尽管相反的营销声称令人发指，但防病毒软件并不聪明。防病毒软件无法识别软件的“类型”，如“mmh……这看起来像是 RAT 的工具”。一般来说，这种检测是不可能实现的，并且相应地在实践中很难做到，这是有强有力的理论原因的。

防病毒软件所做的是在“已知的恶意软件”的大型数据库中查找他们看到的软件（最终是一个字节序列）。防病毒供应商每天都在努力将在野外观察到的恶意软件包含在该数据库中 - 即您可能遇到的大多数恶意软件，但不是网络支持学校软件，人类防病毒供应商被认为“不是邪恶的” ”。

大多数时候，开发 IT 支持工具的供应商与 AV 公司合作，以便将他们的远程管理工具列入白名单。

反病毒公司将行为检测（即 AV 的 hueristic 引擎）作为一种超级天才机制来销售，即使没有可用的签名，也可以检测特洛伊木马和其他恶意软件。从技术上讲，启发式引擎只不过是 DLL 挂钩，用于检测进程何时调用 VirtualAlloc()、VirtualProtect()、GetProcAddress()、LoadLibrary() 等。

因此，从防病毒的角度来看，合法的远程管理工具和恶意的远程管理工具没有区别。它们的代码几乎相同。AV 查找的唯一内容是查看软件是否在允许的应用程序列表中。如果是，那么它是允许的。否则，该工具将被标记为可疑/恶意。

一些防病毒软件会将 RAT 与 NetSupport 工具区分开来。这取决于反病毒使用的检测机制的类型。

如果防病毒软件使用基于签名的检测，它应该将 RAT 与 NetSupport 区分开来，因为它正在寻找特定的代码行。这种类型的保护取决于数据库中签名的质量。如果病毒不在数据库中，则无法检测到病毒。

如果防病毒使用基于启发式的检测，它将寻找可疑的应用程序行为，因此它可能无法区分 RAT 和 NetSupport 工具。

Afaik 基于白名单签名。我冒险根据Teamviewr进行猜测（他们非常想知道 AV 的制造商）。