识别的文件

本文介绍如何访问和处理识别的文件。有关与事件有关的一般最佳做法,请参阅趋势科技服务器深度安全防护系统中的事件

要查看识别的文件的列表,请转至事件和报告 > 事件 > 防恶意软件事件 > 识别的文件

识别的文件是已查明为(或包含)恶意软件且因此已进行加密并移动到特殊文件夹中的文件。(“隔离”是一种可以在创建恶意软件扫描配置时指定的扫描处理措施。)已识别或隔离文件后,您可以选择以加密和压缩格式将文件下载到计算机上。是否隔离受感染文件取决于扫描文件时生效的防恶意软件配置。

将识别的文件下载到计算机后,识别的文件向导将显示指向管理工具的链接,您可以使用管理工具来解密、检查或恢复文件。

预留了有限的磁盘空间用于存储识别的文件。可在策略或计算机编辑器 > 防恶意软件 > 高级 > 识别的文件中配置该空间量。当没有足够的磁盘空间可用于存储识别的文件时,将引发警报。

如果使用趋势科技服务器深度安全防护系统虚拟设备为虚拟机提供保护,则无客户端 VM 中所有已识别的文件都将存储在虚拟设备上。因此,您应增加虚拟设备上用于识别的文件的磁盘空间量。

趋势科技服务器深度安全防护系统虚拟设备不适用于趋势科技服务器深度安全防护系统即服务

在以下情况下,将自动从虚拟设备中删除已识别文件:

  • 如果 VM 已通过 vMotion 移动到其他 ESXi 主机,则与该 VM 关联的识别的文件将从虚拟设备中删除。
  • 如果从趋势科技服务器深度安全防护系统管理中心停用 VM,将从虚拟设备中删除与该 VM 关联的已识别文件。
  • 如果从趋势科技服务器深度安全防护系统管理中心停用虚拟设备,将删除存储在该虚拟设备上的所有已识别文件。
  • 如果从 vCenter 删除虚拟设备,也将删除存储在该虚拟设备上的所有已识别文件。

您可以在识别的文件页面中管理与识别的文件相关的任务。使用菜单栏或右键单击上下文菜单,您可以:

  • 恢复 :仅将隔离的文件恢复到其原始位置和状况。
  • 下载 :将识别的文件从计算机或虚拟设备移动到所选位置。
  • 分析 分析:分析从计算机或虚拟设备下载到所选位置的识别的文件。
  • 删除 :从计算机或虚拟设备中删除一个或多个识别的文件。
  • 将有关识别的文件的信息(而非文件本身)导出 为 CSV 文件。
  • 查看识别的文件的详细信息 ()。
  • 查看检测到恶意软件的计算机的计算机详细信息 () 窗口。
  • 查看防恶意软件事件 :显示与此识别的文件关联的防恶意软件事件。
  • 添加或删除列 :通过单击添加/删除可添加或删除列。
  • 搜索 特定的识别的文件。

详细信息

“识别的文件”页面中的详细信息窗口显示有关文件的更多信息,您可以通过该窗口将识别的文件下载到计算机或将其从所在位置删除。

  • 检测时间:在受感染计算机上检测到感染的日期和时间。
  • 受感染的文件:受感染文件的名称。
  • 恶意软件:找到的恶意软件的名称。
  • 扫描类型:指示恶意软件是由实时扫描、预设扫描还是手动扫描检测到的。
  • 采取的操作:检测到恶意软件时趋势科技服务器深度安全防护系统采取的处理措施的结果。
  • 计算机:找到此文件的计算机。(如果已移除此计算机,此条目会显示为“未知计算机”。)

过滤列表以搜索识别的文件

使用期间工具栏可以过滤列表,从而只显示在特定时间范围内识别的文件。

使用计算机工具栏,可以按照计算机组或计算机策略来组织识别的文件条目的显示。

从“搜索”菜单中选择“打开高级搜索”,可开关高级搜索选项的显示:

高级搜索功能(搜索不区分大小写):

  • 包含:选定列中的条目包含该搜索字符串。
  • 不包含:选定列中的条目不包含该搜索字符串。
  • 等于:选定列中的条目完全符合该搜索字符串。
  • 不等于:选定列中的条目并不完全符合该搜索字符串。
  • 在范围内:选定列中的条目与其中的一个逗号分隔的搜索字符串条目完全匹配。
  • 不在范围内:选定列中的条目并未与任何逗号分隔的搜索字符串条目完全匹配。

按搜索栏右侧的“加号”按钮 (+) 将显示另一个搜索栏,这样可将多个参数应用于搜索。准备就绪后,按“提交”按钮(位于工具栏右侧,带右向箭头)。

  • 受感染文件:显示受感染文件的名称和特定安全风险。
  • 恶意软件:命名恶意软件感染。
  • 计算机:指明带有可疑感染的计算机的名称。

手动恢复隔离文件

要手动恢复隔离文件,必须使用隔离文件解密工具解密文件,然后将文件移回到原始位置。解密工具位于 zip 文件 QFAdminUtil_win32.zip 中,该文件位于趋势科技服务器深度安全防护系统管理中心根目录下的 "util" 文件夹中。该压缩文件包含两个执行相同功能的工具:QDecrypt.exeQDecrypt.com。运行 QDecrypt.exe 会调用打开文件对话框,通过该对话框可以选择要解密的文件。QDecrypt.com 是一个命令行工具,具有以下选项:

  • /h, --help:显示此帮助消息
  • --verbose:生成详细日志消息
  • /i, --in=<str>:要解密的隔离文件,其中 <str> 是隔离文件的名称
  • /o, --out=<str>:解密文件输出,其中 <str> 是为生成的解密文件指定的名称
仅 Windows 32 位系统支持该工具。
联系技术支持
支持
联系 eSupport
趋势科技成功案例
了解漏洞
威胁百科全书