Bagaimana perangkat lunak antivirus saling bertentangan?

59

Saya telah diajarkan bahwa saya tidak boleh menginstal dua perangkat lunak antivirus (AV) bersama-sama, karena mereka akan konflik. Bahkan Windows Defender (karena Windows 8) menonaktifkan sendiri setelah mendeteksi perangkat lunak AV lainnya.

Saya ingin tahu bagaimana keduanya dapat bertentangan. Satu-satunya skenario yang saya dapat saat ini mencari tahu adalah ketika keduanya mendeteksi virus yang sama dan mencoba untuk mengkarantina secara bersamaan, yang dapat menghasilkan "pertempuran penaklukan virus". Bagi saya ini jelas bukan alasan yang meyakinkan untuk tidak menginstal dua perangkat lunak AV.

Apalagi masalah kinerja sistem. Saya kira Intel Kaby Lake i7 saya dapat menangani mereka dengan mudah dengan memori terpasang 16 GB.

anti-virus software-conflict iBug
sumber
1
Masalah konflik / pertikaian (disebutkan oleh Anda dan dalam jawaban) dilebih-lebihkan; OS dirancang untuk menangani / menyelesaikan masalah seperti itu. Saya mendapat kesan bahwa alasannya adalah karena program anti-virus memiliki database yang menyimpan tanda tangan dari virus yang dikenal yang mereka cari. Jadi satu program anti-virus bisa mendeteksi yang lain sebagai program jahat, dan sebaliknya.
serbuk gergaji
2
@sawdust, saya mengerti pernyataan Anda, tetapi tidak apa-apa untuk memiliki beberapa AV asalkan hanya mereka melakukan inspeksi aktif, yang tidak akan mungkin terjadi jika ketidakcocokan disebabkan oleh deteksi yang tidak sengaja dari masing-masing database tanda tangan lainnya.
Frank Thomas
@PeterMortensen "Pemindai Antivirus" terdengar aneh meskipun ada jawaban. Saya pribadi akan lebih suka "perangkat lunak" tidak peduli apakah itu kata benda yang dapat dihitung.
iBug

Jawaban:

83

Pemindai antivirus biasa dapat hidup berdampingan tanpa masalah. Ini adalah perlindungan langsung yang dapat menyebabkan AV mengganggu.

Perangkat lunak AV dengan fitur perlindungan langsung sangat mengintegrasikan dirinya ke dalam sistem operasi. Ini menambal beberapa kode OS sehingga dapat mengamati program apa pun yang berusaha dilakukan dan mencegahnya melakukannya, jika perlu. Sistem operasi tidak menyediakan kemampuan seperti itu di luar kebiasaan, sehingga AV menggunakan metode yang kurang konvensional untuk mencapai efek ini.

Misalnya, ia dapat menggantikan fungsi "tulis file" yang disediakan oleh OS dengan yang khusus. Ketika suatu program mencoba untuk menulis ke file, itu akan memanggil fungsi "tulis file". Tetapi fungsi itu ditambal oleh AV dan permintaan program akan diarahkan ke AV sebagai gantinya. AV akan memeriksanya dan memutuskan apakah terlihat OK. Jika ya, itu akan memanggil fungsi "tulis file" yang sebenarnya. Jika tidak, itu akan mengambil tindakan yang tepat untuk mencegah perangkat lunak berbahaya melakukan kerusakan apa pun.

Sayangnya, menambal kode OS tidak hanya diperlukan untuk AV, tetapi juga mencurigakan. Jika Anda membuat virus, tidakkah Anda juga ingin dapat mencegat operasi sistem, misalnya untuk mencegah AV memindai file virus?

Jadi AV memiliki penjaga yang mengawasi apakah kode mereka masih terpasang dan menginstalnya kembali jika perlu. Pada titik ini Anda harus melihat ke mana arahnya ...

Dua AV dengan perlindungan langsung dapat mulai melindungi Anda dari perilaku mencurigakan satu sama lain. Ini dapat menyebabkan apa pun mulai dari gangguan kinerja kecil hingga kerusakan sistem.

Dalam beberapa kasus, bahkan pemindai AV tanpa perlindungan langsung dapat mengganggu. Bagaimana AV mendeteksi virus? Yah, mereka memiliki tanda tangan virus mereka, yaitu. database fitur khas dari virus yang dikenal. Dan kebetulan database seperti itu juga bisa terlihat mencurigakan, karena, well, mereka memiliki fitur khas virus. Jadi satu AV dapat secara hipotetis mendeteksi tanda tangan AV lainnya sebagai kode berbahaya.

Ada juga mesin AV yang dirancang untuk hidup berdampingan dengan AV lain, misalnya Hitman Pro. ClamWin (yang gratis dan open-source) juga harus relatif bebas masalah ketika hidup berdampingan karena hanya berisi pemindai tanpa perlindungan langsung.

gronostaj
sumber
41
Dalam arti tertentu, perangkat lunak antivirus itu sendiri adalah virus. Bayangkan sebuah kota dengan dua pasukan polisi yang tidak bisa berkomunikasi dan tidak mengenakan seragam. Petugas yang menggunakan lampu senternya untuk melihat ke dalam sebuah gedung karena seorang penjahat terlihat seperti penjahat yang menyelipkan sendi ke seorang petugas dari departemen lain.
TJL
@ComicSansMS Terkadang bahkan SATU pun lebih berbahaya daripada virus. Misalnya perangkat lunak AV "bebas" Cina.
iBug
30
@ iBug Meninggalkan "Cina" dan "bebas" dari ini, saya telah melihat banyak perilaku buruk dari merek terkenal (McAfee, Norton / Symantec, Panda, dll.).
Bob
1
Perhatikan bahwa hanya satu dari dua pemindai yang harus memerlukan deteksi langsung untuk menyebabkan masalah parah - Saya pernah memiliki masalah dengan CCleaner yang sangat gigih dan Symantec Endpoint Protection yang enggan melawannya karena menghapus file.
Sanchises
2
@ Bob: dan kami bahkan tidak mulai berbicara tentang kerentanan mereka ...
Matteo Italia
14

Program bertentangan ketika keduanya berusaha menggunakan sumber daya yang sama. Ketika beberapa program mencoba untuk beroperasi pada sumber daya pada saat yang sama, ada risiko Masalah Konkurensi . Masalah concurrency terjadi ketika satu proses melakukan perubahan pada sumber daya, dan program lain (yang di tengah modifikasi sendiri ke sumber daya) tidak menyadarinya, dan dengan demikian tidak dapat mengakomodasi.

Berikut adalah beberapa contoh masalah konkurensi buku teks.

Masalah Terakhir Menang

Bayangkan Anda menggunakan direktori FTP untuk membagikan dokumen tempat Anda dan rekan kerja berkolaborasi dalam suatu dokumen. Anda mengunduh dokumen, mengeditnya, dan mempostingnya lagi, seperti halnya rekan Anda.

  1. Anda mengunduh dokumen, dan memulai serangkaian perubahan yang membutuhkan waktu 1 jam.
  2. Rekan Anda mengunduh dokumen pada saat yang sama dengan yang Anda lakukan, tetapi hanya membutuhkan waktu setengah jam untuk menyelesaikan dan memuat ulang perubahan mereka.

Hasil: saat Anda mengunggah dokumen, Anda menimpa perubahannya dan hilang.

Data Basi

Dalam skenario yang sama, kolega Anda membuat beberapa perubahan yang Anda butuhkan, tanpa memberi tahu Anda. salinan file Anda tidak memiliki perubahan,

Hasil: Anda sendiri yang menulis perubahan yang sama dengan kata-kata yang sedikit berbeda, atau lebih buruk, mematikan email yang buruk tentang bagaimana itu hilang.

Ini kelihatannya seperti skenario sederhana, tetapi dalam kasus-kasus lanjutan seperti database multi-akses jika Anda memilih catatan pada milidetik yang sama saat seseorang memperbaruinya, Anda dapat mengalami masalah serius.

Perhitungan buruk

Pasangan yang sudah menikah memiliki rekening bank bersama dan kartu ATM. Mereka memiliki 1000USD di akun mereka. Dalam kehidupan sehari-hari mereka, mereka berada di sisi yang berlawanan dari kota, dan keduanya mengakses ATM secara bersamaan. Mereka berdua menarik 1000USD. ATM sama-sama tahu bahwa saldo adalah 1000, sehingga mereka memungkinkan penarikan, dan kemudian menulis kembali ke database pusat bahwa saldo baru adalah 0.

Hasil: bank sekarang keluar 1000USD, dan bahkan tidak mengetahuinya.

Dalam semua contoh ini ada beberapa pihak yang melakukan tindakan pada sumber daya bersama pada atau pada waktu yang bersamaan. Karenanya istilah "konkurensi" atau "Sinkronisasi".

Solusi

Ada beberapa cara untuk menangani masalah seperti ini. Salah satunya adalah menggunakan perangkat lunak yang melakukan arbitrase antara banyak pihak yang mengakses sumber daya. Program arbiter ini memiliki dua opsi, tergantung pada ruang lingkup dan prediktabilitas operasi:

  • Gabungkan operasi dengan cerdas
  • Blokir / kunci salah satu dari dua operasi hingga yang diketahui selesai.

Juga dimungkinkan untuk memblokir / mengunci, asalkan kedua program dirancang untuk memeriksa bendera bersama yang menunjukkan keadaan sumber daya. ini biasanya membutuhkan pengembangan kustom.

Jawabanmu

Dalam kasus spesifik Anda, Sumber daya adalah file pada disk Anda. Sinkronisasi berasal dari acara seperti file Baca / Tulis, yang memicu pemindaian saat akses di kedua program AV.

Windows bertindak sebagai penengah untuk menyelesaikan masalah konkurensi sistem file dengan mengunci file ketika program membukanya untuk operasi tertentu.

Ini berarti bahwa kedua program berlomba untuk mengakses file, dan siapa pun yang sampai di sana terlebih dahulu mendapatkan kunci. Pada level yang rendah, ini menghasilkan beberapa penumpukan disk karena kedua program memulai aktivitas I / O mereka sendiri, memaksa perangkat keras untuk melakukan kedua tugas secara terpisah, namun menyisipkan instruksi IO, membuat keduanya jauh lebih efisien, dan pada akhirnya, hanya satu dari mereka akan menang. yang lain akan berputar dan menunggu untuk dapat membuat kunci sendiri.

Frank Thomas
sumber
9
Masalah konkurensi bahkan dapat menjadi lebih buruk jika antivirus 1 memperhatikan bahwa file telah diakses, dan memindainya, kemudian antivirus B melihat bahwa file tersebut telah diakses, sehingga memindai, kemudian antivirus A memperhatikan bahwa file tersebut telah diakses setelah pemindaian terakhir, jadi memindai lagi, dll ... (Saya melihat ini terjadi pada laptop teman saya, Windows membeku setelah sekitar 10-20 menit setelah startup, menjadi lebih lambat sebelum batas waktu itu)
Ferrybig
4
Concurrency adalah masalah yang lebih atau kurang terselesaikan dan tidak benar-benar masalah khusus-AV. Saya downvoted karena saya pikir jawaban Anda benar-benar merindukan masalah inti dan berfokus pada masalah yang akan mempengaruhi sebagian besar perangkat lunak komputer jika tidak terpecahkan, tetapi tidak karena dipecahkan.
gronostaj
1
@ gronostaj, jika saya boleh bertanya, menurut Anda apa inti masalahnya? AV aktif yang bereaksi terhadap semua peristiwa baca / tulis pada disk membuat masalah konkurensi yang sebagian besar unik karena keduanya ingin bereaksi terhadap peristiwa yang sama. Ini tidak umum di antara perangkat lunak lain. Adapun cara penyelesaiannya, peduli untuk menjelaskan?
Frank Thomas
2
Saya sudah mencoba mengatasinya dalam jawaban saya . Dua AV tidak akan bersaing untuk disk I / O dalam arti bahwa mereka mencobanya secara paralel menyebabkan kondisi balapan. Masing-masing akan berusaha untuk menyuntikkan dirinya ke dalam OS. Situasi mana pun akan stabil secara stabil ketika satu AV dipindai oleh yang lain, atau akan berakhir dalam kekacauan yang rapuh, atau AV akan terus berusaha saling mendominasi.
gronostaj
1
@ gronostaj Pada intinya, bukankah kedua jawaban itu tidak eksklusif? Mengapa tidak ada masalah dengan pertengkaran OS (IE: berjuang untuk "menulis file") ... DAN ... masalah dengan konkurensi? Perbaiki saya jika saya salah tetapi keduanya tampak seperti masalah "pelengkap" yang sama-sama menjengkelkan yang lain (sambil menambahkan masalah lain di atasnya - masing-masing AV memiliki kesalahan keamanan, masalah kinerja, bloatware, dll). Sepertinya ini adalah pertarungan untuk memadatkan masalah besar menjadi satu masalah ... dan pertarungan untuk memutuskan siapa yang memiliki masalah "itu".
WernerCD
3

Kedua proses inspeksi saling bersaing untuk menguji drive dan I / O jaringan.

Ini merusak CPU dan tidak ada keuntungan yang diperoleh karena sebagian besar produsen AV secara kolektif berbagi tanda tangan sehingga tidak ada yang akan mendeteksi malware sebelum yang lain diperbarui untuk melakukannya.

AV tunggal, terkenal dan diterima industri akan menjaga sistem Anda secara memadai bahkan jika Anda memiliki kebiasaan sembrono yang rentan terhadap infeksi dan sama efektifnya dengan secara bersamaan menggunakan 10 produk AV.

123456789123456789123456789
sumber