IntelliTrap 是趋势科技的一项启发式技术,用于发现联合使用实时压缩与其他恶意软件特征(如加壳软件)的威胁。这涉及到病毒/恶意软件、蠕虫病毒、特洛伊木马、后门程序和
bot。病毒作者经常试图通过使用不同的文件压缩方式来绕开病毒/恶意软件过滤。IntelliTrap 是一项实时的基于规则的特征码识别扫描引擎技术,可以在使用 16
种常见压缩类型中任何一种压缩深达六层的文件中检测并删除已知病毒/恶意软件。
 |
注意
IntelliTrap 与病毒扫描使用同一扫描引擎。因此,IntelliTrap 的文件处理和扫描规则与管理员为病毒扫描所定义的文件处理和扫描规则相同。
客户端会将检测到的 bot 和其他恶意软件写到 IntelliTrap 日志中。您可以导出 IntelliTrap 日志的内容以在报表中包括这些内容。
IntelliTrap 在检查 bot 和其他恶意软件程序时使用以下组件:
-
病毒扫描引擎
-
IntelliTrap 特征码
-
IntelliTrap 例外特征码
|
真实文件类型
在设置为扫描“真实文件类型”后,扫描引擎将通过检查文件标题(而非文件名)来探知真实文件类型。例如,将扫描引擎设置为扫描所有可执行文件时,如果扫描引擎遇到名为 "family.gif"
的文件,扫描引擎不会将该文件假定为图形文件,而会打开文件标题并检查内部注册的数据类型,以确定该文件确实是图形文件,还是有人为了避免检测而故意这样命名的可执行文件。
通过使用真实文件类型扫描和 IntelliScan,可以只扫描那些已知可能存在危险的文件类型。使用这些技术可以减少扫描引擎要检查的文件数(多达三分之二);但文件扫描减少还可能会带来一些风险,网络上可能会存在有害文件。
例如,.gif 文件需要使用大量的 Web 通信,但这些文件不大可能包含病毒/恶意软件、启动可执行代码或者执行任何已知或理论上存在的恶意操作。这样是否表示它们是安全的?不完全是。恶意黑客有可能给有害文件使用“安全的”文件名从而蒙混过扫描引擎并进入网络。如果用户更名并运行该文件,则会造成损害。
 |
提示
为确保获得最高等级的安全性,趋势科技建议扫描所有文件。
|