它与Windows Defender类似,但(很可能)会具有更快的响应时间,并可由网络管理员管理. 这条消息是James Moody提供的.
在这样的系统方案中,将存在一个中央可信任实体 (一个网络服务器),它将负责与安装了专门的软件的客户端通讯,与客户端共同核对应用程序的签名,并在怀疑恶意软件存在的情况下要求从客户端得到更多的信息. 这样的监测服务器动态的建立每个恶意软件的档案,然后通过通知其他客户端其特点来阻止其在整个网络中蔓延.
恶意软件往往以试图将其插入客户端的Auto Start Extension Point (ASEP) 或其它随开机启动的位置为标志. 当然,正常的软件也经常会这么干. 为了解决这个问题, 客户端将与中央服务器通讯,以确定其代码是否是已知的恶意程序. 如果被怀疑的软件的行为已经储存在数据库中并被标志为非法数据, 那么服务器将记录相关资料,并阻止其散布到整个网络.
但是,如果客户端提供的资料不在数据库服务器中, 那么服务器将要求提供更多资料. 客户端之后会产生一个更详细的活动报告. 这些数据中还可能包括内存的dump 这对于对恶意软件进行反向工程十分有用.服务器依据得到的数据进行分析,以确定是否出现了新的恶意软件的模式.
系统可帮助网络管理员监控最易受攻击的系统和用户. 然后,如果必要,他们就可以锁定这些客户端,甚至分析出哪些用户需要得到进一步如何用好计算机的培训.
