GTI 文件信誉是什么？
GTI 文件信誉为您提供全天候的实时保护，让您免受新出现的威胁的侵害。

借助 GTI 文件信誉，即使在获得特征码更新之前，您也可以使用由 McAfee Labs 收集的威胁情报来预防损害和数据失窃问题，从而打造更智能、更安全的端点。 GTI 文件信誉技术可让用户访问在线云数据库（包含用于确定文件是否带有恶意的文件分类详细信息），扩展了 McAfee 产品的保护功能。

因为恶意文件分类数据库很庞大，而且经常变化，所以，GTI 文件信誉会通过在线 GTI Cloud 服务器查询可疑的文件，以实现和保持最高的安全级别。


GTI 文件信誉如何工作？
GTI 文件信誉为各种基于 Windows 的 McAfee 防病毒产品提供最新的恶意软件检测功能。

GTI 文件信誉在运行 McAfee 产品的端点上查找处于活动状态的可疑程序、便携文档格式 (PDF) 文件和 Android 应用程序包 (.APK) 文件。 这些产品包括 Endpoint Security (ENS)、VirusScan Enterprise (VSE) 和 SaaS Endpoint Protection（以前称为 Total Protection Service）。

如果发现了未触发现有特征码 DAT 文件的任何可疑文件，GTI 会向由 McAfee Labs 托管的中央数据库服务器发送 DNS 请求。 只要发现新的恶意软件，就会不断更新该服务器。 当位于 McAfee Labs 的 Global Threat Intelligence Cloud 从已启用 GTI 文件信誉的端点收到请求时，它会确定该程序是否可疑并作出相应的响应。


为什么我必须在线才能使用 GTI 文件信誉？
GTI 文件信誉通过访问在线主数据库来确定文件是否可疑。 因为 McAfee 的可疑文件数据库很庞大，而且频繁变化，所以该数据库不会预先发送给您。 GTI 文件信誉技术必须通过在线 GTI Cloud 来查询这些可疑文件，以实现和保持最高的安全级别。


GTI 文件信誉是否会占用大量带宽？
GTI 文件信誉只占用极小的带宽，原因是它仅在现有的 DAT 文件没有在所扫描的程序、PDF 或 .APK 中检测到威胁时才会触发。 它采用经过仔细调整的方法来确定可疑文件，因此，只有真正可疑的文件才会产生网络流量。 如果将敏感度设置设为“非常低”或“低”，则每天每台计算机平均可能会产生 10–15 个查询。 如果将该设置设为“中”、“高”或“非常高”，则每天每台计算机平均可能会产生 20–25 个查询。 查询的数量取决于扫描类型（按访问扫描或按需扫描）和所扫描的文件数量。


如果 GTI Cloud 不可用，我是否仍然受到保护？
如果您的 McAfee 托管产品无法连接 McAfee Labs GTI Cloud，则您的防恶意软件产品只能使用 DAT 文件的本地副本进行检测。 如果 GTI Cloud 不可用，则您受到的保护不会减弱到标准 DAT 文件的保护级别以下。


返回顶部

McAfee 对可疑文件的定义是什么？
可疑文件是指任何具有恶意文件常见特征的程序可执行文件、便携文档格式 (PDF) 或 Android 应用程序包 (.APK) 文件。

对于可执行文件，GTI 会在可执行文件内查找某些标识符，以确定程序是否具有通常与恶意软件关联的特定特征。 例如，文件是否被打包。 通常，符合可疑标准的干净程序可执行文件或 PDF 文件不到百分之一，这意味着大多数文件并不会导致已启用 GTI 的产品启动查询。

其他文档文件（例如 Microsoft Word 文档）不受此增强功能的影响，原因是它仅关注可能有恶意的 PDF 文档。


哪些种类的文件会被扫描？
GTI 扫描可执行文件、PDF 文档和 .APK 文件。

GTI 文件信誉传统上用于扫描恶意的程序可执行文件。 但是，基于 PDF 和 APK 的恶意软件不断增多，因此，McAfee 扩展了其云技术功能，以便在这个充满威胁的环境下提供最佳保护。 必须将 GTI 文件信誉的敏感度设置为“中”或更高才能对 PDF 或 APK 文件执行信誉查找。


数据文件是否会导致发送 GTI 文件信誉查询？
文档或其他数据文件（例如包含用户产生的数据的 Microsoft Word 文档）都不会导致发送 GTI 文件信誉查询，而且也不会自动向 McAfee 提交样本。 可以查询的文件是：

• 可能包含恶意代码的程序可执行文件
• 可能包含恶意代码的便携文档格式 (.PDF) 文件
• 可能包含恶意代码的 Android 应用程序包 (.APK) 文件
• 可能被恶意更改的配置文件（例如 Windows 主机文件）

在 GTI 发现可疑文件时会发生什么情况？
GTI 文件信誉仅发送指纹信息（此信息通常少于 40 个字节），而不是发送整个文件。 此信息量是确定文件性质所需的最小信息量。

默认情况下，如果未选择与 McAfee 共享威胁信息，则已启用 GTI 文件信誉的 McAfee 产品所发送的查询数据包包含以下信息：

版本和产品信息	此数据指示已确定文件可疑的一个或多个驱动程序的内部版本号、DAT 文件版本、McAfee 产品和版本以及执行了扫描的产品组件。
文件哈希	此项包含唯一地标识文件的哈希（如果文件存在于 McAfee 主数据库中）。
指纹信息	此项是一个位序列，表示文件结构内部存在恶意软件常见的特征。 此数据被限制为从文件结构衍生的数据。
环境信息	此项是一个位序列，表示存在着通常与恶意样本关联的环境线索。 此数据被限制为操作系统存储的文件相关信息，并不包含文件名或文件中存储的其他个人身份信息。

GTI 文件信誉是否只能防范恶意软件？它是否还能防范潜在有害程序 (PUP) 和垃圾邮件？
它目前只能防范恶意软件和 PUP。 要防范垃圾邮件，请使用反垃圾邮件产品或插件。


GTI 文件信誉能在多大程度上改善恶意软件检测？
McAfee Labs 发现的所有新威胁会立即添加到 GTI 数据库，并会提供给已启用 GTI 的端点，从而能近乎即时地为您防范新出现的威胁。 在新威胁的特征码包含到定期发布的 DAT 文件之前，您就能获得这种保护。


如何启用 GTI 文件信誉以便将可疑文件报告给 McAfee？
McAfee 建议您在您的产品中将敏感度设置设为“中”。 有关如何在 VSE 中启用 GTI 文件信誉的信息，请参阅文章 KB70130。


返回顶部

我目前会在将每个 DAT 文件部署到端点之前对它们进行测试。 GTI 文件信誉将如何影响我现有的流程？
GTI 在您现有的流程之外提供保护。 有关如何在您的 McAfee 产品中启用 GTI 的详细信息，请参阅文章 KB70130。
 

我担心隐私问题 - 哪些信息会发送给 McAfee？
发送的数据绝对不会包含所扫描的任何文件的任何部分，因此不存在泄露任何信息的可能性。 只会对可疑文件执行查找，之后会生成 32 个字节的指纹并将该指纹发送到 GTI Cloud。 如果指纹被确定为恶意文件，则会作出响应。

注意：

• 无法通过该指纹重新创建文件或其任何内容。
• 要显示活动的 Windows DNS 缓存，请在命令行中键入 ipconfig /displayDNS 并按 ENTER。 此命令显示最近在相关计算机上执行的所有 DNS 查询（包括 GTI 文件信誉执行的查询）。
• 由于 GTI 文件信誉查询位于 avqs.mcafee.com 或 avts.mcafee.com 的子域上，因此可以识别这些查询。

McAfee 会在日志文件中记录哪些信息？
McAfee 只会保留来自客户端的查询的匿名日志。 McAfee 使用数据挖掘技术来关联全球趋势，例如查询源自全球哪个地方以及使用了什么分发载体（例如 Web 与电子邮件）。 McAfee 使用此流行度数据来识别威胁形势的新趋势，以及更好地防范新出现的威胁损害 McAfee 客户。

注意：GTI 文件信誉日志不包含单台计算机或单个用户的任何相关信息，而且 McAfee 无法使用该信息推导出此类数据。

将来，GTI 文件信誉技术可能会定期发送唯一的匿名号码，以通知我们该软件在某个用户的系统中正常工作。 此号码有助于 McAfee 了解 GTI 文件信誉的用户数和已启用它的产品。 这些信息旨在帮助 McAfee 制定必要的资源计划，以继续通过 GTI 文件信誉提供高质量的实时检测功能。 此方法类似于如今许多网站使用的 Cookie，并且遵守 McAfee 隐私策略。 有关详细信息，请参阅 http://www.mcafee.com/us/about/privacy.html。

GTI 文件信誉查询是如何发送的？
GTI 文件信誉查询以明文形式发送，并会在合适时添加额外的身份验证。

示例查询：4z9p5tjmcbnblehp4557z1d136.avqs.mcafee.com 或 4z9p5tjmcbnblehp4557z1d136.avts.mcafee.com

GTI 文件信誉发送给 McAfee 的所有信息都是匿名的，而且不包含有关用户或计算机的任何信息。 此外，由于使用 DNS 基础架构传输查询，因此，McAfee 无法从 GTI 文件信誉通信中识别始发方计算机的 IP 地址。
 

GTI 文件信誉听起来好像每天都会生成许多更新数据，那么，我为什么不改为使用测试版 DAT 文件，而且 Active Protection 有何不同？
当 McAfee Labs 确定样本可疑时，GTI 文件信誉能让端点防范特定恶意软件。 GTI 文件信誉不能防范恶意软件类别和已触发响应的特定样本。


在 Active Protection 检测到恶意软件时，用户或管理员会看到什么？
GTI 文件信誉检测结果会像普通检测结果那样显示在您的 McAfee 产品中。 根据您的产品设置，检测到的程序或二进制文件会被删除或隔离。


使用 Active Protection 有何风险？ 它是否会产生误报？
防恶意软件产品很少会产生误报，而且 McAfee 的测试表明 GTI 文件信誉的误报率比现有的 McAfee DAT 文件低。 GTI 文件信誉检测特定的恶意软件实例而不是恶意软件类别，从而显著降低了产生误报的检测结果的可能性。