多款杀软监控不能同时开小谈

BSCH

众所周知的一个问题，装了多款杀毒软件，不能同时把监控开开，否则必然会出事，好点的，系统缓慢，不稳定，严重的，直接蓝屏死机。

论坛里面看了一圈，都认为xxx缘故，比如，出于杀软自信缘故，凭啥兼容其它东西。这可能是一个方面，但绝对不是主要的，你可以自行尝试下非杀软，类似功能的软件组合使用情况。

我发本贴的目的，主要就是为了混精华，丫的，分太少，不给下评测样本。其次，是为了做科普。

其实论坛里，应该有很多明白人，但是不知道为啥，都不愿意谈这个，行业潜规则？？？弊帚自珍？？？鄙视那些明白人不做科普，让偶们知其然而不知其所以然，下面的也是偶的一家之言，猜测。

监控，肯定离不开驱动，现代win操作系统（xp，win2003，xp，vista，win7，win2008）已经很稳定了，ring3的程序，很少会导致系统蓝屏了。并且，这年头，很多病毒都使用了驱动，杀软的监控，为了对抗恶意软件（包含，但不局限于病毒，包含，但不局限于流氓软件），杀软的监控，防火墙，比如要做到比而以软件更底层，只有比人家更底层了，才能做很多事情。

明白的说一句，所有软件，不管任何类型的软件，什么病毒，正常软件，驱动，都是要跑在操作系统之上的，因此，如果系统内核，想针对你做东西，比如检测，删除，你啥软件，怎么绕，都没门。基于这现实情况，各个杀软的监控，防火墙，都是驱动层级别的，因为驱动更底层，更贴近系统内核。

驱动，本来是内核开发给硬件开发人员调用的接口。因为硬件很底层，因此，得在内核级别做事情，但是，微软在做内核开发的时候，显然考虑不到所有硬件的情况，比如，2002年，发布的xp，你的显卡是2010年买的，他咋可能未卜先知的会给你开发驱动程序？因此出于这种考虑，微软提供了内核的接口，以及驱动程序的开发规范，给硬件人员，让他们写出能被内核使用的驱动程序去调用硬件功能。

因此，可以说，驱动，就是内核的功能延伸，等同于给一个应用程序实现“插件”功能。

因为驱动是内核的延伸，那么，想做深层次的事情的话，如果在内核级别做，你上层显然检测不到了。因为内核有所有的权限。于是，很多非硬件驱动的“驱动”，应运而生。仅仅是扩充些系统的功能。微软看到此，也恍然大悟，觉得应该开发更多的东西，让软件商做出更多的软件，这样，使用自己操作系统的人会更多。基于此考虑，微软就开放出更多的接口，给驱动调用，这些接口，和起始开放的接口目的已经发生了改变，起始开发的接口，纯粹是为了给硬件开发人员调用的，后来开发的接口，是给软件从业人员开发的，使他们的软件，能做更强大的功能。

这方面就不举例了。

貌似跑题了。。。

杀软的监控，防火墙，非常底层，比如，要捕获你所有的文件的操作过程，状态，要捕获你所有进程的行为，要捕获网络收发的包，要补货注册表的操作，要。。。这些非常非常非常底层了。操作系统，要做这些事情很容易，但是，程序，就很困难，甚至无能为力。因此，自然就会考虑用驱动去实现，前面我说了，驱动就是对内核的功能扩充。

正常调用的驱动，还好，关键问题在于，杀软厂商，是跟病毒做对抗，病毒会用种种手段去逃逸杀软的监控。监控软件，自然也要做反对抗，这样，微软的标准调用就不行了。得深入分析内核，进行“歪门邪道”的内核功能扩充了。这是很正常的思路。使用歪门邪道的东西的话，那么问题就来了，你调用的不是微软标准提供的东西，它保证不了呀！这样，你就要保障自己程序的稳定性和兼容性了，这里的兼容性，指的是对内核的兼容，而不是跟其它杀软的兼容。这样的话，所有的安全软件，都自己去通过自己的猥琐方法，去修改内核，自然要出事了。最简单的内联hook方法，偶简单说下，如果不懂，就跳过。比如，执行一段代码，顺着执行好好的，这是原始的方式，如果你要增加功能，很好，中间给个岔道口，拐到你的功能模块那，执行完，然后继续执行原始代码，没问题，功能扩充了，这样，一个岔道口，没问题，问题是，如果岔道口多了咋办？错综复杂的情况开始出现，必然导致不稳定了。

一个极端例子，在同一个地方，开辟岔道口，你现在了A监控，A开了，没问题，然后你装B，B也在这开，显然，它不会知道你在这开了，它只会按照标准内核的方式来搞，OK，岔道口拐到B哪里了，A的岔道口呢??路还在，但没通过去的入口了。这样势必会对后面的功能代码造成不稳定。

这就是不能同时开多款监控的本质。


不知道我说的够不够直白。希望大家都能看懂，也希望大家多多顶贴，偶好混精华。

qjhyjbsey

很长，，还是看完了，，学习了

暮雨

2楼，你的头像实在是恐怖。。。

★比尔·盖帽★

我不装杀软组合，只单奔，坐下来慢慢看

白羊座

精华……没了

BSCH

没精华，打击偶发帖积极性呀
偶要求不高，混够5个精华，1000分就好

i_am_god

二楼你看完了。那来的占位第二？。。一目十行？？白羊太直接了~~

dv608

学习一下了

西风萧雨

学习了，楼主分析的蛮专业

aiyooo

精华确实没