杀毒软件作为软件界的老字号系列专业软件，其名称如同它所具备的功能特征一样，用户一下子就能读懂这是个什么意思。但是，对于杀毒软件运行的特点以及病毒防查杀的规则，相信普通用户也许就没那么熟悉了。今天为什么带来这个话题，在“3.15”来临之际，笔者想和大家一起来寻找一些案例，做一些测试，来探讨杀软(恶意)拦截行为其中的秘密。

　　杀软拦截谁说了算 揭开行业内规则面具

　　杀软的拦截初衷

　　杀毒软件无论是从最早期，还是到目前最新版的产品，杀软拦截功能的初衷都是防御恶意威胁的侵入。这应该说放到现时哪一款杀软之上，都是成立的。但在这里面，防御的标准，也就是杀软拦截的标准更深层次的方面，我们就不一定能了解到太多了。

　　居于大数据端的规则防御

　　杀软程序甄别行为的常规流程：事件产生，主要负责从网络环境中获取信息；事件分析，通常这个步骤中有被称为“触发条件”的逻辑步骤，该步骤决定当前是否需要处理；事件响应，当前事件如果在事件分析的过程中出发响应条件，则这一步将对事件作出响应，对于外界来说，这一步是唯一可以直接观察到的；日志记录，按照IDS管理员的要求和设置记录IDS工作的各个状态等。

　　于是，先前广大用户意识中所认为，杀软是可以拦截正在安装的恶意软件的。然而，当小部分正常的软件也被拦截的时候，如某些游戏插件、硬件驱动程序等，用户也许存在过摇摆，到底被拦截到的真的就是不安全，而不被拦截到的就真的安全？我们继续来看看后面一些实际案例。

　　无威胁状态下 杀软发出的拦截

　　并不是说所有被杀软所拦截到的都是带有威胁性，或者说是破坏性的危险程序。前文我们已经对杀软的拦截运行规则做了一个简要的分析，杀软因品牌不同、产品定位各异，但理论上最终所遵循的原理都死一致的，有的就是病毒库(大数据云病毒库)之间的差别。

　　这样就导致了小部分游走于病毒库规则边缘的程序，会使杀毒软件比较容易产生不一样的拦截结果。比如过去游戏插件(外挂程序)、以及其他第三方开发的一些辅助工具等。那么究竟它们是不是病毒，有没有危险性？

　　杀软对游戏插件的拦截

　　分析：所拦截到的程序被安全软件认为是带有捆绑盗号木马的外挂程序，这一结论，其实是杀毒软件通过目标程序的行为特征来确认的。不过话又说回来，这种游戏相关的外挂插件，之所以能对游戏本身起到了较大程度的辅助效果，插件本身的行为或许对操作系统底层权限的需求，又或者是对用户资料的获取权限要求都比较多。因此在很多时候游戏玩家抱怨明明没有病毒行为的游戏插件，就是过不了杀毒软件的拦截这一关，这也是情有可原的。

　　游戏外挂被拦截

　　第三方开发的抢红包工具也被拦截

　　杀软根据程序运行动作来判断程序的安全性质，这对于杀软来说无可厚非。但无论病毒数据库如何庞大，规则都是定的，虽然技术的更新进步在后期可能会有更细致的行为分析机制。所以在游走于病毒与非病毒之间时，对于极小部分的拦截，用户还是需要自己做一些判断，在这个时候，如果您当真确保这是一款安全的游戏插件，那么就是自己说的算。

　　结果对比：标准恶意病毒防御测试

　　前面我们所讨论的是第一种情况，就是游离在病毒与非病毒之间的边缘化程序。那么，接下来我们就一起来测试一下，在真正的恶意病毒面前，不同的杀软所作出的拦截情况，又存在着什么样不同点，了解下我们会获得什么结果。

　　接下来，我们通过一个简单的测试来检验一下，同样是包含了500个病毒样本的样本包，在杀软的病毒库最新的情况之下，杀毒的测试结果存在怎样的差别。

　　百度杀毒扫描出来的病毒

　　360杀毒扫描出的病毒

                                                                                                                 

PC杀毒软件病毒拦截测试
软件名称	样本包数量(个)	拦截病毒数(个)
百度杀毒	500	458
360杀毒	500	466

　　在手机杀软方面

　　360和腾讯手机管家木马拦截结果一样

                                                                                                                 

手机杀毒软件病毒拦截测试
软件名称	样本包数量(个)	拦截病毒数(个)
腾讯手机管家	50	47
360杀毒	50	47

　　以上分别测试的是PC和手机两个不同平台下，同样的病毒样本包，两大平台在测试结果上所存在的差距。

　　其实这也不难解释，之所以在PC平台上，相同的病毒样本包在不同的杀软中，杀软所拦截的结果不尽相同，这与PC平台中病毒变化情况以及病毒的数量级也有关系。因为我们知道的，就算当今手机端恶意、病毒程序的数量也在呈现增长的趋势，但是数量级远不及PC平台的巨大。因此这也就导致了在不同的运算、扫描、以及防御机制下的杀毒软件中，所得到拦截结果，也会出现不一样的测试结果。

　　总结：杀软技术发展使规则更透明

　　杀毒软件的用户群体使用的习惯较为显著，用一句通俗一点的话来说，就是“要么不用，要用就非常具有依赖性”。

　　在PC方面，笔者碰到过这样的情况，有人习惯将杀软运行图标放在任务栏显露的地方而不愿意把它隐藏起来；甚至有人习惯于观察杀软每日的更新，如果某日发现杀软没有按时更新，自己则觉得浑身不自在。以上看似有些“强迫症”，但却着实反映了用户的依赖性。

　　在手机方面，在规则以外的情况也越来越多了。其中手机广告往往存在“灰色地带”。试想一下，如果Android手机也像iOS一样，优秀的应用和游戏都要收费，Android手机还将怎么卖？每个应用都有自己的盈利模式，付费或者免费内置广告是两大趋势。通杀免费应用的结果是，用户必须为应用埋单。笔者认为，这并不是用户的根本意愿。

　　如此多的诱导下载 安全状况堪忧

　　免费应用的内置广告已经成为固定模式，就好比门户网站的下拉广告和弹窗提示、聊天窗口的Flash广告、视频网站的前贴片广告、乃至传统电视的片头和片尾广告。那么只要在拦截规则以内的事情，那这些广告是不是也要拦一拦？

　　小结：杀毒软件系列作为专业级别的软件产品，在讨论它现在发展状态的同时，笔者以为我们很有必要了解两个方面付费和免费产品。早期杀软以付费产品居多，那个时候杀软大部分都是具有专门需求的用户来选择使用，普通用户那时可以说是了解得太少。

　　在那种情况下，更不用说杀软的工作原理，杀软的拦截规则；在当下，杀软已经大规模免费化之后，杀软早已成为大众化产品，它不再是只有专业人士才能必备的。但即便如此，人们对于每天都在使用的杀软，运行、拦截的规则依然还是知之甚少。

　　竞争其实是可以良性循环的

　　按照杀软自身所具备的查杀规则运作，这是前提也是基础。安全业内竞争很正常，但是如果此类竞争牵扯并动用了产品上的技术手段，那么势必影响到用户。相信随着杀毒技术的发展，人们的安全意识会得到加强，在这个专业领域上的各项运作规则也会更加透明。

　　扫一扫，一起坐看风云变幻。扫描下方二维码关注新浪科技官方微信(也可微信搜索：techsina或新浪科技)。