Antivirus Software 杀毒软件
工作原理
- 基于签名(Signature-based) —— 库里有已知 malware 的指纹,匹配就杀。对 0-day 无效
- 基于启发式(Heuristic) —— 看行为像不像 malware(改注册表、加密大量文件)
- 基于行为(Behavioral) —— 运行时监控异常活动
- 基于机器学习 —— 训练模型识别 malware 特征
- 沙箱(Sandbox) —— 在隔离环境运行可疑文件,看会不会作恶
局限性
- 无法 100% 防得住 —— 签名永远在追新 malware,有窗口期
- 被 高级 malware 主动检测和绕过 —— 检查到杀软存在就睡眠或自销毁
- 性能开销 —— 全盘扫描时机器变慢
- 误报 —— 把合法软件认成 malware,影响业务
现代演进:EDR / XDR
杀毒软件的现代版叫 EDR(Endpoint Detection and Response):
- 不只查杀,还记录所有端点活动(进程、网络、文件)
- 跟 SIEM 集成,出事能溯源
- 主动响应:隔离机器、终止进程
XDR 把 EDR 扩展到网络、邮件、云,做跨域关联。
还需要杀毒软件吗?
- 家用 Windows: 必装,Microsoft Defender 已经够用
- macOS / Linux: 历史上免疫率高,但现在威胁增加,企业环境建议装
- 企业: 必须装 EDR,合规要求 + 真实有效
跟 Security Controls 分类:Technical + Detective + Corrective 多重身份。