Если немного пофантазировать на тему "Защита от внутренних(?) угроз", то как один из вариантов возможного, мне видится такой. Вводится явное и жёсткое ограничение на работу ВСЕХ программ на ПК - никакая программа не должна нарушить работу ОС. (Аналогия из биологии: никакая клетка не должна разрушать организм.) Тогда на этой основе можно строить защиту от программ, портящих ОС.
Эта идея реализуется двумя не противоречащими друг другу способами:
1) программисты разрабатывают свои программы так, чтобы они не разрушали ОС (это внутренний самоконтроль человека-программиста), и
2) что-то (супервизор) не даёт программам портить ОС.
1-й путь - теоретически возможен, в результате - идеален! И потому недостижим... Но поскольку он работает на уровне "причины", то он - самый эффективный, в итоге... Ещё фантазия: если бы мелкомягкие имели эту идею в своей голове, то Windows был бы более качественным продуктом, чем сейчас. Возможно при этом, никакой потребности в антивирусах вообще бы не было!
2-й реализуется в виде "песочницы", "изменяемой области карантина", (само)восстанавливающих(ся) бэкапов (backups, резервные копии ОС), VirtualBox, Shadow User, и т.п. Т.е. идёт борьба (с переменным успехом) с последствиями. Так происходит из-за плохой проработки 1-го пути решения, на уровне "причины".
Но это уже никакой не антивирус, а совсем другой продукт, обсуждать который было бы уместнее в другом месте.