防病毒软件 防病毒软件专门用于防护系统，使其免受来自恶意软件的威胁。Microsoft强烈推荐使用防病毒软件，因为它会保护您的计算机系统，使其免受任何形式的恶意软件（而不仅仅是病毒）的侵害。 防病毒软件可以使用许多技术来检测恶意软件。本部分将讨论某些技术的工作原理，包括： 61 签名扫描。目前大多数防病毒软件程序都使用此技术，它通过搜索目标（宿主计算机、磁盘驱动器或文件）来查找表示恶意软件的模式。这些模式通常存储在被称为"签名文件"的文件中，签名文件由软件供应商定期更新，以确保防病毒扫描器能够尽可能多地识别已知的恶意软件攻击。此技术的主要问题是，防病毒软件必须已更新为应对恶意软件，之后扫描器才可识别它。

61 启发式扫描。此技术通过查找通用的恶意软件特征，来尝试检测新形式和已知形式的恶意软件。此技术的主要优点是，它并不依赖于签名文件来识别和应对恶意软件。但是，启发式扫描具有许多特定问题，包括： 61 错误警报。此技术使用通用的特征，因此如果合法软件和恶意软件的特征类似，则容易将合法软件报告为恶意软件。

61 慢速扫描。查找特征的过程对于软件而言要比查找已知的恶意软件模式更难。因此，启发式扫描所用的时间要比签名扫描的时间长。

61 新特征可能被遗漏。如果新的恶意软件攻击所显示的特征以前尚未被识别出，则启发式扫描器可能会遗漏它，直至扫描器被更新。

61 行为阻止。此技术着重于恶意软件攻击的行为，而不是代码本身。例如，如果应用程序尝试打开一个网络端口，则行为阻止防病毒程序会将其检测为典型的恶意软件行为，然后将此行为标记为可能的恶意软件攻击。 现在，许多防病毒供应商在他们的解决方案中混合使用这些技术，以尝试提高客户计算机系统的整体保护级别。 "处于放任状态"恶意软件的典型时间线 已经出现了一种模式，用来定义可作用于公共网络的新恶意软件攻击的生存期，或者定义恶意软件进入放任状态的时间。学习此模式有助于您了解新的恶意软件攻击发布后所带来的风险。 新的时间线从恶意软件最初开发时开始，到它的所有痕迹已从被监视网络中删除为止。时间线阶段定义如下： 1. 构思。恶意软件开发通常从新的攻击或利用方法被提出并且在黑客间共享开始。这些方法将被讨论或研究，直至发现一个方法可以开发为攻击。

2. 开发。在过去，要创建恶意软件必须了解计算机汇编语言以及要攻击的系统的复杂工作原理。但工具包和 Internet 聊天室的出现使几乎每个心怀歹意的人都可以创建恶意软件。

3. 复制。新的恶意软件开发并发布为放任状态之后，它通常必须复制到可能的宿主设备一段时间，然后才能执行主要功能或传递负载。 注意： 尽管有成千上万个已知的恶意软件程序，但仅有极小一部分目前处于放任状态。极大多数的恶意软件程序从未发布给大众，它们通常被称为"动物园病毒"。