|
|
|
|
|
|
事件
|
說明
|
|---|---|
|
重複的系統檔案
|
許多惡意程式皆有能力以 Windows 系統檔案所使用的檔案名稱,建立本身或其他惡意程式的副本。其用意通常為覆寫或取代系統檔案、規避偵測或防止使用者刪除惡意檔案。
|
|
主機檔案的修改
|
主機檔案會比對網域名稱與 IP 位址。許多惡意程式皆有能力修改主機檔案,而使網路瀏覽器重新導向至中毒、不存在或偽造的網站。
|
|
可疑行為
|
可疑行為是指合法程式不太可能會做出的某個特定或一連串處理行動。使用出現可疑行為的程式時應謹慎。
|
|
新增 Internet Explorer Plug-in
|
間諜程式/可能的資安威脅程式常會安裝不需要的 Internet Explorer Plug-in,包括工具列與「瀏覽器協助物件」。
|
|
Internet Explorer 設定的修改
|
許多病毒/惡意程式皆有能力變更 Internet Explorer 設定,包括首頁、信任的網站、Proxy 伺服器設定和功能表擴充項目等。
|
|
安全策略的修改
|
Windows 安全策略若遭修改,不需要的應用程式即可執行並變更系統設定。
|
|
程式庫植入
|
許多惡意程式皆有能力設定 Windows,而使所有應用程式自動載入程式庫 (DLL)。如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行。
|
|
Shell 的修改
|
許多惡意程式皆有能力修改 Windows Shell 設定,使其與特定檔案類型產生關聯。此常式將使惡意程式在使用者以 Windows 檔案總管開啟關聯的檔案時自動啟動。Windows
Shell 設定變更後,也將使惡意程式得以追蹤所使用的程式,並隨著合法應用程式而啟動。
|
|
新增服務
|
Windows 服務是具有特殊功能的處理程序,通常會以完整的管理存取權持續在背景中執行。惡意程式有時會自行安裝為服務,並隱藏起來。
|
|
系統檔案的修改
|
某些 Windows 系統檔案可決定系統行為,包括啟動程式和畫面保護程式設定。許多惡意程式皆有能力修改系統檔案,進而在開機時自動啟動並控制系統行為。
|
|
防火牆策略的修改
|
Windows 防火牆策略可決定可存取網路的應用程式、可供通訊使用的通訊埠以及可與電腦通訊的 IP 位址。許多惡意程式皆有能力修改策略,進而存取網路和 Internet。 |
|
系統程序修改
|
許多惡意程式會在內建 Windows 程序上執行各種處理行動。這些處理行動可能包括終止或修改執行中的程序。
|
|
新的啟動程式
|
許多惡意程式皆有能力設定 Windows,而使所有應用程式自動載入程式庫 (DLL)。如此將使 DLL 中的惡意常式得以隨著應用程式啟動而執行。
|
|
處理行動
|
說明
|
||
|---|---|---|---|
|
評估
|
OfficeScan 一律允許與事件相關聯程式,但在記錄檔中記錄此處理行動以便評估。
這是對所有監控的系統事件的預設處理行動。
|
||
|
允許
|
OfficeScan 一律允許與事件相關聯程式。
|
||
|
需要時詢問
|
OfficeScan 會提示使用者允許或拒絕與事件相關聯程式,並將該程式新增到例外清單。
如果使用者在特定的時間內未回應,OfficeScan 會自動允許此程式執行。預設時間為 30 秒。如果要修改此時間長度,請參閱先修改時段再允許程式執行。
|
||
|
拒絕
|
OfficeScan 一律封鎖與某個事件相關聯的程式,並在記錄檔中記錄此處理行動。
如果封鎖了某個程式且啟動了通知,OfficeScan 將在 OfficeScan 用戶端電腦上顯示通知。如需有關通知的詳細資訊,請參閱OfficeScan 用戶端使用者的行為監控通知。
|
