这取决于里面有什么。如果它del /F /S /Q C:\*在 Windows 批处理文件中找到，当然，某些 AV 可能会将其标记为可疑。如果它是已知恶意脚本的逐字节副本，当然，某些 AV 可能会捕获它。

通常，批处理脚本的可变性太大，无法编写一个有效的恶意脚本检测器来捕获新的或“自定义”恶意软件脚本。您可能会看到 AV 捕捉到任何特别多产的东西，但几乎可以肯定不是任何新的或定制的东西。

不要依赖您的 AV 来提供保护，即使销售人员告诉您这是金钱可以买到的最好的保护。它充其量只是最后一道防线，通常只能通过防止最基本的攻击来节省您的时间，让您能够优先处理资源以应对更有针对性的攻击。

我们不能说它适用于所有防病毒软件，但对于大多数防病毒软件来说，是的。命名您使用的特定防病毒软件将有助于我们为您提供更好的答案。批处理文件不应该是您列表中最重要的风险，因此请始终在您的网络上保持强大的防病毒和防火墙。

根据包含脚本的服务器的风险状况，有许多选项会产生不同的结果。当然，AV/AM 工具会时不时地使用自定义编码脚本来检测误报，因为它们现在都包含 PHP 启发式等。

1. 仅报告，隔离关闭：当发现阳性时，让 AV/AM 向您的 NOC/SIEM 或管理员报告；然后随着时间的推移调整 SIEM 规则等以防误报。
2. 报告和隔离：在高风险服务器上，这可能是最好的方法。也许解决了为什么你有这个高风险解决方案的基于文本的脚本......通常很难找到 AV/AM 匹配的实际脚本（所以你可以反差异等），所以不要依赖于能够更改您的脚本，使其不会由 AV/AM 报告。
3. 没有报告，没有隔离：如果您正在执行全面的 AV/AM - 如果此服务器的风险较低，则始终可以选择排除单个文件。然而，这本身就可能使他们成为未来的目标。如果你这样做了；考虑其他降低风险的方法，例如记录每个文件的哈希值并放置额外的控件来查找文件更改。

通常防病毒使用病毒定义，即恶意软件开发人员编写的病毒的病毒签名和启发式分析。可能有误报的机会。

但不会发布太多威胁。一个好的做法是更新您的防病毒软件并进行定期扫描。