Больше антивирусов — надежнее защита?
15 февраля 2017
У юмориста Михаила Задорнова есть монолог, в котором Dr.Web совместно с другим антивирусом изгонял с компьютера троянцев, но в итоге преуспел без посторонней помощи. Но если без шуток: могут ли ужиться в системе несколько антивирусов?
Общеизвестно, что устанавливать два антивируса на один компьютер – чревато. Однако ряд стандартов (как отечественных, так и зарубежных) рекомендует использовать более одного антивируса в организации. Кто прав? Попробуем разобраться.
Когда антивирусы занимаются защитой компьютера, они должны использовать системные ресурсы, чтобы выполнить свои задачи. Антивирусные программы должны следить за всеми потенциальными системными зонами, которые может использовать вредоносная программа на компьютере. Продукт должен проводить тщательный анализ как при подключении USB-носителя, так и при скачивании файла из Интернета. Так называемая «Защита реального времени» выполняет постоянный мониторинг файловых операций и проверяет их на наличие вредоносной активности.
Если в системе установлен один единственный антивирус, то ему достаточно ресурсов и свободы действий для выполнения своей работы. Чем больше антивирусов добавлено в систему, тем меньше памяти доступно антивирусом для сканирования всех потенциальных точек атаки. В результате на компьютере не будет хватать памяти для выполнения других задач, что приведет к серьезным просадкам производительности.
Абсолютно логично. Чем больше задач исполняется на компьютере, тем больше им требуется ресурсов. Правда, внимательные участники нашего проекта заметят, что автоматически проверять USB-носитель при подключении – плохая идея, так как очень многие вытаскивают флешки, не пользуясь функцией «Безопасное извлечение устройства», что может привести к потере содержащихся на них данных, если процесс проверки не завершен.
Предположим, вы загружаете файл из Интернета. Надежный антивирус перехватит данное действие и мгновенно запустит сканирование указанной папки, чтобы убедиться в безопасности объекта. Если на ПК установлено несколько надежных антивирусов, то все они одновременно попытаются провести проверку скачанного файла. В результате файл может оказаться заблокированным, когда один из антивирусов попытается проверить его, что приведет к заметному снижению производительности.
Если анализируемый файл окажется вредоносной программой, то это может привести к более серьезным проблемам. Оба антивируса попытаются удалить объект самостоятельно, и оба спросят пользователя добавить файл в карантин. Если вы разрешите добавление в карантин одному антивирусу и откажете другому, то второй антивирус может воспринимать изолированные файлы в карантинной зоне другого продукта как угрозу и будет постоянно выводить предупреждения об опасности.
А вот это уже не совсем правда. Во-первых, если файл загружается из Интернета, то, вероятнее всего, он будет проверяться «на лету» в процессе загрузки (в случае с Dr.Web – веб-антивирусом SpIDer Gate). Но предположим, что файл не проверялся при закачке. Файловый монитор ( у Dr.Web он называется SpIDer Guard) может проверять файлы при открытии, закрытии и в параноидальном режиме — при каждой операции записи. В случае скачанного файла проверять его при закрытии нет смысла – он никому не угрожает, а проверка только отнимет ресурсы. Логичнее проверить при последующем открытии. Но предположим, что все антивирусы ринулись проверять свежезаписанный файл. Тут важно понимать, что операционная система не может совершать действия параллельно (на самом деле может, конечно, на современных многопроцессорных системах, но такие действия требуют серьезного внимания, так как одновременная обработка одних и тех же участков файла может привести к печальным результатам). Для перехвата обращений к файлам антивирусы устанавливают в систему специальные драйверы, и эти перехватчики выстраиваются в очередь. Таким образом, разумно устроенная система будет передавать проверку файла от одного антивируса другому.
Внимание! Такая система обработки файловых операций приводит к тому, что вирус может встать на очередь обработчиков первым – и его работу не заметит ни один антивирус. Поэтому Dr.Web перехватывает действия с файлами не на уровне файловой системы, а ниже – на уровне системных драйверов.
И действительно. На компьютере у автора этого выпуска одно время мирно работали три антивируса. Нервно реагировал на это только системный браузер. Поэтому повторять такой эксперимент автор не рекомендует.
Наихудший эффект использования нескольких антивирусов заключается в том, что они не доверяют друг другу. Когда антивирус выполняет свою задачу, он предполагает, что является единственной защитой в системе. Поэтому он может расценивать файлы второго антивируса как вредоносные программы. В лучшем случае вы столкнетесь с постоянными ложными срабатываниями, в худшем – они станут пытаться удалить друг друга, что может привести к нестабильной работе системы и повреждению критически важных файлов.
Смешались в кучу кони, люди… С чего вдруг антивирус будет думать, что он – единственная защита? У пользователя может быть свой брандмауэр, родительский контроль, система защиты от атак, резервное копирование – и со всем этим антивирус должен конфликтовать?
Может ли один антивирус расценивать файлы другого как вредоносные программы? Здесь все куда интереснее, чем в утверждении выше. Во-первых, есть древний миф о сигнатурах, гласящий, что, поскольку антивирус распознает вирусы по сигнатурам, то они хранятся в вирусной базе, а значит, второй антивирус, проверяя базу, найдет сигнатуры и сойдет с ума от количества вирусов в одном файле. Но сигнатура – это лишь характерный кусок кода, и какой именно кусок будет взят разными производителями как характерный, не знает никто. Даже если мы предположим, что все вендоры случайно взяли одну и туже сигнатуру (теория вероятностей оправдывает и не такое), то и в этом случае ничего страшного не произойдет – сигнатуры хранятся в базе в упакованном виде. И разархивировать эту базу второй антивирус не станет – в этом нет смысла.
Но СМИ время от времени сообщают, что один антивирус начал блокировать другой. Да, такое бывает, но не чаще, чем тот же антивирус блокирует иные легальные программы – а для СМИ такие новости неинтересны. А еще бывает, что антивирус начинает уничтожать сам себя. Пальцем не показываем, у нас такого не было.
А вот то, что антивирус предупреждает пользователя об установке той или иной программы, — это факт. На самом деле ни один антивирус не может быть уверен в легитимности всех приложений, которые устанавливаются на компьютер. Поэтому срабатывание превентивной защиты на установку любой программы — это нормально. И здесь не имеет значения, что именно устанавливается — второй антивирус или иное ПО.
Но предположим, что один антивирус начнет удалять другой. Забудем о самозащите, которая просто этого не позволит. Что произойдет? Скорее всего, ничего. Антивирус — это просто программа, сложная, но программа. Никакой битвы с перестрелками из-за угла и форматированием разделов с целью зачистки местности при ее удалении не будет.
Пользователи часто используют специализированные инструменты очистки для усиления защиты компьютера. Они работают по-другому, потому что не выполняют постоянное сканирование файлов, а предназначены для чистки компьютера в случае необходимости. Могут ли подобные сканеры привести к конфликтам с активным антивирусом?
Если вы просто будете выполнять периодические сканирования системы, то проблем можно избежать.
Нарушение логики. Если, скажем, Dr.Web CureIt! откроет некий файл, то штатный антивирус (согласно ранее написанному) должен обратить на это внимание и проверить его перед тем, как отдать антивирусному сканеру — «в результате файл может оказаться заблокированным, когда один из антивирусов попытается проверить его». Чего, как знают все пользователи нашей утилиты, не происходит.
При исследовании антивирусов вам может прийти мысль установить несколько антивирусов, чтобы улучшить защиту ПК. На самом деле, произойдет обратный эффект.
На самом деле все ранее приведенные аргументы ничего не говорили про защиту. Они посвящены только возможным проблемам – которых вполне можно избежать, если использовать продукты, проходящие надежное тестирование их разработчиками, в том числе и на совместимость с иными решениями.
Так что же — стандарты правы и можно ставить два антивируса? И это тоже не совсем так. Идея о необходимости использования нескольких антивирусов базируется на том, что вредоносные программы поступают вендорам независимо: что не поймает один – поймает другой. Но на самом деле ситуация иная. Вирусописатели тестируют свои «произведения» перед их выпуском в дикую природу на всех антивирусах. И сколько бы вы (или ваш антивирус) вирусных баз ни использовали, в случае качественной подготовки антивирусные проверки вас не спасут. Защищаться нужно иными способами (в частности, с помощью поведенческого анализатора, но это тема отдельная).
#антивирусная_проверка #безопасность #Dr.Web_CureIt!Антивирусная правДА! рекомендует
- Чем больше антивирусов на компьютере, тем выше потребление ресурсов. Это логично.
- Если антивирусы хорошо тестируются производителями, то конфликтов может и не быть. Почему «может»? Просто потому, что системы постоянной защиты не рассчитаны на работу в присутствии нескольких аналогичных продуктов. А вот Dr.Web CureIt! и Dr.Web KATANA отлично работают при наличии других антивирусов.
- Количество антивирусов не улучшит существенно качество защиты. А вот периодическая проверка вторым антивирусом – вещь нужная. Не все антивирусы включают в свои базы знания обо всех вредоносных программах, и Dr.Web CureIt! нужен именно для избавления от того, чего не знает (или не способен знать) основной антивирус.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
18:57:39 2020-03-19
tataku
18:11:13 2019-03-18
Umka
22:42:42 2018-11-20
Денисенко Павел Андреевич
21:50:12 2018-08-04
vasvet
20:34:33 2018-04-20
alex-diesel
10:30:24 2018-04-03
Toma
19:15:55 2017-12-11
ADR63R
12:34:53 2017-12-01
amethystium
12:50:51 2017-07-13
ka_s
08:51:50 2017-05-09
Дмитpий
00:05:54 2017-03-11
Вячeслaв
14:27:54 2017-03-09
Дмитpий
19:19:38 2017-03-08
faqmatrix
15:44:53 2017-02-27
dima.selin
09:14:28 2017-02-21
a13x
09:27:05 2017-02-19
А Katana - это гром просто среди ясного неба :)
Anfre
05:59:34 2017-02-19
Nikogo_net_zdes
22:14:31 2017-02-16
eaglebuk
16:48:38 2017-02-16
Беломойкин
15:26:25 2017-02-16
Я собственно, эту историю написал к тому, чтобы люди задумались о том, что ставить несколько разных антивирусов с примерно одинаковым функционалом - нет никакого смысла. Лучше ОДИН, но МУЛЬТИФУНКЦИОНАЛЬНЫЙ. Как ваш DW SS 10.
С уважением...
Okcana
15:10:14 2017-02-16
Вячeслaв
10:44:59 2017-02-16
Вячeслaв
10:36:40 2017-02-16
Но поскольку число нормальных антивирусов не так велико, то протестировать на всех них вирусописателям не сложно, а значит в момент проникновения такая защита не спасет.
Есть еще антивирусы, которые говорят о том, что они используют несколько антивирусных ядер. Как правило это обман, так как одновременно все равно работает одно ядро
Вячeслaв
10:31:15 2017-02-16
Вячeслaв
10:28:23 2017-02-16
Неуёмный Обыватель
10:23:01 2017-02-16
Вячeслaв
10:20:14 2017-02-16
Вячeслaв
10:14:10 2017-02-16
Вячeслaв
10:10:04 2017-02-16
AntonIT
09:34:16 2017-02-16
Неуёмный Обыватель
00:07:01 2017-02-16
razgen
23:58:40 2017-02-15
solec
23:49:04 2017-02-15
vaki
23:25:06 2017-02-15
О чём тогда вобще разговор!
Б...а
23:14:47 2017-02-15
aleks_ku
23:13:45 2017-02-15
Luger
23:10:39 2017-02-15
olgaef
23:04:46 2017-02-15
krasserr
23:00:35 2017-02-15
vla_va
22:53:25 2017-02-15
В...а
22:27:38 2017-02-15
anto-s
22:27:34 2017-02-15
Р...й
22:13:22 2017-02-15
ek
22:09:32 2017-02-15
KostyaSNCS
21:53:16 2017-02-15
orw_mikle
21:49:36 2017-02-15
НинаК
21:41:52 2017-02-15
Voin sveta
21:41:25 2017-02-15
ИТОГ: Лучший антивирус - у вас в голове!
samox
21:31:07 2017-02-15
tosya
21:23:35 2017-02-15