杀毒软件

此条目需要补充更多来源。 (2019年5月15日) 请协助补充多方面可靠来源以改善这篇条目，无法查证的内容可能会因为异议提出而被移除。 致使用者：请搜索一下条目的标题（来源搜索："杀毒软件" — 网页、新闻、书籍、学术、图像），以检查网络上是否存在该主题的更多可靠来源（判定指引）。

此条目可参照英语维基百科相应条目来扩充。原因：需要从英文维基百科翻译历史章节。 (2025年5月17日) 若您熟悉来源语言和主题，请协助参考外语维基百科扩充条目。请勿直接提交机械翻译，也不要翻译不可靠、低品质内容。依版权协议，译文需在编辑摘要注明来源，或于讨论页顶部标记{{Translated page}}标签。

此条目需要编修，以确保文法、用词、语气、格式、标点等使用恰当。 (2025年5月3日) 请按照校对指引，帮助编辑这个条目。（帮助、讨论）

“杀毒软件”的各地常用名称
中国大陆	杀毒软件
港澳	防毒软件
台湾	防毒软体

杀毒软件（英语：antivirus software）是用于侦测及移除电脑病毒、电脑蠕虫、和特洛伊木马程序等恶意软件的程序。^[1]杀毒软件通常具有即时监控、扫描与清除恶意程序的功能，并会自动更新病毒数据库。有的杀毒软件会附加损害恢复等功能，是电脑防御系统（包含杀毒软件，防火墙，特洛伊木马程序和其他恶意软件的防护及删除程序，入侵检测系统等）的重要组成。^{[2][与来源不符]}

杀毒软件一般会实时监控计算机程序的举动、及扫描系统是否含有恶意程序。^[3]部分杀毒软件可经由操作系统开机后随常驻程序启动。杀毒软件的即时监控技术不尽相同。杀毒软件通常会将程序特征码与病毒数据库比较，以判断是否为恶意程序。^[3][4]有的杀毒软件会利用一些空间，模拟操作系统和执行受测程序，根据程序的动作判断是否恶意软件。

手动扫描硬盘的方式，则和上面提到的即时监控的第一种方式一样，只是在这里，杀毒软件会根据用户选择的扫描类别作检查。

另外，杀毒软件更涉及更多技术：

• 扫描压缩档技术：对压缩档案和封装文件作分析检查的技术。
• 程序窜改防护：避免恶意程序借由删除杀毒侦测程序而大肆破坏电脑。^[5]
• 修复技术：还原被恶意程序所损坏的文件。^[6]
• 急救盘杀毒：利用空白U盘制作急救启动盘，来检测电脑病毒。^[7]
• 智慧扫描：仅扫描最常用的磁碟、系统关键位置，耗时较短。^[8]
• 全盘扫描：扫描电脑全部磁碟，耗时较长。^[8]
• 勒索软件防护：保护电脑中的文件不被勒索软件恶意加密。^[9]
• 开机扫描：当电脑开机时自动进行扫描，用于对抗难以移除的恶意程序，例如Rootkit。^[8]

杀毒软件是一个资讯分析的系统，它监控着所有的数据流动（包括：内存－硬盘网络－内存网络－硬盘），当它发现某些资讯被感染后，就会清除其中的病毒。资讯的分析（或扫描）方式取决于其来源，杀毒软件在监控光驱、电邮或局域网间数据移动时工作方式是不同的。

杀毒软件的监控位置：

• 内存监控：当发现内存中存在病毒的时候，就会主动报警；监控所有进程；监控读取到内存中的文件；监控读取到内存的网络数据。^[10]
• 文件监控：当发现写到磁碟上的文件中存在病毒，或者是被病毒感染，就会主动报警。^[4]
• 邮件监控：当发现电邮的附件存在病毒时进行拦截。^[11]
• 网页防护：阻止网络攻击和不安全下载。^[11][12]
• 行为防护：提醒用户可疑的应用程式行为。^[3]

• 防范病毒：指根据系统特性，采取相应的系统安全措施预防病毒侵入电脑。
• 查找病毒：指对于确定的环境，能够准确地报出病毒名称，该环境包括，内存、文件、引导区（含主导区）、网络等。
• 清除病毒：指根据不同类型病毒对感染对象的修改，并按照病毒的感染特性所进行的恢复。该恢复过程不能破坏未被病毒修改的内容。感染对象包括：内存、引导区（含主引导区）、可执行文件、文档文件、网络等。

• 机制：将扫描资讯与病毒数据库（即所谓的“病毒特征库”）进行对照，如果资讯与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候，会挑选文件内部的一段或者几段代码来作为他识别病毒的方式，这种代码就叫做病毒的特征码^[4]；在病毒样本中，抽取特征代码；抽取的代码比较特殊，不大可能与普通正常程序代码吻合；抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面保证病毒扫描时候不要有太大的空间与时间的开销。^[13]
• 特征码类别：1.文件特征码：对付病毒在文件中的存在方式：单一文件特征码、复合文件特征码（通过多处特征进行判断）；2.内存特征码：对付病毒在内存中的存在方式：单一内存特征码、复合内存特征码
• 优点：速度快，配备高性能的扫描引擎；准确率相对比较高，误杀操作相对较少；很少需要用户参与。^[14]
• 缺点：采用病毒特征代码法的检测工具，面对不断出现的新病毒，必须不断更新病毒库的版本，否则检测工具便会老化，逐渐失去实用价值；病毒特征代码法对从未见过的新病毒，无法知道其特征代码，因而无法去检测新病毒；病毒特征码如果没有经过充分的检验，可能会出现误报，数据误删，系统破坏，给用户带来麻烦。^[4]

对文件进行扫描后，可以将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存；在文件使用过程中，定期地或每次使用文件前，检查文件现在内容算出的校验和与原来保存的校验和是否一致，因而可以发现文件是否感染病毒。

• 机制：通过对病毒多年的观察、研究，有一些行为是病毒的共同行为，而且比较特殊，在正常程序中，这些行为比较罕见。当程序运行时，监视其进程的各种行为，如果发现了病毒行为，立即报警。^[15]
• 优缺点：1.优点：可发现未知病毒、可相当准确地预报未知的多数病毒； 2.缺点：可能误报警、不能识别病毒名称、有一定实现难度、需要更多的用户参与判断；

主动防御并不需要病毒特征码支持，只要杀毒软件能分析并扫描到目标程序的行为，并根据预先设定的规则，判定是否应该进行清除操作 主动防御本来想领先于病毒，让杀毒软件自己变成安全工程师来分析病毒，从而达到以不变应万变的境界。但是，电脑的智慧总是在一系列的规则下诞生，而普通用户的技术水平达不到专业分析病毒的水平，两者之间的博弈将主动防御推上一个尴尬境地。

机器学习识别技术既可以做静态样本的二进制分析，又可以运用在沙箱动态行为分析当中，是为内容/行为+算法模式。伴随着深度学习的急速发展，各家厂商也开始尝试运用深度学习技术来识别病毒特征。^[16]

EICAR杀毒测试文件是欧洲反电脑病毒协会（EICAR）和电脑安全公司共同推出的用于测试病毒扫描引擎的测试文件。它不会危害电脑的程序，而其特征码已被各家电脑安全公司所收录。

• AV-Comparatives^[17]
• AV-Test
• VB100^[17]

• 杀毒软件列表
  • 杀毒软件比较
• 特征码
  • 电脑病毒特征库
  • 电脑病毒数据库
• 沙盒（Sandbox）
• 流行病毒清单组织（Wild List）
  • 电脑病毒
  • 电脑蠕虫
  • 特洛伊木马 (电脑)
• Carbon Black

• （英文） 杀毒软件at the Open Directory Project
• （繁体中文） 壹、免费杀毒软件贰、免费在线扫毒 （页面存档备份，存于互联网档案馆）
• （繁体中文） 完全看懂》2007杀毒软件架构原理 (上) （页面存档备份，存于互联网档案馆）
• （繁体中文） 完全看懂》2007杀毒软件架构原理 (下) （页面存档备份，存于互联网档案馆）
• （繁体中文） 为什么装了杀毒软件还是中毒？ （页面存档备份，存于互联网档案馆）

在线扫描分析

• VirusTotal
• VirSCAN （页面存档备份，存于互联网档案馆）
• （英文） Jotti's malware scan （页面存档备份，存于互联网档案馆）
• （英文） TreatExpert