ما هو الكشف عن الثغرات الأمنية في يومها الأول؟
يُعرف الكشف عن التهديدات في يومها الأول بأنه عملية تحديد الملفات الخبيثة قبل أن يتم إدراج توقيع مطابق لها في قواعد بيانات برامج مكافحة الفيروسات. أدوات مكافحة الفيروسات التقليدية بطبيعتها أدوات تفاعلية: فهي لا تستطيع سوى حجب التهديدات التي قام مزودها بتصنيفها مسبقًا. وتُعد الفترة الفاصلة بين ظهور التهديد لأول مرة واللحظة التي ينتج فيها مزودو برامج مكافحة الفيروسات نمطًا للكشف عنه بمثابة النافذة التي يستغلها المهاجمون.
ملخص / النقاط الرئيسية
- وفقًا لتحليل OPSWAT لعام 2026 بشأن اكتشاف الثغرات الأمنية من النوع «صفر يوم»، والذي شمل أكثر من مليون حالة اكتشاف للملفات، تأخرت محركات برامج مكافحة الفيروسات التقليدية في اكتشاف هذه الثغرات بمعدل 3.0 أيام في المتوسط، حيث وصلت مدة التعرض للخطر في أسوأ الحالات إلى 26.7 يومًا
- لم تكتشف محركات برامج مكافحة الفيروسات التقليدية سوى 3.7% من التهديدات التي تظهر في يومها الأول خلال 24 ساعة من ظهورها لأول مرة
- تُظهر أنواع ملفات البرامج النصية والوثائق باستمرار أطول فترات التعرض، حيث يتأخر اكتشاف مستندات Office بمعدل 6.9 أيام
- تم اكتشاف ما يقارب 20.8% من ثغرات "اليوم صفر" الموجودة في مجموعة البيانات في نهاية المطاف بواسطة برامج مكافحة الفيروسات التقليدية؛ وكان وقت الاستجابة لجزء كبير منها طويلاً للغاية لدرجة أنها لم توفر أي حماية فعلية
- يقدم MetaDefender تقييمًا واحدًا لكل ملف مصحوبًا بدرجة ثقة، وذلك باستخدام مسار كشف مكون من أربع طبقات لا يعتمد على مطابقة الأنماط
تواجه برامج مكافحة الفيروسات التقليدية مشكلة تتعلق بالتوقيت
أدوات مكافحة الفيروسات التقليدية التهديدات من خلال مقارنة الملفات بقاعدة بيانات تحتوي على توقيعات البرامج الضارة المعروفة. وقد يمر الملف الذي لا يتطابق مع أي نمط موجود دون أن يتم حظره. ويؤدي هذا الاعتماد الهيكلي على المعرفة المسبقة إلى حدوث تأخير ملموس وقابل للاستغلال بين وقت ظهور التهديد والوقت الذي يمكن فيه لبرنامج مكافحة الفيروسات إيقافه.
وفقًا لتحليلنا الخاص بالكشف عن هجمات "اليوم صفر" لعام 2026، والذي شمل أكثر من مليون حالة اكتشاف للملفات، تأخرت محركات برامج مكافحة الفيروسات التقليدية في الكشف عن هجمات "اليوم صفر" بمعدل 3.0 أيام في المتوسط، و2.0 يوم في الوسيط. وبلغت مدة التعرض في أسوأ الحالات 26.7 يومًا. ولم تكتشف محركات مكافحة الفيروسات التقليدية سوى 3.7% من تهديدات "اليوم صفر" في مجموعة البيانات خلال 24 ساعة. واستغرق حوالي 3% منها أكثر من أسبوع لتلقي أي استجابة للكشف.
ملاحظة حول المنهجية: يستبعد المتوسط الذي يبلغ 3.0 أيام الملفات التي تستغرق برامج مكافحة الفيروسات وقتًا طويلاً جدًّا في الاستجابة، وكذلك الملفات التي لا يوجد لها أي سجل لمطابقة الأنماط على الإطلاق. وتعكس مجموعة البيانات الكاملة نطاقًا أوسع من النتائج. كما توجد نسبة من الإيجابيات الكاذبة منخفضة ولكنها غير صفرية في البيانات الأساسية.
تبدأ البيانات بلحظات مثل هذه. عند إجراء الفحص، لم يكتشف أي من محركات مكافحة الفيروسات العشرين التي استخدمناها هذا الملف، ولم تسجله أي خدمة تتبع السمعة. وقد تم بالفعل تأكيد وجود التهديد.
معظم الثغرات الأمنية من نوع «صفر يوم» لا تتطابق أبدًا مع أي نمط معروف
وتتفاقم مشكلة التوقيت عندما لا تنتج محركات برامج مكافحة الفيروسات أي توقيع مطابق لتهديد ما على الإطلاق. في تحليلنا، تم اكتشاف ما يقرب من 20.8% من ملفات «اليوم صفر» في نهاية المطاف بواسطة محركات برامج مكافحة الفيروسات التقليدية. ولم يكن لحوالي 17.9% منها أي سجل لمطابقة الأنماط على الإطلاق، مما يضعها خارج نطاق قوائم أي محرك من محركات برامج مكافحة الفيروسات التي تم تحليلها. يُقدر أن 54% منها كان وقت استجابة برامج مكافحة الفيروسات طويلاً لدرجة أنها لا تمثل أي حماية فعالة في الممارسة العملية. تجدر الإشارة إلى أن هذا الرقم، مثل الأرقام الأخرى، يحمل نسبة إيجابية خاطئة منخفضة ولكنها ليست صفرية، ويجب التعامل معه على أنه توجيهي.
وعندما تمكنت برامج مكافحة الفيروسات في النهاية من اكتشاف الفيروس، ظلت التغطية محدودة. وعند إعادة الفحص لاحقًا، لم يعثر سوى ثلاثة من أصل تلك البرامج العشرين على تطابق مع الملف نفسه. أما الغالبية، فلم تجد شيئًا.
يتطلب الكشف القائم على الأنماط أن يقوم المزود بمراقبة التهديد وتحليله وتصنيفه قبل أن تصبح الحماية ممكنة. وفي مواجهة البرامج الضارة الجديدة أو تلك التي تم إخفاء طبيعتها عمدًا، قد لا يكتمل هذا التسلسل أبدًا، أو قد يكتمل بعد فوات الأوان بحيث لا يكون له أي تأثير.
المجالات التي يتخلف فيها الكشف التقليدي عن التهديدات الصوتية والمرئية بشكل أكبر
لا تنطوي جميع أنواع الملفات على نفس القدر من المخاطر في حالة تأخر الكشف من قِبل برامج مكافحة الفيروسات. فقد أظهرت تحليلاتنا أن الملفات النصية والوثائقية تتميز دائمًا بأطول فترات التعرض للخطر، وهي أنواع ملفات تظهر في معظم سير العمل بالمؤسسات.
نوع الملف | متوسط عدد الأيام قبل اكتشاف التهديد بواسطة برامج مكافحة الفيروسات التقليدية |
وثائق المكتب | حوالي 6.9 أيام |
PowerShell | حوالي 6.3 أيام |
نصوص VBS | حوالي 4.9 أيام |
هتا | حوالي 3.5 أيام |
ملفات PE (الملفات القابلة للتنفيذ) | حوالي 3.1 يوم |
تتصدر مستندات Office وتنسيقات البرامج النصية القائمة بالضبط لأن تعقيدها يجعل إنشاء التوقيعات أكثر صعوبة. فالماكروات والكائنات المضمنة ومنطق التنفيذ متعدد المراحل توفر للمهاجمين مساحة أكبر للتلاعب، وتفرض على شركات برامج مكافحة الفيروسات مهمة أكثر تعقيدًا قبل التمكن من كتابة نمط موثوق به.
تحتل ملفات PE (الملفات التنفيذية المحمولة) المرتبة الأدنى في جدول التأخير، ومع ذلك فقد استمر متوسط فترة تعرضها دون اكتشاف لأكثر من ثلاثة أيام. وبالنسبة للملفات التنفيذية التي تدخل بيئات البنية التحتية الحيوية، أو مسارات التحديثات، أو تدفقات الملفات الخاضعة للرقابة، فإن ثلاثة أيام لا تُعد فترة زمنية مقبولة.
لماذا تتأخر طرق الكشف التقليدية
يعمل الكشف القائم على الأنماط من خلال مقارنة الملف بمكتبة تحتوي على توقيعات البرامج الضارة المعروفة. وعند العثور على تطابق، يتم حظر الملف. أما في حالة عدم وجود تطابق، فيتم السماح بمرور الملف. ويعتمد هذا النموذج كليًّا على التعرض المسبق: فلا بد من رصد التهديد وتحليله وتصنيفه قبل أن تصبح الحماية ممكنة. أما في حالة الملف الجديد، فلم يتم تنفيذ تلك الخطوات بعد.
لقد كانت هذه القيود الهيكلية موجودة دائمًا. لكن ما تغير هو السرعة التي يمكن للمهاجمين بها إنتاج متغيرات جديدة. حيث يستخدم المهاجمون الآن الذكاء الاصطناعي والتعلم الآلي لإنتاج برامج ضارة مُشوشة ومراوغة على نطاق واسع، مما يؤدي إلى إنشاء ملفات مصممة خصيصًا لتجنب مطابقة أي توقيع موجود. ويُعد كل متغير يتم إنتاجه جديدًا من الناحية التقنية بالنسبة لقواعد بيانات برامج مكافحة الفيروسات، حتى لو لم تكن منطقية الهجوم الأساسية جديدة.
وتزيد تقنيات التهرب من حدة المشكلة. فمؤلفو البرامج الضارة يصممون الملفات بشكل روتيني لتفادي مطابقة أي تهديد مسجل في قاعدة البيانات عند نقطة الدخول، مستخدمين تقنيات مثل:
- التشفير والتعبئة لإخفاء محتويات الملفات
- التعدد الشكلي لتوليد متغيرات فريدة من الناحية الهيكلية
- التسليم متعدد المراحل لتأجيل السلوك الضار إلى ما بعد الدخول
- عمليات التحقق من شروط التنفيذ التي توقف النشاط حتى الوصول إلى نقطة نهاية حقيقية
لا أدوات القائمة على التوقيعات آلية للتنبؤ بأي من هذه التسلسلات. والنتيجة هي نموذج كشف تتضاءل فعاليته كلما ازدادت أدوات المهاجمين تعقيدًا. ولا تنهار الفجوة بين أول ظهور وأول كشف من تلقاء نفسها بسرعة، بل على العكس، تتسع.
كيف نكتشف التهديدات قبل ظهور أي تطابق في الأنماط
MetaDefender هو حل موحد للكشف عن التهديدات في يومها الأول، مصمم للتعرف على الملفات الخبيثة التي لا يمكن اكتشافها من خلال مطابقة التوقيعات وحدها. فبدلاً من الاكتفاء بالسؤال عما إذا كان الملف يطابق نمطًا معروفًا، يطرح MetaDefender أربعة أسئلة متدرجة في عمقها حول كل ملف يمر عبره، ويجمع الإجابات في حكم واحد مصحوب بتقييم للثقة.
الطبقة الأولى: سمعة التهديدات (فعالية بنسبة 48.7٪)
يتم فحص كل ملف يدخل مسار المعالجة ومقارنته بقاعدة بيانات معلومات التهديدات OPSWAT . ويتم حظر الملفات الخبيثة المعروفة على الفور، بينما يتم معالجة الملفات الموثوقة بسرعة. ووفقًا لتحليلاتنا، نجحت هذه الطبقة وحدها في التصدي لـ 48.7% من التهديدات، مما ساهم في الحفاظ على سعة مسار المعالجة وتجنب المعالجة غير الضرورية للملفات التي لا تتطلب فحصًا أعمق.
الطبقة الثانية: Adaptive عبر محاكاة على مستوى التعليمات (فعالية تراكمية بنسبة 83.4%)
تدخل الملفات التي تجتاز طبقة السمعة إلى بيئة الاختبار التكيفية MetaDefender . وبدلاً من استخدام الأجهزة الافتراضية، تعمل بيئة الاختبار على محاكاة مستوى تعليمات وحدة المعالجة المركزية ونظام التشغيل لأكثر من 120 نوعًا من الملفات. ويجبر هذا النهج الملفات على تنفيذ مسارها البرمجي بالكامل بغض النظر عما إذا كانت تكتشف وجود بيئة افتراضية أم لا. ولا يمكن للبرامج الضارة التي تدرك وجود الأجهزة الافتراضية — والتي كانت ستظل خاملة لولا ذلك — أن تكبت سلوكها في ظل المحاكاة على مستوى التعليمات. يتم تغذية مؤشرات الاختراق (IOCs) المكتشفة حديثًا من هذه الطبقة إلى الطبقة 1، مما يعزز قاعدة بيانات السمعة مع كل دورة تحليل.
يكتشف محرك التوقيع وجود برنامج نصي مشفر ولا يعثر على أي تطابق. ومع ذلك، فإن تقنية المحاكاة تسمح بتنفيذ الملف. وفي اللحظة التي يتم فيها فك تشفير الحمولة الخفية وتحميلها في الذاكرة، يتضح الهدف من العملية.
الطبقة الثالثة: تقييم التهديدات باستخدام التعلم الآلي (فعالية تراكمية تبلغ 99.3٪)
تقوم محركات متعددة للتعلم الآلي بتحليل الإشارات السلوكية وأنماط الشذوذ ومؤشرات التهديد (IOCs) المستخرجة من طبقة الحماية. ويُمنح كل ملف درجة مخاطر منظمة وموزونة حسب الثقة. ويتم تحويل البيانات الأولية المرسلة عن بُعد إلى إشارة قرار واضحة، مما يقلل من حالات الإيجابية الكاذبة ويخفف من عبء المراجعة الذي يتحمله المحللون، والذي عادةً ما تنشئه النتائج المجزأة الصادرة عن الأدوات.
افحص ملفاتك مجانًا باستخدام محركات الكشف الخاصة بنا على filescan.io/scan.
الطبقة الرابعة: البحث عن التشابه المدعوم بالذكاء الاصطناعي (فعالية تراكمية بنسبة 99.9٪)
تقوم الطبقة الأخيرة بمقارنة البصمة السلوكية لكل ملف بقاعدة بيانات تضم أكثر من 100 مليون عينة من البرامج الضارة التي تم تحليلها. ويتم تصنيف الملفات تلقائيًا ضمن عائلات التهديدات والحملات ومجموعات أدوات الهجوم المعروفة، في حالة وجود تطابق. أما الملفات التي لا يوجد لها تطابق سابق، فيتم تحويلها إلى معلومات استخباراتية جديدة، مما يساهم في إثراء نماذج الكشف العالمية والمحلية على حد سواء. وترفع هذه الطبقة معدل فعالية الكشف التراكمي إلى 99.9%.
MetaDefender مقابل أساليب Sandbox مكافحة الفيروسات التقليدية
تعالج كل من بيئات الاختبار التقليدية القائمة على برامج مكافحة الفيروسات (AV) وتلك القائمة على الأجهزة الافتراضية (VM) جزءًا من مشكلة الكشف عن هجمات "اليوم صفر"، لكن لا تقدم أي منهما تقييمًا موحدًا يشمل السمعة والسلوك والتقييم والبحث عن أوجه التشابه. يقارن الجدول أدناه أداء كل نهج عبر القدرات الأكثر أهمية عند حدود الشبكة.
القدرة | محركات الصوت والفيديو التقليدية | Sandbox قائمة على الآلة الافتراضية | MetaDefender |
طريقة الكشف | قائم على الأنماط | السلوكية (المعزولة) | خط أنابيب موحد من أربع طبقات |
مقاومة التهرب | منخفضة | متوسط (يمكن اكتشافه عبر VM) | عالية (محاكاة على مستوى التعليمات) |
حتى صدور الحكم | تأخير من صفر إلى 26 يومًا أو أكثر | متغير | شبه فوري |
تكامل SIEM/SOAR | محدود | الارتباط اليدوي | منظم، أصلي |
كفاءة استخدام الموارد | منخفضة | قدرة حاسوبية عالية | 100x مقابل بيئة الاختبار المعزولة القائمة على الآلة الافتراضية |
نوع الحكم | تطابق/عدم تطابق | تقرير لكل أداة | حكم واحد مع تقييم الثقة |
تُحسّن بيئات الاختبار القائمة على الأجهزة الافتراضية من كفاءة الكشف عن التوقيعات من خلال مراقبة سلوك الملفات أثناء التشغيل. لكن المحدودية تكمن في أن مطوري البرامج الضارة يدركون ذلك. فعمليات فحص البيئة والتأخيرات الزمنية والتعرف على بصمات الأجهزة الافتراضية تسمح للتهديدات المتطورة باكتشاف ظروف بيئة الاختبار وتأجيل السلوك الخبيث إلى أن تصل إلى نقطة نهاية حقيقية. أما المحاكاة على مستوى التعليمات فتزيل هذا الثغرة تمامًا.
كما أن الفجوة في الموارد ملحوظة على مستوى المحيط الخارجي. تتطلب تقنية العزل القائمة على الأجهزة الافتراضية قدرًا كبيرًا من الموارد الحاسوبية لكل ملف. يوفر MetaDefender كفاءة في استخدام الموارد تفوق بمقدار 100 ضعف تلك التي توفرها الأساليب القائمة على الأجهزة الافتراضية، وذلك من خلال الجمع بين المحاكاة على مستوى التعليمات وخط إنتاج متعدد الطبقات لا يحيل سوى الملفات التي تتطلب تحليلاً أعمق.
اقرأ المزيد عن الفروق الرئيسية بين بيئات الاختبار التقليدية والتكيفية هنا.
متى يُفضل استخدام تقنية الكشف عن الثغرات الأمنية في يومها الأول بدلاً من تقنية Deep CDR™ أو إلى جانبها
تعمل تقنية Deep CDR™ وبرنامج MetaDefender على حل مشكلات مختلفة. ومن المهم فهم الفرق بينهما بالنسبة لمهندسي الأمن الذين يعملون على تصميم سير عمل فحص الملفات، لا سيما في البيئات الخاضعة للتنظيم أو بيئات البنية التحتية الحيوية.
تعمل تقنية Deep CDR™ على إبطال مفعول التهديدات المستندة إلى الملفات بشكل استباقي من خلال إزالة المحتوى الذي يُحتمل أن يكون ضارًا، بما في ذلك الماكروات والبرامج النصية والكائنات المضمنة، من أكثر من 200 نوع من الملفات، ثم إعادة إنشاء نسخة نظيفة وقابلة للاستخدام بالكامل. ولا تعتمد هذه التقنية على الكشف عن التهديدات، بل يتم تطهير الملف سواء تم تأكيد وجود التهديد في النهاية أم لا. بالنسبة لسير العمل القائم على المستندات حيث يمكن إعادة إنشاء الملفات بأمان، تعمل تقنية Deep CDR™ على إزالة التهديد قبل أن تتاح له أي فرصة للتنفيذ.
اقرأ مقالنا السابق الذي يشرح كيفية عملها بمزيد من التفصيل هنا.
يُعد MetaDefender الأداة المثالية عندما يتعذر تعديل الملفات. فملفات البرامج القابلة للتنفيذ وملفات التصحيح والبرامج الثابتة وبرامج التثبيت والنصوص البرمجية يجب أن تظل سليمة تمامًا، بايتًا بايتًا، حتى تعمل بشكل صحيح. ولا يُعد تنقيتها خيارًا متاحًا. كما أن الوثائق الخاضعة للرقابة في مجالات الرعاية الصحية والشؤون القانونية والمالية قد تخضع لمتطلبات قانونية أو متطلبات الامتثال التي تحظر تعديلها. وبالنسبة لهذه الأنواع من الملفات، يُعد التحليل الديناميكي المسار الوحيد القابل للتطبيق لفحصها.
لا يُعد هذان النوعان من التقنيات خيارين متعارضين. ففي الواقع، تتعامل معظم بيئات المؤسسات والبنى التحتية الحيوية مع أنواع الملفات القابلة للتعديل وغير القابلة للتعديل على حد سواء ضمن نفس مسارات العمل. تتعامل تقنية Deep CDR™ مع المستندات وتنسيقات Office التي يمكن إعادة بنائها بأمان. بينما تتعامل MetaDefender مع الملفات التي لا يمكن تعديلها. وتوفر هاتان التقنيتان معًا تغطية شاملة لجميع أنواع الملفات التي تدخل إلى البيئة.
التهديدات التي تستغل الثغرات الأمنية في يومها الأول لا تنتظر ظهور توقيع لها، ولا ينبغي أن تنتظر دفاعاتك ذلك أيضًا.
الأسئلة المتداولة
ما الفرق بين الكشف عن الثغرات الأمنية في يومها الأول وبرامج مكافحة الفيروسات التقليدية؟
تكتشف برامج مكافحة الفيروسات التقليدية التهديدات من خلال مقارنة الملفات بمكتبة تحتوي على توقيعات البرامج الضارة المعروفة. أما الكشف عن تهديدات «اليوم صفر» فيحدد التهديدات التي لا توجد لها توقيعات معروفة من خلال تحليل سلوك الملف وسمعته وخصائصه الهيكلية. ويجمع MetaDefender بين أربع طبقات تحليلية لتقديم تقييم للملفات بفعالية تبلغ 99.9٪، وهي ملفات أدوات تتجاوزها أدوات مكافحة الفيروسات التقليدية دون الإبلاغ عنها.
كم من الوقت يستغرق محركات مكافحة الفيروسات التقليدية لاكتشاف تهديد من نوع "صفر يوم"؟
وفقًا لتحليل OPSWAT لعام 2026 بشأن اكتشاف هجمات "اليوم صفر" ، والذي شمل أكثر من مليون حالة اكتشاف للملفات، تأخرت محركات برامج مكافحة الفيروسات التقليدية في اكتشاف هجمات "اليوم صفر" بمعدل 3.0 أيام في المتوسط، و2.0 يوم في الوسيط. وبلغت مدة التعرض في أسوأ الحالات 26.7 يومًا. ولم يتلق سوى 3.7% من تهديدات "اليوم صفر" استجابة للكشف من برامج مكافحة الفيروسات في غضون 24 ساعة. ويستبعد متوسط 3.0 أيام الملفات ذات أوقات الاستجابة الطويلة جدًا والملفات التي لا يوجد لها سجل مطابقة أنماط، لذا فإن النطاق الكامل للتعرض أوسع مما يوحي به هذا الرقم وحده.
ما هي أنواع الملفات التي يصعب على برامج مكافحة الفيروسات اكتشافها؟
تُظهر أنواع الملفات القائمة على البرامج النصية والمستندات باستمرار أطول فترة تأخير في الكشف عن الفيروسات. ففي تحليل OPSWAT لعام 2026، بلغ متوسط فترة التأخير في الكشف عن مستندات Office 6.9 أيام، وبلغ متوسطها 6.3 أيام لملفات PowerShell، و4.9 أيام للبرامج النصية VBS. وتظهر هذه الأنواع من الملفات في جميع سير العمل المؤسسي تقريبًا، مما يجعل فترة التعرض لهذه المخاطر ذات أهمية كبيرة من الناحية التشغيلية.
كيف يتغلب المحاكاة على مستوى التعليمات على البرامج الضارة التي تتعرف على الآلة الافتراضية؟
تستخدم البرامج الضارة التي تدرك وجود الآلة الافتراضية (VM-aware) عمليات فحص البيئة والتأخيرات الزمنية وبصمات الافتراضية لاكتشاف ما إذا كانت تعمل داخل بيئة عزل (sandbox) وقمع سلوكها الخبيث. أما المحاكاة على مستوى التعليمات فتتجاوز هذه التقنيات من خلال المحاكاة على مستوى وحدة المعالجة المركزية (CPU) ونظام التشغيل بدلاً من تشغيل آلة افتراضية كاملة. ولا تملك هذه البرامج طريقة موثوقة للتمييز بين البيئة المحاكاة ونقطة النهاية الحقيقية، مما يجعل من الصعب للغاية قمع التنفيذ ويكشف عن سلوكيات كانت لتظل خفية لولا ذلك.
هل يحل MetaDefender محل بيئة الاختبار (الساندبوكس)؟
يتضمن MetaDefender تقنية "الصندوق الرملي التكيفي" كواحدة من طبقات الكشف الأربع التي يوفرها، ولكنه ليس منتجًا مستقلًا للصندوق الرملي. فهو يجمع بين تقييم سمعة التهديدات، والمحاكاة على مستوى التعليمات، وتقييم التهديدات المدعوم بالتعلم الآلي، والبحث عن أوجه التشابه المدعوم بالذكاء الاصطناعي، في مسار واحد يقدم تقييمًا واحدًا مصحوبًا بدرجة ثقة لكل ملف. وتتمتع المؤسسات التي تستبدل الصندوق الرملي المستقل القائم على الأجهزة الافتراضية بـ MetaDefender بمقاومة أكبر للتحايل، وتغطية أوسع للكشف، وتكاليف موارد أقل بشكل ملحوظ.
- MetaDefender Aether ،
- تحليل البرمجيات الخبيثة ,
- تحليل التهديدات
