惡意程式防護模組為代理電腦提供即時和隨選的檔案型安全威脅防護,包括惡意程式、病毒、木馬和間諜程式。為了識別安全威脅,惡意程式防護模組會將本地硬碟上的檔案與綜合威脅資料庫進行比對。惡意程式防護模組還會檢查檔案的某些特徵,例如壓縮和已知的漏洞代碼。
部分安全威脅資料庫儲存在趨勢科技伺服器上或本機作為樣本。代理程式會定期下載惡意程式防護樣本和更新,以確保防護最新的威脅。
 |
注意新安裝的代理程式在聯繫更新伺服器以下載惡意程式防護模式和更新之前,無法提供惡意程式防護。請確保您的代理程式在安裝後能夠與中繼站或趨勢科技更新伺服器進行通訊。
|
惡意程式防護模組在盡量減少對系統性能影響的同時消除威脅。惡意程式防護模組可以清除、刪除或隔離惡意檔案。它還可以終止進程並刪除與已識別威脅相關的其他系統對象。
要開啟和配置惡意程式防護模組,請參閱 啟用和配置惡意程式防護。
惡意程式掃描類型
惡意程式防護模組執行多種類型的掃描。另請參閱 選擇要執行的掃描類型。
即時掃瞄
每次接收、開啟、下載、複製或修改檔案時立即掃瞄,代理程式會掃瞄檔案以檢查安全風險。如果代理程式未檢測到安全風險,檔案將保留在其位置資訊,使用者可以繼續存取該檔案。如果代理程式檢測到安全風險,則會顯示通知訊息,顯示中毒檔案的名稱和具體的安全風險。
實時掃描會持續生效,除非使用排程選項配置了其他時間範圍。
|
注意對於 macOS 代理程式,持續支援即時掃描,但目前不支援 Schedule 選項 ()。
|
 |
秘訣您可以配置即時掃描在不會對效能產生重大影響的時候運行;例如,當文件伺服器計劃備份文件時。
|
此掃瞄可在所有受惡意程式防護模組支援的平台上執行。
手動掃瞄
對電腦上的所有進程和文件進行全面系統掃瞄。完成掃瞄所需的時間取決於需要掃瞄的文件數量和電腦的硬體資源。手動掃瞄比快速掃瞄需要更多時間。
當點擊Full Scan for Malware時,會執行手動掃瞄。
此掃瞄可在惡意程式防護模組支援的所有平台上執行。
預約掃瞄
在設定的日期和時間自動執行。使用預約掃瞄來自動化例行掃瞄並提高掃瞄管理效率。
預約掃瞄會根據您在使用預約任務建立Scan computers for Malware任務時指定的日期和時間運行(請參閱排程Server & Workload Security保護以執行任務)。
此掃瞄可在惡意程式防護模組支援的所有平台上執行。
快速掃瞄
僅掃瞄電腦防護的關鍵系統區域以檢查當前活動的威脅。快速掃瞄會尋找當前活動的惡意程式,但不會進行深層文件掃瞄以尋找休眠或存儲的中毒文件。對於較大的磁碟,快速掃瞄的速度顯著快於完整掃瞄。快速掃瞄不可配置。
當您點選Quick Scan for Malware時,將執行快速掃瞄。
|
注意快速掃瞄只能在 Windows 電腦上執行。
|
掃瞄物件和順序
下表列出了在每種類型的掃瞄中掃瞄的對象及其掃瞄順序。
|
目標
|
完整掃瞄(手動或排程)
|
快速掃瞄
|
|
驅動程式
|
1
|
1
|
|
特洛伊木馬程式
|
2
|
2
|
|
處理影像
|
3
|
3
|
|
記憶體
|
4
|
4
|
|
開機磁區
|
5
|
-
|
|
檔案
|
6
|
5
|
|
間諜程式
|
7
|
6
|
惡意程式掃瞄設定
惡意程式掃瞄配置是一組控制惡意程式掃瞄行為的選項。當您使用政策或針對特定電腦防護配置惡意程式防護時,您需要選擇一個惡意程式掃瞄配置來使用。您可以創建多個惡意程式掃瞄配置,並在不同的電腦防護群組有不同掃瞄需求時,與不同的政策一起使用。
即時、手動和預約掃瞄都使用惡意程式掃瞄配置。Server & Workload Security保護 提供每種類型掃瞄的預設惡意程式掃瞄配置。這些掃瞄配置用於預設的安全性政策中。您可以按原樣使用預設掃瞄配置、修改它們或創建您自己的配置。
|
注意快速掃瞄無法配置,且不使用惡意程式掃瞄配置。
|
您可以指定在掃瞄期間包含或排除哪些檔案和目錄,以及在電腦防護上檢測到惡意程式時採取哪些動作(例如,清除、隔離或刪除)。
如需詳細資訊,請參閱 設定惡意程式掃瞄。
惡意程式事件
當代理程式偵測到惡意程式時,會觸發一個事件並顯示在事件日誌中。從那裡,您可以查看有關事件的資訊,或為該檔案建立例外情況以防誤報。您也可以還原實際上無害的檔案。
詳情請參閱:
雲端截毒掃瞄
雲端截毒掃瞄使用儲存在趨勢科技伺服器上的安全威脅簽名,並提供多項好處:
- 提供快速、基於雲端的即時安全狀態查詢
- 縮短針對新興威脅提供保護所需的時間
- 減少模式更新時消耗的網路頻寬(大部分的模式定義更新只需傳送到雲端,而不是多台電腦)
- 降低公司範圍內模式部署的成本和開銷
- 降低電腦上的核心記憶體消耗(消耗量隨時間略微增加)
當雲端截毒掃瞄已啟動時,代理程式會先在本地掃瞄安全風險。如果代理程式在掃瞄期間無法評估檔案的風險,它會嘗試連接到本地雲端截毒掃瞄伺服器。如果未偵測到本地雲端截毒掃瞄伺服器,代理程式會嘗試連接到趨勢科技全球雲端截毒掃瞄伺服器。欲了解此功能的詳細資訊,請參閱
主動式雲端截毒技術在 Server & Workload Security保護。
Machine Learning
Server & Workload Security保護 透過 Machine Learning 提供增強的惡意程式保護,以防範未知威脅和零時差攻擊。趨勢科技 Machine Learning 使用先進的機器學習技術來關聯安全威脅資訊,並執行深入的檔案分析,透過數位
DNA 指紋、API 映射和其他檔案特徵來偵測新興的安全風險。
Machine Learning 在防止因網路釣魚和魚叉式網路釣魚等技術的定向攻擊而導致的安全漏洞方面非常有效。在這些情況下,專門設計用來針對您環境的惡意程式可以繞過傳統的惡意程式掃描技術。
在即時掃描期間,當代理程式偵測到未知或低流行度的檔案時,代理程式會使用進階安全威脅掃瞄引擎 (ATSE) 掃描檔案以提取檔案特徵。然後,它會將報告發送到趨勢科技主動雲端截毒技術上的
Machine Learning 引擎。透過惡意程式建模,Machine Learning 將樣本與惡意程式模型進行比較,分配概率分數,並確定檔案中包含的可能的惡意程式類型。
如果該檔案被識別為安全威脅,代理程式會清理、隔離或刪除該檔案,以防止安全威脅繼續在您的網路中傳播。
如需有關使用 Machine Learning 的資訊,請參閱 使用 Machine Learning 偵測新興威脅。
惡意程式類型
惡意程式防護模組可防護多種基於檔案的威脅。另請參閱 掃瞄特定類型的惡意程式 和 設定如何處理惡意程式。
病毒
病毒透過插入惡意程式碼來感染檔案。通常,當中毒檔案被打開時,惡意程式碼會自動運行並傳送有效負載,此外還會感染其他檔案。以下是一些較常見的病毒類型:
- COM and EXE infectors 感染 DOS 和 Windows 可執行檔案,這些檔案通常具有 COM 和 EXE 擴展名。
- Macro viruses 通過插入惡意宏來感染 Microsoft Office 文件。
- Boot sector viruses 感染包含作業系統啟動指令的硬碟區段
惡意程式防護模組使用不同的技術來識別和清理中毒檔案。最傳統的方法是檢測用於感染檔案的實際惡意程式碼,並從中毒檔案中剝離這些程式碼。其他方法包括調節對可感染檔案的更改,或在對其進行可疑修改時備份這些檔案。
特洛伊木馬程式
有些惡意程式並不會透過將程式碼注入其他檔案來傳播。相反地,它們有其他的方法或效果:
- Trojans: 惡意程式檔案在開啟時會執行並感染系統(如同神話中的特洛伊木馬)。
- Backdoors: 惡意應用程式會開啟埠號,允許未經授權的遠端使用者存取中毒系統。
- Worms: 惡意程式利用網路從一個系統傳播到另一個系統。蠕蟲程式已知會利用社交工程,通過吸引人的電子郵件訊息、即時訊息或共享檔案來傳播。它們也會將自己複製到可訪問的網路共享並通過利用弱點傳播到其他電腦。
- Network viruses: 是僅存在於記憶體或封包中的程式(非檔案型)。惡意程式防護無法偵測或移除網路病毒。
- Rootkits: 基於檔案的惡意程式,會操縱對作業系統元件的呼叫。應用程式,包括監控和安全軟體,需要進行這些基本功能的呼叫,例如列出檔案或識別正在執行的進程。通過操縱這些呼叫,rootkits 能夠隱藏其存在或其他惡意程式的存在。
封包器
封包器是壓縮和加密的可執行程式。為了逃避偵測,惡意程式作者經常將現有的惡意程式打包在多層壓縮和加密之下。惡意程式防護會檢查可執行檔案中與惡意程式相關的壓縮模式。
間諜程式/可能的資安威脅程式
間諜程式和可能的資安威脅程式包括收集資訊以傳送到另一個系統或由另一個應用程式收集的應用程式和元件。間諜程式/可能的資安威脅程式偵測數,雖然顯示出潛在的惡意行為,但可能包括用於合法目的的應用程式,如遠端監控。內在惡意的間諜程式/可能的資安威脅程式,包括那些通過已知惡意程式渠道分發的,通常會被偵測為其他木馬程式。
間諜程式和可能的資安威脅程式通常分類為:
- Spyware: 軟體安裝在電腦防護上以收集和傳輸個人信息。
- Dialers: 惡意撥號程式旨在通過高費率號碼連接,導致意外費用。一些撥號程式還會傳輸個人信息並下載惡意軟體。
- Hacking tools: 程式或一組程式,旨在協助未經授權訪問電腦防護系統。
- Adware (advertising-supported software): 任何自動播放、顯示或下載廣告材料的軟體包。
- Cookies: 由網頁瀏覽器儲存的文字檔案。Cookies 包含網站相關的資料,例如驗證資訊和網站偏好設定。Cookies 無法執行且不會中毒;然而,它們可以被用作間諜程式。即使是從合法網站發送的 Cookies 也可能被用於惡意目的。
- Keyloggers: 軟體記錄使用者的按鍵以竊取密碼和其他私人資訊。有些鍵盤記錄器會將記錄傳送到遠端系統。
What is grayware?
儘管它們表現出可能具侵入性的行為,但某些類似間諜程式的應用程式被認為是合法的。例如,一些商業上可用的遠端控制和監控應用程式可以追蹤和收集系統事件,然後將這些事件的信息發送到另一個系統。系統管理員和其他使用者可能會發現自己安裝了這些合法的應用程式。這些應用程式被稱為「可能的資安威脅程式」。
為了防止可能的資安威脅程式的非法使用,惡意程式防護模組會偵測可能的資安威脅程式,但提供「批准」偵測到的應用程式並允許其運行的選項。
Cookie
Cookies 是由網頁瀏覽器儲存的文字檔案,並在每次 HTTP 請求時傳回給 Web 伺服器。Cookies 可以包含驗證資訊、偏好設定,以及(在來自中毒伺服器的儲存攻擊情況下)SQL
注入和 XSS 攻擊。
其他威脅
其他威脅包括未分類在任何惡意程式類型下的惡意程式。此類別包括玩笑程式,這些程式顯示虛假通知或操縱螢幕行為,但通常無害。
可能的惡意程式
可能的惡意程式是看起來可疑但無法分類為特定惡意程式變種的檔案。當偵測到可能的惡意程式時,趨勢科技建議您聯絡您的技術支援中心以獲取進一步分析檔案的協助。預設情況下,這些偵測會被記錄,並且檔案會以受保護的方式發送回趨勢科技進行分析。