不同反病毒引擎检测同一恶意软件的原因

Question

我想我理解基于签名的检测是如何工作的(计算散列->将其与散列数据库进行比较)，但我不明白为什么有些AV引擎会发现相同的病毒。

正如你所看到的，VirusTotal向我展示了我用来研究木马的恶意软件--Gen、WannaCry或蠕虫。为什么不同的AV引擎发现相同的恶意软件作为不同。

Answer 1

这些结果是每个供应商选择在内部调用恶意软件的结果。没有命名恶意软件类型的标准形式。

由于供应商查找和分类恶意软件的方式不同(不，并不总是签名)，所以供应商对恶意软件进行分类的方式会有所不同。如果它能肯定地将其识别为某种恶意软件(如Wannacry)，那么它就可以给它贴上标签。如果它只是对它所做的事情进行分类，那么它就会根据它的行为给它贴上一个标签，比如"ransomware"，“特洛伊木马”等等。

我在列表中看到一个，它看起来像是刚刚报告了它是如何确定它很可能是恶意软件的，而没有对它进行分类。

Answer 2

..。计算散列->与散列数据库的比较

这有点太简单了。为了保持效率，现代AV需要做的不仅仅是计算文件上的散列。但这不是你的问题，实际上在这个网站上有几个问题有很好的答案。

为什么不同的AV引擎发现相同的恶意软件作为不同。

没有中央恶意软件数据库，每个恶意软件创建者必须用唯一的名称注册他的恶意软件，所有AV供应商都会遵循这个命名(尽管这将是让检测变得更容易)。在文件中也没有某种类型的“恶意软件名”属性，恶意软件的作者必须嵌入该名称。相反，不同的供应商为相同的恶意软件提供了不同的名称。另外，它们使用不同的启发式方法，其中一些名称只是反映了标记文件为恶意的启发式的类型。