In che modo i software antivirus sono in conflitto tra loro?

59

Mi è stato insegnato che non dovrei mai installare due software antivirus (AV) insieme, perché potrebbero entrare in conflitto. Anche Windows Defender (da Windows 8) si disattiva al rilevamento di un altro software AV.

Sono curioso di sapere come due possano essere in conflitto. L'unico scenario che posso attualmente capire è quando entrambi rilevano lo stesso virus e provano a metterlo in quarantena simultaneamente, il che può provocare una "battaglia di conquista del virus". Per me questo sicuramente non è un motivo convincente per non installare due software AV.

Per non parlare dei problemi di prestazioni del sistema. Suppongo che il mio Intel Kaby Lake i7 sia in grado di gestirli facilmente con la memoria installata da 16 GB.

anti-virus  software-conflict 
iBug
fonte
1
Problemi di conflitto / contesa (citati da te e nelle risposte) sono sopravvalutati; I sistemi operativi sono progettati per gestire / risolvere tali problemi. Avevo l'impressione che il motivo fosse dovuto al fatto che i programmi antivirus hanno database che memorizzano le firme dei virus noti che stanno cercando. Quindi un programma antivirus potrebbe rilevare l'altro come programma dannoso e viceversa.
segatura
2
@sawdust, capisco la tua affermazione, ma è ok avere più AV forniti solo loro eseguono l'ispezione attiva, il che non sarebbe possibile se l'incompatibilità fosse causata dal rilevamento involontario di ogni altro database delle firme.
Frank Thomas,
@PeterMortensen "Antivirus scanner" suona strano nonostante le risposte. Personalmente preferirei "software", non importa se si tratta di un nome numerabile.
iBug

Risposte:

83

Gli scanner antivirus semplici possono coesistere senza problemi. È la protezione live che può causare interferenze degli AV.

Il software AV con funzionalità di protezione dal vivo si integra profondamente nel sistema operativo. Corregge parte del codice del sistema operativo in modo da poter osservare qualunque programma tenti di fare e impedire loro di farlo, se necessario. I sistemi operativi non forniscono tali funzionalità immediatamente, quindi gli AV utilizzano metodi meno convenzionali per ottenere questo effetto.

Ad esempio, può sostituire la funzione "Scrivi file" fornita dal sistema operativo con quella personalizzata. Quando un programma tenta di scrivere su un file, chiamerà la funzione "Scrivi file". Ma la funzione è stata patchata da AV e la richiesta del programma verrà invece reindirizzata su AV. AV lo ispezionerà e deciderà se sembra OK. In tal caso, chiamerà la funzione effettiva "Scrivi file". Altrimenti, adotterà le misure appropriate per impedire a software dannoso di causare danni.

Sfortunatamente, l'applicazione di patch al codice OS non è necessaria solo per gli AV, ma è anche sospetta. Se stavi creando un virus, non ti piacerebbe anche essere in grado di intercettare le operazioni del sistema, ad esempio per impedire all'AV di scansionare i file dei virus?

Quindi gli AV dispongono di protezioni che controllano se i loro hook di codice sono ancora al loro posto e li reinstallano se necessario. A questo punto dovresti vedere dove sta andando ...

Due AV con protezione dal vivo possono iniziare a proteggerti dai comportamenti sospetti reciproci. Ciò può causare qualsiasi cosa, dal singhiozzo di prestazioni minori agli arresti anomali del sistema.

In alcuni casi, anche gli scanner AV senza protezione dal vivo possono interferire. In che modo gli AV rilevano i virus? Bene, hanno le loro firme dei virus, vale a dire. database di caratteristiche distintive di virus noti. E così succede che un tale database può anche apparire sospetto, perché, beh, hanno caratteristiche distintive di virus. Quindi un AV potrebbe ipoteticamente rilevare le firme di altri AV come codice dannoso.

Esistono anche motori AV progettati per coesistere con altri AV, ad esempio Hitman Pro. ClamWin (che è gratuito e open-source) dovrebbe anche essere relativamente privo di problemi quando coesiste perché contiene solo uno scanner senza alcuna protezione dal vivo.

gronostaj
fonte
41
In un certo senso, lo stesso software antivirus è un virus. Immagina una città con due forze di polizia che non sono in grado di comunicare e non indossano uniformi. L'ufficiale che usa la sua torcia per cercare un criminale all'interno di un edificio sembra un criminale che intacca il giunto a un ufficiale dell'altro dipartimento.
TJL
@ComicSansMS A volte anche ONE fa più male di un virus. Ad esempio software cinese "gratuito" AV.
iBug
30
@iBug Lasciando "cinese" e "libero" da questo, ho visto molti comportamenti scarsi da marchi ben noti (McAfee, Norton / Symantec, Panda, ecc.).
Bob,
1
Si noti che solo uno dei due scanner dovrebbe richiedere il rilevamento in tempo reale per causare gravi problemi: una volta ho avuto un problema con un CCleaner molto persistente e un riluttante Symantec Endpoint Protection che si batteva per eliminare un file.
Sanchises,
2
@Bob: e non abbiamo nemmeno iniziato a parlare delle loro vulnerabilità ...
Matteo Italia,
14

I programmi sono in conflitto quando entrambi tentano di utilizzare la stessa risorsa. Quando più programmi tentano di operare contemporaneamente su una risorsa, esiste il rischio di problemi di concorrenza . Problemi di concorrenza si verificano quando un processo esegue una modifica sulla risorsa e l'altro programma (che era nel mezzo la propria modifica alla risorsa) non ne è a conoscenza e quindi non è in grado di adattarsi.

Ecco alcuni esempi di problemi di concorrenza tra i libri di testo.

Problema Last-in-Wins

Immagina di utilizzare una directory FTP per condividere un documento in cui tu e un collega collaborate a un documento. scarichi il documento, lo modifichi e lo pubblichi di nuovo, così come il tuo collega.

  1. Si scarica il documento e si avvia una serie di modifiche che richiede 1 ora.
  2. Il tuo collega scarica il documento nello stesso momento in cui lo hai fatto, ma richiede solo mezz'ora per completare e ricaricare le modifiche.

Risultato: quando si carica il documento, si sovrascrivono le loro modifiche e si perdono.

Dati non aggiornati

Nello stesso scenario, il tuo collega apporta alcune modifiche di cui hai bisogno, senza dirtelo. la tua copia del file non presenta le modifiche,

Risultato: scrivi tu stesso le stesse modifiche in parole leggermente diverse, o peggio, spegni una brutta email su come manca.

Questo sembra uno scenario semplice, ma in casi avanzati come i database multi-accesso se si selezionano i record nello stesso millisecondo in cui qualcuno li sta aggiornando, si possono verificare seri problemi.

Calcolo errato

Una coppia di sposi ha un conto bancario condiviso e carte bancomat. Hanno 1000USD nel loro account. Nella loro vita quotidiana, si trovano dai lati opposti della città ed entrambi accedono allo sportello automatico nello stesso istante. Entrambi ritirano 1000 USD. Entrambi gli sportelli automatici sanno che il saldo è 1000, quindi consentono il prelievo, quindi scrivono nel database centrale che il nuovo saldo è 0.

Risultato: la banca è ora in uscita 1000 USD e non lo sa nemmeno.

In tutti questi esempi c'erano più parti che stavano eseguendo azioni su una risorsa condivisa nello stesso momento o nello stesso momento. Da qui i termini "concorrenza" o "sincronicità".

soluzioni

Esistono alcuni modi per affrontare questo tipo di problemi. Uno è quello di utilizzare software che arbitrano tra le molteplici parti che accedono alla risorsa. Questi programmi di arbitro hanno due opzioni, a seconda dell'ambito e della prevedibilità delle operazioni:

  • Unisci le operazioni in modo intelligente
  • Blocca / blocca una delle due operazioni fino al completamento della prima che viene notata.

È anche possibile bloccare / bloccare, a condizione che entrambi i programmi siano progettati per controllare un flag condiviso che indica lo stato della risorsa. questo generalmente richiede uno sviluppo personalizzato.

la tua risposta

Nel tuo caso specifico, Le risorse sono i file sul tuo disco. Synchronicity proviene da eventi come il file Read / Write, che attivano scansioni all'accesso in entrambi i programmi AV.

Windows funge da arbitro per risolvere i problemi di concorrenza del filesystem bloccando i file quando i programmi li aprono per operazioni specifiche.

Ciò significa che entrambi i programmi corrono per accedere al file e chi arriva per primo ottiene il blocco. A un livello basso, ciò si traduce in un blocco del disco quando entrambi i programmi iniziano le proprie attività di I / O, costringendo l'hardware a svolgere entrambe le attività separatamente, ma interfogliando le istruzioni IO, rendendo entrambi molto meno efficienti e, alla fine, solo uno di loro vincerà. l'altro girerà e attenderà di poter stabilire il proprio blocco.

Frank Thomas
fonte
9
I problemi di concorrenza possono anche peggiorare se l'antivirus 1 rileva che è stato eseguito l'accesso al file e lo scansiona, quindi a sua volta l'antivirus B vede che il file è stato effettuato l'accesso, quindi lo scansiona, quindi l'antivirus A nota che è stato effettuato l'accesso dopo ultima scansione, quindi la scansiona di nuovo, ecc ... (Ho visto questo accadere sul laptop dei miei amici, Windows si è bloccato dopo circa 10-20 minuti dopo l'avvio, diventando più lentamente prima di quella scadenza)
Ferrybig
4
La concorrenza è un problema più o meno risolto e non proprio un problema specifico di AV. Ho annullato il voto perché penso che la tua risposta non risponda completamente al problema principale e si concentri su un problema che influirebbe sulla maggior parte del software se non fosse risolto, ma non perché risolto.
Gronostaj,
1
@gronostaj, se posso chiederti, quale pensi che sia il problema principale? Gli AV attivi che reagiscono a tutti gli eventi di lettura / scrittura sul disco creano un problema di concorrenza per lo più unico perché entrambi vogliono reagire allo stesso evento. Questo non è comune tra gli altri software. Quanto a come è risolto, ti interessa chiarire?
Frank Thomas,
2
Ho cercato di affrontarlo nella mia risposta . Due AV non competeranno per l'I / O del disco, nel senso che lo tentano in parallelo causando una condizione di competizione. Ognuno tenterà di iniettarsi nel sistema operativo. O una situazione si risolverà in modo stabile quando un AV viene scansionato dall'altro, o finirà in un pasticcio fragile, o gli AV continueranno a cercare di dominarsi a vicenda.
Gronostaj,
1
@gronostaj Alla base, entrambe le risposte non sono esclusive? Perché non ci sono problemi con contesa hook OS (IE: lotta per "scrivere file") ... E ... problemi con concorrenza? Correggimi se sbaglio, ma entrambi sembrano problemi "complementari" che esasperano l'altro (aggiungendo altri problemi sopra di esso - ogni AV ha difetti di sicurezza, problemi di prestazioni, bloatware, ecc.). Sembra che questa sia una lotta per condensare un grosso problema fino a un problema ... e una lotta per decidere chi ha "il" problema.
WernerCD,
3

Entrambi i processi di ispezione sono in concorrenza tra loro per esaminare gli I / O dell'unità e della rete.

Impedisce la CPU e non viene ottenuto alcun vantaggio poiché la maggior parte dei produttori di AV condivide collettivamente le firme, quindi nessuno dei due rileverà malware prima che l'altro venga aggiornato.

Un AV unico, ben noto e accettato dal settore, proteggerà adeguatamente il tuo sistema anche se hai abitudini sconsiderate inclini all'infezione e altrettanto efficaci quanto simultaneamente usando 10 prodotti AV.

123456789123456789123456789
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.