很多游戏修改器都说要关闭杀毒软件或添加到信任列表后使用,那为什么杀毒软件会把修改器视为病毒?

推荐  (0) | 5人关注关注
2个答案
11 0

传统的反病毒软件基于病毒库——病毒文件的特征码库——来识别病毒。这种方法基本上不会误杀,但遇到未记录在病毒库中的病毒就毫无办法。现代的安全软件基本上都会有启发式扫描引擎,也就是说,会在某程序运行时(或者在反病毒软件自建的安全沙盒中)研究此程序的行为,以判断这个程序是否有问题。

一般地说,游戏内存修改器要发挥作用,必须要获取很高的系统权限。高权限意味着高风险(所以Win Vista/7会经常弹出UAC对话框来警告你),而修改器的一些高权限行为符合病毒的行为特征。

首先,游戏修改器的工作模式就决定了它们很容易被误认为病毒。本质上来讲,一个游戏的内存修改器就是一个特殊的程序,它用来破解另一个程序、给另一个程序注入代码,以达到游戏作弊的目的。它的工作方式本身就具有潜在的不安全性,有可能让另外一个程序不稳定甚至崩溃。

另外一方面来说,很多病毒也是这样工作的。注入到目标程序中以破解、修改这个程序,从而实现某种目的,比如盗号。

第二,游戏修改器往往要使用一些全局热键。所谓全局,即与界面无关的按键,比如说一个全鼠标控制的游戏中,按键本来是不起任何作用的,因为被游戏屏蔽了,不能直接传导给另一个程序(本来游戏也没有专门给作弊器设计接口)。这使得它们必须要在任何情况下都知道作弊热键是否被按下。换句话说,很多修改器都必须要获取系统级别的按键事件。

而这又是很多病毒会做的事。盗号软件又是一个很好的例子。而区别仅仅是,游戏修改器不会把按键记录发送给黑客。

然后,还有一种可能就是修改器本身就包含了被列入病毒特征库中的组件。虽然称作“病毒库”,但实际上某些杀毒软件的特征库包含的东西并不全是病毒,一些破解工具也可能被列入。这些工具既可以用来制作修改器,也可以用来破解其他软件。

所以总的来说,修改器的这些行为对于启发式扫描引擎来说是相当可疑的。凭借行为判断病毒并不是一件容易的事情,所以很多杀软为了安全起见都会先阻止这类程序的运行。

0 0

而且很多游戏修改器会被利用挂木马病毒……

查看更多

添加回答

登录 后回答问题,你也可以用以下帐号直接登录

相关问答

关于我们 加入果壳 媒体报道 帮助中心 果壳活动 家长监控 免责声明 联系我们 移动版 移动应用

©果壳网    京ICP证100430号    京网文[2018] 6282-492号    新出发京零字东150005号     京公网安备11010502007133号

违法和不良信息举报邮箱:jubao@guokr.com    举报电话:18612934101    网上有害信息举报专区    儿童色情信息举报专区