反恶意软件
该 反恶意软件 防护层基于安全内容扫描和启发式分析(B-HAVE、 ATC ),可防御:病毒、蠕虫、木马、间谍软件、广告软件、键盘记录程序、 rootkit及其他恶意软件类型。
Bitdefender 的反恶意软件扫描技术依托以下技术:
-
首先采用传统扫描方法,将扫描内容与安全内容数据库进行比对。该数据库包含已知威胁的特定字节模式,并由 Bitdefender 定期更新。此方法对已研究记录的确诊威胁有效。但无论数据库更新多及时,从新威胁被发现到补丁发布之间始终存在漏洞窗口期。
-
针对全新未记录的威胁,第二层防护由 B-HAVE , Bitdefender 的启发式引擎)提供。启发式算法根据行为特征检测恶意软件。B-HAVE在虚拟环境中运行可疑文件以测试其对系统的影响,确保无威胁。若检测到威胁,则阻止程序运行。
-
该模块还配备适用于Windows 10和Windows 11终端的启动驱动程序。此驱动程序包含早期启动反恶意软件(ELAM)功能,可确保 反恶意软件 模块会在系统启动时优先于任何第三方组件加载。ELAM功能使该模块能够控制后续启动驱动程序的初始化过程,从而有效阻止不可信的启动驱动程序加载。
扫描引擎
Bitdefender GravityZone 可根据终端配置,在创建安全代理包时自动设置扫描引擎。
管理员也可自定义扫描引擎,支持在以下多种扫描技术中进行选择:
-
本地扫描 ,即在本地终端执行扫描。该模式适用于高性能设备,且需在本地存储安全内容。
-
轻量引擎混合扫描(公有云) ,占用中等资源,结合云端扫描与部分本地安全内容。此模式通过外部分析实现资源优化。
-
公有或私有云集中扫描 ,占用资源最少,但需依赖 安全服务器 进行扫描。该模式下本地不存储安全内容集,扫描任务将卸载至 安全服务器 .
注
本地仍需保留最低限度的引擎集用于解压压缩文件。
-
集中扫描(使用 安全服务器 的公有/私有云扫描)*可回退至本地扫描(完整引擎)
-
集中扫描(使用 安全服务器 的公有/私有云扫描)*可回退至混合扫描(轻量引擎公有云)
* 双引擎扫描模式下,若首选引擎不可用,将启用备用引擎。资源消耗与网络占用情况取决于实际使用的引擎类型。
组件
反恶意软件 包含以下组件:
-
GravityZone 虚拟设备
-
安全代理( Bitdefender终端安全工具 安装在Windows、Linux和Mac终端上)
-
移动代理
-
安全服务器 多平台
-
安全服务器 用于NSX-T
-
安全服务器 用于NSX-V
安装和配置 反恶意软件
该 反恶意软件 模块默认包含在所有安装包中,除非使用 EDR (仅报告) 操作模式。如果您的终端上已安装 BEST 代理,则无需进一步部署。
-
登录 GravityZone 控制中心 .
-
转到 安装包 从左侧菜单进入
-
点击屏幕右上角的 创建 按钮。
-
输入新安装包的 名称 和 描述 。
-
确保 操作模式 设置为 检测与防护 .
注意
此步骤仅适用于包含 EDR 模块的许可证。有关 操作模式 的更多信息,请参阅 本地安装 章节中的 安装安全代理 - 标准流程 .
-
选择需要部署的模块。
-
点击 保存 .
-
从包列表中选中新创建的包并点击 发送下载链接 .
-
输入收件人的电子邮件地址并点击 发送 .
策略 用于在终端及通用功能层面启用和配置各项功能。
GravityZone 自带一组默认策略设置,这些设置经过专门定制以满足最常见的客户需求。默认情况下,这些策略会在安装 BEST 代理后应用于终端。您无法修改或删除默认的 GravityZone 策略。
您可以使用这些默认策略设置并暂缓配置策略,或通过以下步骤自定义功能:
测试 反恶意软件 功能
当检测到病毒或其他恶意软件时, Bitdefender 安全代理会自动尝试从受感染文件中清除恶意代码并重建原始文件,此操作称为消毒。
无法消毒的文件会被移至隔离区以阻断感染。病毒在隔离区时无法执行或读取,因此不会造成危害。
高级用户可配置扫描排除项,避免扫描特定文件或文件类型。