为了选出最佳反恶意软件，你必须了解威胁、如何检测威胁以及相关产品如何修复感染。反恶意软件早已不再是简单的签名匹配，现在的反恶意软件添加了很多新的检测技术来确定软件程序是否为恶意以及是否可以在设备上执行。在我们讨论选择最佳反恶意软件的主要考虑因素之前，让我们先来看看恶意软件编写者使用的战术，他们的战术让检测工作非常具有挑战性。

　　防病毒（AV）技术源自一个非常简单的想法：如果代码是不好的，就阻止它。因此，防病毒厂商怀揣着一个“坏东西”的大名单，并将每个进入设备的文件与这个清单进行比较。另一方面，攻击者们的对策是稍微改变每一个恶意文件，让每个文件都很接近，但并不完全类似于已知的坏文件。这是简单的逃避检测的方法。对此，供应商们分发数百万的新签名到每个设备，很显然，这种战略和业务模式并不能扩展。

　　然后，业界开始尝试一种积极的安全模式，即对授权软件程序建立白名单。如果软件没有被授权，将无法运行。这种方法能够很好地阻止恶意软件（它不可能出现在白名单中），但这严重影响了可用性。用户将需要非常频繁地加载软件，如果他们想要使用的软件不在白名单中，他们会感到很懊恼。

　　黑名单模式不能进行扩展，而白名单模式无法让用户接受。因此，该行业不得不从头来过，重新考虑恶意软件的运作方式以确定最佳检测方法。

恶意软件的基本要素

　　所有恶意软件的基本元素是一个文件，这个文件首先会执行，随后做坏事。反恶意软件的作用是在它们做坏事之前检测出这些文件。鉴于恶意软件编写者能混淆坏文件，检测不能再相信文件看起来像什么；而应该评估“每个文件做什么”。

　　要明确，查找已知恶意文件仍然是有用的，但这并不能扩展到每个设备上，所以反恶意软件供应商利用云计算来记录保存数十亿文件（软件哈希）。每个设备上的反恶意软件代理检查文件的“信誉”来确定1）之前他们是否看过它2）是否是恶意文件。

　　阻止已知恶意文件，而已知合法文件则允许执行。那么，当你遇到从未见过的文件呢？这正是下一代反恶意软件发挥作用的地方。代理发送未知文件到服务来分析该文件，通过在隔离环境来执行该文件来查找是否存在恶意因素。然后，该服务会发回一份“裁决”到设备以允许或阻止该文件。

　　很显然，在这个过程中存在一定的延迟性，在得到明确判断之前，你可以确定是否让未知文件通过（这样做存在风险）或者隔离该文件。任何没有利用这种基于云的反恶意软件技术都无法阻止今天的攻击。