【虚拟化轻代理】 Winodws客户端隔离区相关信息说明

戴红昌发表于:2020年09月16日 16:54:33更新于:2020年11月03日 15:02:12

轻代理客户端在查杀病毒后,若设置的处置方案为“隔离”, 则会将病毒文件加密后放入隔离区,然后删除原病毒文件。此文章主要介绍客户端隔离区的相关信息及操作方法。


一、基本信息:

客户端存在2个隔离区路径,这2个文件夹只有在有文件被隔离时,才会自动创建。

    1,索引文件路径:此文件夹用来存放隔离文件的“索引”,每个被隔离的文件均会生成一个“索引文件”, 该文件包含被隔离文件的相关信息(如隔离时间、原文件路径等)

                  文件位置:win 2003及之前的操作系统为%ALLUSERSPROFILE%\360Quarant,默认为C:\Documents and Settings\All Users\Application Data\360Quarant

                                    win 7及之后的操作系统默认为C:\ProgramData\360Quarant

     2,隔离文件路径:此文件夹用来存放加密后的隔离文件本体, 每个被隔离的文件会被单独加密并存放为一个文件。

                   文件位置: 默认为C:\$360Section

image.png


在某个隔离文件被恢复后,隔离区和索引区对应的相关文件均会被删除。


二、自定义隔离区路径的情况:

     1, 从T01R01P004U2B09开始,轻代理增加了新功能允许客户自定义隔离区的位置:

image.png

若客户自定义了隔离区位置,当文件被隔离后,相关索引文件及隔离文件会被存放在自定义的盘符下,路径请参见上述基本信息中的路径。


     2, 如何确定客户端隔离区配置在哪个盘符:

        a, 在轻代理安装目录下的360Safe\deepscan\setting.ini中,查找304的配置,如图中所示, 该客户端的隔离区被配置在了Z盘。

image.png

若setting.ini中不含304字段,则为默认配置,在C盘。

        b, 中控数据库中,查询"client_policy"表中category字段为“sd_settings.quarantdrive”的条目:

           select * from client_policy where mid='xxx' and category='sd_settings.quarantdrive';

image.png

三、360Restore.exe的原理:

轻代理客户端安装目录中,有360Restore.exe,可以用来在本地进行隔离文件删除及恢复操作。

360Restore.exe在启动时,会首先读取C盘中的索引文件目录:

若C盘索引文件目录不存在,即使其他盘符中存在索引文件目录,360Restore.exe也不会再去读取。此时,360Restore.exe显示隔离文件列表为空。

若C盘索引文件目录存在,且含有索引文件, 360Restore.exe会读取C盘的索引文件并显示在隔离文件列表中。即使其他盘符中存在索引文件目录,360Restore.exe也不会去读取。此时,360Restore.exe显示的隔离文件列表为C盘中的所有隔离文件。

若C盘索引文件目录存在且为空,360Restore.exe会继续读取304字段配置盘符的索引文件目录。此时, 360Restore.exe显示的隔离文件列表为用户自定义路径下的隔离文件。