恶意软件制造者

编写私有RAT软件，避免普遍被AV所知的特征字符

使用独有crypter软件加密恶意程序

处事低调，尽量避免被发现

没有能力自己编写恶意代码的黑客，通过直接修改特征码的方式免杀

Fully undectable是最高追求（FUD）

AV厂商

广泛采集样本，尽快发现新出现的恶意程序，更新病毒库

一般新的恶意软件安全UD窗口期是一周左右

与恶意软件制造者

当前现状

单一AV厂商的病毒库很难达到100%覆盖（会上传特征码给厂商）

http://www.virustotal.com/
接口被某些国家的AV软件免费利用，没有自己的病毒库
http//www.virscan.org/
在线多引擎查杀网站与AV厂商共享信息（会上传特征码商）给厂
搞黑的在线引擎查毒站
http://nodistribute.com/
http://viruscheckmate.com/check(vpn)

恶意程序最主要的防护手段

杀毒软件/防病毒软件

客户端/服务器/邮件防病毒

检测原理

基于二进制文件中特征签名的黑名单检测方法

基于行为的分析方法（启发式）

事后手段

永远落后于病毒发展

恶意软件

—病毒、木马、蠕虫、键盘记录、僵尸程序、流氓软件、勒索软件、广告程序

在用户非自愿的情况下执行安装

出于某种恶意的目的：控制、窃取、勒索、偷窥、推送、攻击......