反病毒软件是如何保护自己免受恶意软件攻击的？

Question

反病毒如何保护自己免受恶意软件攻击？

某些类型的恶意软件会杀死正在运行的进程，因为反病毒只是另一种软件，就像其他软件一样，它们为什么不能直接杀死防病毒进程呢？

据我所知，杀毒软件在杀死防病毒进程之前会扫描它，但它仍然不能保证恶意软件签名在数据库中，也不能保证立即检测到恶意软件的恶意行为。

我假设杀毒软件以某种方式使自己“更接近”操作系统，因此使随机软件无法杀死其进程，但我想知道这是否属实，以及如何实现。

对于其他安全系统/软件，如基于主机的入侵检测系统及其代理，也可以提出同样的问题，这些系统运行在工作站上，并将数据发送到服务器。

谢谢

Answer 1

反病毒通常以较高的权限级别运行；在Windows系统上，这将是LOCAL_SYSTEM。

它还可以将钩子连接到操作系统功能中。这篇文章描述了一个使自己“无法杀死”的例子：https://stackoverflow.com/questions/11212945/terminating-a-protected-antivirus-process

Windows提供特殊保护：https://docs.microsoft.com/en-us/windows/win32/services/protecting-anti-malware-services-

然而，所有这些都不是完美的。有几个案例中，恶意软件直接利用了反病毒程序！例如https://cisomag.eccouncil.org/almost-every-antivirus-software-program-can-be-exploited-researchers-say/