安全软件兼容性问题探讨.docVIP

安全软件兼容性问题探讨 　　摘 要： 在木马、病毒横行网络的当代，谁都不愿意成为下一个网络黑客的受害者，安全软件成为了每一台计算机必备的软件之一。但是，安全软件的兼容性问题就像一颗定时炸弹，时刻威胁这用户数据甚至是操作系统的安全。主要针对安全软件兼容性问题出现的原因进行探讨，并提出一些现阶段容易实现的临时性解决方案，尽量避免在用户电脑上发生杀毒软件兼容性问题。 　　关键词： 安全软件；主动防御；兼容性 　　1 背景 　　病毒、木马的出现和发展促成了安全软件的诞生，安全软件伴随着病毒、木马的发展而更迭。但兼容性一直是安全软件厂商的核心困扰之一，由于安全软件使用了大量的内核技术、驱动，其一般在系统中具有一般软件所没有的高级权限，一旦出现兼容性问题，其所造成的影响，会远远严重于其他应用软件。同时安全软件为了对抗某些高级病毒的自我防护机制，也会使问题的处置变得比较复杂，不同安全软件之间冲突引发的不兼容问题要比和其他软件冲突后果更加严重。安全软件兼容性问题主要体现在两个方面：第一，安全软件自身产生的兼容性问题，主要表现在杀毒误报、主动防御过当、入侵检测抢用系统资源等等；第二，不同安全软件间的兼容性问题，主要表现在互抢资源、互报、互相限制对方功能等等，这种现象在主动防御技术普及的今天尤为突出。 　　2 安全软件自身产生的兼容性问题 　　安全软件作为系统权限的第三方应用，其兼容性问题也比一般的应用软件影响要打的多。传统安全软件一般采用通过不断增加监控点的方式来应对新的安全威胁，但随着监控点的增加，杀毒软件的稳定性遭遇了极大的挑战，对安全软件进行全面测试的难度也不断增大。因此安全软件自身的稳定性压力呈现几何级数增长，兼容则变得更加困难。 　　2.1 病毒扫描产生的兼容性问题 　　病毒扫描是安全软件提供的最基本的功能，主要是针对文件存储系统的监控。可以说从安全软件诞生之初，文件监控就一直的安全软件的核心功能之一。其主要的兼容性问题体现为误报。 　　病毒扫描的核心工作原理就是病毒特征表，无论是最早的特征码扫描，还是后来的行为特征扫描，以及现在的云扫描，都是依赖已知病毒的特征所建立的病毒特征表。如果这个病毒特征表收入的特征不当，就很可能导致正常文件的的误报。误杀的如果是重要的系统文件，则会造成系统崩溃无法正常启动。如2006年5月17日，赛门铁克（Symantec）误杀中文XP系统两个系统DLL文件，导致Windows XP系统蓝屏崩溃。 　　2.2 主动防御产生的兼容性问题 　　主动防御系统是最近十年才出现的新技术。虽然其在理论层面上已近日益成熟，但在实际应用上仍然存在不少问题。主动防御主要是监控文件的实时操作（例如文件创建、读取、关闭、调用）。 　　现在主动防御系统主要采用的ring0级的HOOK技术监控系统主要的API函数，分析系统内存中程序的各类行为，对新进入内存的程序，有的时候甚至会修改该程序需要调用的API函数入口地址，使文件先在虚拟环境中模拟运行一遍确保安全后才允许其进入真实内存中运行。但是由于不同程序实现跳转的方式多种多样，很难保证多个软件共存时前一软件修改后不影响到后一软件，而且很可能导致相关进程崩溃。其这种不兼容性很可能导致系统API无法正常工作，导致系统蓝屏。 　　2.3 入侵检测技术产生的兼容性问题 　　家庭用户级的入侵检测技术也是现在安全软件发展的方向，从早期的防火墙，到现在的浏览器保护技术。都从某一个病毒最易入侵的渠道，保护着系统的安全。 　　目前安全软件大部分使用单机防火墙技术来过滤出入数据，应对来自网络的威胁。其主要兼容性问题表现在和windows的系统防火墙间的兼容，在windows系统防火墙开启的情况下，很多单机防火墙都无法起到实际作用。 　　浏览器保护技术先在主流采用的是ring3级的API-HOOK技术，虽然ring3级的HOOK不易导致系统崩溃，但如果发生争抢同一个API的现象，那么浏览器就会无响应或者响应缓慢，严重影响用户体验。即使有的时候用户没有察觉，但是安全软件在对网页进行行为分析的时候，由于多了一层HOOK实际调用，所以系统的堆栈也会比正常增加一层，对其他软件调用浏览器堆栈会产生无法估计的影响。 　　3 不同安全软件间的兼容性问题 　　如果用户在计算机上安装两款不同公司的安全软件，不同的安全软件之间有时也会产生误报，不仅可能造成其他安全软件失效，也会严重影响用户对该款安全软件的信心。但绝大多数情况下，安全软件之间出现的兼容性冲突问题，往往是技术与协调的问题，不可避免。 　　3.1 文件监控系统的重复工作 　　这个问题从安全软件诞生之初就一直伴随着它，由于安全软件在扫描到可疑病毒文件后，为了最大程度上减少误杀重要数据的几率，往往采用在隔离区备份病毒的方式