微点交流论坛 - 微点茶室 - 《反病毒产品的兼容性问题白皮书》安天实验室

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 微点茶室 » 《反病毒产品的兼容性问题白皮书》安天实验室

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 《反病毒产品的兼容性问题白皮书》安天实验室

反病毒产品的兼容性问题白皮书
出处：安天实验室时间：2010年7月29日

安天的文档很不错包括文件监控的潜在兼容性问题、主动防御的潜在兼容性问题等

原文：
http://www.antiy.com/cn/security ... aper(AntiyLabs).htm

PDF报告下载：
http://www.antiy.com/cn/security ... aper(AntiyLabs).pdf

·反病毒产品兼容冲突问题概述

反病毒产品从最开始的行命令扫描工具发展至今，已经形成了带有文件、注册表、内存等多种本地监控机制；浏览器、邮件客户端等多种保护环节；以及整合了主机防火墙、入侵检测机制、主动防御机制的综合型产品。而其核心价值早在上世纪末，就已经从最开始的静态的文件扫描检测，变成实时化的主机防护。而实时化的防护推动了反病毒产品使用更多的服务、驱动等底层技术，运行于更接近系统内核的位置，这也为反病毒产品产生相互兼容性问题打下了伏笔。

随着操作系统的复杂化，威胁的不断离散化等影响，反病毒的监控保护点也日趋复杂，又加之反病毒厂商数量也在增加，而操作系统厂商并没提供比较标准的技术规范，因此反病毒产品因互不兼容，发生共存冲突等带来的问题越来越多，并间接影响了用户对反病毒产品的信任。

目前己经发现并被报道过的兼容性问题包括：

造成系统崩溃和其他严重故障：从2000年以来，根据公开报道，已经出现多起因反病毒产品之间相互冲突，而导致系统蓝屏、死锁等事件。
资源占用：反病毒扫描、监控和其他防护机制，都会带来系统资源的占用。如病毒库的内存展开对内存的资源使用，文件监控、定时扫描可能导致更多的I/O开销、以及各种保护机制对CPU时间片的占用等等。这些对用户操作有一定影响，如系统延迟、文件复制操作时间变长等等。而由于消息传递等机制，有可能在多种反病毒产品共存时，其对资源和时间的影响不是简单的线性叠加，而是出现明显的性能恶化。

失效：由于监控机制之间的冲突，多种监控机制共存时，有可能造成其中之一失效，或者部分机制双双失效的风险。上述后果，可以在兼容性测试中被复现。
相互误报：由于厂商之间互信互通机制尚不够通畅，以及少数恶意的“误报构造”攻击的存在，厂商之间出现相互误报的情况，也时常发现。由于被报警为病毒而严重地影响用户对产品的信心，因此，各厂商对被误报的问题也均比较敏感。

但需要指出的是，绝大多数情况下，反病毒产品之间的兼容性冲突问题，都是技术与协调的问题，有其工作机理上的必然性，并往往具有一定的不可避免性。相关问题多数并不是由商业竞争引发的，商业竞争也不是反病毒产品兼容冲突问题的本质。本白皮书主要介绍当前反病毒产品冲突的主因，以澄清公众误解。

下文中涉及到安天和兄弟厂商产品所使用的技术点，均用于说明反病毒产品之间兼容性冲突的必然性，不是对实现水平进行评价。

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2010-8-3 10:09

littlefritz
版主

微点帮帮团团长

积分 3505
发帖 3502
注册 2009-5-23
来自微点帮帮团

#2

好东西

※ ※ ※ 本文纯属【littlefritz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2010-8-3 16:12

mamsds
银牌会员

积分 1373
发帖 1360
注册 2008-3-15
来自乌克兰

#3

下来看看~

※ ※ ※ 本文纯属【mamsds】个人意见，与【微点交流论坛】立场无关※ ※ ※

Vi Veri Veniversum Vivus Vici.

2010-8-4 19:53

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号