杀毒软件 (AV)
杀毒软件 (AV) 是什么?
杀毒软件 (AV)端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
杀毒软件(AV)是端点安全软件的历史分类。它由 20 世纪 80 年代末的先驱开创:Bernd Fix 针对 Vienna virus 编写的程序、John McAfee 的 VirusScan 以及 Eugene Kaspersky 的 AVP;AV 是为应对 Brain(1986 年)等早期 PC 病毒而出现的。它扫描磁盘上、内存中和传输中的文件,将其与持续更新的特征码库(历史上是 MD5/SHA 哈希和字节模式)进行比对,并应用启发式。AV 代理通过文件系统 minifilter 驱动、on-access 扫描回调以及邮件/Web 网关挂钩到操作系统,对命中项进行隔离或删除。
特征码模型在应对广泛传播的商品化恶意软件时表现出色,但对新型、多态、加壳(packed)和无文件(fileless)威胁却视而不见:对二进制文件做极小改动就会改变其哈希,从而击败精确匹配检测;攻击者在发布前也会例行地用各引擎测试其载荷。独立实验室(AV-TEST、AV-Comparatives)以及 MITRE ATT&CK Enterprise 评测一再表明,仅靠特征码的引擎会漏掉现代对手的行为。
随后出现了两种应对方式。厂商将 AV 演进为下一代杀毒软件(NGAV)和端点检测与响应(EDR/XDR),增加了机器学习分类器、漏洞利用防护,以及追踪进程树而非文件的行为遥测。在 Windows 上,Microsoft Defender Antivirus 与 Antimalware Scan Interface(AMSI)集成,在运行时检查脚本内容(PowerShell、VBA、JScript),弥补无文件攻击的盲区。尽管如此,经典 AV 仍是 PCI DSS 等框架和许多网络保险保单要求的基线控制措施。
flowchart TD
F[File written opened or downloaded] --> H[Minifilter on-access hook]
H --> SIG{Match signature DB?}
SIG -->|Yes| Q[Quarantine delete or alert]
SIG -->|No| HEU{Heuristic or ML flag?}
HEU -->|Yes| Q
HEU -->|No| ALLOW[Allow execution]
U[Signature and engine updates] --> SIG● 示例
- 01
ClamAV 在 SMTP 网关扫描进入的邮件附件。
- 02
Microsoft Defender Antivirus 隔离匹配 WannaCry 特征码的下载可执行文件。
● 常见问题
杀毒软件 (AV) 是什么?
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。 它属于网络安全的 防御与运营 分类。
杀毒软件 (AV) 是什么意思?
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
如何防御 杀毒软件 (AV)?
针对 杀毒软件 (AV) 的防御通常结合技术控制与运营实践,详见上方完整定义。
杀毒软件 (AV) 还有哪些其他名称?
常见的别称包括: AV, 防病毒软件, 基于特征码的杀毒。