Cuando se configura para explorar el "tipo de archivo verdadero", el motor de exploración examina el encabezado del archivo en lugar del nombre de archivo para comprobar cuál es el tipo de archivo real. Por ejemplo, si el motor de exploración está configurado para explorar todos los archivos ejecutables y detecta un archivo denominado “family.gif”, no presupone que se trata de un archivo gráfico. En su lugar, el motor de exploración abre el encabezado del archivo y examina el tipo de datos registrado internamente para determinar si se trata realmente de un archivo gráfico o si es un ejecutable al que se le ha cambiado el nombre para evitar ser detectado.

La exploración de tipos de archivo verdadero funciona junto con IntelliScan para explorar solo los tipos de archivo potencialmente peligrosos. Estas tecnologías pueden reducir, hasta un máximo de dos tercios, el número de archivos que examina el motor de exploración; esta reducción de archivos de exploración también crea cierto riesgo de que un archivo dañino entre en la red.

Por ejemplo, los archivos .gif suponen un gran volumen del total del tráfico en Internet pero es improbable que alberguen virus/malware, inicien código ejecutable o aprovechen cualquier vulnerabilidad conocida o teórica. Sin embargo, esto no significa que sean del todo seguros. Es posible que un hacker malintencionado asigne un nombre de archivo “seguro” a un archivo dañino para engañar al motor de exploración y pasar a la red. Este archivo podría causar daños si alguien le cambiara el nombre y lo ejecutara.