵循指引以避免问题:

  • SELinux策略必须禁用或设置为 宽容模式 。要检查并调整SELinux策略设置,请编辑 /etc/selinux/config 文件。

  • Bitdefender终端安全工具 仅兼容安装包内附带的DazukoFS版本。若系统中已安装DazukoFS,请先卸载再安装 Bitdefender终端安全工具 .

  • DazukoFS支持以下内核版本:

    • 2.6.32-754.35.1.el6.x86_64

    • 2.6.32-754.35.1.el6.centos.plus.x86_64

    • 2.6.32-754.35.1.el6.i686

    • 2.6.32-754.35.1.el6.centos.plus.i686

    Bitdefender终端安全工具 附带的DazukoFS包与系统内核版本不兼容,模块将无法加载。此时您可升级至支持的内核版本,或为当前内核版本重新编译DazukoFS模块。DazukoFS包位于 Bitdefender终端安全工具 安装目录:

    /opt/bitdefender-security-tools/share/modules/dazukofs/dazukofs-modules.tar.gz

  • 使用NFS、UNFSv3或Samba等专用服务器共享文件时,需先启用实时扫描再挂载网络共享,具体步骤如下:

    1. 通过 控制中心 。更多信息,请参阅 实时防护策略设置 .

    2. 启动网络共享服务。

      注意

      • 对于NFS:

        #servicenfsstart

      • 对于UNFSv3:

        #serviceunfs3start

      • 对于Samba:

        #servicesmbdstart

      重要提示

      对于NFS服务,DazukoFS仅兼容NFS用户服务器。

本节内容 :