Comment les logiciels antivirus sont-ils en conflit les uns avec les autres?

59

On m'a enseigné que je ne devrais jamais installer deux logiciels antivirus (AV) ensemble, car ils entreraient en conflit. Même Windows Defender (depuis Windows 8) se désactive lorsqu'il détecte un autre logiciel audiovisuel.

Je suis curieux de savoir comment deux peuvent entrer en conflit. Le seul scénario que je puisse actuellement comprendre est celui où tous deux détectent le même virus et tentent de le mettre en quarantaine simultanément, ce qui peut donner lieu à une "bataille pour la conquête du virus". Pour moi, ce n’est certainement pas une raison convaincante de ne pas installer deux logiciels audiovisuels.


Laissez les problèmes de performance du système. Je suppose que mon Intel Kaby Lake i7 peut les gérer facilement avec la mémoire installée de 16 Go.

iBug
la source
1
Les problèmes de conflit / conflit (mentionnés par vous et dans les réponses) sont surestimés; Les systèmes d'exploitation sont conçus pour gérer / résoudre ces problèmes. J'avais l'impression que la raison était parce que les programmes anti-virus ont des bases de données qui stockent les signatures des virus connus qu'ils recherchent. Ainsi, un programme anti-virus pourrait détecter l’autre comme programme malveillant, et inversement.
sciure de bois
2
@sawdust, je comprends votre affirmation, mais il est correct de ne disposer que de plusieurs antivirus uniquement. Ils effectuent une inspection active, ce qui ne serait pas possible si l'incompatibilité était provoquée par la détection par inadvertance de la base de données de signatures de chacun.
Frank Thomas
@PeterMortensen "Analyse antivirus" semble étrange malgré les réponses. Personnellement, je préférerais "logiciel", que ce soit un nom dénombrable ou non.
iBug

Réponses:

83

Les analyseurs antivirus ordinaires peuvent coexister sans problème. C'est la protection en direct qui peut faire interférer les antivirus.

Un logiciel audiovisuel doté de fonctionnalités de protection en direct s'intègre profondément au système d'exploitation. Il corrige une partie du code du système d'exploitation de manière à pouvoir observer les programmes qui tentent de le faire et à les empêcher de le faire, si nécessaire. Les systèmes d'exploitation n'offrant pas de telles fonctionnalités prêtes à l'emploi, les AV utilisent donc des méthodes moins conventionnelles pour obtenir cet effet.

Par exemple, il peut remplacer la fonction "write file" fournie par le système d'exploitation par sa fonction personnalisée. Lorsqu'un programme tente d'écrire dans un fichier, il appelle la fonction "écrire un fichier". Mais la fonction a été corrigée par AV et la demande du programme sera redirigée vers AV. AV va l'inspecter et décider si tout va bien. Si tel est le cas, la fonction "write file" sera appelée. Sinon, il prendra les mesures appropriées pour empêcher les logiciels malveillants de causer des dommages.

Malheureusement, appliquer des correctifs au code du système d'exploitation n'est pas seulement nécessaire pour les antivirus, mais également suspect. Si vous créiez un virus, n'aimeriez-vous pas aussi pouvoir intercepter les opérations du système, par exemple pour empêcher le logiciel antivirus d'analyser les fichiers de virus?

Les antivirus ont donc des gardes qui surveillent si leurs crochets de code sont toujours en place et les réinstallent si nécessaire. À ce stade, vous devriez voir où cela se passe ...

Deux antivirus avec protection en direct peuvent commencer à vous protéger des comportements suspects l'un de l'autre. Cela peut causer des problèmes mineurs, allant de problèmes mineurs de performances à des pannes du système.

Dans certains cas, même les scanners AV sans protection en direct peuvent interférer. Comment les antivirus détectent-ils les virus? Eh bien, ils ont leurs signatures de virus, à savoir. bases de données des caractéristiques distinctives des virus connus. Et il se trouve que cette base de données peut également paraître suspecte, car elle présente des caractéristiques distinctives de virus. Ainsi, un antivirus pourrait détecter hypothétiquement les signatures d'autres antivirus en tant que code malveillant.

Il existe également des moteurs audiovisuels conçus pour coexister avec d'autres périphériques audiovisuels, par exemple Hitman Pro. ClamWin (qui est gratuit et à code source ouvert) devrait également être relativement sans problème s’il coexistait car il ne contient qu’un scanner sans protection réelle.

gronostaj
la source
41
En un sens, le logiciel antivirus lui-même est un virus. Imaginez une ville avec deux forces de police qui ne peuvent pas communiquer et ne portent pas d'uniforme. L'agent utilisant sa lampe de poche pour regarder à l'intérieur d'un immeuble, un criminel ressemble à un criminel qui confectionne l'articulation avec un agent de l'autre département.
TJL
@ComicSansMS Parfois, même UN fait plus de mal qu'un virus. Par exemple, les logiciels audiovisuels "gratuits" chinois.
iBug
30
@ iBug Laissant les mots "chinois" et "libre" dans cette partie, j'ai constaté de nombreux comportements médiocres de marques réputées (McAfee, Norton / Symantec, Panda, etc.).
Bob
1
Notez que seul l'un des deux scanneurs devrait avoir besoin de la détection en direct pour causer de graves problèmes - j'ai déjà eu un problème avec un CCleaner très persistant et un Symantec Endpoint Protection réticent qui luttait contre la suppression d'un fichier.
Sanchises
2
@Bob: et nous n'avons même pas commencé à parler de leurs vulnérabilités ...
Matteo Italia
14

Les programmes entrent en conflit lorsqu'ils tentent tous deux d'utiliser la même ressource. Lorsque plusieurs programmes tentent d'opérer sur une ressource en même temps, il existe un risque de problèmes de simultanéité . Des problèmes de simultanéité se produisent lorsqu'un processus effectue un changement sur la ressource et que l'autre programme (qui était au milieu de sa propre modification de la ressource) n'en est pas conscient et ne peut donc pas en tenir compte.

Voici quelques exemples de problèmes d'accès simultané aux manuels.

Dernier problème gagnant

Imaginez que vous utilisez un répertoire FTP pour partager un document sur lequel vous et un collègue collaborez sur un document. vous téléchargez le document, le modifiez et le publiez à nouveau, comme le fait votre collègue.

  1. Vous téléchargez le document et lancez une série de modifications qui prend 1 heure.
  2. Votre collègue télécharge le document en même temps que vous, mais ne prend qu'une demi-heure à compléter et à transférer leurs modifications.

Résultat: lorsque vous téléchargez votre document, vous écrasez ses modifications et elles sont perdues.

Données périmées

Dans le même scénario, votre collègue apporte certaines modifications dont vous avez besoin, sans vous en informer. votre copie du fichier n'a pas les modifications,

Résultat: vous écrivez vous-même les mêmes modifications dans des mots légèrement différents ou, pire encore, vous envoyez un e-mail vicieux sur sa disparition.

Cela semble être un scénario simple, mais dans les cas avancés tels que les bases de données à accès multiples si vous sélectionnez des enregistrements avec la même milliseconde, une personne les met à jour, vous pouvez rencontrer de graves problèmes.

Mauvais calcul

Un couple marié a un compte bancaire partagé et des cartes de guichet automatique. Ils ont 1000 USD dans leur compte. Dans leur vie quotidienne, ils se trouvent de part et d’autre de la ville et accèdent au guichet automatique au même moment. Ils retirent tous les deux 1000 USD. Les guichets automatiques savent tous les deux que le solde est égal à 1000; ils autorisent donc le retrait, puis écrivent à la base de données centrale que le nouveau solde est égal à 0.

Résultat: la banque est maintenant à 1000 USD et ne le sait même pas.

Dans tous ces exemples, plusieurs parties effectuaient des actions sur une ressource partagée à peu près au même moment. D'où les termes "concurrence" ou "Synchronicité".

Solutions

Il y a plusieurs façons de régler ce genre de problèmes. La première consiste à utiliser un logiciel qui arbitre entre les différentes parties accédant à la ressource. Ces programmes d’arbitrage ont deux options, en fonction de la portée et de la prévisibilité des opérations:

  • Fusionner intelligemment les opérations
  • Bloquez / verrouillez l'une des deux opérations jusqu'à la fin de la première constatée.

Il est également possible de bloquer / verrouiller, à condition que les deux programmes soient conçus pour vérifier un indicateur partagé indiquant l’état de la ressource. cela nécessite généralement un développement personnalisé.

Ta Réponse

Dans votre cas spécifique, les ressources sont les fichiers sur votre disque. Synchronicity provient d'événements comme le fichier Lecture / Écriture, qui déclenchent des analyses sur accès dans les deux programmes AV.

Windows agit en tant qu'arbitre pour résoudre les problèmes de simultanéité des systèmes de fichiers en verrouillant les fichiers lorsque les programmes les ouvrent pour des opérations spécifiques.

Cela signifie que les deux programmes se bousculent pour accéder au fichier et que celui qui y arrive en premier obtient le verrou. À un niveau bas, certains disques s'affichent lorsque les deux programmes commencent leurs propres activités d'E / S, ce qui oblige le matériel à effectuer les deux tâches séparément. d'entre eux va gagner. l'autre va tourner et attendre pour pouvoir établir son propre verrou.

Frank Thomas
la source
9
Les problèmes de simultanéité peuvent même s'aggraver si l'antivirus 1 remarque que le fichier a été consulté et qu'il l'analyse, puis à son tour, l'antivirus B voit que le fichier a été accédé. dernière numérisation, donc il scanne à nouveau, etc ... (j'ai vu cela se passer sur l'ordinateur portable de mes amis, Windows s'est figé environ 10 à 20 minutes après le démarrage, devenant plus lent avant cette
heure
4
La simultanéité est un problème plus ou moins résolu et pas vraiment un problème spécifique à l’AV. J'ai rétrogradé parce que je pense que votre réponse passe complètement à côté du problème fondamental et se concentre sur un problème qui affecterait la plupart des logiciels informatiques s'il n'était pas résolu, mais ce n'est pas parce qu'il est résolu.
gronostaj
1
@ gronostaj, si je puis me permettre, quel est selon vous le problème central? Les antivirus actifs qui réagissent à tous les événements de lecture / écriture sur le disque créent un problème de simultanéité essentiellement unique, car ils souhaitent tous deux réagir au même événement. Ce n'est pas commun parmi les autres logiciels. Pour ce qui est de la façon dont il est résolu, vous avez besoin d’élucider?
Frank Thomas
2
J'ai essayé de répondre à cela dans ma réponse . Deux véhicules audiovisuels ne rivaliseront pas pour les E / S de disque car ils tenteront de le faire en parallèle, ce qui provoquera une situation de concurrence critique. Chacun tentera de s'injecter dans le système d'exploitation. Soit la situation s’installe de manière stable lorsqu’un AV est balayé par l’autre, soit elle finit en désordre fragile, soit les AV continuent d’essayer de se dominer.
gronostaj
1
@gronostaj À la base, les deux réponses ne sont-elles pas exclusives? Pourquoi n'y a-t-il pas de problèmes de conflit de points d'ancrage dans le système d'exploitation (IE: se battre pour "écrire un fichier") ... ET ... de problèmes de concurrence? Corrigez-moi si je me trompe mais les deux semblent être des problèmes «complémentaires» qui exaspèrent l’autre (tout en ajoutant d’autres problèmes en plus - chaque AV ayant des problèmes de sécurité, des problèmes de performances, des logiciels indésirables, etc.). On dirait que c'est un combat pour condenser un gros problème en un seul problème ... et un combat pour décider qui a "le" problème.
WernerCD
3

Les deux processus d'inspection se font concurrence pour examiner les E / S du lecteur et du réseau.

Cela alourdit le processeur et ne procure aucun avantage, étant donné que la plupart des fabricants de véhicules audiovisuels partagent des signatures de manière collective. Ainsi, aucun des deux ne détectera les logiciels malveillants avant que l’autre logiciel ne soit mis à jour.

Un système audiovisuel unique, bien connu et accepté par l'industrie, protégera correctement votre système, même si vous avez des habitudes imprudentes, sujettes aux infections et aussi efficacement que l'utilisation simultanée de 10 produits audiovisuels.

123456789123456789123456789
la source