Антивирус (AV)
Что такое Антивирус (AV)?
Антивирус (AV)ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
Антивирус (AV) — историческая категория программ безопасности для конечных точек. Его пионерами в конце 1980-х годов стали процедура Bernd Fix против вируса Vienna virus, VirusScan Джона Макафи (John McAfee) и AVP Евгения Касперского (Eugene Kaspersky); AV появился как ответ на ранние ПК-вирусы, такие как Brain (1986). Он сканирует файлы на диске, в памяти и в трафике, сверяя их с непрерывно обновляемой базой сигнатур (исторически — хеши MD5/SHA и байтовые шаблоны) и применяя эвристику. Агенты AV подключаются к операционной системе через mini-filter драйверы файловой системы, коллбэки сканирования on-access, а также почтовые и веб-шлюзы, помещая совпадения в карантин или удаляя их.
Сигнатурная модель отлично справляется с массовым распространённым вредоносным ПО, но слепа к новым, полиморфным, упакованным (packed) и fileless угрозам: крошечное изменение в двоичном файле меняет его хеш и обходит детектирование по точному совпадению, а злоумышленники перед выпуском рутинно проверяют свои полезные нагрузки против движков. Независимые лаборатории (AV-TEST, AV-Comparatives) и оценки MITRE ATT&CK Enterprise стабильно показывают, что движки только на сигнатурах пропускают поведение современных противников.
В ответ появились два направления. Вендоры развили AV в антивирус нового поколения (NGAV) и обнаружение и реагирование на конечных точках (EDR/XDR), добавив классификаторы машинного обучения, предотвращение эксплойтов и поведенческую телеметрию, отслеживающую деревья процессов, а не файлы. В Windows Microsoft Defender Antivirus интегрируется с Antimalware Scan Interface (AMSI), проверяя содержимое скриптов (PowerShell, VBA, JScript) во время выполнения и закрывая fileless-пробел. Тем не менее классический AV остаётся базовым средством контроля, предписанным такими стандартами, как PCI DSS, и многими полисами киберстрахования.
flowchart TD
F[Fayl zapisan otkryt ili skachan] --> H[Minifilter on-access hook]
H --> SIG{Sovpadenie s bazoy signatur?}
SIG -->|Da| Q[Karantin udalenie ili opoveshchenie]
SIG -->|Net| HEU{Evristika ili ML flag?}
HEU -->|Da| Q
HEU -->|Net| ALLOW[Razreshit vypolnenie]
U[Obnovleniya signatur i dvizhka] --> SIG● Примеры
- 01
ClamAV сканирует входящие почтовые вложения на SMTP-шлюзе.
- 02
Microsoft Defender Antivirus помещает скачанный EXE в карантин по совпадению с сигнатурой WannaCry.
● Частые вопросы
Что такое Антивирус (AV)?
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности. Относится к категории Защита и операции в кибербезопасности.
Что означает Антивирус (AV)?
ПО для конечных точек, которое обнаруживает и удаляет вредоносные файлы с помощью баз сигнатур, сканирования файлов и базовой эвристики — историческая основа endpoint-безопасности.
Как защититься от Антивирус (AV)?
Защита от Антивирус (AV) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Антивирус (AV)?
Распространённые альтернативные названия: AV, Антивирусная программа, Сигнатурный антивирус.