sábado, 12 de marzo de 2011

McAfee VirusScan y McAfee Agent

 En  este artículo quiero ofrecer una breve descripción de los procesos de McAfee VirusScan y el agente de McAfee de gestión. Además, la secuencia en que los principales componentes se cargan también se describiran a continuación.

Common Management Agent / Agente de McAfee procesos:
Nombre del proceso Descripción
McScript.exe Este proceso  ejecuta secuencias de comandos para la actualización de los archivos DAT, Motores, Service Packs, o cualquier otro componente que está protegido en un repositorio. Este proceso se ejecuta cuando se inicia la tarea de actualización.
UpdaterUI.exe / UdaterUI.exe   Estos procesos proporcionan la interfaz de usuario para las actualizaciones. También controlan el icono del Agente de la bandeja del sistema y se cargan a través de la clave Run del registro de Windows.
naPrdMgr.exe Este ejecutable es el Manager del Producto para el servicio de McAfee Framework. Se carga por el servicio de Framework y se comunica con los diferentes puntos de los plugins del producto.
FrameworkService.exe El servicio de McAfee Framework se utiliza para proporcionar la mayor funcionalidad de los CMA (Common Management Agent) 
Cleanup.exe Este proceso se utiliza para "limpiar" después de instalaciones o desinstalación del CMA.
CmdAgent.exe Este proceso es un programa de línea de comandos que invoca la funcionalidad de CMA.
FRMINST.EXE Este proceso es el programa de instalación de CMA.
McScript_InUse.exe Este proceso permite una tarea de distribución de CMA para poder completar sin necesidad de bloquear los archivos en uso.
McTray.exe Este es el único icono de la herramienta de gestión. Se ejecuta bajo la misma sesión de usuario y se inicia por el UdaterUI.exe.
Procesos del VirusScan Enterprise:
Nombre del proceso Descripción
Mcshield.exe El McShield es el servicio del On Access Scanner.
Scan32.exe Este es el On-Demand Scanner proceso que se carga cuando un análisis bajo demanda se ha iniciado.
Shstat.exe Este ejecutable se carga desde la clave Run del registro de Windows y es responsable de cargar el icono de VShield y mostrar las estadísticas del On-Access Scanner.
Tbmon.exe Este ejecutable se carga desde la clave Run del registro de Windows y es responsable del Servicio de informe de errores.
VsTskMgr.exe Este ejecutable protege los archivos de VirusScan y ofrece cambios locales para tareas programadas del CMA.
Engineserver.exe  Este componente es utilizado por On-Demand Scanner y Mail Scanners  para cargar los archivos DAT y Engine.
mfevtps.exe Este componente se carga al arrancar el ordenador y lleva a cabo "la validación de confianza" para todos los procesos de McAfee que tienen que cargar.
mfeann.exe Este componente es el "presentador o anunciador", que muestra el diálogo de  On-Access Scan. Esto es nuevo para VirusScan Enterprise 8.7. En las versiones anteriores de VirusScan, este servicio era una parte de mcshield.exe.
Controladores / Drivers del VirusScan Enterprise 8.0i:
Nombre del Controlador Descripción
NaiAVFilter1.sys Este es el controlador de sistema de filtro de archivos y es utilizado por el  Anti-Virus Scanning. Además, este componente proporciona la protección de acceso para los archivos / carpetas y las reglas de bloqueo de acciones.
NaiAVTdi1.sys Este es el controlador de filtros TDI, que proporciona protección de acceso para bloqueo de puertos, y la identificación IP de origen.
Controladores / Drivers del VirusScan Enterprise 8.5i/8.7i:
Nombre del Controlador Descripción
mfeapfk.sys Este es el controlador del filtro de protección de acceso que proporciona la protección de acceso de archivo / carpeta y el Registro de bloqueo.
mfeavfk.sys Archivo de sistema usado como controlador de filtro, por el Anti-Virus scanning.
mfebopk.sys Controlador de sistema, utilizado por Buffer Overflow Protection.
mfehidk.sys Controlador usado para la detección de intrusiones. Este componente es usado por Access Protection y el controlador de filtro e intercepción Buffer Overflow.
mferkdet.sys VSCore Código de Controlador de Análisis. Esto proporciona la funcionalidad de On-Demand para realizar un escaneo en busca de rootkits.
mfetdik.sys Controlador de filtro TDI. Esto proporciona la protección de acceso para bloqueo de puertos, y la identificación IP de origen.
La secuencia de carga de los principales componentes anteriormente mencionados:
Paso 1: El equipo está arrancando. (Los controladores y los servicios se están cargando)
NaiAVTdi1.sys El controlador de filtro TDI se carga y se inserta en el dispositivo de red para filtrar los paquetes de los protocolos TCP / UDP. Esto proporciona la funcionalidad de bloqueo de puertos de acceso de protección.
McShield, FrameworkService  y VsTskMgr Servicios de carga de forma automática. Como se describe anteriormente, McShield es el componente en modo de usuario del On-Access Scanner. El Servicio Framework proporciona la actualización, la programación y la funcionalidad de creación de reflejo, mientras que VsTskMgr es un servicio utilizado para coordinar eventos. Por ejemplo, envía información de planificación al CMA. Si se reinicia McShield y se produce un tiempo de espera demasiado alto y da el error fatal timeout, protege los archivos de VirusScan Enterprise a no ser modificados.
NaiAvFilter1 El controlador de filtro de sistema de archivos, se carga por McShield y también proporciona el archivo / compartir el acceso a la funcionalidad de protección.
EntDrvxx Es el conductor de desbordamiento de búfer, que es cargado por McShield
NaPrdMgr cargado por FrameworkService para comunicarse con los puntos de los plugins del producto.
Pasó 2: El usuario inicia sesión ( Los elementos del Run keys del registro se cargan)
UpdaterUI / UdaterUI , TBMon  SHStat se carga (VSE8.0i solamente)
TBMon Es el componente de captura de informe de errores para enviar a McAfee (VSE8.0i solamente).
SHStat Es el icono VShield que muestran las estadísticas OAS (ventana de Windows)  cuando se producen detecciones.
UpdaterUI / UdaterUI Proporciona la interfaz de usuario para ver lo que CMA está haciendo en VSE 8.7i
Pasó 3: Otros componentes se cargan. (Cómo y cuando sea necesario)
McScript / McScript_In_Use Ejecuta secuencias de comandos para las operaciones de CMA.
SCAN32   On Demand Scanner Se utiliza cuando la On Demand Scanner tiene una tarea programada para el lanzamiento de un análisis.
McConsole Muestra la consola cuando On Demand Scanner  es invocado por el usuario a través del entorno grafico de la consola.
ShCfg32 Es el On-Access Scanner de propiedades de configuración de acceso.
ScnCfg32 Es el On Demand Scan de propiedades de configuración de acceso. Esto también se utiliza cuando On Demand Scan es invocado por el usuario a través del entorno grafico.

Un Saludo

11 comentarios:

Anónimo dijo...

Saludos Daniel:

Estoy investigando como escanear un archivo mientras es subido por el usuario a un servidor. Desconozco completamente del tema. Podrías recomendarme algo al respecto?

Daniel Oprea dijo...

Buenas Anonimo :D

Pues respecto a tu consulta de ofrecer la seguridad a tu red como al/los servidor/es frente a los ataques o a la subida de archivos te recomiendaria lo siguiente:
1º- Montate un McAfee ePolicy Orchestrator (EPO)
2º- Despliegue los clientes (antivirus) en los servidores como en los pc´s de tu red.
3º- Montate un servidor con el "McAfee SaaS Web Protection" que te ofrece:
-Protección total del tráfico entrante y saliente
-Seguridad para el tráfico de la Web 2.0
-Seguridad reforzada gracias a la tecnología McAfee Global Threat Intelligence
-Filtrado web
Y mucho mas, para mas info sobre este producto te recomiendaria que entres en el siguiente link:
http://www.mcafee.com/es/products/saas-web-protection.aspx

Espero haberte ayudado.

Un Saludo

Anónimo dijo...

Hola Daniel, Muchas gracias por la info.
Te consulto lo siguiente: Es posible editar algun archivo para configurar, por ejemplo, la tarea programada del Scan OnDemand? O esto solo es posible a traves de la interfaz?
Necesito configurar muchas workstations, y si existe este archivo me serviria para editarlo y luego replicarlo.

Desde ya muchas gracias.

Saludos.

Martin

Daniel Oprea dijo...

Hola Martin

Disculpa por el retraso pero esque ando bastante liado. Con respecto a tu consulta he escrito un post para explicartelo mejor:

http://danieloprea.blogspot.com/2012/02/hola-he-recibido-la-siguiente-consulta.html#links

Espero que te he podido ayudar.

Un Saludo
Daniel

Anónimo dijo...

Muchas gracias Daniel. Desconocia esta opcion de configurar consolas de equipos remotos. Me sirve.

Saludos.

Martin.

Anónimo dijo...

Hola te consulto esto: que es lo que comunmente no se escanea/inhabilita en Mcafee virus scan 8.8 para permitir la instalacion de impresoras o dispositivos USB.

Wally Lobo dijo...

Una consulta hice un archivo en la compu q uso en el trabajo, copie al usb y ahora bloqueo mis demas archivos ahi usan el MaAfee agent. es posible recuperar estos archivos

boris a m m dijo...

mi cortafuegos de mc afee no me permite el funcionamiento del control de ciber

Daniel Oprea dijo...

Hola Boris,

Para que te funcione, tienes que crear las exclusiones del proceso de tu aplicativo a través de "Protección de Acceso". Para ello, debes mirar el log "Protección de Acceso" y ver que regla te esta bloqueando este proceso. Una vez que sabes cual es la regla, tan solo te debes situar sobre ella y darle "Editar" y en el campo "Procesos que se excluyen" debes poner el nombre de tu proceso.

Unknown dijo...

hola, buen dia tengo una duda veo que en la consola epo de mcafee existen varios escaneos tales como: escaneo alto estaciones, escaneo basico estaciones de trabajo, escaneo completo servidoresy escaneo rapido servidores el anterior administrador las creo pero no me dijo como se realizaban estos escaneos es decir cual es la diferencia entre un escaneo alto, basico, completo y rapido. te agradeceria si me ayudas con esto, gracias ;)

Daniel Oprea dijo...

Hola Fabian,

Estas son politicas personalizadas, y para ver que hace cada una deberias editarlas y ver su contenido. Pero, yo te recomendaria que consultes el manual 1º para que veas como se editan y crean estas politicas y ademas entender que hace cada regla.

Un Saludo
Daniel

Publicar un comentario