Як антивірусні програмні засоби конфліктують між собою?


59

Мене вчили, що я ніколи не повинен встановлювати два антивірусні програмні засоби (AV) разом, оскільки вони будуть конфліктувати. Навіть Windows Defender (з Windows 8) відключає себе при виявленні іншого програмного забезпечення AV.

Мені цікаво, як двоє можуть конфліктувати. Єдиний сценарій, який я зараз можу розібратися, - це коли обидва виявляють один і той же вірус і намагаються його карантинувати одночасно, що може призвести до "битви за завоювання вірусу". Для мене це, безумовно, не є переконливою причиною не встановлювати два програмні засоби AV.


Не кажучи вже про проблеми системи. Я вважаю, що мій Intel Kaby Lake i7 може легко обробляти їх за допомогою встановленої пам'яті на 16 ГБ.


1
Проблеми конфлікту / суперечки (згадані вами та у відповідях) завищені; ОС створені для вирішення / вирішення таких проблем. У мене було враження, що причина в тому, що антивірусні програми мають бази даних, які зберігають підписи відомих вірусів, які вони шукають. Так одна антивірусна програма могла виявити іншу як шкідливу програму, і навпаки.
тирса

2
@sawdust, я розумію ваше твердження, але цілком нормально, що декілька аудіозаписів надаються лише лише з них, які проводять активну перевірку, що було б неможливо, якби несумісність була викликана ненавмисним виявленням бази даних підписів один одного.
Френк Томас

@PeterMortensen "Антивірусний сканер" звучить дивно, незважаючи на відповіді. Я особисто вважаю за краще «програмне забезпечення» незалежно від того, чи є це іменний іменник.
iBug

Відповіді:


83

Звичайні антивірусні сканери можуть співіснувати без проблем. Це живий захист, який може спричинити перешкоди для аудіозаписів.

Програмне забезпечення AV з функціями захисту від живого середовища глибоко інтегрується в операційну систему. Він виправляє деякий код ОС, щоб він міг спостерігати за всіма програмами, які намагаються зробити, і заважає їм робити це, якщо це необхідно. Операційні системи не надають таких можливостей поза межами коробки, тому АВ використовують менш традиційні методи для досягнення цього ефекту.

Наприклад, він може замінити функцію "записати файл", яку ОС надає на власну. Коли програма намагається записати у файл, вона викличе функцію "написати файл". Але функція була виправлена ​​на AV, а запит програми буде переадресовано на AV. AV перевірить його і вирішить, чи це добре виглядає. Якщо це так, він викличе фактичну функцію "запису файлу". В іншому випадку він вживе відповідних заходів, щоб запобігти завданню зловмисного програмного забезпечення будь-якої шкоди.

На жаль, виправлення коду ОС необхідне не лише для AV-файлів, але й підозріло. Якщо ви створювали вірус, чи не хотіли б ви також мати можливість перехоплювати системні операції, наприклад, щоб запобігти скануванню AV-файлів на віруси?

Тож у АВ є охоронці, які стежать за тим, чи все ще їх гачки на коді, і переустановлюють їх у разі потреби. У цей момент ви повинні побачити, куди це йде ...

Два аудіозаписи із захистом від живого струму можуть почати захищати вас від підозрілої поведінки один одного. Це може спричинити що завгодно, від незначної ікони продуктивності до збоїв у системі.

У деяких випадках навіть АВ-сканери без захисту від живлення можуть заважати. Як AV-файли виявляють віруси? Ну, у них є свої підписи на віруси, тобто. бази даних про відмінні риси відомих вірусів. І так трапляється, що така база даних також може здаватися підозрілою, бо, мабуть, вони мають відмінні риси вірусів. Так один AV може гіпотетично виявити підписи інших AV як шкідливий код.

Також є AV-двигуни, призначені для співіснування з іншими AV-дисками, наприклад Hitman Pro. ClamWin (який є безкоштовним та відкритим кодом) також повинен бути відносно безпроблемним при співіснуванні, оскільки він містить лише сканер без будь-якого живого захисту.


41
У певному сенсі антивірусне програмне забезпечення саме по собі є вірусом. Уявіть собі місто з двома поліцейськими, які не можуть спілкуватися і не носити форменого одягу. Офіцер, що використовує свій ліхтарик, щоб заглянути всередину будівлі для злочинця, схожий на злочинця, який залучає спільник до офіцера з іншого відділу.
TJL

@ComicSansMS Іноді навіть ОДИН завдає більше шкоди, ніж вірус. Наприклад, китайські «безкоштовні» програмні засоби AV.
iBug

30
@iBug Залишаючи "китайців" і "вільних" від цього, я бачив багато поганої поведінки відомих брендів (McAfee, Norton / Symantec, Panda тощо).
Боб

1
Зауважте, що лише одному з двох сканерів потрібно потребувати виявлення в реальному часі, щоб викликати серйозні проблеми - у мене колись була проблема з дуже стійким CCleaner і неохоче Symantec Endpoint Protection, що вирішував питання про видалення файлу.
Санчіз

2
@Bob: і ми навіть не почали говорити про свої вразливості ...
Matteo Italia

14

Програми конфліктують, коли вони обидва намагаються використовувати один і той же ресурс. Коли кілька програм намагаються працювати на ресурсі одночасно, існує ризик виникнення проблем з одночасністю . Проблеми з кон'юнктурою виникають, коли один процес здійснює зміну на ресурсі, а інша програма (яка в середині була власною модифікацією ресурсу) про це не знає, і, таким чином, не може їх вмістити.

Ось декілька прикладів проблем одночасності тексту підручників.

Проблема останнього перемоги

Уявіть, що ви використовуєте каталог FTP для обміну документом, де ви та колега співпрацюєте над документом. ви завантажуєте документ, редагуєте його і знову опублікуєте, як це робить ваш колега.

  1. Ви завантажуєте документ і починаєте набір змін, який займає 1 годину.
  2. Ваш колега завантажує документ у той самий час, що ви робили, але на повне та повторне завантаження змін потрібно лише півгодини.

Результат: при завантаженні документа ви перезаписуєте їх зміни, і вони втрачаються.

Старі дані

За тим же сценарієм ваш колега вносить деякі зміни, які вам потрібні, не розповідаючи вам. Ваша копія файлу не має змін,

Результат: Ви самі пишете ті самі зміни трохи іншими словами, або, що ще гірше, викиньте неприємний електронний лист про те, як його немає.

Це здається простим сценарієм, але в запущених випадках, таких як бази даних з багатодоступним доступом, якщо ви вибираєте записи в одній мілісекунді, хтось їх оновлює, ви можете відчути серйозні проблеми.

Погане обчислення

Подружня пара має спільний банківський рахунок та картки банкоматів. У них на рахунку 1000USD. У своєму повсякденному житті вони перебувають на протилежних сторонах міста, і обидва отримують доступ до банкомата в ту ж мить. Вони обидва знімають 1000 дол. США. Банкомати знають, що залишок становить 1000, тому вони дозволяють зняти, а потім записують у центральну базу даних, що новий баланс дорівнює 0.

Результат: банк нарахував 1000 доларів, і навіть не знає цього.

У всіх цих прикладах було кілька партій, які виконували дії на спільному ресурсі приблизно або в один і той же час. Звідси терміни "паралельність" або "синхронність".

Рішення

Існує кілька способів вирішити такі проблеми. Перша полягає у використанні програмного забезпечення, яке проводить арбітраж між кількома сторонами, що мають доступ до ресурсу. Ці програми арбітра мають два варіанти, залежно від обсягу та передбачуваності операцій:

  • Об’єднайте операції розумно
  • Блокуйте / заблокуйте одну з двох операцій, поки перша, яка помічена, не буде завершена.

Можна також заблокувати / заблокувати, за умови, що обидві програми призначені для перевірки загального прапора із зазначенням стану ресурсу. це, як правило, вимагає спеціальної розробки.

Ваша відповідь

У вашому конкретному випадку ресурсами є файли на вашому диску. Синхронність походить від таких подій, як файл Read / Write, який запускає сканування під час доступу в обох AV-програмах.

Windows виступає арбітром для вирішення проблем одночасності файлової системи, блокуючи файли, коли програми відкривають їх для конкретних операцій.

Це означає, що обидві програми гоняться до доступу до файлу, і той, хто потрапить туди першим, отримує замок. На низькому рівні це призводить до обриву диска, оскільки обидві програми розпочинають власну діяльність вводу-виводу, змушуючи апаратне забезпечення виконання обох завдань окремо, в той же час переплітаючи інструкції вводу-виводу, роблячи обидві значно менш ефективними, і врешті-решт, лише одну з них виграє. інший крутиться і чекатиме змогу встановити власний замок.


9
Проблеми з одночасністю можуть бути ще гіршими, якщо антивірус 1 помітить, що файл був доступний, і сканує його, то, в свою чергу, антивірус B бачить, що файл був доступним, тому він сканує його, то антивірус А помічає, що файл був доступний після останнє сканування, тож воно повторно сканує, і т. д ... (у мене це спостерігається на моєму ноутбуці друзів, Windows застигає приблизно через 10-20 хвилин після запуску, стає повільніше до цього терміну)
Феррібіг

4
Паралельність - це більш-менш вирішена проблема і насправді не є специфічною для AV проблемою. Я заперечував, тому що я думаю, що ваша відповідь повністю не вистачає основної проблеми і зосереджена на проблемі, яка вплинула б на більшість комп'ютерних програм, якщо вона не була вирішена, але це не тому, що вона вирішена.
gronostaj

1
@gronostaj, якщо я можу запитати, що ви вважаєте головним питанням? Активні аудіозаписи, які реагують на всі події читання / запису на диску, створюють здебільшого унікальну проблему одночасності, оскільки вони обидва хочуть реагувати на ту саму подію. Це не часто зустрічається серед інших програмних засобів. Щодо того, як це вирішується, турботу з’ясувати?
Френк Томас

2
Я намагався вирішити це у своїй відповіді . Два AV-файли не змагатимуться за введення-виведення диска в тому сенсі, що вони намагаються паралельно викликати перегони. Кожен з них спробує ввести себе в ОС. Або ситуація вирішиться стабільно, коли один AV буде сканований іншим, або він закінчиться крихким безладом, або AV-дистрибутори будуть намагатися домінувати один над одним.
gronostaj

1
@gronostaj По суті, чи не обидві відповіді не ексклюзивні? Чому не виникає проблем із суперечкою на гачок ОС (IE: боротьба за "запис файлу") ... І ... проблеми з одночасністю? Виправте мене, якщо я помиляюся, але обидві здаються "доповнюючими" проблемами, які обоє змушують інших (в той же час додаючи інші проблеми поверх цього - кожен AV має недоліки в безпеці, проблеми з роботою, програмне забезпечення тощо). Здається, це боротьба за зведення великої проблеми до однієї проблеми ... і боротьба за вирішення того, хто має "питання".
WernerCD

3

Обидва процеси перевірки конкурують один з одним для вивчення приводу та мережевого вводу / виводу.

Це болотний процесор, і жодна перевага не збирається, оскільки більшість виробників AV спільно ділиться підписами, тому жоден зловмисне програмне забезпечення не буде виявляти зловмисне програмне забезпечення до оновлення іншого.

Єдиний, добре відомий та сприйнятий у промисловості AV буде належним чином охороняти вашу систему, навіть якщо у вас є необачні звички, схильні до зараження, і так само ефективно, як одночасно з використанням 10 AV-продуктів.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.