扫描虚拟机

在本部分中，SVM 表示具有文件威胁防护组件的 SVM。

通过具有文件威胁防护组件的 SVM，您可以对 VMware ESXi Hypervisor 上的虚拟机文件执行病毒扫描。用户应该定期使用新的反病毒数据库扫描虚拟机文件，防止恶意对象的传播。

SVM 在扫描虚拟机时应用的设置是通过使用扫描任务定义的。Kaspersky Security 使用以下扫描任务：

• 全盘扫描。通过此任务，您可以对任务范围内所有虚拟机的文件运行病毒扫描。任务的范围取决于任务在 Kaspersky Security Center 管理组层次结构中的位置，并取决于用于创建任务的 Kaspersky Security 管理插件。

  在 Kaspersky Security Center 主管理服务器的受管理设备文件夹中安装 Kaspersky Security 主管理插件后，会自动创建全盘扫描任务。通过此任务，您可以在受所有 SVM 保护且不属于 Cloud Director 组织的所有虚拟机上执行病毒扫描。您可以手动运行该任务。

• 自定义扫描。通过此任务，您可以从任务范围对指定虚拟机的文件运行病毒扫描。任务的范围取决于任务在 Kaspersky Security Center 管理组层次结构中的位置，并取决于用于创建任务的 Kaspersky Security 管理插件。在选定范围内，您需要指示需要扫描的虚拟机。您可以指定单个虚拟机，更高层次结构的 VMware 虚拟基础架构对象或包含所需虚拟机的 NSX 组。

您可以手动启动扫描任务，定义扫描任务运行计划，并查看有关任务进度和结果的信息。

Kaspersky Security 只扫描符合所有虚拟机扫描条件的虚拟机。

如果在虚拟机文件扫描过程中检测到病毒或其他恶意软件，则 Kaspersky Security 会将“已感染”状态分配给该文件。如果扫描无法确定文件是否已感染（文件可能包含病毒或其他恶意软件的某个显示特征的代码序列，或者包含来自已知病毒的修改代码），Kaspersky Security 也会将“已感染”状态分配给该文件。

扫描虚拟机时使用特征码分析和机器学习扫描方法。使用特征码分析和机器学习的扫描提供了最低接受水平的安全级别。Kaspersky Security 使用包含有关已知威胁信息和有关使威胁无效的方法信息的应用程序数据库。根据卡巴斯基专家的建议，始终启用“特征码分析和机器学习”扫描方法。

扫描虚拟机时，使用启发式分析。这是一个设计用于检测不能依靠卡巴斯基程序数据库检测的威胁的技术。启发式分析可以检测可能被尚未有数据库特征码的恶意软件，或者已知病毒的新变种感染的文件。在启发式分析过程中检测到威胁的文件被标记为已感染。

深度启发式分析始终用在虚拟机扫描中，与选定安全级别无关。启发式分析程序在可执行文件中执行最大数量的指令，从而提高检测到威胁的可能性。

如果虚拟机上安装了某应用程序收集信息并发送进行处理，Kaspersky Security 可能会把该应用程序分类为恶意软件。为避免这种情况，您可以把该应用程序排除在扫描范围之外。

扫描虚拟机的特殊考虑因素：

• 当执行扫描任务时，Kaspersky Security 可以扫描具有以下文件系统的关机的虚拟机：NTFS、FAT32、EXT2、EXT3、EXT4、XFS、BTRFS。
• 当执行扫描任务时，Kaspersky Security 可以扫描虚拟机模板。
• 当扫描运行 Windows 操作系统的虚拟机时，Kaspersky Security 不扫描网络文件夹中的文件。仅当用户或应用程序访问这些文件时，Kaspersky Security 才能扫描网络文件夹中的文件。如果您想定期扫描网络文件夹中的文件，您必须为虚拟机配置扫描任务，该虚拟机已打开访问网络文件和文件夹，并且包括任务扫描范围中的文件和文件夹。

  当扫描运行 Linux 操作系统的虚拟机时，如果在其中挂载 CIFS 网络文件系统的文件夹包含在任务扫描范围内，则 Kaspersky Security 将扫描 CIFS 网络文件系统中的文件。不支持扫描 NFS 网络文件系统中的文件。

• 在执行扫描任务期间，一个具有文件威胁防护组件的 SVM 可以同时扫描最多四台虚拟机上的文件。

有关扫描结果和扫描任务执行期间发生的事件的信息将记录在报告中。

扫描任务结束后，建议查看任务中阻止的文件的列表，并手动管理它们。例如，可以将文件副本保存在虚拟机用户无法访问或无法删除文件的位置。您必须先从分配给虚拟机的保护配置文件设置中排除被阻止的文件，或临时在这些文件受阻止的虚拟机中禁用虚拟机保护。您可以在威胁报告中查看被阻止文件的详情，也可以根据已阻止文件事件过滤事件（请参见 Kaspersky Security Center 文档）。