除了文件監(jiān)控、防火墻、瀏覽器防護(hù)的潛在兼容性問題之外，在多款軟件共存的情況下，主動防御的兼容性問題尤為嚴(yán)重。主動防御主要可以分為兩個方面來看待：

 

1. 自我保護(hù)

 

多款安全軟件都保護(hù)自己的監(jiān)控點(diǎn)不被修改，特別是使用了inline hook或者對系統(tǒng)設(shè)備、內(nèi)核對象、SSDT進(jìn)行了hook的產(chǎn)品。類似安天Atool等Rootkit檢查工具曾使用過替換進(jìn)程SSDT保證自己的hook不被修改，但也導(dǎo)致使用SSDT hook的主動防御完全失效的副作用。360安全衛(wèi)士曾使用替換SSDT的技術(shù)對自己的監(jiān)控點(diǎn)進(jìn)行保護(hù)，導(dǎo)致與其共存的安全軟件主動防御功能中關(guān)于SSDT的部分完全失效。

 

一旦發(fā)現(xiàn)自己的監(jiān)控點(diǎn)被修改，則會對監(jiān)控點(diǎn)進(jìn)行修復(fù)，也就是重新hook。這就有可能導(dǎo)致多款安全軟件反復(fù)爭奪監(jiān)控點(diǎn)，或者h(yuǎn)ook直接互相調(diào)用造成死鎖，最終耗盡系統(tǒng)資源，導(dǎo)致機(jī)器死機(jī)。

 

由于自我保護(hù)的存在，病毒感染安全軟件后，依然會被安全軟件的自我保護(hù)所保護(hù)，其他安全軟件可能無法讀取其內(nèi)容進(jìn)行檢測，或者可以檢測，但是無法結(jié)束相應(yīng)的進(jìn)程。

 

2. 惡意行為分析

 

一款軟件出于安全角度考慮，不調(diào)用被hook的原始API，則會導(dǎo)致其他軟件在分析惡意行為時，無法檢測到該行為，進(jìn)而造成程序的行為序列發(fā)生改變，最終導(dǎo)致行為分析誤報(bào)或者漏報(bào)。

 

由于安全軟件的某些行為和惡意軟件具有相似性，例如：對API進(jìn)行的某些hook，在多款安全軟件共存的情況下，很有可能一款安全軟件被另一款報(bào)為病毒，這也是一種誤報(bào)。

 

為了保證自身進(jìn)程的行為不被重復(fù)記錄或者對行為分析產(chǎn)生影響，安全軟件可能會對特殊API的調(diào)用參數(shù)含義進(jìn)行修改，增加自身需要的標(biāo)識，而這些標(biāo)識可能會造成后續(xù)的監(jiān)控產(chǎn)生不可預(yù)知的行為，最糟糕的情況就是導(dǎo)致系統(tǒng)藍(lán)屏。

 

對于ring3與ring0結(jié)合判斷的主動防御，處于二者中間的其他安全軟件對數(shù)據(jù)的修改可能會造成ring0緩沖區(qū)的溢出（例如：ring3的API掛鉤通知ring0的驅(qū)動，需要26字節(jié)實(shí)際數(shù)據(jù)可能由于中間沙箱軟件的路徑重定向被改為27字節(jié)或者更多）或者被截?cái)啵瑢?dǎo)致系統(tǒng)藍(lán)屏或者漏報(bào)。

 

以上僅僅是主動防御潛在兼容性問題的一部分，由于主動防御技術(shù)本身的復(fù)雜度，在多款實(shí)用主動防御技術(shù)的安全軟件共存的情況下，兼容性問題就更容易出現(xiàn)，也更加嚴(yán)重，這里說明的僅僅是一部分，不是全部。

 

兼容性問題對反病毒廠商的影響

 

兼容性是反病毒廠商的核心困擾之一，由于反病毒使用大量的內(nèi)核技術(shù)、驅(qū)動等，一旦出現(xiàn)兼容性的后果，其所造成的影響，要遠(yuǎn)嚴(yán)重于其他應(yīng)用軟件。同時反病毒產(chǎn)品為了對抗病毒的一些自我防護(hù)機(jī)制，也會使問題的處置變得比較復(fù)雜。因此，多種反病毒軟件之間沖突引發(fā)的問題要比其他軟件沖突問題后果更加嚴(yán)重。

 

兼容性沖突問題使反病毒廠商技術(shù)支持的難度增大，由于環(huán)境的復(fù)雜性，問題變得更加難以排查和處理。

 

特別是企業(yè)版產(chǎn)品，廠商承擔(dān)著更大的責(zé)任和支持義務(wù)，如果由于沖突性問題，帶來問題，對于問題的責(zé)任、后果的認(rèn)定等方面都帶來較大壓力。

 

同時，有的沖突問題由于需要廠商間相互溝通才能解決，因此增加了支持壓力和解決用戶問題的周期。