红队免杀实战技术特训营（第一期）

1.杀软是如何检测出恶意代码的？
（1）检测特征码
人有自己的特征，代码也有自己的特征。杀毒软件都有着一套特征库，依靠检索程序代码是否和库中特征码是否吻合来判断某段代码是否属于病毒。
（2）启发式恶意软件检测
如果该程序的特征和行为与病毒程序类似，其匹配程度达到一定值就可以认为该程序是病毒程序。
（3）基于行为检测
与启发式检测类似，只是单纯依靠监测程序行为来作为标准。通过监视恶意代码运行过程，如利用系统监视工具观察恶意代码运行过程时系统环境的变化，或通过跟踪恶意代码执行过程使用的系统函数和指令特征分析恶意代码功能，如出现恶意行为，则属于恶意代码。