病毒查殺概述

病毒查殺功能使用特征病毒檢測引擎，支持掃描服務器中的病毒文件，掃描文件類型覆蓋可執行文件、壓縮文件、腳本文件、文檔、圖片、音視頻文件；用戶可根據自身需要，自主對服務器執行“快速查殺”、“全盤查殺”、“自定義查殺”掃描任務，并及時處置檢測到的病毒文件，增強業務系統的病毒防御能力。

使用約束

使用病毒查殺功能須滿足以下條件：

• 服務器已開啟HSS企業版、旗艦版、網頁防篡改版或容器版防護。

• 服務器已安裝Agent的版本為以下版本，升級Agent的操作，請參見升級Agent章節。

  • Linux：3.2.9及以上版本。
  • Windows：4.0.20及以上版本。

• 服務器已開啟AV檢測策略，詳細操作請參見策略管理概述章節。

掃描病毒

靜態病毒文件一旦啟動就可能化身惡意進程，成為服務器的巨大安全隱患，因此提前查殺靜態病毒文件是防護服務器安全的關鍵之一。HSS的病毒查殺功能，支持掃描服務器上的病毒文件，并提供以下三種病毒掃描方式供您掃描病毒：

• 快速查殺：節約時間成本的快速病毒掃描任務，查殺預置的系統關鍵文件和目錄。
• 全盤查殺：比較耗費時間的全磁盤病毒掃描任務，全面清掃服務器中的病毒文件。
• 自定義查殺：您可以根據自身需求自定義病毒掃描任務。

約束限制

病毒查殺過程中會占用較多的內存、CPU、IO等資源，請在服務器空閑時進行病毒查殺。

快速查殺

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、單擊“快速查殺”，彈出“快速查殺”對話框。

5、根據界面提示，填寫“快速查殺”任務相關參數。

• 任務名稱：您可自定義一個任務名稱。
• 選擇服務器：選擇需要進行快速查殺的服務器。

說明
服務器處于查殺狀態中時，不能被選擇。

• 處置策略：選擇針對檢測到的病毒文件的處理方式。
  • 自動處置：經過云病毒檢測中心進一步確認為病毒的病毒文件系統自動進行隔離；未被確認為病毒的可疑文件會被打上“可疑”標簽，需人工確認后進行處置。
  • 人工處置：僅對檢測到的病毒文件展示告警不自動隔離，需人工確認后進行處置。

6、單擊“開始掃描”，啟動查殺任務。

全盤查殺

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、單擊“全盤查殺”，彈出“全盤查殺”對話框。

5、根據界面提示，填寫“全盤查殺”任務相關參數。

• 任務名稱：您可自定義一個任務名稱。

• 選擇服務器：選擇需要進行全盤查殺的服務器。

  說明
  服務器處于查殺狀態時，不能被選擇。
  全盤掃描，不掃描網絡目錄。
  

• 處置策略：選擇針對檢測到的病毒文件的處理方式。

  • 自動處置：經過云病毒檢測中心進一步確認為病毒的病毒文件系統自動進行隔離；未被確認為病毒的可疑文件會被打上“可疑”標簽，需人工確認后進行處置。
  • 人工處置：僅對檢測到的病毒文件展示告警不自動隔離，需人工確認后進行處置。

6、單擊“開始掃描”，啟動查殺任務。

自定義查殺

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、單擊“自定義查殺”，彈出“自定義查殺”對話框。

5、根據界面提示，配置“自定義查殺”策略參數。

參數名稱	參數說明
任務名稱	自定義查殺任務名稱。
防護文件類型	掃描文件類型，勾選即對該文件類型進行掃描。當前支持掃描的文件類型： 可執行：可執行文件和動態鏈接庫，常見exe、dll、so等。 壓縮：壓縮包和安裝包文件，常見zip、rar、tar等。 腳本：腳本文件，常見的bat、py、ps1等。 文檔：文檔文件，常見的txt、doc、pdf等。 圖片：圖片文件，常見的bmp、jpg、gif等。 音頻文件：音頻文件，常見的mp3、mp4、flv等。
目錄設置（可選）	需要掃描病毒文件的目錄。不配置時，默認進行全盤掃描，全盤掃描不掃描網絡目錄。
排除指定目錄（可選）	無需掃描病毒文件的目錄。
選擇服務器	選擇需要掃描的服務器。處于查殺狀態的服務器不支持選擇。
處置策略	選擇針對檢測到的病毒文件的處理方式。 自動處置：經過云病毒檢測中心進一步確認為病毒的病毒文件系統自動進行隔離；未被確認為病毒的可疑文件會被打上“可疑”標簽，需人工確認后進行處置。 人工處置：僅對檢測到的病毒文件展示告警不自動隔離，需人工確認后進行處置。

6、單擊“開始掃描”，啟動查殺任務。

后續操作

• 查看掃描任務執行狀態
  a.在病毒查殺界面，單擊“掃描任務”，查看病毒掃描任務執行狀態。如果您需要停止正在執行的掃描任務，您可以在目標掃描任務所在行的“操作”列，單擊“取消”。
  b.單擊掃描任務前的箭頭圖標，可展開查看具體各服務器的掃描狀態和已掃描的文件數量等信息。如果您需要停止掃描某臺服務器，您可以在目標服務器所在行的“操作”列，單擊“取消”。
• 查看并處理病毒：病毒查殺任務執行完成后，對于檢測到的病毒文件，您需要根據自身業務情況判斷并進行人工處置。

查看并處理病毒

前提條件

已執行病毒查殺任務。

查看并處理病毒操作步驟

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、查看掃描到的病毒文件。

5、在目標病毒文件所在行的操作列，單擊“處置”。您也可以勾選多個病毒文件，并在列表上方單擊“批量處理”，批量處理多個文件。

6、在“處理病毒文件”彈窗中，選擇病毒文件處理方式。

參數名稱	參數說明
手動處理	如果您要在主機上手動處理當前病毒文件，請選擇手動處理。
忽略	忽略本次病毒文件告警，如果再次出現該病毒文件告警事件，主機安全將正常進行告警。
加入告警白名單	如果您排查后確認該病毒文件為誤報，您可以將其加入告警白名單，加入白名單后，后續主機安全不再對該病毒文件進行告警。
隔離文件	隔離該病毒文件，隔離后，該病毒文件不能執行“讀/寫”操作。

7、單擊“確認”，完成處理。處理后，病毒文件告警事件狀態變更為“已處理”。

導出病毒告警文件

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、在病毒文件告警事件列表上方，單擊“導出”，導出所有病毒文件告警事件到本地。

5、在病毒查殺界面上方查看導出狀態，待導出成功后，在主機本地默認下載文件地址，獲取導出的病毒文件信息。

注意
導出過程中，請勿關閉瀏覽器頁面，否則會導致導出任務中斷。

管理文件隔離

被成功隔離的病毒文件會添加到“文件隔離箱”中，無法再對主機造成威脅。您也可以根據自身需要參考本章節恢復或刪除已隔離文件。

恢復已隔離的文件

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、單擊界面右上角“文件隔離箱”，彈出“文件隔離箱”彈窗。

5、單擊文件隔離箱列表中“操作”列的“恢復”，彈出“恢復已隔離文件”對話框。

6、單擊“確認”，恢復的文件將重新回到病毒事件列表中。

說明
執行恢復操作會將恢復隔離文件，請謹慎操作。

刪除已隔離文件

1、登錄管理控制臺。

2、在頁面左上角選擇“區域”，選擇“安全 > 企業主機安全”，進入“企業主機安全”頁面。

3、選擇“主動防御 > 病毒查殺”，進入“病毒查殺”界面。

4、單擊界面右上角“文件隔離箱”，彈出“文件隔離箱”彈窗。

5、單擊文件隔離箱列表中“操作”列的“刪除”，彈出“刪除已隔離文件”對話框。如需批量刪除已隔離文件，您可以勾選多個目標已隔離文件，并單擊已隔離文件列表左上角的“刪除”。

6、單擊“確認”，完成刪除。

說明
執行刪除操作會將隔離文件徹底刪除，請謹慎操作。