二、风险分析给Forefront来点智慧
众所周知,总是先有病毒或者恶意软件,安全工具才会出现与之对应的杀毒措施。为此从某种意义上来说,病毒、恶意软件总是先走一步。这种情况下,安全工具就显得有点被动。其实某个病毒出现之前总会有一点“先兆”。如果能够抓住这点先兆的话,安全工具还是能够分析某个文件是否存在潜在的威胁。
在Forefront中就采取了类似的措施。如上图所示,这款软件提供了一个“使用启发式检测尚未分析风险的软件的有害或者不需要的行为”。这个选项是什么意思呢?通常情况下,ForeFront在检测时只能够识别已知的威胁。但是如果启用这个选项的话,系统也可以检测那些在定义文件中尚未列出的软件的有害或者不需要的行为向用户发出警报。如20、21是FTP协议所采用的端口。在扫描的过程中,如果发现其他应用软件(如不是微软的IIS)需要使用到这个端口,那么即使这个软件在定义文件中没有被拉入黑名单,系统也会向用户发出警报。然后让用户去确认这个软件是否合法,通过这种机制就可以最大程度的发现有安全隐患的文件与应用程序。
