启发式杀毒你需要了解的一些术语

广告软件 

通过某些手段（例如弹出一个窗口或打开某个网站）来吸引用户，发布广告或

宣传商品的软件程序。如果未在用户许可或知晓的状态下安装，通常被视为木

马程序。 

半精确识别 

识别方法在应用过程中，只能保证不会因为使用了不当的清除方法，造成目标

文件的损坏。病毒体的不变部分都不被单独地定义。 

校验值 

文中所提及的校验值是指依据某一个具体文件的信息内容而得出的计算值。文

件的内容改变，校验值也将随之改变。（某些校验值算法易产生碰撞，也就是

某个文件被误算出与另一个文件有着相同的校验值，但在绝大多数的情况下对

于一个单独的文件，文件的改动将影响计算出的校验值――这已经足以用于对

绝大多数的完整性、正确性校验。） 

腐败病毒 

因改动或功能减弱，或因失去活性而受到损坏的恶意软件（文中特指病毒）。 

分布式拒绝服务攻

击 

从特性上看，远程攻击者使用恶意安装在计算机网络上的僵尸进程或代理软

件，对其他功能不完善的系统发动的攻击。 

破坏性木马 

相对于某些破坏性较弱的，                                                                 的，

能引起直接性破坏的木马软件。 

释放器 

这种程序通常指本身不是病毒，但安装其它蠕虫或病毒等恶意软件。 

EICAR测试文件 

固定格式的程序文件，对绝大多数的反病毒软件来说是一个测试程序，将对它

做出与对病毒极为相似的反应。EICAR文件不是病毒，不带有恶意威胁：如果

执行，它会简单地在屏幕上显示，证实其本身是只一个测试文件。 

精确识别 

当病毒体恒定部分的每一段被唯一识别后，将其鉴别为病毒的一种技术。 

漏报 

指反恶意软件未能检测出真正的恶意软件的情形。 

误报 

指反恶意软件错误地把正常文件当作恶意软件检测出来的情形。 

垃圾文件 

在反病毒研究中，这种文件不是一种恶意的程序，但却被当做恶意软件，收集

在管理不善的恶意软件样本库中. 

广谱 

安全程序不对具体的威胁进行识别，而是用阻止一整类威胁的方法进行防护。

广谱特征码是其中的特例；所有同类变种都使用相同的一个特征码识别，而不

是对每个变种使用单独的特征码。 

病毒原体 

未繁殖的病毒，还没有感染任何文件（比如一个仅有病毒编码组成的文件，而

不是一个具有感染性的二进制文件）。 

启发式检测/扫描 

当检测对象表现出足够的病毒或恶意软件特征时，提示它可能是病毒或其它恶

意软件的技术。 

未遂病毒 

由于某些原因而不能运行的病毒文件   其它恶意软件，较少），通常是因

为病毒作者未进行足够的测试。 

玩笑程序 

做出一些意料不到的令人反感行为的程序， 产生实际性的损害。玩笑和

木马之间的界限，有时很微妙。 

键盘记录器 

监听键盘按键的程序，通常是被恶意安装，从事非法目的，如密码偷取等。 

已知病毒扫描，病毒

特征扫描 

扫描已知病毒，并在扫描环境中识别发现的病毒名称. 

否定式启发 

一种检测规则或标准，如果检测对象符合标准，则不是病毒或恶意软件的可能

性减小。 

口令 

相对于简单的单词或字符串密码，口令通常是一组更长的字符，作为更加安全

的密码形式应用。 

肯定式启发 

一种检测规则或标准，如果检测对象符合标准，则是病毒或恶意软件的可能性

加大。 

回溯测试 

一种测试扫描器启发式能力的方法，即停止更新病毒库一段时间后，用扫描器

扫描在这段时间内新出现的恶意软件 

内核后门 

一个或一组隐密安装的程序，用来对系统进行未经许可，具有高级权限的访问.

有时也用stealthkit这个术语指代，这时可以指未经许可，但不具备高级权限

的访问. 

扫描字符串，检索字

符串 

已知病毒中的一组字节，在合法程序中不应存在.这个术语不仅仅限于指代静态

搜索字符串，也可能包括各种通配符和通用表达，或者另一种病毒检测算法. 有

时也称为'扫描特征码". 

自启动 

这个术语用于描述不需要借助于受害体任何动作，就能传播和触发的恶意

软件。 

特征码 

与―检测字符串∥同义。可用于说明静态的字符串检索，但最好避免使用这个术

语，特别是它会让人产生所有病毒扫描器都使用相同字节序列，来识别某个病

毒或变种的误解。 

间谍软件 

一种程序，用来秘密收集计算机用户的信息并传送给感兴趣的一方。其中包括

一些类型的广告软件。 

病毒生成机 

本身不是病毒，但能生成病毒程序。也被我们称作―病毒制造器∥ 。 

病毒特征检测 

通过对病毒及其变种的一系列特征的字符串检索，查杀已知病毒的方法。 

通配符 

被用以替代其它字符或者连续字符串的字符，也应用于特殊格式的规则表达。 

僵尸程序 

一种后门程序，电脑被感染后，等待并遵照来自远程计算机或者被感染机器

本身的一系列操控指令行事。