跳到正文
>_ITDITDWeb 安全平台

术语表

什么是恶意软件?类型、感染途径与基本防御

恶意软件是危害设备或数据的不良软件的统称。讲解病毒·蠕虫·木马·勒索软件·间谍软件·僵尸程序等类型、主要感染途径,以及共通的防御——更新·EDR·最小权限·备份。防御视角,不含攻击步骤。

发布于 2026-07-02 更新于 2026-07-02 2 分钟阅读

「危害设备或数据的不良软件」的统称——那就是恶意软件。下面讲解主要类型,以及无论类型如何都共通的防御方式(不含攻击步骤)。

恶意软件的类型(一张地图)

名称有很多,但真正需要记住的只是「大致存在这些族群」这样一张地图——因为如下文所述,防御方式是共通的。

病毒

寄生到正规文件上,一旦运行便自我复制并扩散感染。无法独立行动。

蠕虫

独立自我复制,并跨网络自动扩散。在疏于加固的网络中会爆发式蔓延。

木马

伪装成有用的正规软件混入,然后在后台进行恶意行为。特征是「你自己把它装进去」。

勒索软件

加密文件并索要赎金。如今通常还伴随数据窃取,即双重勒索(→专门文章)。

间谍软件

悄然潜伏而不被察觉,窃取按键输入·凭据·浏览记录等。

僵尸程序 / 僵尸网络

远程操控受感染的机器,把大量机器捆在一起用于攻击。指令来自 C2(→C2)。

恶意软件的主要类型。无论外表多么不同,防御方式都是共通的(入口·检测·恢复)。

实际上,一个恶意软件同时身兼数职并不罕见(例如:作为木马混入,作为间谍软件窃取数据,最后投放勒索软件)。正因如此,与其花时间纠结「这是哪种类型?」,不如把入口·检测·恢复的防御夯实来得实用。

主要感染途径(了解入口)

恶意软件不会像变魔术一样凭空出现,它是从一组可预测的门进来的。这里只列出高层次的途径(不含具体手法)。

附件·宏
钓鱼邮件的附件与 Office 文档的宏。最常见的入口
伪装下载
伪装成正规软件的分发,或被篡改的网站
未修补的漏洞
面向互联网的软件中一个已知的漏洞被利用
U 盘·来路不明的应用
经由可移动介质或来源不明的应用被带入

无论哪一种,入口都是人与运营上的缝隙——随手打开、放着软件不更新、不核实来源。反过来说:下文的防御能封堵掉其中的大部分。

防御(类型各异,要做的事却一样)

你不需要为每种类型准备单独的对策。要做的是叠好对恶意软件普遍有效的三层防御

1

封堵入口:更新·可疑文件·MFA

定期更新操作系统与软件,别让已知的漏洞悬着不管。不要打开意料之外的附件·宏或链接。多因素认证(MFA)保护主要账户,让凭据被盗也不等于立刻被攻破(→ 如何选择 MFA)。

2

加上检测层:杀毒软件 / EDR

杀毒软件(含操作系统自带)拦截已知威胁,在需要更多时用 EDR 监控行为,把未知的恶意软件也一并捕捉(→ 什么是 EDR)。不过检测并不完美——绝不要只依赖它。

3

缩小波及范围:最小权限

日常工作不要以管理员身份运行。把权限保持在最小,意味着即便有东西真的运行起来,它也无法扩散太远——一台设备或一个账户不会连锁波及到全部。

4

能够恢复:备份

最后一道防线是备份。尤其对勒索软件而言,离线/不可篡改的副本加上定期的还原测试就是决定性的一手(→ 备份与恢复的基础)。

传统杀毒软件(比对已知)

  • 通过比对已知恶意软件的「指纹(特征码)」来检测
  • 轻量高效,对广泛流通的威胁有效
  • 对未知/刚做出来的变种容易漏检
  • 常被误解为「装上就安全」

EDR(监控行为)

  • 依据可疑的行为(异常的加密·对外通信)而非文件名来检测
  • 能察觉未知的攻击以及「对正规工具的滥用」
  • 留有记录,可用于感染后的调查与遏制
  • 但仍不能替代入口(更新)与恢复(备份)

本站的观点:记住类型并不是防御策略

攻击者会不断改变名称与外表。追逐「本月的恶意软件名称」并不会让你的防御变强。真正普遍有效的,是入口·检测·恢复这三层的结构。本站对自身也采用同样的原则:持续更新依赖包以封堵入口,机器监控 CVE 以进行检测,并让配置可再生成以便恢复。防御恶意软件并不特殊——它只是这些基础的延伸。

盲点:「我装了杀毒软件,所以没事」并不成立

最常见的错误,就是把一个检测工具当作护身符。检测总会漏掉一定比例,而一旦那里被攻破,你的防御就归零了。真正强的是分层:在入口削减总量(不打开·勤更新),用检测(杀毒软件/EDR)抓住剩下的,再用恢复(备份)把仍然溜进来的东西无害化。不倚赖任何单独一层,正是恶意软件防御的起点。

接下来阅读

FAQ

Q恶意软件和病毒有什么区别?
A

病毒是恶意软件的一种。恶意软件是所有「不良软件(Malicious Software)」的统称,包括病毒·蠕虫·木马·勒索软件·间谍软件·僵尸程序等。日常口语里人们习惯把一切都叫作「病毒」,但严格来说,病毒是指把自身寄生到其他文件上进行复制的那一种,而恶意软件则是把它们全部囊括在内的大伞式词汇。

Q免费的杀毒软件就足够了吗?
A

作为个人的基本配置,操作系统自带的防护(如 Windows 的 Microsoft Defender)+勤于更新+备份+最小权限,已经能覆盖相当大的一部分。但杀毒软件主要是对「已知的坏东西」进行比对,对未知或精巧的恶意软件会有漏检。在需要更强防御的场景,EDR 通过监控行为、捕捉未知攻击来加以补充。无论如何,都不要只依赖「检测」——要连同入口(更新·不打开可疑文件)和恢复(备份)一起配齐。

Q我可能被感染了,该怎么办?
A

首先,不要慌张付款。顺序是:(1) 把该设备从网络断开(阻止扩散与对外通信),(2) 从另一台安全的设备上,修改邮箱·银行·主要账户的密码并开启多因素认证,(3) 用干净的备份还原或重置设备,回到已知良好的状态,(4) 切断你怀疑的入口(打开过的附件·装过的应用·插过的 U 盘)。若是存有重要数据的设备,也可以考虑请专业人员介入。