查看: 4172|回复: 6
收起左侧

[讨论] 一起来研讨一下杀软组合的逻辑和方法论

[复制链接]
RTHR
发表于 2022-11-13 18:03:04 | 显示全部楼层 |阅读模式
本帖最后由 RTHR 于 2022-11-14 09:29 编辑

我个人的理解是,绝大部分杀软都分为三类功能:
  • 实时保护,也就是文件系统保护,属于执行前防护,再具体些可分为 创建修改时扫描、访问时扫描、执行时扫描,还有些杀软有单独的内存扫描。
  • 行为检测,也就是“主防”,属于执行中防护,再具体些就是HIPS、单步主防、多步主防。
  • 流量管理,包括防火墙、IDS/IPS、网页防护等。

大多数情况下这三块可以独立工作,当然也有像卡巴这样互相联动的杀软。

很多个人爱好者和商业机构同时运行多个杀软的逻辑可能包括:
  • 由于病毒库响应速度和查杀机制的问题,单一杀软无法做到很高的检测率。比如麦咖啡和趋势这种比较依赖云,但弱点可能是新威胁感知不算特别快的;再比如某些杀软的本地动态启发面对大文件+延时的免杀问题,我个人测试的样本中BD和卡巴容易出现这个问题。
  • 有些高检测率杀软的执行中防护不够强,或是缺乏优秀的多步主防。比如ESET、360这种,多步主防相对比较弱势。


而同时运行多个杀软的冲突主要来自于:
  • 实时保护同时对某类文件操作启用,导致多个杀软同时检出病毒时冲突。
  • 多个杀软的行为检测都挂同样的Windows API,导致实际只有一个杀软能发挥作用。这个现象在HIPS和防火墙上比较明显。


有一些公司的做法是办公电脑和服务器用不同的杀软,然后防火墙用另一套。比如我公司办公电脑和服务器用的是趋势,文件系统还用了另一个杀软的扫描,防火墙是铁壳和zscalar,IDS和审计系统是国产品牌。

但个人用户肯定没那么多种设备可以分别配置。

那么正常且无冲突的运行多款杀软的方法是什么?

注:这个帖子仅仅是讨论技术,并不是要大家真的运行多个杀软哈。
RTHR
 楼主| 发表于 2022-11-13 18:25:56 | 显示全部楼层
本帖最后由 RTHR 于 2022-11-14 13:15 编辑

我个人的理解是:

首先,有些杀软确实会考虑支持同时运行友商产品。

比如Bitdefender,虽然一旦检测到别的杀软就不让安装了,但我在Bidefender社区看到,当它与友商品牌运行冲突时,Bitdefender真的会去适配这种情况,比如曾经为同时运行malwarebytes调整过。
如果实在不行,Bitdefender官方的建议是关掉实时保护,再不行再关ATD主防,这样就不会有冲突了,至于防火墙和Web保护本就是可以独立运行的。

卡巴斯基其实也是,从官方论坛得知SW可以和绝大多数杀软的多步主防一起运行,虽然不保证一定没有冲突。



感觉几款头部杀软之间对Windows API的利用很有默契,不是说完全没有冲突,但确实有在有意避免独占导致的死锁和崩溃,有序保持自己的优先级。

我实测过一些国外杀软组合,比如Bitdefender、卡巴斯基、ESET、小红伞、诺顿还有Avast的各种排列组合,还没发现多开多组实时保护模块或是多开多组多步主防模块的严重冲突,总有一款杀软能发挥作用,甚至没有卡顿的情况出现。
只是当同时检测到病毒时,一般只有一个杀软会有反应。还有就是主防之间即使互相排除,还是会有一些互删文件的情况(比如BD的ATD会在卡巴清空隔离区的时候提示)

就是HIPS稍微特殊点,某些组合下会有一个的HIPS无效,或是不能确定是谁的HIPS在发挥作用。



虽说直接全开也发现太大的问题,不过还是想从原理上尽可能避免隐形冲突。
对于如何和谐地运行多个杀软,目前我试出来的通用方法是:

  • 实时保护只能开一个,或者至少不同的操作下只能有一个在监控。比如ESET负责写入和修改时检测,卡巴负责运行时检测,这样互相之间的实时保护不会冲突。
  • HIPS只开一个。或者只在一个杀软里设置HIPS规则,另一个全开放。单步主防同理。
  • 杀软之间一定要互相排除,包括实时防护和主防的排除。不然就会有当一个杀软在扫描时,另一个杀软在监控它扫描的情况了……还有就是多步主防互相干扰另一个杀软运行的情况。
  • 实时保护或主防检出威胁时,只设置一个杀软默认“清除”,而其他杀软只开“阻止运行”或“询问”,错开优先级。
  • 防火墙和网页防护之类的同理,只让一个杀软负责。


当然,如果每个杀软只负责一个点的防护的话,还要注意下杀软各模块能否很好的独立工作。



比如我测过这个组合正常无害,性能方面对跑分的影响极小(不足3%):
  • ESET开写入和修改的实时保护、高级内存检测、漏洞利用防护、开机检测。关深度行为检测(也就是ESET的多步主防)、关Internet防护和网络防护类的所有功能。
  • 卡巴斯基负责运行时的实时保护、开带有云的HIPS(当单步主防用)、开SW多步主防、开网页防护。关防火墙和反网络攻击。
  • Bitdefender开ATD多步主防(但关闭漏洞利用防护)、防火墙。关实时防护、关大部分Web防护(只留网络威胁防护)。
  • 互相之间在实时保护、HIPS、主防、防火墙等各种地方互相排除目录和进程。
  • ESET和卡巴的实时保护遇到威胁时默认阻止,要不要清除由我决定。卡巴的主防默认阻止和回滚。BD的ATD没办法设置默认操作所以会自动删除威胁,但是ATD可以排除进程,所以把大部分个人常用软件都排除了,相当于ATD只给陌生进程打分,减少占用。


这个组合是让ESET主要负责实时保护和漏洞利用防护,卡巴主要是HIPS和多步主防,BD负责新进程的多步主防和流量过滤。
核心逻辑是ESET静态启发很强,卡巴KSN反应很快且SW主防特别有效,而BD的ATD和防火墙本就可以独立工作。

对于我这个组合,一般情况下,一个病毒下载下来之后,ESET就kill了。
如果ESET漏了,卡巴通常能在运行前拦截或是被SW在运行中阻止。
而BD作为最后一道防线,防火墙还不错,而ATD即使不开实时保护也能正常工作,实测很安静,且优先级低于卡巴SW,没出现同时拦截的情况。


再次,这种组合仅供研究和娱乐,实际我一台电脑只用一款杀软



nicole
发表于 2022-11-13 20:55:54 | 显示全部楼层
感觉这个比晒无脑堆软件的那种好多了
Zy.
发表于 2022-11-13 21:38:46 | 显示全部楼层
本帖最后由 Zy. 于 2022-11-13 21:40 编辑

可以关掉杀软相同的防护组件,每个组件只开一款,同时相互排除,或者只装一个带有主防的杀软,然后装几个扫描器
我是风我是风
发表于 2022-11-14 12:59:46 | 显示全部楼层
我觉得还是不安装有重复功能的杀软好
2712711
发表于 2022-11-21 10:02:11 | 显示全部楼层
我觉得这个很难,因为软件底层逻辑你不知道是怎么样的
光阴的故事2008
发表于 2022-11-27 23:21:56 | 显示全部楼层
感觉这只是理论上的划分,软件运行是个系统工程,在实机操作上,不同的软件关闭理论上的重合点,基于不同的功能同时并存的话,也有很大可能造成干扰甚至冲突。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:16 , Processed in 0.122558 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表