Ubuntu Antivirus

什么是杀毒软件？

杀毒软件也称为反恶意软件。它是一种用于预防、检测和清除恶意软件的计算机程序。最初，杀毒软件是为了检测和清除计算机病毒而开发的，因此得名。尽管如此，随着其他恶意软件的传播，杀毒软件最初是为了保护免受各种计算机威胁。

特别是，最新的杀毒软件可以保护用户免受间谍软件、广告软件、欺诈工具、拨号器、恶意 LSP、蠕虫、木马、rootkits、后门、键盘记录器、勒索软件、浏览器劫持者以及恶意浏览器助手对象的侵害。

此外，一些产品还包括对各种计算机威胁的防护，例如恶意的和受感染的僵尸网络 DDoS 攻击、APT（高级持续性威胁）、社会工程技术、网上银行攻击、在线身份、网络钓鱼和诈骗攻击、垃圾邮件以及恶意 URL。

杀毒软件识别方法

计算机病毒研究领域的一些扎实的理论成果来自 Fredrick B. 他认为，没有任何算法可以完美地找到所有可能的病毒。然而，通过应用不同的防御层，可以实现良好的检测率。

杀毒引擎可以应用许多技术来识别恶意软件

• 数据挖掘方法：这是恶意软件检测中使用的最新方法之一。机器学习和数据挖掘算法用于尝试根据从文件本身派生出的文件特征系列，将文件的行为（视为良性或恶意）进行分类。
• 沙箱检测：这是一种特定的基于行为的检测方法，它不是在运行时查找行为指纹，而是在虚拟环境中运行程序，记录程序执行的操作。

杀毒引擎可以根据记录的操作来决定程序是否恶意。如果不是，程序将在真实环境中运行。该方法已显示出相当令人印象深刻的效果，但由于其速度慢和资源占用大，因此在许多终端用户杀毒解决方案中很少使用。

基于签名的检测

传统的杀毒软件在识别恶意软件方面严重依赖签名。

一旦杀毒公司收到恶意软件样本，它就会被动态分析系统或恶意软件研究人员进行调查。然后，一旦确认是恶意软件，就会派生出正确的文件签名并包含在杀毒软件的签名数据库中。

然而，基于签名的检测方法可以有效地包含恶意软件的爆发，许多恶意软件作者试图通过编写“多态”、“寡态”以及最近的“变形”病毒来领先一步，这些病毒会加密自身的一部分或改变自身作为伪装方法，以避免在字典中出现相同的病毒签名。

启发式算法

一些病毒以一次感染开始，然后通过其他攻击者的改进或变异，可以发展成许多略有不同的菌株，称为变种。通用检测定义了用一个病毒定义检测和删除多种威胁。

例如，Vundo 木马有许多家族成员，具体取决于供应商的杀毒软件分类。赛门铁克将Vundo家族成员分为两类：Trojan.Vundo.B和Trojan.Vundo。

虽然检测特定病毒可能很有益，但从通用签名或与先前签名的不精确匹配中找到病毒家族可能更快。病毒研究人员检测出每个家族病毒独有共享的常见区域，并可以建立一个通用签名。

通常，这些签名包含带有通配符的非连续代码，其中存在差异。通配符允许扫描仪在病毒被无意义和额外的代码保护时也能找到病毒。采用这种方法的检测称为“启发式检测”。

Rootkit 检测

杀毒应用程序可以尝试扫描 rootkits。rootkits 是一种恶意软件，旨在获得对计算机设备的管理员级控制权而不被发现。Rootkits 可以修改操作系统的工作方式，在某些情况下可以篡改杀毒程序并使其失效。此外，rootkits 很难删除，有时甚至需要完全重新安装操作系统。

实时保护

自动保护、常驻保护程序、后台守护程序、即时扫描、实时保护以及其他同义词定义了大多数反间谍软件、杀毒软件和其他反恶意软件功能提供的自动保护。

它监控计算机设备是否存在恶意活动，例如广告软件、间谍软件、计算机病毒以及其他恶意对象。实时保护会查找文件中的威胁，并在程序下载到设备时实时扫描应用程序。

杀毒软件的相关问题

突然的续订费用

一些商业杀毒软件的最终用户许可协议包含一项条款，即订阅将自动续订，并在续订时自动向购买者的信用卡收费，而未经明确同意。

恶意安全软件

一些看起来像杀毒软件的程序实际上是伪装成合法软件的恶意软件，例如Mac Defender、MS Antivirus 和WinFixer。

误报引起的问题

“误报”或“假阳性”是指杀毒应用程序将非恶意文件识别为恶意软件。如果发生这种情况，可能会导致一些严重问题。

下面列出并解释了一些严重的误报示例

• 2007 年 5 月：Symantec 提供的错误病毒签名错误地删除了操作系统必需的文件，导致多台 PC 无法启动。
• 2007 年 5 月：Norton AntiVirus 错误地将Pegasus Mail 在 Windows 中运行所需的某个可执行文件识别为木马并自动删除，从而阻止了Pegasus Mail 的执行。Norton anti-virus 曾错误地将三个Pegasus Mail 版本识别为恶意软件，并在发生这种情况时删除Pegasus Mail 的安装程序文件。
• 2010 年 4 月：McAfee VirusScan 在运行Windows XP 并带有Service Pack 3 的设备上将 Windows 的通用二进制文件 svchost.exe 识别为病毒，导致重启循环并导致所有网络访问失败。
• 2010 年 12 月：AVG 杀毒套件的一次错误更新导致 64 位 Windows 7 版本无法启动，因为它陷入了无休止的重启循环。
• 2011 年 10 月：MSE（Microsoft Security Essentials）删除了浏览器，即Google Chrome，这是微软自家Internet Explorer 的竞争对手。MSE 将Google Chrome 标记为Zbot 银行木马。
• 2012 年 9 月：Sophos 的杀毒套件将包括其自身在内的多个更新机制识别为恶意软件。Sophos 杀毒软件会认为自身无法更新，如果它被设置为自动删除检测到的文件，则需要手动干预才能解决问题。
• 2017 年 9 月：Google Play Protect 杀毒软件开始将摩托罗拉的 Moto G4 蓝牙应用程序识别为恶意软件，导致蓝牙功能被禁用。

互操作性和系统相关问题

同时运行多个杀毒程序可能会产生冲突并降低性能。然而，各种公司（包括Microsoft 和G Data Software）已经开发出可以使用称为多扫描的概念同时执行多个引擎的应用程序。

有时，在安装大更新（例如更新的显卡驱动程序或Windows Service Packs）时，暂时禁用杀毒保护是必要的。运行杀毒保护可能会完全或部分阻止重大更新的安装。杀毒应用程序可能会在操作系统升级的安装过程中导致一些问题。

有效性

2007 年 12 月的研究表明，杀毒应用程序的有效性在过去一年中有所下降，特别是在针对零日或未知攻击方面。c't 计算机杂志发现，针对这些攻击的检测率已从 2006 年的 40-50% 下降到 2007 年的 20-30%。当时唯一的例外是NOD32 杀毒软件，其检测率为 68%。

病毒作者意图的改变放大了这个问题。几年前，病毒感染是否可用是很明显的。当时，病毒是由业余爱好者开发的，并会产生破坏性的弹出窗口或行为。如今，现代病毒通常由专业人士编写，并由某些犯罪组织资助。

新型病毒

杀毒应用程序并非总是能有效应对新型病毒，即使是那些应用了本应能发现新型病毒的非签名技术。原因是病毒设计者会在大型杀毒软件上测试他们的新病毒，以确保在将其发布到野外之前不会被发现。

一些新型病毒，特别是勒索软件，会使用多态代码来避免被病毒扫描器检测到。一个概念验证病毒利用GPU（图形处理单元）来避免被杀毒应用程序检测到。其潜在的成功之处在于绕过中央处理单元，使得安全研究人员更难评估此类恶意软件的内部实现。

Rootkits

识别 rootkits 对所有杀毒应用程序来说都是一个巨大的挑战，rootkits 可以完全控制系统，对用户隐藏，并在任务管理器中从正在运行的进程列表中隐藏。Rootkits 可以改变操作系统的内部实现并干扰杀毒应用程序。

损坏的文件

杀毒应用程序会在消毒时尝试从文件中删除病毒代码，但如果文件被系统病毒感染，则不一定能将其恢复到未损坏状态。在这种情况下，只能从之前的阴影和备份副本（对于勒索软件也适用）中恢复损坏的文件，已安装的损坏软件需要重新安装。

固件感染

在计算机中，可写固件可能会被恶意代码感染。这是一个主要问题，因为任何被感染的BIOS 都可能需要更换真实的 BIOS 芯片才能确保恶意代码被完全清除。杀毒应用程序在保护主板 BIOS 和固件免受感染方面效率不高。

安全研究人员发现，USB 设备包含可写固件，该固件可以在 2014 年被恶意代码（“BadUSB”）更改，杀毒应用程序无法阻止或检测到。恶意代码可以在系统上隐蔽执行，甚至可以在启动前感染操作系统。

Ubuntu 的杀毒软件

Comodo Antivirus

Comodo Antivirus 也称为CAVL（Comodo Antivirus for Linux），提供与 Windows 软件类似的病毒防护，并具有完全配置的反垃圾邮件系统的附加功能。

Comodo 的特点

• 专用的 AV 防护可捕获所有已知威胁
• 包含自定义扫描配置文件、详细事件查看器和扫描计划程序
• 自动更新以提供最新的病毒防护
• 邮件过滤器适用于 Exim MTA、Sendmail、Qmail 和 Postfix
• 下载后即可使用。没有令人烦恼的误报，只有病毒防护

ClamAV Antivirus

它是一个开源的杀毒引擎，用于各种场景，包括终端安全、Web 扫描和电子邮件扫描。它提供了多种实用程序，包括可扩展且灵活的多线程守护程序、一个自动更新数据库的高级工具以及一个命令行扫描程序。

ClamAV 的特点

• Milter 接口
• 命令行扫描程序
• 集成的数据库更新程序，支持数字签名和脚本化更新
• 每天更新病毒数据库一次以上
• 内置支持所有经典的邮件文件格式
• 内置支持流行的文档格式，包括 PDF、RTF、Flash、HTML、MacOffice 和 MS Office 文件。

NOD32 Antivirus

保护我们的 Linux 工作站免受为 Linux 设计的威胁以及任何可能传播到网络中其他 Apple 或 Windows 计算机的跨平台恶意软件的侵害。对于 Linux 桌面，ESET NOD32 杀毒软件是一个功能齐全的杀毒解决方案，在保护我们的在线身份方面发挥着重要作用。

NOD32 的特点

• 主动、强大的防护：实时检测病毒（包括新型病毒），借助程序ThreatSense 扫描引擎的启发式分析。
• 检测跨平台威胁：ESET 的 Linux 桌面解决方案可阻止所有威胁，无论它们针对哪个操作系统，macOS、Linux 或 Windows。
• 低系统占用：确保系统快速启动，不会导致系统减慢。
• 易于操作，带有为 Linux 桌面环境设计的屏幕图形界面。

Kaspersky Endpoint Security for Linux

它为在其终端机上运行 Unix 操作系统的企业网络提供集中的防护，免受所有类型的恶意软件和潜在危险程序的侵害。

它来自一个产品系列，该系列基于一套统一的最佳反恶意软件和其他技术，Kaspersky Lab 的创新型全新杀毒引擎采用最先进的组件架构，以提高其稳定性和性能，提供易于管理和控制的可靠防护。

Kaspersky 的特点

• 杀毒引擎：该应用程序基于全新的杀毒引擎，可大大提高系统扫描速度，利用系统资源使用量，并与其他系统发生最小的冲突。
• 启发式分析器：经典的签名扫描得到了增强的启发式分析器的补充。这有助于检测与已发现的已知威胁相似的未知威胁，并显著提高整体防护级别。
• 集中管理：一系列改进使应用程序的可管理性达到了新的水平。新版本的 Kaspersky Endpoint Security for Linux 完全通过Kaspersky Security Center 支持。Kaspersky Security Center 是一个管理工具，可以方便地完成一系列 IT 安全管理操作，从远程分发终端安全应用程序到生成系统事件报告。

F-PROT Antivirus

F-PROT 杀毒软件基于其可靠的产品历史，易于使用，并提供强大而经济实惠的杀毒解决方案。对于 Linux 工作站，F-PROT 杀毒软件易于使用、高效且快速。

它可以通过消毒和检测或清除恶意程序来保护 Linux 工作站免受日益增长的蠕虫、病毒威胁和其他恶意软件的侵害。F-PROT 的启发式技术可以检测到许多未知威胁，从而提供最强的现有防御，是我们的台式机和笔记本电脑的最佳解决方案。