杀毒软件
 | 此条目可参照英语维基百科相应条目来扩充。原因:需要从英文维基百科翻译历史章节。 (2025年5月17日) |
| “杀毒软件”的各地常用名称 | |
|---|---|
| 中国大陆 | 杀毒软件 |
| 港澳 | 防毒软件 |
| 台湾 | 防毒软体 |
杀毒软件(英语:antivirus software)是一种用于预防、侦测及移除恶意软件的程式。[1]防毒软体通常提供即时监控和手动扫描功能,且能自动更新病毒资料库。有些防毒软体则附加档案修复、防火墙、VPN等额外功能。
虽然因侦测和移除电脑病毒而得名,但防毒软件也可以阻止电脑蠕虫、特洛伊木马程式,甚至是潜在附加软件。
原理
[编辑]防毒软体一般实时监控电脑程式的举动,及扫瞄系统是否含有恶意程式。[2]部分防毒软体可经由作业系统开机后随常驻程式启动。
它们的即时监控技术不尽相同。防毒软体通常会将档案特征码作比较,以判断是否为恶意程式。[2][3]有的防毒软体会利用一些空间,模拟作业系统和执行受测程序,根据程序的动作判断是否恶意软件。
手动扫描硬碟的方式,则和上面提到的即时监控的第一种方式一样,只是在这里,防毒软体会根据使用者选择的扫描类别作检查。
另外,防毒软体更涉及更多技术:
- 扫描压缩档技术:对压缩档案和封装文件作分析检查。
- 程序窜改防护:防止恶意程式窜改或删除防毒软件。[4]
- 修复技术:还原被恶意程式损坏的档案。[5]
- 急救盘杀毒:利用空白U盘制作急救启动盘,以检测电脑病毒。[6]
- 智能扫描:仅扫描最常用的磁盘、系统关键位置,耗时较短。[7]
- 全盘扫描:扫描电脑全部磁盘,耗时较长。[7]
- 勒索软件防护:保护电脑中的文件不被勒索软件恶意加密。[8]
- 开机扫描:在电脑开机时扫描,用于对抗难以移除的恶意程式,如Rootkit。[7]
杀毒软件充当了信息分析系统,它监控着所有数据流动,在发现系统受恶意软件感染后,就会采取行动,将其清除。杀毒软件监控的位置包括:
基本功能
[编辑]- 防范:预防病毒侵入计算机。
- 查找:在内存、文件、引导区(含主导区)、网络等环境查找恶意软件,并准确地报出恶意软件名称。
- 清除:根据不同类型恶意软件,清除或修复受感染区域,包括:内存、引导区(含主引导区)、可执行文件、文档文件、网络等。
病毒扫描引擎
[编辑]特征码扫描
[编辑]- 机制:防毒软件会对比档案内容与病毒特征库(即资料库),如果匹配到任何病毒特征码,则判断该文件为恶意软件。扫描过程中,防毒软件会从档案内挑选部分代码作为病毒特征码[3],这些特征码通常从病毒样本中提取,并具备较高独特性,不易与一般程式码混淆,长度需适中,既要确保其唯一性,又要避免在扫描过程中产生过大的空间与时间开销。[12]
- 特征码类别:
- 1.文件特征码:针对病毒在文件中的存在形式,分为单一档案特征码与利用多个特征码进行判断的复合档案特征码。
- 2.内存特征码:对应病毒在主记忆体的存在形式,同样分为单一和复合两种情形。
- 优点:分析速度快、准确率高、误判相对较少;较少需要用户参与[13]
- 缺点:面对不断出现的新病毒,必须不断更新病毒库,否则便会逐渐失去用途;无法检测到未知的新病毒[3]
启发式分析
[编辑]- 启发式分析是用于捕捉恶意软件变种的规则,其透过通用特征辨识恶意软件家族。[14]
行为监控
[编辑]- 机制:按照预先建立的规则阻止或提醒用户程式的恶意行为。[13]
- 优点:不依赖特征码,可侦测未知病毒。
- 缺点:较易出现误判、不能准确分类病毒、可能需要用户参与判断。
沙盒
[编辑]- 机制:将可疑档案放在本地或云端沙盒中运行一段时间,以观察其行为并判断是否存在恶意行为。[14][15]
- 优点:不依赖特征码,可侦测未知病毒;较行为监测更主动。
- 缺点:恶意软件可透过延迟启动、侦测沙盒技术逃避分析;病毒可逃逸本地沙盒,对系统造成伤害;分析耗时较长
机器学习识别
[编辑]- 机器学习可以应用于静态二进制分析及动态行为分析,实现内容与行为相结合的检测模式。随着深度学习迅速发展,各大防毒软件厂商也开始使用深度学习技术来提升病毒辨识的准确度与效率。[15]
EICAR防毒测试档案
[编辑]EICAR防毒测试档案是欧洲反电脑病毒协会(EICAR)和电脑安全公司共同推出的测试档案,用于测试病毒扫描引擎。档案不会危害电脑安全,而其特征码已被各家防毒软件收录。
防毒软体评比
[编辑]参见
[编辑]参考文献
[编辑]- ^ 保護我的電腦免於病毒危害 - Microsoft Support. support.microsoft.com. [2025-05-15]. (原始内容存档于2025-03-19).
- ^ 2.0 2.1 2.2 IT自救術-病毒(和電腦程式)的運作原理. iThome. [2025-05-03] (中文(繁体)).
- ^ 3.0 3.1 3.2 3.3 台湾电脑网路危机处理暨协调中心. 防毒軟體. 台湾电脑网路危机处理暨协调中心. 2019-06-13 [2025-05-03]. (原始内容存档于2024-08-12).
- ^ Windows 10加入防竄改功能,防止惡意程式關閉防毒軟體. iThome. [2025-05-16]. (原始内容存档于2024-12-11) (中文(繁体)).
- ^ Windows 安全性 應用程式中的病毒與威脅防護 - Microsoft Support. support.microsoft.com. [2025-05-16].
- ^ 如何利用光碟開機清除硬碟裡頭的病毒?. iThome. [2025-05-16] (中文(繁体)).
- ^ 7.0 7.1 7.2 如何用Win10內建防毒軟體Microsoft Defender定期掃毒?夠用嗎?手動設定防火牆防駭. T客邦. 2021-04-05 [2025-05-16]. (原始内容存档于2025-03-22) (中文(台湾)).
- ^ 7 個你應該保持啟用狀態的 Windows 設定 - 電腦王阿達. 2024-08-07 [2025-05-16] (中文(台湾)).
- ^ 個人端防毒軟體|Eset Smart Security 7 可防護直接植入記憶體的惡意程式. iThome. [2025-05-16] (中文(繁体)).
- ^ 10.0 10.1 Cybersechub.hk. www.cybersechub.hk. [2025-05-16].
- ^ 【專欄】台灣的支付、銀行APP要我在手機上裝防毒軟體,真有用嗎?. www.bnext.com.tw. [2025-05-15] (中文(台湾)).
- ^ 台湾电脑网路危机处理暨协调中心. 惡意程式檢測. 台湾电脑网路危机处理暨协调中心. 2019-06-13 [2025-05-15]. (原始内容存档于2024-06-25).
- ^ 13.0 13.1 台湾电脑网路危机处理暨协调中心. 惡意程式檢測vs防毒軟體 (下). 台湾电脑网路危机处理暨协调中心. 2019-07-11 [2025-05-15]. (原始内容存档于2023-06-09).
- ^ 14.0 14.1 什么是启发式分析?. /. 2018-12-11 [2025-05-27]. (原始内容存档于2025-03-16) (中文(简体)).
- ^ 15.0 15.1 微軟用機器學習強化防毒軟體,只要14分鐘分析8位受害者電腦,就能阻擋新型勒索軟體. iThome. [2025-05-15]. (原始内容存档于2025-04-21) (中文(繁体)).
- ^ 16.0 16.1 诸葛PP. 防毒軟體年終大考,看VB100、AV Comparative怎麼判. T客邦. 2010-12-18 [2010-12-22]. (原始内容存档于2011-08-10) (中文(香港)).
岁末年终之际,二家知名的专业防毒评测机构VB100与AV Comparative终于公布最新的评测名单,为大大小小超过20家的免费与付费防毒软体做一次总体检。
外部链接
[编辑]- (英文) 防毒软体at the Open Directory Project
- (繁体中文) 壹、免费防毒软体贰、免费线上扫毒 (页面存档备份,存于互联网档案馆)
- (繁体中文) 完全看懂》2007防毒软体架构原理 (上) (页面存档备份,存于互联网档案馆)
- (繁体中文) 完全看懂》2007防毒软体架构原理 (下) (页面存档备份,存于互联网档案馆)
- (繁体中文) 为什么装了防毒软体还是中毒? (页面存档备份,存于互联网档案馆)
- 线上扫描分析
- VirusTotal
- VirSCAN (页面存档备份,存于互联网档案馆)
- (英文) Jotti's malware scan (页面存档备份,存于互联网档案馆)
- (英文) TreatExpert