文件反病毒。保护虚拟机
2022年3月25日
ID 57662
在本部分中,SVM 表示安装了文件反病毒组件的 SVM。
安装了文件反病毒组件的 SVM 可保护 VMware ESXi hypervisor 上的虚拟机。只有在您已通过使用策略启用保护时,Kaspersky Security 才能开始保护虚拟机。
如果应用程序未激活或 SVM 上缺少应用程序数据库,Kaspersky Security 不保护虚拟机。
Kaspersky Security 仅保护符合所有虚拟机保护条件的已开机虚拟机。
当用户或应用程序尝试访问虚拟机文件时,Kaspersky Security 会扫描该文件。
- 如果在文件中未检测到病毒或其他恶意软件,Kaspersky Security 会授予对这些文件的访问权限。
- 如果在文件中检测到病毒或其他恶意软件,则 Kaspersky Security 会将“已感染”状态分配给该文件。如果扫描无法确定文件是否已感染(文件可能包含病毒或其他恶意软件的某个显示特征的代码序列,或者包含来自已知病毒的修改代码),Kaspersky Security 也会将“已感染”状态分配给该文件。
Kaspersky Security 就会执行该虚拟机的保护配置文件内配置的操作,例如,清除或阻止文件。
如果虚拟机上安装了某应用程序收集信息并发送进行处理,Kaspersky Security 可能会把该应用程序分类为恶意软件。为避免这种情况,您可以把该应用程序排除在保护之外。排除列表在保护配置文件中进行配置。
在保护虚拟机期间使用特征码和启发式分析。特征码分析使用 Kaspersky Security 数据库,该数据库包含已知威胁和如何清除这些威胁的信息。使用特征码分析的保护提供最低可接受的安全级别。根据 Kaspersky Lab 专家的推荐,此方式总是处于启用状态。
启发式分析是一个设计用于检测不能依靠 Kaspersky Lab 程序数据库检测的威胁的技术。启发式分析可以检测可能被尚未有数据库特征码的恶意软件,或者已知病毒的新变种感染的文件。在启发式分析过程中检测到威胁的文件被标记为已感染。
启发式分析级别取决于选定安全级别:
- 如果安全级别设置为低,则应用轻度启发式分析。扫描可执行文件查找恶意代码时,启发式分析器不会执行可执行文件中的所有指令。在该启发式分析级别,检测到威胁的可能性低于中度启发式分析级别的效果。扫描更快速并较少占用 SVM 的资源。
- 如果安全级别设置为推荐、高或自定义,则应用中度启发式分析级别。扫描文件以查找恶意代码时,启发式分析器将执行由 Kaspersky Lab 推荐的可执行文件中的一定数量的指令。
有关虚拟机保护期间发生的所有事件的信息记录在报告中。
建议您定期查看虚拟机保护期间阻止的文件的列表并进行管理。例如,您可以将文件副本保存在虚拟机用户无法访问或无法删除文件的位置。您可以在威胁报告中查看被阻止文件的详情,也可以根据已阻止文件事件过滤事件(请参见 Kaspersky Security Center 文档)。
若要访问由于虚拟机保护而阻止的文件,您必须从分配给虚拟机的配置文件设置中排除这些文件,或临时对这些虚拟机禁用保护。