反病毒产品兼容性问题白皮书

作者 | 2010-08-02 07:17 | 类型 行业动感 | 1条用户评论 »

Sina WeiboBaiduLinkedInQQGoogle+RedditEvernote分享




反病毒产品兼容冲突问题概述

反病毒产品从最开始的行命令扫描工具发展至今,已经形成了带有文件、注册表、内存等多种本地监控机制;浏览器、邮件客户端等多种保护环节;以及整合了主机防火墙、入侵检测机制、主动防御机制的综合型产品。而其核心价值早在上世纪末,就已经从最开始的静态的文件扫描检测,变成实时化的主机防护。而实时化的防护推动了反病毒产品使用更多的服务、驱动等底层技术,运行于更接近系统内核的位置,这也为反病毒产品产生相互兼容性问题打下了伏笔。

随着操作系统的复杂化,威胁的不断离散化等影响,反病毒的监控保护点也日趋复杂,又加之反病毒厂商数量也在增加,而操作系统厂商并没提供比较标准的技术规范,因此反病毒产品因互不兼容,发生共存冲突等带来的问题越来越多,并间接影响了用户对反病毒产品的信任。

目前己经发现并被报道过的兼容性问题包括:

造成系统崩溃和其他严重故障:从2000年以来,根据公开报道,已经出现多起因反病毒产品之间相互冲突,而导致系统蓝屏、死锁等事件。
资源占用:反病毒扫描、监控和其他防护机制,都会带来系统资源的占用。如病毒库的内存展开对内存的资源使用,文件监控、定时扫描可能导致更多的I/O开销、以及各种保护机制对CPU时间片的占用等等。这些对用户操作有一定影响,如系统延迟、文件复制操作时间变长等等。而由于消息传递等机制,有可能在多种反病毒产品共存时,其对资源和时间的影响不是简单的线性叠加,而是出现明显的性能恶化。
失效:由于监控机制之间的冲突,多种监控机制共存时,有可能造成其中之一失效,或者部分机制双双失效的风险。上述后果,可以在兼容性测试中被浮现。
相互误报:由于厂商之间互信互通机制尚不够通畅,以及少数恶意的“误报构造”攻击的存在,厂商之间出现相互误报的情况,也时常发现。由于被报警为病毒而严重地影响用户对产品的信心,因此,各厂商对被误报的问题也均比较敏感。
但需要指出的是,绝大多数情况下,反病毒产品之间的兼容性冲突问题,都是技术与协调的问题,有其工作机理上的必然性,并往往具有一定的不可避免性。相关问题多数并不是由商业竞争引发的,商业竞争也不是反病毒产品兼容冲突问题的本质。本白皮书主要介绍当前反病毒产品冲突的主因,以澄清公众误解。

白皮书中所涉及到安天和兄弟厂商产品所使用的技术点,均用于说明反病毒产品之间兼容性冲突的必然性,不是对实现水平进行评价。

http://www.antiy.com/cn/security/2010/Anti-virus_product_compatibility_issues_white_paper(AntiyLabs).htm

Anti-virus_product_compatibility_issues_white_paper

(没有打分)

工具箱
本文链接 | | 打印此页 | 1条用户评论 »

雁过留声

“反病毒产品兼容性问题白皮书”有1个回复

  1. bigrong 于 2010-08-02 10:14 上午

    现在的反病毒产品,特别是在周鸿祎进入安全领域之后,变得越发的让人无语。让人觉得更加的属于黑社会之间的帮派斗争,或者叫做保安公司之间的斗争。
    我在想,这个世界上但凡是免费的东西都未必好,只要不太差钱,还是掏钱买吧。