Sophos 行為偵測係讀取掃描的一部份,可防護 Windows 的電腦,免於不明或「零日」安全威脅與可疑行為的侵襲。
執行階段偵測可攔截在執行前無法偵測到的安全威脅。行為偵測使用以下執行階段偵測方法來攔截安全威脅:
惡意與可疑行為偵測
可疑行為偵測功能使用 Sophos 的主機入侵防護系統 (HIPS),來動態分析在電腦上執行的所有程式,以偵測、攔截看似可疑的行為。可疑行為,可能包括對登錄所進行的變更,該項變更可使電腦重新啟動時,允許一項目病毒自動執行。
可疑行為偵測會偵查所有系統進程是否有惡意程式運作的跡象,例如對於註冊表的寫入操作或檔案複製動作。該功能可設為警告系統管理員與/或攔截進程。
「惡意行為偵測」功能會動態分析運行於電腦上所有程式的行為,以偵測、攔截視為惡意的行為。
緩衝區溢位偵測
緩衝區溢位偵測對於處理零日安全漏洞相當重要。
緩衝區溢位偵測會動態分析在系統上運行的程式行為,以便偵測使用緩衝區溢位偵測技術來利用運行中處理程序的動作。緩衝區溢位偵測會獵捕針對作業系統軟體與應用程式安全漏洞的攻擊行為。