《2022年OSCE病毒的隔离与恢复 .pdf》由会员分享,可在线阅读,更多相关《2022年OSCE病毒的隔离与恢复 .pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1启用 China Pattern的 IntelliTrap 扫描措施(本文只限于 officescan)图文 1.0 版 2007-07-01 一.启用 China Pattern的 IntelliTrap 扫描措施.2 1.1 前期准备(必看):.2 1.2 设置加壳软件(Packer)和Generic 检测类型的扫描措施:先清除,后隔离.2 二.正常 Packer 文件被隔离后如何恢复.5 2.1 了解 Officescan对文件的隔离动作.5 2.2 如何恢复隔离文件.5 2.2.1 若隔离文件还在客户端隔离文件夹.5 2.2.2 若隔离文件已上传到服务器端隔离文件夹.7 三.趋势科技
2、厂商资源.8 名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页,共 8 页 -2为了更好的防止未知病毒的攻击我们建议趋势科技客户部署China Pattern并开启IntelliTrap 扫描措施.本文介绍如何正确开启IntelliTrap 扫描措施.一.启用 China Pattern的 IntelliTrap 扫描措施 1.1 前期准备(必看):1)先确保您使用的是中国区病毒码China Pattern,若否,则参考:中国区病毒码China Pattern相关介绍和部署手册.中国区病毒码 China Pattern 相关说明http:/ China Pattern 的 office
3、scan 部署方案http:/ china pattern 后 3-5 工作日后全网收集一次packer,并提交给趋势科技 ChinaPattern Packer&FA 处理专用邮箱:China_P 3)趋势科技1-2 个工作日内会给予及时处理.4)确定所提交的packer 不再误报成packer 时,执行步骤1.2.若否等待或再次提交还报Packer 部分文件给趋势.1.2 设置加壳软件(Packer)和Generic 检测类型的扫描措施:先清除,后隔离 步骤 1:打开 officescan主控台 步骤 2:进入”客户机”,选择右边的”防毒墙网络版服务器”,并且选择”扫描选项”名师资料总结-
4、精品资料欢迎下载-名师精心整理-第 2 页,共 8 页 -3步骤 3:选择”实时扫描”步骤 4:选中”使用定制的扫描处理措施”单选框 (注:默认可能为”使用 activeaction-根据文件类型推荐的处理措施”)并把下面类型中的加壳软件 和 Generic 两种检测类型 对应的的处理措施调整为:措施一:清除 措施二:隔离(注:默认可能为”不予处理”)名师资料总结-精品资料欢迎下载-名师精心整理-第 3 页,共 8 页 -4步骤 5:重复步骤3 和步骤 4,对”手动扫描”和”预设扫描”也务必做同样的设置.名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页,共 8 页 -5二.正常 Pac
5、ker 文件被隔离后如何恢复2.1 了解 Officescan对文件的隔离动作对于需要隔离的文件:1.Officescan 先会将被隔离文件放到本机(客户端)的TrendMicroOfficeScanclientsuspect目录下,并删除客户端的原始文件.2.然后,若 Officescan客户端与服务端通信通畅,该隔离文件会被上传至服务端Trend MicroOfficeScanPCCSRVVirus目录下,并删除客户端的隔离文件.2.2 如何恢复隔离文件2.2.1 若隔离文件还在客户端隔离文件夹1.关闭 OfficeScan实时扫描(防止恢复后文件被再次隔离)2.将误报文件或(目录)设置为
6、例外列表3.准备趋势科技隔离文件恢复工具vsencode在防毒墙网络版服务器上,打开Windows资源管理器,然后转至防毒墙网络版的 PCCSRVAdminUtilityVSEncrypt 文件夹。将整个 VSEncrypt 文件夹复制到客户计算机。注意:不要将 VSEncrypt 文件夹复制到防毒墙网络版文件夹中。“恢复加密文件”的 Vsapi32.dll 文件将与原来的 Vsapi32.dll 冲突。具体步骤:1)进入防毒墙网络版的PCCSRVAdminUtility下面复制vsencrypt 文件夹名师资料总结-精品资料欢迎下载-名师精心整理-第 5 页,共 8 页 -62)将 vsen
7、crypt 文件夹复制到客户机D 盘(具体位置客户可以自己定)4.还原被隔离的文件1)在客户端机器上打开一个命令提示符窗口(开始 运行CMD)2)用命令行:cd vsencrypt文件夹的完整路径 把当前目录改为刚复制过来VSEncrypt 文件夹,并键入 VSEncode-d 名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页,共 8 页 -73)客户机的 c:program filesTrend MicroOfficeScan clientsuspect目录下隔离文件会被全部恢复。5.将还原后的文件复制到文件原始位置.6.开启 OfficeScan实时扫描7.将误报的文件提交给趋势科
8、技:ChinaPattern Packer&FA 处理专用邮箱:China_P 2.2.2 若隔离文件已上传到服务器端隔离文件夹如果隔离文件已经上传到服务器上,需要到服务端Trend MicroOfficeScanPCCSRVVirus目录下寻找被隔离文件.从客户端送上来的隔离文件会被重命名:格式:客户机机器名_随机数,如图所示名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页,共 8 页 -8恢复步骤:1.找到对应的客户机上传的隔离文件:客户机机器名 _随机数 2.将此类文件复制到对应的客户端的Officescan隔离目录TrendMicroOfficeScanclientsuspect目录下.3.执行 2.2.1(隔离文件还在客户端隔离文件夹)的一系列动作.三.趋势科技厂商资源 800 免费售后热线:800-820-8839 售后电子邮件地址: China Pattern收集到的Packer 或 FA样本处理专用邮箱:China_P (注意:对于其他av 案件,不予处理)趋势科技中文网站: 病毒查询: 中文版资料及软件下载: 附注:打 800 电话或者发邮件到 Service 邮箱时请注明自己是 China Pattern 用户或者请注明自己的病毒码版本。名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页,共 8 页 -