我已经使用电脑 20 年了,也用过很多杀毒软件。我使用过的各种电脑上都放着许多“破解软件”。其中包括密钥生成器、软件破解/修补程序和游戏破解程序(wallhack、aimbots、multihacks 等)。
我注意到,无论我使用哪种防病毒程序,迟早都会将这些软件标记为威胁(恶意软件、病毒、木马等)。所有此类软件都包含某种威胁,这是正确的吗?还是所有防病毒软件都旨在将所有此类软件视为可能的威胁?
答案1
当程序以其原生程序语言编写时,脚本实际上无法自行执行。它需要由解析器解释或编译为可执行文件。
为了将程序分发给其他人,您总是将程序编译为可执行文件。然而,可执行文件不是 shell 中的脚本代码,而是处理器理解的一组重构指令,以便执行您最初编写的程序。
理解这一点很重要。当病毒扫描程序创建威胁检测时,它们将搜索所有可执行文件。病毒会修改可执行文件并更改一些代码,这样病毒本身就会在可执行文件运行时运行。病毒扫描程序将通过简单地搜索模式来搜索此病毒。病毒可能有 80 个字节的代码,但其中 50 个字节包含有害指令,因此病毒扫描程序将扫描这 50 个字节。
这确保了对病毒进行的任何修改以掩盖自身,在大多数情况下仍会导致检测。它不能改变病毒本身的危险代码,否则它就无法再正常工作了。
病毒扫描程序拥有一个庞大的数据库,其中包含所有这些模式,称为病毒定义。
当病毒扫描程序发现病毒时,它就会发现该模式。这种检测可能会发现误报,即与病毒具有相同签名的通用代码匹配。
因为病毒扫描程序不喜欢他们的付费软件被破解,所以它会将任何破解或密钥生成器标记为不安全以保护自己,但也有可能有人创建破解并放入病毒,以便此人以后可以收集有关谁使用他们的破解等的信息...
至于密钥生成器、破解程序、黑客程序等是否包含真正的恶意代码,我无言以对。可能包含,也可能不包含。通常情况下,破解程序要想发挥作用,必须执行病毒也能执行的功能,这就是为什么大多数破解程序被视为危险程序的原因。它们的任务与病毒无法区分。
同样的问题也发生在实际程序中。它们可能包含可能被标记为病毒的操作。如果发生这种情况,开发人员通常会联系病毒扫描程序开发人员并调查他们的程序,以便创建更好的匹配,并且将来不会发生误报。
TL;DR:之所以这样做,是因为这些破解程序/密钥生成器等包含它检测到的病毒的签名。它是否真实以及它为什么检测到它,都无法回答。每个用例和每个病毒扫描器都不同。