Como os softwares antivírus entram em conflito uns com os outros?

59

Eu fui ensinado que eu nunca deveria instalar dois antivírus (AV) juntos, porque eles vão entrar em conflito. Mesmo o Windows Defender (desde o Windows 8) se desativa ao detectar outro software antivírus.

Estou curioso para saber como dois podem entrar em conflito. O único cenário que posso descobrir atualmente é quando ambos detectam o mesmo vírus e tentam colocá-lo em quarentena simultaneamente, o que pode resultar em uma "batalha de conquista de vírus". Para mim isso certamente não é um motivo convincente não para instalar dois softwares AV.

Deixe os problemas de desempenho do sistema sozinhos. Suponho que meu Intel Kaby Lake i7 pode lidar com eles com facilidade com a memória instalada de 16 GB.

    
por iBug 05.12.2017 / 05:31

3 respostas

83

Os scanners antivírus simples podem coexistir sem problemas. É a proteção ao vivo que pode causar AVs para interferir.

O software AV com recursos de proteção ao vivo integra-se profundamente ao sistema operacional. Ele corrige alguns códigos do sistema operacional para que ele possa observar os programas que estiverem tentando fazer e impedi-los de fazer isso, se necessário. Os sistemas operacionais não fornecem esses recursos prontos para uso, de modo que os antivírus usam métodos menos convencionais para alcançar esse efeito.

Por exemplo, ele pode substituir a função "gravar arquivo" que o sistema operacional fornece com o personalizado. Quando um programa tenta gravar em um arquivo, ele chama a função "gravar arquivo". Mas a função foi corrigida por AV e o pedido do programa será redirecionado para AV. AV irá inspecioná-lo e decidir se parece OK. Em caso afirmativo, ele chamará a função "arquivo de gravação" real. Caso contrário, tomará as medidas adequadas para impedir que softwares mal-intencionados causem danos.

Infelizmente, o patch de código OS não é necessário apenas para os antivírus, mas também é suspeito. Se você estivesse criando um vírus, você também não gostaria de poder interceptar operações do sistema, por exemplo, para impedir que o antivírus vasculhe arquivos de vírus?

Assim, os antivírus têm proteções que observam se os ganchos de código ainda estão no lugar e os reinstala, se necessário. Neste ponto, você deve ver onde isso está indo ...

Dois AVs com proteção ao vivo podem começar a proteger você do comportamento suspeito do outro. Isso pode causar qualquer coisa, desde pequenos soluços de desempenho a falhas do sistema.

Em alguns casos, mesmo scanners antivírus sem proteção ao vivo podem interferir. Como os antivírus detectam vírus? Bem, eles têm suas assinaturas de vírus, ou seja. bases de dados de características distintas de vírus conhecidos. E assim acontece que esse banco de dados também pode parecer suspeito, porque, bem, eles têm características distintas de vírus. Assim, um AV pode, hipoteticamente, detectar outras assinaturas de AV como código malicioso.

Existem também motores AV projetados para coexistir com outros AVs, por exemplo, o Hitman Pro. O ClamWin (que é gratuito e de código aberto) também deve ser relativamente livre de problemas ao coexistir, pois contém apenas um scanner sem proteção ao vivo.

    
por 05.12.2017 / 14:16
14

Os programas entram em conflito quando ambos tentam usar o mesmo recurso. Quando vários programas tentam operar em um recurso ao mesmo tempo, há um risco de Problemas de simultaneidade . Os problemas de simultaneidade ocorrem quando um processo realiza uma alteração no recurso e o outro programa (que estava no meio de sua própria modificação no recurso) não tem conhecimento dele e, portanto, é incapaz de acomodar.

Aqui estão alguns exemplos de problemas de simultaneidade de livros de texto.

Problema da última hora

Imagine que você está usando um diretório de FTP para compartilhar um documento em que você e um colega estão colaborando em um documento. você faz o download do documento, edita e publica novamente, assim como o seu colega.

  1. Você faz o download do documento e inicia um conjunto de alterações que leva uma hora.
  2. Seu colega faz o download do documento ao mesmo tempo, mas demora apenas meia hora para concluir e fazer o upload das alterações novamente.

Resultado: quando você faz o upload do seu documento, você sobrescreve as alterações e elas são perdidas.

Dados antigos

No mesmo cenário, o seu colega faz algumas alterações de que você precisa, sem avisar você. sua cópia do arquivo não tem as alterações,

Resultado: Você mesmo escreve as mesmas alterações em palavras ligeiramente diferentes, ou pior, envia um e-mail desagradável sobre como está faltando.

Este parece ser um cenário simples, mas em casos avançados, como bancos de dados de acesso múltiplo, se você selecionar registros no mesmo milésimo de segundo que alguém está atualizando, você poderá ter sérios problemas.

Má computação

Um casal tem uma conta bancária compartilhada e cartões de caixa eletrônico. Eles têm 1000USD em sua conta. Em sua vida cotidiana, eles estão em lados opostos da cidade e ambos acessam o caixa eletrônico no mesmo instante. Ambos saem de US $ 1.000,00. Os caixas eletrônicos sabem que o saldo é 1000, então eles permitem a retirada, e então escrevem de volta para o banco de dados central que o novo saldo é 0.

Resultado: o banco agora está fora do valor de US $ 1.000, e nem sabe disso.

Em todos esses exemplos, havia várias partes que estavam realizando ações em um recurso compartilhado por volta ou ao mesmo tempo. Daí os termos "simultaneidade" ou "sincronicidade".

Soluções

Existem algumas maneiras de lidar com esses tipos de problemas. Uma delas é usar um software que arbitra entre as várias partes que acessam o recurso. Esses programas de árbitro têm duas opções, dependendo do escopo e da previsibilidade das operações:

  • Mesclar as operações de maneira inteligente
  • Bloqueia / bloqueia uma das duas operações até que a primeira que é notada esteja concluída.

Também é possível bloquear / bloquear, desde que ambos os programas sejam projetados para verificar um sinalizador compartilhado indicando o estado do recurso. isso geralmente requer desenvolvimento personalizado.

Sua resposta

No seu caso específico, os recursos são os arquivos em seu disco. O Synchronicity vem de eventos como leitura / gravação de arquivos, que acionam varreduras ao acessar em ambos os programas antivírus.

O Windows age como um árbitro para resolver problemas de simultaneidade no sistema de arquivos bloqueando arquivos quando os programas são abertos para operações específicas.

Isso significa que os dois programas estão correndo para acessar o arquivo, e quem chegar lá primeiro obtém o bloqueio. Em um nível baixo, isso resulta em alguma discusão de disco, pois ambos os programas iniciam suas próprias atividades de E / S, forçando o hardware a executar as duas tarefas separadamente, mas intercalando as instruções de IO, tornando as duas muito menos eficientes e, no final, apenas uma. deles vai ganhar. o outro girará e esperará para poder estabelecer seu próprio bloqueio.

    
por 05.12.2017 / 06:32
3

Ambos os processos de inspeção competem entre si para examinar a E / S do inversor e da rede.

Isso atrapalha a CPU e nenhuma vantagem é obtida, já que a maioria dos fabricantes de antivírus compartilha as assinaturas de modo que nenhuma delas detecte malware antes que a outra seja atualizada para fazê-lo.

Um único AV bem conhecido e aceito pela indústria protegerá adequadamente o seu sistema, mesmo se você tiver hábitos imprudentes propensos à infecção e tão eficaz quanto ao usar simultaneamente 10 produtos AV.

    
por 05.12.2017 / 05:44