안티 바이러스 소프트웨어는 어떻게 서로 충돌합니까?

두 개의 안티 바이러스 (AV) 소프트웨어를 함께 설치하면 안된다는 것을 배웠습니다 . Windows 8부터 Windows Defender조차도 다른 AV 소프트웨어를 감지하면 자동으로 비활성화됩니다.

두 사람이 어떻게 충돌 할 수 있는지 궁금합니다. 내가 현재 알아낼 수있는 유일한 시나리오는 동일한 바이러스를 탐지하고 동시에 검역을 시도 할 때 "바이러스 정복 전투"가 발생할 수 있습니다. 나에게 이것은 분명히 두 개의 AV 소프트웨어를 설치 하지 않는 확실한 이유가 아닙니다 .

시스템 성능 문제는 물론입니다. Intel Kaby Lake i7이 설치된 16GB 메모리로 쉽게 처리 할 수 ​​있다고 가정합니다.

일반 안티 바이러스 스캐너는 문제없이 공존 할 수 있습니다. AV를 방해 할 수있는 실시간 보호 기능입니다.

실시간 보호 기능이있는 AV 소프트웨어는 운영 체제에 완벽하게 통합됩니다. 일부 OS 코드를 패치하여 프로그램이 시도하는 모든 것을 관찰하고 필요한 경우 수행하지 못하게합니다. 운영 체제는 기본적으로 이러한 기능을 제공하지 않으므로 AV는이 효과를 달성하기 위해 기존의 방법을 덜 사용합니다.

예를 들어, OS가 제공하는 "파일 쓰기"기능을 사용자 정의 기능으로 대체 할 수 있습니다. 프로그램이 파일에 쓰려고하면 "파일 쓰기"기능을 호출합니다. 그러나이 기능은 AV에 의해 패치되었으며 프로그램 요청은 대신 AV로 리디렉션됩니다. AV가이를 검사하여 정상으로 보이는지 결정합니다. 그렇다면 실제 "파일 쓰기"기능을 호출합니다. 그렇지 않으면 악성 소프트웨어의 손상을 막기 위해 적절한 조치를 취합니다.

불행하게도, OS 코드의 패치는 AV에 필요할뿐만 아니라 수상한 것입니다. 바이러스를 생성 한 경우 AV가 바이러스 파일을 검사하지 못하게하는 등의 시스템 작동을 가로 채지 않으시겠습니까?

따라서 AV에는 코드 후크가 여전히 있는지 확인하고 필요한 경우 다시 설치하는 경비원이 있습니다. 이 시점에서 이것이 어디로 가고 있는지 볼 수 있습니다.

실시간 보호 기능이있는 두 대의 AV가 서로의 의심스러운 행동으로부터 사용자를 보호 할 수 있습니다. 이로 인해 성능 저하 문제에서 시스템 충돌에 이르기까지 모든 것이 발생할 수 있습니다.

경우에 따라 실시간 보호 기능이없는 AV 스캐너도 간섭을 일으킬 수 있습니다. AV는 바이러스를 어떻게 탐지합니까? 그들은 바이러스 서명을 가지고 있습니다. 알려진 바이러스의 특징에 대한 데이터베이스 그리고 그러한 데이터베이스는 바이러스의 특징이 있기 때문에 의심스러운 것처럼 보일 수도 있습니다. 따라서 한 AV는 다른 AV의 서명을 악성 코드로 가정 할 수 있습니다.

Hitman Pro와 같은 다른 AV와 공존하도록 설계된 AV 엔진도 있습니다. ClamWin (무료 및 오픈 소스)은 공존시 라이브 보호 기능이없는 스캐너 만 포함하므로 공존시 상대적으로 문제가 없어야합니다.

프로그램이 둘 다 동일한 리소스를 사용하려고하면 충돌합니다. 여러 프로그램이 동시에 리소스에서 작동하려고하면 동시성 문제 가 발생할 위험이 있습니다. 동시성 문제는 한 프로세스가 자원에 대한 변경을 수행하고 다른 프로그램 (자원에 대한 자체 수정 중)이이를 인식하지 못하여 수용 할 수 없을 때 발생합니다.

다음은 교과서 동시성 문제의 몇 가지 예입니다.

최후의 문제

FTP 디렉토리를 사용하여 자신과 동료가 문서에서 공동 작업하는 문서를 공유한다고 가정하십시오. 동료와 마찬가지로 문서를 다운로드하여 편집 한 후 다시 게시 할 수 있습니다.

1. 문서를 다운로드하고 1 시간이 걸리는 일련의 변경을 시작합니다.
2. 동료가 문서를 다운로드하는 동시에 문서를 다운로드하지만 변경을 완료하고 다시 업로드하는 데 30 분 밖에 걸리지 않습니다.

결과 : 문서를 업로드 할 때 변경 사항을 덮어 쓰고 손실됩니다.

오래된 데이터

같은 시나리오에서 동료는 알리지 않고 필요한 부분을 변경합니다. 파일 사본에 변경 사항이 없습니다.

결과 : 약간 다른 단어로 동일한 변경 사항을 직접 작성하거나 더 나쁜 방법으로 누락 된 이메일을 발송합니다.

이것은 단순한 시나리오처럼 보이지만 다중 액세스 데이터베이스와 같은 고급 경우 누군가가 업데이트하는 것과 동일한 밀리 초에 레코드를 선택하면 심각한 문제가 발생할 수 있습니다.

잘못된 계산

결혼 한 부부는 은행 계좌와 ATM 카드를 공유합니다. 그들은 계정에 1000USD를 가지고 있습니다. 일상 생활에서 그들은 도시 맞은 편에 있으며, 동시에 ATM에 액세스합니다. 둘 다 1000USD를 인출합니다. ATM은 모두 잔액이 1000임을 알고 있으므로 출금을 허용 한 다음 새 잔액이 0 인 중앙 데이터베이스에 다시 씁니다.

결과 : 은행은 현재 1000USD를 내고 있으며 심지어 그것을 모릅니다.

이 모든 예에는 공유 리소스에 대해 또는 거의 동시에 작업을 수행하는 여러 당사자가있었습니다. 따라서 "동시성"또는 "동기 성"이라는 용어가 사용됩니다.

솔루션

이러한 종류의 문제를 처리하는 몇 가지 방법이 있습니다. 하나는 리소스에 액세스하는 여러 당사자간에 중재하는 소프트웨어를 사용하는 것입니다. 이 중재자 프로그램에는 작업 범위와 예측 가능성에 따라 두 가지 옵션이 있습니다.

• 작업을 지능적으로 병합
• 첫 번째 작업이 완료 될 때까지 두 작업 중 하나를 차단 / 잠금합니다.

두 프로그램 모두 자원 상태를 나타내는 공유 플래그를 확인하도록 설계되어 있으면 차단 / 잠금도 가능합니다. 이것은 일반적으로 사용자 정의 개발이 필요합니다.

너의 답

특정한 경우, 리소스는 디스크의 파일입니다. 동기화는 두 AV 프로그램에서 온 액세스 검색을 트리거하는 파일 읽기 / 쓰기와 같은 이벤트에서 비롯됩니다.

Windows는 특정 작업을 위해 프로그램을 열 때 파일 을 잠그면 파일 시스템 동시성 문제를 해결하는 중재자 역할을합니다 .

이것은 두 프로그램이 모두 파일에 접근하기 위해 경주하고 있다는 것을 의미합니다. 낮은 수준에서 두 프로그램 모두 자체 I / O 활동을 시작함에 따라 일부 디스크 스레 싱이 발생하여 하드웨어가 두 작업을 개별적으로 수행하지만 IO 명령을 인터리빙하여 효율성이 떨어지고 결국에는 하나만 만들게됩니다. 그들 중 이길 것입니다. 다른 하나는 회전하고 자신의 잠금을 설정할 수 있도록 기다립니다.

두 검사 프로세스는 서로 경쟁하여 드라이브 및 네트워크 I / O를 검사합니다.

대부분의 AV 제조업체가 공동으로 서명을 공유하므로 다른 사람이 업데이트하기 전에 맬웨어를 탐지하지 않기 때문에 CPU를 낭비하고 이점을 얻지 못합니다.

잘 알려진 업계에서 인정 된 단일 AV는 감염되기 쉬운 무모한 습관이 있더라도 동시에 10 개의 AV 제품을 사용하는 것처럼 효과적으로 시스템을 보호합니다.