Hier is een overzicht:

* Laag 7 (applicatielaag): Dit is waar antivirussoftware een groot deel van zijn *inhoudsinspectie* uitvoert. Het onderzoekt de gegevens in applicaties en bestanden op bekende malware-signaturen, heuristieken (verdachte gedragspatronen) en andere indicatoren van compromissen. Dit omvat het scannen van e-mailbijlagen, gedownloade bestanden en webverkeer.

* Laag 4 (transportlaag) en lager: Antivirus kan ook op lagere lagen werken. Sommige functies, zoals systemen voor detectie/preventie van netwerkinbraak (vaak geïntegreerd in geavanceerde antivirussuites), monitoren bijvoorbeeld netwerkverkeer op Layer 4 (TCP/UDP) en mogelijk zelfs op lagere lagen om kwaadaardige netwerkactiviteit te detecteren voordat deze de applicatielaag bereikt. Ze kunnen zoeken naar verdachte poortscans, ongebruikelijke verkeerspatronen of andere indicatoren van een aanval.

* Bestandssysteem (besturingssysteemniveau): Een cruciaal aspect van antivirus is de interactie met het bestandssysteem van het besturingssysteem. Dit werkt onder het OSI-model, waarbij voortdurend wordt gecontroleerd op wijzigingen en bestanden worden gescand wanneer ze worden geopend of gewijzigd.

Kortom, hoewel het *meest zichtbare* en misschien wel meest impactvolle deel van de antivirusfunctionaliteit plaatsvindt in Laag 7 (het analyseren van applicatiegegevens), omvat de algehele werking ervan meerdere lagen om uitgebreide bescherming te bieden. Het is niet beperkt tot een enkele laag van het OSI-model.