|
反病毒產(chǎn)品之間的兼容性沖突問題�����,絕大多數(shù)情況下����,都是技術(shù)與協(xié)調(diào)的問題�����,有其工作機理上的必然性,并往往具有一定的不可避免性���。反病毒產(chǎn)品從最開始的行命令掃描工具發(fā)展至今��,已經(jīng)形成了帶有文件�����、注冊表�����、內(nèi)存等多種本地監(jiān)控機制�����。
瀏覽器�、郵件客戶端等多種保護環(huán)節(jié)�����;以及整合了主機防火墻�、入侵檢測機制�����、主動防御機制的綜合型產(chǎn)品�����。而其核心價值早在上世紀(jì)末��,就已經(jīng)從最開始的靜態(tài)的文件掃描檢測����,變成實時化的主機防護����。而實時化的防護推動了反病毒產(chǎn)品使用更多的服務(wù)、驅(qū)動等底層技術(shù)���,運行于更接近系統(tǒng)內(nèi)核的位置���,這也為反病毒產(chǎn)品產(chǎn)生相互兼容性問題打下了伏筆。
隨著操作系統(tǒng)的復(fù)雜化��,威脅的不斷離散化等影響�����,反病毒的監(jiān)控保護點也日趨復(fù)雜����,又加之反病毒廠商數(shù)量也在增加,而操作系統(tǒng)廠商并沒提供比較標(biāo)準(zhǔn)的技術(shù)規(guī)范���,因此反病毒產(chǎn)品因互不兼容�����,發(fā)生共存沖突等問題越來越多�,并間接影響了用戶對反病毒產(chǎn)品的信任���。
目前己經(jīng)發(fā)現(xiàn)并被報道過的兼容性問題包括:
造成系統(tǒng)崩潰和其他嚴(yán)重故障:
從2000年以來�,根據(jù)公開報道�,已經(jīng)出現(xiàn)多起因反病毒產(chǎn)品之間相互沖突,而導(dǎo)致系統(tǒng)藍(lán)屏�����、死鎖等事件��。
資源占用:
反病毒掃描、監(jiān)控和其他防護機制�,都會帶來系統(tǒng)資源的占用。如病毒庫的內(nèi)存展開對內(nèi)存的資源使用���,文件監(jiān)控���、定時掃描可能導(dǎo)致更多的I/O開銷、以及各種保護機制對CPU時間片的占用等等��。
這些對用戶操作有一定影響��,如系統(tǒng)延遲���、文件復(fù)制操作時間變長等等��。而由于消息傳遞等機制��,有可能在多種反病毒產(chǎn)品共存時��,其對資源和時間的影響不是簡單的線性疊加����,而是出現(xiàn)明顯的性能惡化�。
失效:
由于監(jiān)控機制之間的沖突���,多種監(jiān)控機制共存時,有可能造成其中之一失效���,或者部分機制雙雙失效的風(fēng)險。上述后果�,可以在兼容性測試中被復(fù)現(xiàn)。
相互誤報:
由于廠商之間互信互通機制尚不夠通暢�����,以及少數(shù)惡意的“誤報構(gòu)造”攻擊的存在����,廠商之間出現(xiàn)相互誤報的情況,也時常發(fā)現(xiàn)���。由于被報警為病毒而嚴(yán)重地影響了用戶對產(chǎn)品的信心����,因此���,各廠商對被誤報的問題也均比較敏感�。
但需要指出的是,絕大多數(shù)情況下����,反病毒產(chǎn)品之間的兼容性沖突問題,都是技術(shù)與協(xié)調(diào)的問題����,有其工作機理上的必然性,并往往具有一定的不可避免性��。相關(guān)問題多數(shù)并不是由商業(yè)競爭引發(fā)的��,商業(yè)競爭也不是反病毒產(chǎn)品兼容沖突問題的本質(zhì)�����。本文主要介紹當(dāng)前反病毒產(chǎn)品沖突的主因����,以澄清公眾誤解。
由于此類技術(shù)也多被惡意軟件使用��,一些安全軟件不會在執(zhí)行完自己的代碼后執(zhí)行修改前的自己�����,而是采用從原始文件中讀取、分析���、執(zhí)行的方式���,導(dǎo)致多個安全軟件同時監(jiān)控一個API時,只有一個生效��。
出于性能考慮����,不傳遞給原API處理而采用自己實現(xiàn)的代碼完成該API的相應(yīng)功能��,那么也不會將相關(guān)信息傳遞給其他軟件���。
部分軟件在執(zhí)行完自己的函數(shù)后會把修改后的字節(jié)還原�����,然后調(diào)用原系統(tǒng)API完成功能后再次修改�、掛鉤���。兩個使用此實現(xiàn)的軟件同時工作則可能造成互相調(diào)用導(dǎo)致死鎖���,程序沒有響應(yīng)����。
(b) Ring0文件監(jiān)控�。與ring3的情況類似,但是后果更加嚴(yán)重�。
由于inline hook不同實現(xiàn)造成的不兼容性很可能導(dǎo)致系統(tǒng)API無法正常工作,導(dǎo)致系統(tǒng)藍(lán)屏�。
例如:安天客戶端產(chǎn)品(Antiy Ghostbusters4.0)早期版本采用大量inline hook,后因與其他產(chǎn)品嚴(yán)重沖突放棄�����;360安全衛(wèi)士中inline hook有幾種不同實現(xiàn)方式共存的現(xiàn)象�����,并且與360安全瀏覽器有重合的監(jiān)控點���;
掛鉤之間相互調(diào)用�,會導(dǎo)致死鎖�,系統(tǒng)死機;
采用替換SSDT的方式,則只有自己的掛鉤有效��,其他軟件的掛鉤均無效�����。
例如:360安全衛(wèi)士等產(chǎn)品采用替換SSDT的方式��,與其共存的安全軟件通過標(biāo)準(zhǔn)方法獲取的SSDT是無效的�����,導(dǎo)致其他安全軟件功能出現(xiàn)缺失�����;
Vista以后微軟對內(nèi)核進行保護��,部分對內(nèi)核函數(shù)的修改會導(dǎo)致系統(tǒng)藍(lán)屏����。
例如:多個產(chǎn)品在內(nèi)測和對外版本都出現(xiàn)過對關(guān)鍵內(nèi)核函數(shù)進行修改����,但是并沒有仔細(xì)判斷版本,導(dǎo)致兼容性出現(xiàn)問題而使系統(tǒng)藍(lán)屏。
反病毒產(chǎn)品兼容沖突問題的討論就到此為止����,希望大家已經(jīng)有所收獲了,我們還會更多的關(guān)注這方面的內(nèi)容的�。
本文出自:億恩科技【prubsntakaful.com】
服務(wù)器租用/服務(wù)器托管中國五強��!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
