57 votes

iBug avatar

Comment les logiciels antivirus entrent-ils en conflit les uns avec les autres ?

Demandé el 5 de Décembre, 2017
Quand la question a-t-elle été
8834 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On m'a appris que je ne devais jamais installer deux les logiciels antivirus (AV) ensemble, car ils entreront en conflit. Même Windows Defender (depuis Windows 8) se désactive lorsqu'il détecte un autre logiciel AV.

Je suis curieux de savoir comment deux peuvent entrer en conflit. Le seul scénario auquel je peux actuellement penser est celui où les deux détectent le même virus et tentent de le mettre en quarantaine simultanément, ce qui peut donner lieu à une "bataille de conquête de virus". Pour moi, ce n'est pas une raison convaincante. pas pour installer deux logiciels AV.

Sans parler des problèmes de performance du système. Je suppose que mon Intel Kaby Lake i7 peut les gérer facilement avec les 16 Go de mémoire installés.

Demandé el 5 de Décembre, 2017 par iBug

Réponses

Trop de publicités?

83voto

gronostaj avatar
gronostaj Points 50460

Les simples scanners antivirus peuvent coexister sans problème. C'est la protection en direct qui peut provoquer l'interférence des AV.

Les logiciels AV dotés de fonctions de protection en direct s'intègrent profondément au système d'exploitation. Il corrige une partie du code du système d'exploitation afin de pouvoir observer ce que les programmes tentent de faire et de les en empêcher, si nécessaire. Les systèmes d'exploitation ne fournissent pas de telles capacités dès la sortie de l'emballage, aussi les logiciels antivirus utilisent-ils des méthodes moins conventionnelles pour obtenir cet effet.

Par exemple, il peut remplacer la fonction "write file" fournie par le système d'exploitation par sa propre fonction. Lorsqu'un programme tente d'écrire dans un fichier, il appelle la fonction "write file". Mais cette fonction a été corrigée par AV et la requête du programme sera redirigée vers AV à la place. AV va l'inspecter et décider si elle semble correcte. Si c'est le cas, il appellera la fonction "write file" actuelle. Sinon, il prendra les mesures nécessaires pour empêcher les logiciels malveillants de faire des dégâts.

Malheureusement, le Parcheando du code du système d'exploitation n'est pas seulement nécessaire pour les AV, mais aussi suspect. Si vous créiez un virus, n'aimeriez-vous pas aussi pouvoir intercepter les opérations du système, par exemple pour empêcher les AV d'analyser les fichiers du virus ?

Les antivirus ont donc des gardes qui surveillent si leurs crochets de code sont toujours en place et les réinstallent si nécessaire. A ce stade, vous devriez voir où cela mène...

Deux AV avec une protection en direct peuvent commencer à vous protéger contre le comportement suspect de l'autre. Cela peut entraîner des problèmes de performance mineurs ou des pannes de système.

Dans certains cas, même les scanners AV sans protection en direct peuvent interférer. Comment les antivirus détectent-ils les virus ? Eh bien, ils ont leurs signatures de virus, c'est-à-dire des bases de données de caractéristiques distinctives de virus connus. Et il se trouve que ces bases de données peuvent aussi sembler suspectes, parce que, eh bien, elles ont des caractéristiques distinctives des virus. Ainsi, un antivirus pourrait hypothétiquement détecter les signatures d'un autre antivirus comme étant du code malveillant.

Il existe également des moteurs AV conçus pour coexister avec d'autres AV, par exemple Hitman Pro. ClamWin (qui est gratuit et open-source) devrait également être relativement sans problème lors de la coexistence car il ne contient qu'un scanner sans aucune protection en direct.

Répondu el 5 de Décembre, 2017 par gronostaj (50460 Points )

14voto

Frank Thomas avatar
Frank Thomas Points 33103

Les programmes entrent en conflit lorsqu'ils tentent tous deux d'utiliser la même ressource. Lorsque plusieurs programmes tentent de fonctionner sur une ressource en même temps, il y a un risque de Problèmes de concussion . Les problèmes de concurrence surviennent lorsqu'un processus effectue une modification sur la ressource, et que l'autre programme (qui était en train d'effectuer sa propre modification de la ressource) n'en est pas conscient, et donc incapable de s'adapter.

Voici quelques exemples de problèmes de concurrence dans les manuels scolaires.

Le problème du dernier arrivé

Imaginez que vous utilisez un répertoire FTP pour partager un document. Vous collaborez avec un collègue sur un document. Vous téléchargez le document, le modifiez et le réaffichez, tout comme votre collègue.

  1. Vous téléchargez le document, et vous lancez une série de modifications qui prend une heure.
  2. Votre collègue télécharge le document en même temps que vous, mais il ne lui faut qu'une demi-heure pour compléter et retélécharger ses modifications.

Résultat : lorsque vous téléchargez votre document, vous écrasez leurs modifications et elles sont perdues.

Données périmées

Dans le même scénario, votre collègue apporte des modifications dont vous avez besoin, sans vous le dire. Votre copie du fichier ne contient pas les modifications,

Résultat : Vous écrivez vous-même les mêmes modifications avec des mots légèrement différents ou, pire encore, vous envoyez un courriel désagréable pour dire qu'il manque quelque chose.

Cela semble être un scénario simple, mais dans des cas avancés comme les bases de données multi-accès, si vous sélectionnez des enregistrements à la même milliseconde que quelqu'un les met à jour, vous pouvez rencontrer de sérieux problèmes.

Mauvais calcul

Un couple marié a un compte bancaire et des cartes de retrait communs. Ils ont 1000USD sur leur compte. Dans leur vie quotidienne, ils se trouvent dans des quartiers opposés de la ville et accèdent tous deux au distributeur automatique au même moment. Ils retirent tous deux 1000 USD. Les distributeurs savent tous deux que le solde est de 1000, ils autorisent donc le retrait, puis renvoient à la base de données centrale que le nouveau solde est de 0.

Résultat : la banque a maintenant perdu 1000USD, et ne le sait même pas.

Dans tous ces exemples, plusieurs parties effectuaient des actions sur une ressource partagée au même moment ou presque. D'où les termes "concurrence" ou "synchronisation".

Solutions

Il existe plusieurs façons de traiter ce genre de problèmes. La première consiste à utiliser un logiciel qui arbitre entre les différentes parties accédant à la ressource. Ces programmes d'arbitrage ont deux options, selon la portée et la prévisibilité des opérations :

  • Fusionner les opérations de manière intelligente
  • Bloquer/bloquer l'une des deux opérations jusqu'à ce que la première remarquée soit terminée.

Il est également possible de bloquer/bloquer, à condition que les deux programmes soient conçus pour vérifier un drapeau partagé indiquant l'état de la ressource. Cela nécessite généralement un développement personnalisé.

Votre réponse

Dans votre cas spécifique, les ressources sont les fichiers sur votre disque. Le synchronisme provient d'événements comme la lecture/écriture de fichiers, qui déclenchent des analyses à l'accès dans les deux programmes AV.

Windows agit comme un arbitre pour résoudre les problèmes de concurrence entre les systèmes de fichiers en verrouillage des fichiers lorsque des programmes les ouvrent pour des opérations spécifiques.

Cela signifie que les deux programmes sont en course pour accéder au fichier, et que celui qui arrive en premier obtient le verrou. À un bas niveau, cela entraîne un certain nombre d'écrasements de disque lorsque les deux programmes commencent leurs propres activités d'E/S, ce qui oblige le matériel à effectuer les deux tâches séparément, tout en entrelaçant les instructions d'E/S, ce qui rend les deux beaucoup moins efficaces, et au final, seul l'un d'entre eux gagnera. l'autre tournera et attendra de pouvoir établir son propre verrou.

Répondu el 5 de Décembre, 2017 par Frank Thomas (33103 Points )

3voto

Marc Garcia avatar
Marc Garcia Points 935

Les deux processus d'inspection se font concurrence pour examiner les entrées/sorties des lecteurs et du réseau.

Cela alourdit le processeur et ne procure aucun avantage puisque la plupart des fabricants d'antivirus partagent collectivement les signatures, de sorte qu'aucun d'entre eux ne détectera les logiciels malveillants avant que l'autre ne soit mis à jour pour le faire.

Un seul AV, bien connu et accepté par l'industrie, protégera adéquatement votre système, même si vous avez des habitudes imprudentes sujettes aux infections, et de manière tout aussi efficace que l'utilisation simultanée de 10 produits AV.

Répondu el 5 de Décembre, 2017 par Marc Garcia (935 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X