简而言之：这在某种程度上是一个“哲学”问题。

1. 您添加到系统中的所有软件本身都会增加攻击面。问题是，为了防御其他攻击，增加攻击面是否值得？这在很大程度上取决于产品、用户以及您如何衡量攻击。特别是在公司网络上，通过防病毒系统保护所有系统比依赖用户更容易。因此，您可以防御常见的恶意软件。有时（在公司中）安装防病毒系统是某种奇怪的法规，并且绕开了安全系统的责任（但这与提高安全性无关）。

2. 据我所知，AV 更多地依赖于 API Hooks 和进程的启动/停止/行为，而不是进程注入（如果我理解你的问题的话）。但是 AV 通常在 SYSTEM 下运行以完成它需要的所有工作，因此如果攻击者可以利用 AV，他就可以为所欲为。

3. 如果你真的很小心（这意味着不要点击你看到的每个链接，尽可能快地更新你的软件等等），你就不需要防病毒软件，因为它增加了攻击面而不是保护你。

我（> 10 年的 IT 安全和使用 Linux 桌面）不使用 AV，因为我认为这对我来说不值得。您越不了解恶意软件，您就越可以依赖 AV（例如，对于我的父母，因为我不相信他们只点击好的链接 :)）。因此，如果您熟悉基本的 IT 安全性，我认为最好避免使用 AV，但正如我在开头所写的那样，它更具哲学性，并且在很大程度上取决于您。

在过去，恶意软件主要是通过文件模式（签名）发现的，所以如果你有一个很好的 AV 有很多这些模式，你就可以免受很多恶意软件的攻击。如今，恶意软件更改其签名的速度如此之快，以至于大多数 AV 并不严重依赖签名；他们主要检查行为，但在我看来，他们做得不是很好。此外，他们可以扫描网络流量或浏览的 URL，但如果你小心的话，这也是你可以自己处理的事情。

以下是关于实时 AV 的一些想法。

经典答案：这取决于您的风险承受能力和您期望面临的威胁类型。

说“没有人你会过得更好”本身就是一个非常绝对的陈述。也许在个人端点的情况下，没有理由运行除 Windows Defender 之外的另一个 AV，假设您使用最新的补丁更新您的操作系统，您不运行任何过时的软件（Drive-by 漏洞是一件事...... ) 并且在下载内容时您会非常小心。

但是，如果您所在的大型组织部署了超过 5000 个端点，并且部署了不同的操作系统和补丁延迟，您会这样说吗？（始终注意周二补丁！）。部署端点解决方案会增加另一层防御，因此可以为您省去很多麻烦。

如果您安装了它，这些情况可能会发生，从最好到最坏：

• 防止恶意软件的执行。
• 检测正在运行的恶意软件并修复情况（杀死正在运行的进程，清理恶意软件生成的所有文件并隔离带有恶意软件的二进制/文件）
• 检测正在运行的恶意软件并且无法修复该情况。
• 没有检测到任何东西。

端点解决方案可以通过以下方式发现恶意软件：

• 检查签名（对二进制文件进行静态分析或根据已知数据库检查 MD5 哈希。您可以在VirusTotal中亲自查看）
• 在运行时检查其行为（这是挂钩 DLL 和 API 发生的地方。也许有更多知识的人可以扩展这一点）
• 将文件发送到沙箱（这可以是已安装的本地设备或供应商的云），在那里运行它并接收对所发生情况的评估。

如果您希望面临零日威胁，获得最佳方案（即：防止恶意软件执行）的唯一方法是使用沙箱，因为其他两种方法不会阻止它执行，因为没有人拥有关于它的知识。

但是端点解决方案不仅可以做到这一点！他们实际上还可以通过不同的方式减少攻击面（我在这里直接与您的教授相矛盾）：

• 应用 URL 过滤，以便您可以限制用户可以访问的网站。
• 拥有应用程序黑名单。想要运行 NMAP 或 Tor 浏览器？对不起，我的朋友……你不能。
• 限制您可以通过网络浏览器下载的文件类型

最后，如果您需要有关其性能的更多信息或某种工具来比较解决方案：MITRE 基金会运行测试以查看不同解决方案如何对某些场景做出反应（关于检测）。您可以在此处了解有关它们的更多信息并查看 2021 年测试的结果。

如果有一天您负责保护端点：请记住始终运行概念证明并在不同场景下测试解决方案，以查看它们是否确实履行了承诺。