Wie kollidieren Antivirensoftware miteinander?

59

Mir wurde beigebracht, dass ich niemals installieren sollte zwei Antivirus-Software (AV-Software) zusammen, da dies zu Konflikten führen kann. Sogar Windows Defender (seit Windows 8) deaktiviert sich bei Erkennung einer anderen AV-Software.

Ich bin gespannt, wie zwei sich widersprechen können. Das einzige Szenario, das ich derzeit herausfinden kann, ist, wenn beide das gleiche Virus erkennen und versuchen, es gleichzeitig unter Quarantäne zu stellen, was zu einer "Eroberung der Viren" führen kann. Für mich ist das sicherlich kein überzeugender Grund nicht um zwei AV-Software zu installieren.

Ganz zu schweigen von Systemleistungsproblemen. Ich nehme an, mein Intel Kaby Lake i7 kann mit den installierten 16 GB Speicher problemlos damit umgehen.

anti-virus software-conflict iBug
quelle
1
Konflikt- / Konfliktfragen (von Ihnen und in Antworten erwähnt) sind überbewertet; Betriebssysteme sind dazu gedacht, solche Probleme zu lösen. Ich hatte den Eindruck, dass der Grund darin liegt, dass Antivirenprogramme Datenbanken haben, in denen die Signaturen der bekannten Viren gespeichert werden, nach denen sie suchen. So könnte ein Antivirenprogramm das andere als bösartiges Programm erkennen und umgekehrt.
sawdust
2
@sawdust, ich verstehe Ihre Aussage, aber es ist in Ordnung, wenn mehrere AVs vorhanden sind, wenn nur von ihnen eine aktive Inspektion durchgeführt wird. Dies wäre nicht möglich, wenn die Inkompatibilität durch versehentliches Erkennen der anderen Signaturdatenbank verursacht wurde.
Frank Thomas
@PeterMortensen "Antivirus Scanner" klingt trotz der Antworten seltsam. Ich persönlich würde "Software" vorziehen, egal ob es sich um ein zählbares Nomen handelt.
iBug

Antworten:

83

Einfache Antivirenscanner können problemlos miteinander koexistieren. Der Live-Schutz kann dazu führen, dass AVs stören.

AV-Software mit Live-Schutzfunktionen integriert sich tief in das Betriebssystem. Es korrigiert einige der Codes des Betriebssystems, um zu beobachten, welche Programme dies zu tun versuchen, und dies gegebenenfalls zu verhindern. Betriebssysteme bieten solche Funktionen nicht standardmäßig, so dass AVs weniger konventionelle Methoden verwenden, um diesen Effekt zu erzielen.

Es kann beispielsweise die Funktion "Datei schreiben" ersetzen, die das Betriebssystem mit seiner benutzerdefinierten Funktion bereitstellt. Wenn ein Programm versucht, in eine Datei zu schreiben, ruft es die Funktion "Datei schreiben" auf. Die Funktion wurde jedoch von AV gepatcht, und die Anforderung des Programms wird stattdessen an AV weitergeleitet. AV wird es prüfen und entscheiden, ob es in Ordnung ist. Wenn dies der Fall ist, wird die eigentliche Funktion "Datei schreiben" aufgerufen. Andernfalls werden geeignete Maßnahmen ergriffen, um zu verhindern, dass schädliche Software Schaden anrichtet.

Leider ist das Patchen von Betriebssystemcode nicht nur für AVs erforderlich, sondern auch verdächtig. Wenn Sie einen Virus erstellt haben, möchten Sie nicht auch in der Lage sein, Systemvorgänge abzufangen, z. B. um zu verhindern, dass AV Dateien nach Viren durchsucht?

So haben AVs Wachen, die auf ihre Code-Hooks achten und sie bei Bedarf neu installieren. An dieser Stelle sollten Sie sehen, wohin das führt ...

Zwei AVs mit Live-Schutz können Sie vor dem verdächtigen Verhalten des anderen schützen. Dies kann zu geringfügigen Leistungsproblemen und Systemabstürzen führen.

In einigen Fällen können sogar AV-Scanner ohne Live-Schutz stören. Wie erkennen AVs Viren? Nun, sie haben ihre Virensignaturen, dh. Datenbanken mit Merkmalen bekannter Viren. Und so kann es passieren, dass eine solche Datenbank auch verdächtig wirken kann, weil sie verschiedene Merkmale von Viren aufweist. Ein AV könnte also die Signatur anderer AV hypothetisch als schädlichen Code erkennen.

Es gibt auch AV-Engines, die zusammen mit anderen AVs, beispielsweise Hitman Pro, entwickelt wurden. ClamWin (kostenlos und Open Source) sollte auch beim Koexistieren relativ problemfrei sein, da es nur einen Scanner ohne Live-Schutz enthält.

gronostaj
quelle
41
In gewissem Sinne ist Antivirensoftware selbst ein Virus. Stellen Sie sich eine Stadt mit zwei Polizeikräften vor, die nicht kommunizieren können und keine Uniformen tragen. Der Beamte, der mit seiner Taschenlampe nach einem Verbrecher in einem Gebäude sucht, sieht aus wie ein Verbrecher, der das Gelenk einem Beamten der anderen Abteilung abdeckt.
T.J.L.
@ComicSansMS Manchmal kann sogar ONE mehr Schaden anrichten als ein Virus. Z.B. Chinesische "kostenlose" AV-Software.
iBug
30
@iBug Ich habe "Chinesen" und "Frei" davon genommen und habe schon viel schlechtes Verhalten von bekannten Marken (McAfee, Norton / Symantec, Panda usw.) gesehen.
Bob
1
Beachten Sie, dass nur einer der beiden Scanner eine Live-Erkennung benötigen sollte, um schwerwiegende Probleme zu verursachen. Ich hatte einmal ein Problem mit einem sehr persistenten CCleaner und einem widerstrebenden Symantec Endpoint Protection, der sich beim Löschen einer Datei herumschlug.
Sanchises
2
@ Bob: Und wir haben nicht einmal angefangen zu reden über ihre Schwachstellen ...
Matteo Italia
14

Programme stehen in Konflikt, wenn beide versuchen, dieselbe Ressource zu verwenden. Wenn mehrere Programme gleichzeitig versuchen, mit einer Ressource zu arbeiten, besteht die Gefahr von Parallelitätsprobleme . Parallelitätsprobleme treten auf, wenn ein Prozess eine Änderung an der Ressource vornimmt und das andere Programm (das in der Mitte seine eigene Änderung an der Ressource durchführte) diese nicht kennt und daher nicht in der Lage ist.

Hier sind ein paar Beispiele für Parallelitätsprobleme im Lehrbuch.

Last-in-Wins-Problem

Stellen Sie sich vor, Sie verwenden ein FTP-Verzeichnis, um ein Dokument gemeinsam zu nutzen, bei dem Sie und ein Kollege an einem Dokument zusammenarbeiten. Sie laden das Dokument herunter, bearbeiten es und stellen es erneut bereit, ebenso wie Ihr Kollege.

  1. Sie laden das Dokument herunter und beginnen eine Reihe von Änderungen, die 1 Stunde dauern.
  2. Ihr Kollege lädt das Dokument zur gleichen Zeit herunter, zu der Sie es getan haben. Es dauert jedoch nur eine halbe Stunde, um die Änderungen abzuschließen und erneut zu laden.

Ergebnis: Wenn Sie Ihr Dokument hochladen, überschreiben Sie deren Änderungen und sie gehen verloren.

Veraltete Daten

In demselben Szenario nimmt Ihr Kollege einige Änderungen vor, die Sie benötigen, ohne es Ihnen mitzuteilen. Ihre Kopie der Datei hat keine Änderungen,

Ergebnis: Sie schreiben die gleichen Änderungen in etwas anderen Wörtern selbst, oder, noch schlimmer,, eine unangenehme E-Mail darüber, wie sie fehlt.

Dies scheint ein einfaches Szenario zu sein, aber in fortgeschrittenen Fällen wie Datenbanken mit mehreren Zugriffen, wenn Sie Datensätze in derselben Millisekunde auswählen, von denen jemand sie aktualisiert, können ernsthafte Probleme auftreten.

Schlechte Berechnung

Ein Ehepaar hat ein gemeinsames Bankkonto und Geldautomatenkarten. Sie haben 1000 USD auf ihrem Konto. In ihrem täglichen Leben sind sie auf der anderen Seite der Stadt und beide greifen im selben Moment auf den Geldautomaten zu. Sie ziehen beide 1000USD zurück. Die Geldautomaten wissen beide, dass der Saldo 1000 ist, also erlauben sie das Abheben und schreiben dann in die zentrale Datenbank, dass der neue Saldo 0 ist.

Ergebnis: Die Bank hat jetzt 1000USD und weiß es nicht einmal.

In all diesen Beispielen gab es mehrere Parteien, die ungefähr oder zur gleichen Zeit Aktionen für eine gemeinsam genutzte Ressource ausführten. Daher die Begriffe "Parallelität" oder "Synchronizität".

Lösungen

Es gibt einige Möglichkeiten, um mit diesen Problemen umzugehen. Eine ist die Verwendung von Software, die zwischen den mehreren Parteien, die auf die Ressource zugreifen, eine Entscheidung trifft. Diese Arbiter-Programme haben je nach Umfang und Vorhersagbarkeit der Operationen zwei Optionen:

  • Führen Sie die Vorgänge intelligent zusammen
  • Sperren / sperren Sie eine der beiden Operationen, bis die erste, die bemerkt wird, abgeschlossen ist.

Es ist auch möglich zu sperren / sperren, vorausgesetzt, dass beide Programme ein freigegebenes Flag prüfen, das den Status der Ressource angibt. Dies erfordert im Allgemeinen eine kundenspezifische Entwicklung.

Deine Antwort

In Ihrem speziellen Fall sind die Ressourcen die Dateien auf Ihrer Festplatte. Die Synchronizität stammt von Ereignissen wie Datei-Lesen / Schreiben, die bei beiden AV-Programmen On-Access-Scans auslösen.

Windows fungiert als Arbiter zum Beheben von Parallelitätsproblemen des Dateisystems durch Sperren von Dateien wenn Programme sie für bestimmte Operationen öffnen.

Dies bedeutet, dass beide Programme auf die Datei zugreifen und wer zuerst dort ankommt, erhält die Sperre. Auf einem niedrigen Niveau führt dies zu einem Platten-Thrashing, da beide Programme ihre eigenen E / A-Aktivitäten starten, wodurch die Hardware beide Aufgaben getrennt ausführen muss, die IO-Anweisungen jedoch verschachtelt werden, was beides viel weniger effizient macht und letztendlich nur eine von ihnen wird gewinnen. Der andere wird sich drehen und warten, bis er sein eigenes Schloss aufbauen kann.

Frank Thomas
quelle
9
Nebenläufigkeitsprobleme können sogar noch schlimmer sein, wenn Antivirus 1 den Zugriff auf die Datei feststellt und scannt. Anschließend erkennt Antivirus B, dass auf die Datei zugegriffen wurde. Daher wird geprüft, ob Antivirus A darauf zugreift, dass auf die Datei zugegriffen wurde letzter Scan, also scannt er es erneut, etc ... (Ich habe gesehen, wie dies auf meinem Laptop meiner Freunde passiert ist, Windows erstarrte nach ca. 10-20 Minuten nach dem Start und wurde langsamer vor Ablauf dieser Frist)
Ferrybig
4
Parallelität ist ein mehr oder weniger gelöstes Problem und nicht wirklich ein AV-spezifisches Problem. Ich habe ein Downvoting durchgeführt, weil ich glaube, dass Ihre Antwort das Kernproblem völlig verfehlt und sich auf ein Problem konzentriert, das die meisten Computersoftware betreffen würde, wenn es nicht gelöst wurde, aber nicht, weil es gelöst ist.
gronostaj
1
@gronostaj, wenn ich fragen darf, was ist Ihrer Meinung nach das Kernthema? Aktive AVs, die auf alle Lese- / Schreibereignisse auf der Festplatte reagieren, verursachen ein weitgehend eindeutiges Parallelitätsproblem, da beide auf dasselbe Ereignis reagieren möchten. Dies ist bei anderen Software nicht üblich. Wie es gelöst wird, bitte klären?
Frank Thomas
2
Ich habe versucht, das anzusprechen meine Antwort . Zwei AVs konkurrieren nicht um Festplatten-E / A in dem Sinne, dass sie es parallel versuchen, was zu einer Race-Bedingung führt. Jeder versucht, sich in das Betriebssystem einzufügen. Entweder wird sich die Situation stabil stabilisieren, wenn ein AV von einem anderen gescannt wird, oder es endet in einem fragilen Durcheinander, oder AVs versuchen weiter, sich gegenseitig zu dominieren.
gronostaj
1
@gronostaj Im Kern sind beide Antworten nicht ausschließend? Warum gibt es keine Probleme mit OS-Hook-Konflikten (IE: Kampf um "Datei schreiben") ... UND ... Probleme mit der Parallelität? Korrigieren Sie mich, wenn ich falsch liege, aber beide scheinen "komplementäre" Probleme zu sein, die beide den anderen verärgern (während andere Probleme hinzugefügt werden - jeder AV hat Sicherheitsfehler, Leistungsprobleme, Bloatware usw.). Es scheint, dass dies ein Kampf ist, um ein großes Problem auf ein Problem zu reduzieren ... und ein Kampf, um zu entscheiden, wer "das" Problem hat.
WernerCD
3

Beide Inspektionsprozesse konkurrieren miteinander, um Laufwerk- und Netzwerk-E / A zu untersuchen.

Da die meisten AV-Hersteller gemeinsam Signaturen freigeben, wird Malware nicht erkannt, bevor Malware für andere Hersteller entdeckt wird.

Ein einziger, bekannter und in der Branche anerkannter AV schützt Ihr System angemessen, auch wenn Sie rücksichtslose Gewohnheiten haben, die zu Infektionen neigen, und ebenso effektiv wie die gleichzeitige Verwendung von 10 AV-Produkten.

123456789123456789123456789
quelle