对恶意软件的检测永远不会从主流 AV 中删除。

对旧的或罕见的恶意软件的检测没有被删除，主要是因为 AV 基准测试和客户端看到一个 AV 缺少检测而其他有它。

假设为“Malw”恶意软件添加了一个签名，但持久性恶意软件编写者会进行细微的更改以避免该特定检测。因此，变种开始流入：Malw.1、Malw.B、Malw.X.32768、...。然后，反病毒公司开始看到一种模式并生成一个更智能的签名，以找到一个共同因素并检测所有变体。

这个更智能的签名可能是：

• 相同的经典字节模式，但在变体之间不会改变的东西
• 类似正则表达式的模式
• 关于可执行文件的字节模式和元数据的组合
• 从模拟恶意软件中提取的特征，如加壳程序、加载模式和行为

这种更智能的签名比简单的字节模式慢，但是当有很多变体签名时，整体性能将有利于智能签名。当智能签名的性能更好时，简单签名将获得较低的优先级或将被删除。这意味着一些恶意软件会丢失特定的检测，尽管一些 AV 引擎会输出具有多个签名的检测，而不仅仅是在第一次检测时停止。

定期重新扫描整个恶意软件集合，以检查 AV 中的某些更改是否导致恶意软件未被检测到或智能签名引入了误报。

这取决于恶意软件和供应商，但减少签名数量的主要动机是性能。

可能会删除恶意软件检测规则的几个原因：

• 它仅适用于 AV 引擎不再支持的平台，例如旧的 DOS / 16 位 PE 恶意软件。
• 由于现在 99.99% 的机器已经安装了操作系统补丁中引入的威胁缓解措施，该恶意软件太老了，不再构成任何威胁（例如，它只是在第一次运行时崩溃）。
• 该恶意软件不再分发，并且多年来没有检测到它的实例。
• 该恶意软件非常罕见，影响很小，但检测它所需的签名是 CPU/磁盘密集型的。
• 特定签名已被仍然捕获该恶意软件的通用签名所取代。

请记住，这些只是可能的原因。供应商可能选择不删除某些内容，或者可能出于开发/测试原因保留旧定义。在审查 AV 系统时，通常使用旧的恶意软件来测试基本保护。

因此，虽然您的问题没有具体的答案（不同的公司有不同的想法），但不难看出 AV 套件何时/为什么会不时从其数据库中删除一些旧定义。

我想知道反病毒公司是否为了限制更新的大小从他们的数据库中删除了旧病毒。

他们不是。

病毒定义会随着时间的推移而保留，因此会占用空间。防病毒软件构建他们的签名数据库用于管理目的，并允许我们这些技术人员多年来能够管理、修复、更改和备份它们。

如果是这样，那么老得足以从定义文件中删除但还不够老得过时的病毒很容易传播、不受控制和未被检测到的可能性有多大。

能够保护病毒数据库的完整性是安全本身的一部分，也是必要的监控活动（恕我直言）1。我认为这可以解释为什么防病毒程序有时会深深植根于它们“保护”的机器，以及为什么防病毒程序也会破坏操作系统。

作为 IT 部门，您有责任根据兼容性和废弃软件等因素管理风险。由于防病毒软件可能像任何其他软件一样出错，因此必须对其进行管理，因此也必须对其病毒定义进行管理。

排除这些签名可以减少磁盘使用，减少防病毒引擎损坏，碎片等，并且可以管理风险等，就像通过网络分发操作系统/软件/固件更新/安装等一样。并非所有更新对所有计算机公园等都有用。

示例 诺顿 Nod32