Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 057

杀毒软件 (AV)

审核人Cybersecurity entrepreneur & security researcher

杀毒软件 (AV) 是什么?

杀毒软件 (AV)端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。


杀毒软件(AV)是端点安全软件的历史分类。它由 20 世纪 80 年代末的先驱开创:Bernd Fix 针对 Vienna virus 编写的程序、John McAfee 的 VirusScan 以及 Eugene Kaspersky 的 AVP;AV 是为应对 Brain(1986 年)等早期 PC 病毒而出现的。它扫描磁盘上、内存中和传输中的文件,将其与持续更新的特征码库(历史上是 MD5/SHA 哈希和字节模式)进行比对,并应用启发式。AV 代理通过文件系统 minifilter 驱动、on-access 扫描回调以及邮件/Web 网关挂钩到操作系统,对命中项进行隔离或删除。

特征码模型在应对广泛传播的商品化恶意软件时表现出色,但对新型、多态、加壳(packed)和无文件(fileless)威胁却视而不见:对二进制文件做极小改动就会改变其哈希,从而击败精确匹配检测;攻击者在发布前也会例行地用各引擎测试其载荷。独立实验室(AV-TEST、AV-Comparatives)以及 MITRE ATT&CK Enterprise 评测一再表明,仅靠特征码的引擎会漏掉现代对手的行为。

随后出现了两种应对方式。厂商将 AV 演进为下一代杀毒软件(NGAV)和端点检测与响应(EDR/XDR),增加了机器学习分类器、漏洞利用防护,以及追踪进程树而非文件的行为遥测。在 Windows 上,Microsoft Defender Antivirus 与 Antimalware Scan Interface(AMSI)集成,在运行时检查脚本内容(PowerShell、VBA、JScript),弥补无文件攻击的盲区。尽管如此,经典 AV 仍是 PCI DSS 等框架和许多网络保险保单要求的基线控制措施。

flowchart TD
  F[File written opened or downloaded] --> H[Minifilter on-access hook]
  H --> SIG{Match signature DB?}
  SIG -->|Yes| Q[Quarantine delete or alert]
  SIG -->|No| HEU{Heuristic or ML flag?}
  HEU -->|Yes| Q
  HEU -->|No| ALLOW[Allow execution]
  U[Signature and engine updates] --> SIG

示例

  1. 01

    ClamAV 在 SMTP 网关扫描进入的邮件附件。

  2. 02

    Microsoft Defender Antivirus 隔离匹配 WannaCry 特征码的下载可执行文件。

常见问题

杀毒软件 (AV) 是什么?

端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。 它属于网络安全的 防御与运营 分类。

杀毒软件 (AV) 是什么意思?

端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。

如何防御 杀毒软件 (AV)?

针对 杀毒软件 (AV) 的防御通常结合技术控制与运营实践,详见上方完整定义。

杀毒软件 (AV) 还有哪些其他名称?

常见的别称包括: AV, 防病毒软件, 基于特征码的杀毒。

相关术语

另见