动态与公告

产品动态

产品公告

新手指引

产品简介

产品概述

产品优势

基本概念

应用场景

关联产品

功能介绍与版本比较

购买指南

购买安全防护授权

购买日志分析服务

快速入门

操作指南

安全概览

资产概览

主机列表

资产指纹

漏洞管理

基线管理

文件查杀

异常登录

密码破解

恶意请求

高危命令

本地提权

反弹 Shell

Java 内存马

核心文件监控

网络攻击

勒索防御

日志分析

授权管理

告警设置

访问管理指引

混合云安装指引

新手常见问题

软件相关说明

功能行为描述

客户端进程说明

安全基线检测列表

JSON 格式告警数据解析

日志字段数据解析

客户端安装指引

安全评分说明

实践教程

漏洞自动修复

恶意文件处理

故障处理

Linux 入侵类问题排查思路

Windows 入侵类问题排查思路

Linux 客户端离线排查

Windows 客户端离线排查

异常登录的消息提醒

API 文档

History

Introduction

API Category

Asset Management APIs

Virus Scanning APIs

Abnormal Log-in APIs

Password Cracking APIs

Malicious Request APIs

High-Risk Command APIs

Local Privilege Escalation APIs

Reverse Shell APIs

Vulnerability Management APIs

New Baseline Management APIs

Baseline Management APIs

Advanced Defense APIs

Security Operation APIs

Expert Service APIs

Other APIs

Overview Statistics APIs

Settings Center APIs

Making API Requests

Intrusion Detection APIs

Data Types

Error Codes

常见问题

文件查杀

PDF

聚焦模式

字号

最后更新时间： 2024-08-13 16:29:50

﻿本文档将指导您如何在主机安全控制台对木马文件进行操作处理。
文件查杀设置
1. 登录 主机安全控制台，在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面，单击右上角处的查杀设置，右侧弹出查杀设置页面，可对查杀模式进行设置。
说明：
该功能属于专业版/旗舰版功能，请先 购买防护授权 并绑定主机，升级为专业版/旗舰版主机。
文件查杀支持木马文件检测，全部机器可累计免费检测5条恶意文件安全事件，超过则停止检测，升级为专业版或旗舰版主机安全则没有次数限制，常见的木马文件检测有以下两种：
Webshell 检测：提供常用的 Web 网站类脚本木马后门检测，包含 ASP/PHP/JSP/Python 等脚本语言。
二进制检测：提供对二进制可执行类的病毒木马检测，例如 DDoS 木马、远控、挖矿类软件等，文件类型包括 exe、dll、bin 等，并告警用户。
﻿
3. 在查杀设置页面，支持定时扫描、实时监控、自动隔离设置。
定时检测：单击开启定时扫描，设置检测模式、周期和检测范围后，单击保存，可定期扫描主机木马病毒文件，增强安全性。
﻿
检测模式：包括快速检测模式和全盘检测模式，可对运行中进程、关键目录、驱动加载等进行检测。其中全盘检测的时长与服务器磁盘文件数量相关，推荐检测周期选择4小时以上，避免出现扫描不完整或超时情况。
快速检测：Linux系统会检测运行中进程、关键目录、驱动加载等；Windows 会扫描 C 盘。
全盘检测：Linux 系统除快速检测范围外，还会检测系统所有分区；Windows 会扫描 CDEF 盘。
异常进程检测：深度检测内存中的异常进程，可能造成一定程度的资源占用率升高，请谨慎选择。
检测周期：可选择每天、每隔3天或每隔7天检测周期。
检测范围：包括全部专业版本服务器和自选服务器。
实时监控：单击开启实时监控，并选择监控模式后，单击保存，可实时监控 Web 目录、系统关键目录，查杀木马病毒文件。
﻿
﻿
﻿
说明：
监控模式分为标准和推荐两种模式。
标准：监控并扫描检测常见目录下增量文件。
深度：监控并扫描检测所有目录下增量文件。
自动隔离：单击开启自动隔离 > 保存，自动隔离检测出的恶意文件，部分恶意文件仍需用户手动确认隔离，建议检查文件查杀列表中所有安全事件，确保已全部处理。
说明：
若出现误隔离，请在已隔离列表中对文件进行恢复。开启或关闭自动隔离，均需要进行配置，实际生效存在几分钟延迟。
﻿
检测设置概览
1. 登录 主机安全控制台 ，在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面，单击一键扫描，开始设置手动检测模式。
﻿
﻿
﻿
3. 在一键扫描设置页面，设置目标检测模式、主机范围和超时时间后，检测可能会因为文件、目录过多，扫描耗时较长，可以设置单次扫描时长，超时则视为扫描失败。
﻿
﻿
﻿
4. 单击开启检测后按照检测设置进行检测，可单击查看详情查看检测详情信息。
﻿
﻿
﻿
    检测详情列表包含字段说明如下：
影响服务器：目标服务器的 IP 及名称。
操作系统：目标服务器的操作系统。
检测状态：目标服务器检测完成、检测中及检测失败的检测状态，其中检测失败的原因可能是目标服务器检测超时失败，建议增加超时时长后重新检测，检测失败的原因可能是客户端已离线，建议重启或重新安装客户端后重新检测。
待处理风险：目标服务器检测出待处理的风险文件数量。
检测开始时间：此次检测开始的时间。
检测结束时间：目标服务器检测结束的时间。
操作：
重新检测：若想对检测状态处于检测完成、检测停止和检测失败的目标服务器再次检测，您可以单击重新检测。
停止检测：若想对检测状态处于检测中的目标服务器停止检测，您可以单击停止检测。
注意：
选中的服务器将不会被检测，可能存在的风险将不会告警提示，请谨慎操作。
查看详情：若想查看目标服务器的检测结果详情，您可以单击查看详情。
查看事件列表
1. 登录 主机安全控制台，在左侧导航栏选择入侵检测 > 文件查杀。
2. 在文件查杀页面，可查看当前受保护的服务器中，木马文件检测情况，如下图所示：
﻿
事件列表包含字段说明如下：
服务器 IP /名称 ：当前检测的目标服务器 IP 和名称。
路径：目标风险文件的文件路径，单击
﻿
复制路径信息、单击
﻿
下载目标风险文件。
病毒名/检出引擎：入侵目标风险文件的病毒名。
首次发现时间：首次检测到目标风险文件出现的时间。
最近检测时间：最近一次检测到目标风险文件出现的时间。
处理状态：目标风险文件的处理状态，待处理状态的事件会提示最近一次检测该文件时，文件和进程的存在情况。
操作：
隔离：若确认文件是恶意的，可以对单个文件进行隔离，或者批量选择文件进行一键隔离。当隔离成功后，原始恶意文件将被加密隔离，后期可以通过筛选已隔离文件，进行恢复。
信任：若文件是非恶意的，可以选择信任操作，加入信任后，主机安全将不再对该文件进行检测，可以通过筛选信任文件，对信任文件进行管理。
删除记录：该操作仅删除日志记录，不会删除文件，操作后无法再查看相关日志信息，建议您先对文件进行“隔离”、“信任”操作，或根据路径找到相应文件进行手动删除。
详情：若想查看目标风险文件的检测结果详情，可以单击查看详情。
常见问题
木马文件为什么隔离失败？
木马文件隔离失败，一般是由于木马文件对抗安全软件导致的，建议先自行删除服务器中的告警文件。若仍无法处理，请 提交工单 联系我们进行处理，Windows 系统也可尝试使用腾讯电脑管家进行查杀。
后续步骤
Linux 入侵类问题排查指南，请参见 Linux 入侵类问题排查思路。
Windows 入侵类问题排查指南，请参见 Windows 入侵类问题排查思路。