並非所有檔案都會送到雲端沙箱。在上傳檔案進行分析之前,需要執行多個檢查步驟:


1.防毒引擎使用多種技術掃描檔案,檢查是否有符合病毒的特徵值。

2.檔案檢查結果可分為安全、惡意或可疑。

3.已知的惡意檔案會被隔離,已知的安全檔案會回傳給收件者。

4.對於可疑檔案,會根據檔案類型(使用檔案類型檢測技術),防毒引擎將確定文件是否包含任何可疑內容(例如Office檔案中的巨集或PDF中的JavaScript)。

5.如果沒有可疑內容,則該檔案會被視為安全的並回傳給收件者

6.如果檢測到可疑內容,則會將檔案的Hash值發送給雲端沙箱查詢此檔案是否先前已被分析過。

7.如果先前分析過該檔案,則回傳結果。如果是惡意的,該文件將被阻止。如果安全,該文件被回傳給收件者。

8.針對未知的檔案,如果雲端沙箱支援該檔案類型(使用檔案類型檢測技術),且該檔案含可疑內容,

則將該檔案上傳到雲端沙箱引爆(在沙箱環境中執行)並作更進一步的分析。如果該文件是惡意的,則該檔案將被隔離。如果安全,檔案將回傳給收件者。