再谈不兼容——360、金山网盾、QQ

jefffire

    关于安全软件的不兼容问题由来已久，最近看到一篇安天的兼容性报告http://www.antiy.com/cn/security/2010/Anti-virus_product_compatibility_issues_white_paper(AntiyLabs).htm  觉得十分客观，同时也从技术角度分析了不兼容的原因。     安天目前作为腾讯合作伙伴，肯定不会偏帮360。所以在此引用具有很强的代表性


摘取部分重点如下：

      反病毒产品从最开始的行命令扫描工具发展至今，已经形成了带有文件、注册表、内存等多种本地监控机制；浏览器、邮件客户端等多种保护环节；以及整合了主机防火墙、入侵检测机制、主动防御机制的综合型产品。而其核心价值早在上世纪末，就已经从最开始的静态的文件扫描检测，变成实时化的主机防护。而实时化的防护推动了反病毒产品使用更多的服务、驱动等底层技术，运行于更接近系统内核的位置，这也为反病毒产品产生相互兼容性问题打下了伏笔。
    随着操作系统的复杂化，威胁的不断离散化等影响，反病毒的监控保护点也日趋复杂，又加之反病毒厂商数量也在增加，而操作系统厂商并没提供比较标准的技术规范，因此反病毒产品因互不兼容，发生共存冲突。


防火墙的潜在兼容性问题


XP自带的IP Filter存在谁先设置谁先生效的问题。安天盾防火墙与金山防火墙某版本同时使用该方式，如果同时安装在用户的机器中，则出现谁先启动谁先生效的现象。


浏览器防护的潜在兼容性问题

    在浏览器防护软件进行行为分析的时候，由于其他浏览器防护软件的参与会对浏览器的行为造成一定影响，这些影响可能是对堆栈的影响（由于多了一层Hook，实际调用的堆栈可能会增加一层）。以某浏览器防护软件为例，其堆栈检测只会向上追溯5层，如果同时共存3个软件，那么其想要检测的那层调用，则会由原来的第5层变为第7层，原来的检测方式就失效了。    例如：360和金山网盾共存时，网马在创建进程时360进行检测。如果放行则会通过360的函数调用系统API，进而再次调用金山的进程创建检测，此时金山追溯堆栈会发现是360的模块调用，而不是js脚本解释引擎调用，予以放行。   

   即使不考虑对堆栈的影响，由于不同浏览器防火软件都进行了拦截，对浏览器的行为也就产生了影响，造成相互的行为分析干扰，无法正确分析恶意行为，进而出现漏报或者误报的现象。   


例如：金山网盾在脚本解释层根据特征检出了恶意脚本，构筑在其上层的其他防护的行为分析就无法发现该恶意脚本的行为。    再例如：360网盾会不断检测监控点是否存在，而检测的机制是基于二进制比较的，如果发现其他软件进行了HOOK，则用自己的进行替换，导致其他软件失效。


  由此可见安全软件之间的不兼容是普遍存在的，甚至
是无法避免的。因此目前安全软件（尤其是具有底层防
御模块的安全软件）之间往往采取互斥的做法。也即，
安装时提示卸载，不卸载则一般不允许继续安装。

jefffire

自己沙发

iezhaoie

原来是这样啊

jefffire

iezhaoie 发表于 2010-11-7 21:05
原来是这样啊

从报告中可以得知，两款网盾产品互相排斥，互相失效。

落叶无风

那时候还没出360网盾吧。

jefffire

落叶无风 发表于 2010-11-7 21:09
那时候还没出360网盾吧。

出了

huangxin009

楼主仅仅从技术角度分析不兼容的情况，但很多时候为了自己的私利是可以人为不兼容的

seehere

可能存在兼容性问题这是肯定的，因为其它杀毒软件也可能有这问题。但点取消和X关闭就卸载对方的360是第一人。

jefffire

huangxin009 发表于 2010-11-7 21:10
楼主仅仅从技术角度分析不兼容的情况，但很多时候为了自己的私利是可以人为不兼容的

技术不兼容，提示无可厚非。人为不兼容嘛，有所指啊。。。。

jefffire

seehere 发表于 2010-11-7 21:12
可能存在兼容性问题这是肯定的，因为其它杀毒软件也可能有这问题。但点取消和X关闭就卸载对方的360是第一人 ...

所以，360是借题发挥。