如何識別一個 hack_tool 是否被植入了後門或者攻擊腳本？

我系統安裝的是SCEP，有時候系統重灌後忘記設定免殺路徑就會把收集的hack tool大殺特殺，基本算是毀滅性打擊了，比如zeus和PHP注入工具等，於是就像知道，這些殺軟的查殺應該算是通過特征代碼或者進程進行查殺的吧，那麼如果被報毒是不是就是說這個hack tool對本計算機有潛在危害呢，還是說雖然沒危害但是因為有用於犯罪的可能所以也會被查殺呢？這樣的話殺軟手伸的也太長了吧。( ´_ゝ`)
總之我想問的是，如果判斷一個hack tool是否安全有效，能否提供一些安全的途徑獲取這些工具進行研究呢？