1 范围

      本标准规定了病毒防治产品的技术要求，包括功能要求、安全要求和安全保障要求，并给出了测试评价方法。

      本标准适用于病毒防治产品的设计、开发及检测。

2 术语和定义

      下列术语和定义适用于本文件。

2.1

      恶意软件 malware

      能够影响计算机操作系统、应用程序和数据的完整性、可用性、可控性和保密性的计算机程序或代码的软件。

2.2

      病毒 virus

      编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机正常使用，并能自我复制的一组计算机指令或者程序代码。

2.3

      文件感染型病毒 file viruses

      以文件为宿主，能够通过将自身包含的恶意代码插入到目标文件中，实现对目标文件的感染。

2.4

      宏病毒 macro viruses

      利用文档中的宏代码编辑的恶意代码，在允许宏代码运行的条件下，可以在打开文档时运行。

2.5

      蠕虫 worm

      通过信息系统漏洞缺陷或信息系统使用者的弱点主动进行传播的恶意程序。

2.6

      木马程序 trojan horses program

      主动与攻击者通信，接收来自攻击者的指令，并能够根据指令对所在主机进行各种恶意操作的恶意程序。

2.7

      间谍软件 spyware

      不依赖攻击者指令，潜伏在主机中，按照事先设定的执行条件收集特定的敏感信息并隐蔽地传输给攻击者的恶意程序。

2.8

      脚本恶意程序 malicious script program

      使用脚本语言编写的，并在脚本执行环境中运行的恶意程序。

2.9

      后门程序 backdoor program

      开放特定的网络端口，等待攻击者连接，并接收攻击者的指令执行相应的恶意操作的恶意程序。

2.10

      僵尸程序 bot program

      主动与攻击者通信，接收攻击者的指令，并与其他感染此类恶意程序的主机一起对特定目标发起攻击的恶意程序。

2.11

      勒索软件 ransomware

      采取加密或屏蔽用户操作等方式劫持用户对系统或数据的访问权，并籍此向用户索取勒索金的恶意程序。

2.12

      Rootkit 恶意程序 rootkits program

      以系统内核态或用户态权限运行，能够对主机操作系统组件功能调用请求进行拦截和篡改的恶意程序。

2.13

      Bootkit 恶意程序 bootkits program

      通过感染BIOS或MBR等方式植入恶意代码，篡改主机操作系统引导过程，从而感染主机操作系统的恶意程序。

2.14

      病毒检测 virus detection

      在病毒防治产品进行病毒处理时，对于确定的测试环境，能够准确地报出病毒文件和病毒名称，并记录检测结果的处理方式。

2.15

      隔离 quarantine

      在病毒防治产品进行病毒处理时，采取将病毒以及受感染的用户文件从原有位置移动到受限制存储空间的处理方式。

2.16

      清除还原 disinfection

      在病毒防治产品对受到病毒感染的宿主文件进行处理时，采取清除其中的恶意代码或使恶意代码失效，恢复宿主文件原有功能的处理方式。

2.17

      ［病毒］删除 ［virus］deletion

      在病毒防治产品进行病毒处理时，将病毒文件从所在位置删除的处理方式。

2.18

      已知病毒样本 known virus sample

      经过实际测试后，病毒防治产品能够检测的病毒文件。

2.19

      未知病毒样本 unknown virus sample

      对已知病毒样本文件进行相应修改，但不改变其恶意功能而产生的新病毒文件。

2.20

      加壳 pack

      通过特定算法的变换，将原可执行文件的编码进行一次或多次的压缩、加密，产生新的文件。与原

文件相比，文件内容发生变化，但功能保持不变。

2.21

      捆绑 file bind

      将两个文件进行特定方式的组合，产生新的文件。

2.22

      用户态应用程序 user-mode application

      无法直接对外部设备进行操作，且无法直接执行特权指令，通过操作系统提供的特定接口执行操作的应用程序。

3 缩略语

      下列缩略语适用于本文件。

      BIOS：基本输入输出系统（Basic Input Output System）

      CIFS：通用网络文件系统协议（Common Internet File System）

      CPU：中央处理器（Central Processing Unit）

      DOC：微软公司Word文字处理软件文档格式（Microsoft Word Document）

      FTP：文件传输协议（File Transfer Protocol）

      HTML：超文本标记语言（HyperText Markup Language）

      HTTP：超文本传输协议（HyperText Transfer Protocol）

      IMAP：Internet 邮件访问协议（Internet Mail Access Protocol）

      MB：兆字节（Mega Byte）

      MBR：主引导记录（Master Boot Record）

      PDF：便携式文档格式（Portable Document Format）

      POP3：邮局协议第3版（Post Office Protocol Version 3）

      SMB：服务器消息块协议（Server Message Block）

      SMTP：简单邮件传输协议（Simple Mail Transfer Protocol）

      TXT：文本文件格式（Text File）

      XLS：微软公司电子表格文档格式（Microsoft Excel）

      XML：可扩展标记语言（Extensible Markup Language）

4 病毒防治产品描述

4.1 功能概述

      病毒防治产品是一种以恶意软件防护作为其全部或部分功能的产品，用于检测发现或阻止恶意软件的传播以及对主机操作系统、应用软件和用户文件的篡改、窃取和破坏等。

4.2 运行环境概述

4.2.1 主机型

      安装在主机操作系统（Windows、Linux、MacOS、Android等）之上，产品安装后通常以系统服务的方式随操作系统启动运行，能够根据用户需求对主机中的程序文件、数据文件进行病毒检测，并具有实时防护功能，主动阻止对病毒文件的访问、传输和运行。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37090-2018 信息安全技术 病毒防治产品安全技术要求和测试评价方法》