脚本是否在运行时被AVs扫描？

Question

像.js、.wsf、VBA宏这样的恶意脚本是否在运行时被扫描？我注意到，如果扫描时未检测到恶意脚本，也不会在运行时检测到恶意脚本，只能检测到下载的文件。所有这些脚本都从internet下载文件并启动它，所以我想知道是否在运行时检测到这种行为，或者AVs是否等待下载的文件被执行，然后检查该文件是否是恶意的。我认为所有文件都不是在扫描时检测到的。

Answer 1

Virusscanners (通常)连接到文件系统上。这意味着每当传输一个文件时，它都会传递virus扫描器，该扫描器会针对该文件尝试一个通用知道模式表(也称为定义)。这对于二进制文件很有效，因为模式在静态内容中更容易检测。模式并不是唯一的评估，例如，Windows跟踪例程，以查看它们指向何处。系统调用的组合也会触发警报。Windows主机脚本(例如，js，vba，vs)众所周知会造成问题，并以各种方式进行扫描，以确保它们不会造成伤害(或意外行为)。恶意软件扫描仪有各种检测威胁的方法，其中只有两种。

如果您要下载一个随机的、恶意的python脚本，该脚本已经被稍加修改以涵盖其用途，更改将不会引起注意。

在将可执行文件加载到可执行内存之前，还会检查可执行文件。当然，每个产品的选择和技术各不相同。