在特征检查之后再作进一步检测。如果启发式检测被启用，文件流就会通过启发式检测模块。这一模块对包头和可移植可执行文件的引入段进一步扫描。对每一次测试，启发式检测引擎会基于文件类型的规则对威胁进行可能性评估。在每次测试完成后，引擎会检查评估得出的威胁级别结果。如果得出的结果级别比相应文件类型所允许的级别高，该文件流就会被贴上可疑的标签，并得到相应的处理。