为什么有些抗病毒检测到病毒，而有些则没有？

Question

我很好奇为什么有些反病毒检测到病毒，而有些却没有.根据我在网上发现的，防病毒解析二进制文件并检查恶意代码序列(存在于病毒数据库中)。

他们如何对待文件有什么区别？

还有什么是病毒编码器？他们对我的问题有什么意见吗。

谢谢

Answer 1

大多数防病毒技术使用基于签名的检测。本质上是已知病毒及其变体在给定时间点的列表。基于签名的检测可能非常有效，但除非它已经知道并为该恶意软件创建了签名，否则无法识别恶意软件。因此，这种检测方法对未知和新开发的变异/病毒没有用处。

如果没有定期更新签名数据库，就很有可能受到感染。大多数好的AV供应商每天都会发布更新。有些AV供应商购买“订阅”来集成到他们的产品中，而不是开发自己的签名，但是这有时会延迟部署签名所需的时间。

大多数AV将以相同的方式处理可疑文件，通过不同的技术运行它们，包括启发式引擎。一些更先进的引擎存在于某些产品中，而另一些则没有这些特性。再一次，产品之间可能存在差异的另一个原因。

此外，一些病毒是为了绕过特定的反病毒引擎而创建的(例如，一个常见的企业AV解决方案是McAfee)，因此将被其他AV的(而不是McAfee )捕获。

关于“病毒编码器”，我想你指的是“密码”，这是为了绕过检测而加密/混淆病毒的有效负载的过程。这可以被识别密码技术并将其标记为可疑的AV引擎发现，但是使用这种技术可以击败AV引擎。有关更多信息，请参见这里

我建议阅读维基百科的文章这里和这个链接计算机病毒状态及检测方法来了解这个主题。

Answer 2

您描述了一种防病毒软件:基于签名的AVs。这些反病毒寻找与已知病毒相匹配的可疑二进制文件。然而，每个AV都有自己的“已知病毒”列表，因此它们可能捕获不同的病毒。没有通用的病毒列表，每个AV都可以对照。

其他类型的反病毒在任何运行的程序中都会寻找可疑的行为。每个AV程序将寻找自己对“可疑行为”的定义，因此每个AV的结果可能有所不同。