二、如何判断是否是恶意软件

　　如何判断当前系统中运行的或者已经安全的软件是恶意软件呢?

　　首先，管理员可以在系统的帮助下进行判断。如下图所示，在窗口中会有一个分类的字段。通常哈情况下，如果这个值是允许的，那么说明这个应用程序是得到微软官方认可的，可以放心使用。当然前提是这个应用程序没有被篡改过。不过这个分类系统有时候可能会发生误判。如果操作系统附带的某些程序(如IE浏览器或 Windows 资源管理器)可能被描述为“尚未分类”。这主要是因为Forefront Client Security 检测到附加软件(如浏览器加载项或其他软件实用程序)正在与该程序一起运行，其不能够判断这个加载项是否是安全的。此时也不能够说ForeFront系统误判，只能够说其比较谨慎。

　　在使用过程中，这有一个缺陷。如不能够根据分类的值进行排序。如果能够根据这个值排序，如将允许的(相对来说比较安全的应用程序)放置在下边，这能够便于管理员的操作。期待微软在后续的版本中能够对这个细节进行改进。

　　其次，根据应用程序的详细信息来判断软件是否是恶意软件。如上图所示，在ForeFront软件资源管理器中，左面是应用程序的列表，右边是应用程序的详细信息。通过查看详细信息，也可以判断软件是否是恶意软件。如有些恶意软件为了躲避管理员的观察，往往会在非上班时间安装或者将应用软件部署在一个不容易发现的角落。为此通过查看上图中的“安装日期”和“位置”，可以初步判断某个应用软件是否存在文件。有时候恶意软件会模仿操作系统自带的软件(如名字或者安装路径等等)。通过这个窗口可以进行对比，也可以让恶意软件无处藏身。

　　第三就要凭管理员的经验了。一位有经验的安全管理人员，看到软件的名字就可以判断这个软件是否属于恶意软件。他们能够从应用软件的各种细节中，找到可疑的地方。这种能力只能够靠管理员日积月累。只可意会、不可言传。