(杀毒软件)如何判断一个程序是木马?
关于木马,我的理解是:木马程序打开一个端口,可以让远程的主机连接木马程序,以此控制这个菜机。
(1)对于没有注入其他进程的木马程序,木马是一个单独的进程。
杀毒软件查看这个进程是不是打开端口,以此来判断这个程序是不是木马? 但是现在很多程序也要打开端口。这有怎么区分呢?
(2)对于注入到其他的进程的木马,杀毒软件又是怎么处理的?
谢谢各位的指点:)
[解决办法]
我的理解是:
杀毒软件只能对已知木马进行识别,例如监听的端口号(行为),特征码等
有些杀毒软件在程序运行前或第一次运行前都要由用户确认,达到监控及推卸责任的目的
对于木马变种,即修改过特征的木马,没有办法在第一时间查出来,除非变种很傻
这也是杀毒软件必须经常更新病毒库的原因
