360与小a冲突？

FOXFFF

东方未亮 发表于 2011-9-27 23:37
嗯，顺便问下，我以前的发言，您觉得有没有哪句是在胡扯的？说实话，话说多了，谁也不敢保证自己说得一 ...

那俺单奔avast的时候为啥也会出现启动项突然失效的情况....而且avast是可以取消主防组件的吧，取消了主防的安装也自然就没有冲突了，可是为啥也还是会出现这种情况了？我以前单奔过avast、搭配过金山卫士、再后来用360卫士貌似都出现过avast有时候不能启动的情况，后来把开机启动项修复后就再每出现过，可能是俺RP问题吧...然后再加上卡exe，所以俺现在用红伞了.....
  话说俺没有说你是胡扯.....

xiaoicao886

以前用小A没有出现过。

东方未亮

FOXFFF 发表于 2011-9-28 09:40
那俺单奔avast的时候为啥也会出现启动项突然失效的情况....而且avast是可以取消主防组件的吧，取消 ...

说实话，真不清楚。

我以前试用AVAST就没什么启动项突然失效的情况，包括试用过360卫士、金山卫士的时候。

在网上找了找，360的论坛有人说和360卫士一起会失效，但是真的没发现什么和金山卫士一起甚至单奔会不能启动。说实话，根本就说不通啊。

当然，如果你说的是比较老的版本，还真不好说，我没去注意过。最近的几个版本还真没听说过。

打开资源管理器的时候倒是有时候有点卡。

嗯，就讨论到这里吧。

karaandtiara

360关所有监控

z13667152750

东方未亮 发表于 2011-9-28 00:38
你可能没看懂我的意思。你考虑下，360的主防与AVAST的主防，哪个更全面立体？我觉得是360.

严格的主防 ...

主防的兼容性问题究其根本是来自与挂钩函数以及自保

目前360使用的不是主流的ssdt钩子，自保对于r0没有进行保护（因为360的思路是阻断一切不安全的进入r0的可被病毒利用的途径，所以360对加载驱动和启动项的防护非常强大。r0的自保非常容易导致兼容性问题），所以即使其主防很全面，兼容性也不会很差

那些刚出来的主防由于刚刚开始开发，即使强度不怎么样，也可能由于开发经验的缘故，导致挂钩函数时考虑不够全面



以下内容来自  《反病毒产品的兼容性问题白皮书》 --安天实验室 时间：2010年7月29日
     在多款软件共存的情况下，主动防御的兼容性问题尤为严重。主动防御主要可以分为两个方面来看待：
1. 自我保护

多款安全软件都保护自己的监控点不被修改，特别是使用了inline hook或者对系统设备、内核对象、SSDT进行了hook的产品。类似安天Atool等Rootkit检查工具曾使用过替换进程SSDT保证自己的hook不被修改，但也导致使用SSDT hook的主动防御完全失效的副作用。360安全卫士曾使用替换SSDT的技术对自己的监控点进行保护，导致与其共存的安全软件主动防御功能中关于SSDT的部分完全失效。
一旦发现自己的监控点被修改，则会对监控点进行修复，也就是重新hook。这就有可能导致多款安全软件反复争夺监控点，或者hook直接互相调用造成死锁，最终耗尽系统资源，导致机器死机。
由于自我保护的存在，病毒感染安全软件后，依然会被安全软件的自我保护所保护，其他安全软件可能无法读取其内容进行检测，或者可以检测，但是无法结束相应的进程。
2. 恶意行为分析
一款软件出于安全角度考虑，不调用被hook的原始API，则会导致其他软件在分析恶意行为时，无法检测到该行为，进而造成程序的行为序列发生改变，最终导致行为分析误报或者漏报。
由于安全软件的某些行为和恶意软件具有相似性，例如：对API进行的某些hook，在多款安全软件共存的情况下，很有可能一款安全软件被另一款报为病毒，这也是一种误报。
为了保证自身进程的行为不被重复记录或者对行为分析产生影响，安全软件可能会对特殊API的调用参数含义进行修改，增加自身需要的标识，而这些标识可能会造成后续的监控产生不可预知的行为，最糟糕的情况就是导致系统蓝屏。
对于ring3与ring0结合判断的主动防御，处于二者中间的其他安全软件对数据的修改可能会造成ring0缓冲区的溢出（例如：ring3的api挂钩通知ring0的驱动，需要26字节实际数据可能由于中间沙箱软件的路径重定向被改为27字节或者更多）或者被截断，导致系统蓝屏或者漏报。
     以上仅仅是主动防御潜在兼容性问题的一部分，由于主动防御技术本身的复杂度，在多款实用主动防御技术的安全软件共存的情况下，兼容性问题就更容易出现，也更加严重，这里说明的仅仅是一部分，不是全部。

东方未亮

z13667152750 发表于 2011-9-28 15:34
主防的兼容性问题究其根本是来自与挂钩函数以及自保

目前360使用的不是主流的ssdt钩子，自保对于r0没有 ...

说实话，我没有对360的钩子研究过。你说的大概是对的吧，360没有保护r0。不过这并不能代表软件就完全兼容了，我想这你应该知道。当然，出现蓝屏死机等明显冲突情况的概率确实会低一些。

AVAST如何，我也没研究过。不能说开发经验不够，兼容就一定不好。

说来说去，我发现也得不出什么结论来了。因为我没有什么兴趣去研究AVAST和360的钩子。

唯一的结论，还是360卫士、AVAST这2款软件之间的兼容性不好。其它结论我收回。