杀毒软件 (AV)
杀毒软件 (AV) 是什么?
杀毒软件 (AV)端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
杀毒软件(AV)是端点安全软件的历史分类。John McAfee 的 VirusScan(1987 年)、Eugene Kaspersky 的 AVP 以及 Bernd Fix 等先驱奠定了模型:扫描磁盘、内存和传输中的文件,与持续更新的特征码库对比,并辅以简单启发式。AV 代理通常通过 Windows 文件系统过滤驱动(mini-filter)和邮件网关挂钩,对命中文件进行隔离或删除。该模型对大量普通商品化恶意软件非常有效,但面对多态、加壳和无文件威胁效果不佳;AV-Test、AV-Comparatives 与 MITRE Engenuity 的评测一再表明,仅靠特征码的引擎难以识别现代攻击。因此大多数厂商已将 AV 演进为带行为分析的 NGAV/EDR 平台,经典 AV 则继续作为合规基线控制。
● 示例
- 01
ClamAV 在 SMTP 网关扫描进入的邮件附件。
- 02
Microsoft Defender Antivirus 隔离匹配 WannaCry 特征码的下载可执行文件。
● 常见问题
杀毒软件 (AV) 是什么?
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。 它属于网络安全的 防御与运营 分类。
杀毒软件 (AV) 是什么意思?
端点软件,通过特征码库、文件扫描和基本启发式检测和清除恶意文件,是端点安全的历史基础。
杀毒软件 (AV) 是如何工作的?
杀毒软件(AV)是端点安全软件的历史分类。John McAfee 的 VirusScan(1987 年)、Eugene Kaspersky 的 AVP 以及 Bernd Fix 等先驱奠定了模型:扫描磁盘、内存和传输中的文件,与持续更新的特征码库对比,并辅以简单启发式。AV 代理通常通过 Windows 文件系统过滤驱动(mini-filter)和邮件网关挂钩,对命中文件进行隔离或删除。该模型对大量普通商品化恶意软件非常有效,但面对多态、加壳和无文件威胁效果不佳;AV-Test、AV-Comparatives 与 MITRE Engenuity 的评测一再表明,仅靠特征码的引擎难以识别现代攻击。因此大多数厂商已将 AV 演进为带行为分析的 NGAV/EDR 平台,经典 AV 则继续作为合规基线控制。
如何防御 杀毒软件 (AV)?
针对 杀毒软件 (AV) 的防御通常结合技术控制与运营实践,详见上方完整定义。
杀毒软件 (AV) 还有哪些其他名称?
常见的别称包括: AV, 防病毒软件, 基于特征码的杀毒。
● 相关术语
- defense-ops№ 725
新一代杀毒软件 (NGAV)
在特征码扫描之外,结合机器学习模型、行为分析与漏洞利用防护,以阻止未知与无文件威胁的端点保护方案。
- network-security№ 1043
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
- defense-ops№ 371
EDR(端点检测与响应)
持续记录端点进程、文件、注册表与网络活动,以检测、调查并响应主机层威胁的端点安全技术。
- malware№ 649
恶意软件
任何被故意设计用于破坏、损害计算机、网络或数据,或对其进行未经授权访问的软件。
- malware№ 206
计算机病毒
将自身代码插入其他程序或文件,并在宿主运行时被执行的恶意代码。
- defense-ops№ 892
隔离区 (端点)
将疑似恶意文件从原位置转移到受控、已失效化的存储中,使其无法执行但仍可分析或恢复的端点安全动作。