检测排除

检测排除允许您通过过滤检测名称、对象路径或其哈希,来排除清除对象。

example

检测排除如何工作

检测排除不会像性能排除那样排除扫描文件和文件夹。检测排除仅在检测引擎检测到对象并且排除列表中存在合适规则时才会排除对象。

例如(参见下图中的第一行),当某个对象检测为 Win32/Adware.Optmedia 并且检测到文件为 C:\Recovery\file.exe 时。在第二行上,尽管有检测名称,但具有合适 SHA-1 哈希的每个文件将始终被排除。

CONFIG_EXCLUDE_DETECTION

要确保检测到所有威胁,建议您仅在绝对必要时才创建检测排除。

要将文件和文件夹添加到排除列表,请依次转到高级设置 (F5) > 检测引擎 > 排除 > 检测排除 > 编辑

要从清除中排除对象(按其检测名称或哈希),请单击添加

检测排除对象标准

路径 - 对指定路径(或任何路径)限制检测排除。

检测名称 - 如果在已排除文件旁边显示有检测的名称,则表示该文件仅对给定检测排除,并不是全部排除。如果该文件稍后被其他恶意软件感染,它会被检测到。此类排除仅可用于特定类型的渗透,它既可以在报告渗透的警报窗口中创建(单击显示高级选项,然后选择从检测中排除),也可以通过依次单击工具 > 隔离,然后右键单击隔离文件并从右键菜单中选择从扫描中还原和排除来创建。

哈希 – 基于指定的哈希排除某个文件 (SHA1),不管文件类型、位置、名称或其扩展名如何。

控件元素

添加 - 添加一个新条目以从清除中排除对象。

编辑 - 使您能够编辑选定的条目。

删除 - 删除选定条目(CTRL + 单击可选择多个条目)。

导入/导出 - 当需要备份当前排除以备日后使用时,检测排除的导入和导出功能十分有用。对于未托管环境中要在多个系统上使用其首选配置的用户,导出设置选项也很便利,因为他们可以方便地导入 .txt 文件来传输这些设置。
hmtoggle_plus0 显示导入/导出文件格式的示例

ESMC 中的检测排除设置

ESMC 7.1 包括检测排除管理的新向导 - 创建检测排除并将其应用到更多计算机/组。

可以从 ESMC 覆盖检测排除

当存在检测排除本地列表时,管理员必须应用允许附加检测排除到本地定义的列表策略。之后,从 ESMC 附加检测排除将按预期工作。

admin_pol_detection_exclusion