Вы используете устаревший браузер!

Страница может отображаться некорректно.

Антивирусная неправда

Антивирусная неправда

Другие выпуски этой рубрики (57)
  • добавить в избранное
    Добавить в закладки

Больше антивирусов — надежнее защита?

Прочитали: 22770 Комментариев: 108 Рейтинг: 338

15 февраля 2017

У юмориста Михаила Задорнова есть монолог, в котором Dr.Web совместно с другим антивирусом изгонял с компьютера троянцев, но в итоге преуспел без посторонней помощи. Но если без шуток: могут ли ужиться в системе несколько антивирусов?

Общеизвестно, что устанавливать два антивируса на один компьютер – чревато. Однако ряд стандартов (как отечественных, так и зарубежных) рекомендует использовать более одного антивируса в организации. Кто прав? Попробуем разобраться.

Когда антивирусы занимаются защитой компьютера, они должны использовать системные ресурсы, чтобы выполнить свои задачи. Антивирусные программы должны следить за всеми потенциальными системными зонами, которые может использовать вредоносная программа на компьютере. Продукт должен проводить тщательный анализ как при подключении USB-носителя, так и при скачивании файла из Интернета. Так называемая «Защита реального времени» выполняет постоянный мониторинг файловых операций и проверяет их на наличие вредоносной активности.

Если в системе установлен один единственный антивирус, то ему достаточно ресурсов и свободы действий для выполнения своей работы. Чем больше антивирусов добавлено в систему, тем меньше памяти доступно антивирусом для сканирования всех потенциальных точек атаки. В результате на компьютере не будет хватать памяти для выполнения других задач, что приведет к серьезным просадкам производительности.

https://www.comss.ru/page.php?id=3628

Абсолютно логично. Чем больше задач исполняется на компьютере, тем больше им требуется ресурсов. Правда, внимательные участники нашего проекта заметят, что автоматически проверять USB-носитель при подключении – плохая идея, так как очень многие вытаскивают флешки, не пользуясь функцией «Безопасное извлечение устройства», что может привести к потере содержащихся на них данных, если процесс проверки не завершен.

Предположим, вы загружаете файл из Интернета. Надежный антивирус перехватит данное действие и мгновенно запустит сканирование указанной папки, чтобы убедиться в безопасности объекта. Если на ПК установлено несколько надежных антивирусов, то все они одновременно попытаются провести проверку скачанного файла. В результате файл может оказаться заблокированным, когда один из антивирусов попытается проверить его, что приведет к заметному снижению производительности.

Если анализируемый файл окажется вредоносной программой, то это может привести к более серьезным проблемам. Оба антивируса попытаются удалить объект самостоятельно, и оба спросят пользователя добавить файл в карантин. Если вы разрешите добавление в карантин одному антивирусу и откажете другому, то второй антивирус может воспринимать изолированные файлы в карантинной зоне другого продукта как угрозу и будет постоянно выводить предупреждения об опасности.

https://www.comss.ru/page.php?id=3628

А вот это уже не совсем правда. Во-первых, если файл загружается из Интернета, то, вероятнее всего, он будет проверяться «на лету» в процессе загрузки (в случае с Dr.Web – веб-антивирусом SpIDer Gate). Но предположим, что файл не проверялся при закачке. Файловый монитор ( у Dr.Web он называется SpIDer Guard) может проверять файлы при открытии, закрытии и в параноидальном режиме — при каждой операции записи. В случае скачанного файла проверять его при закрытии нет смысла – он никому не угрожает, а проверка только отнимет ресурсы. Логичнее проверить при последующем открытии. Но предположим, что все антивирусы ринулись проверять свежезаписанный файл. Тут важно понимать, что операционная система не может совершать действия параллельно (на самом деле может, конечно, на современных многопроцессорных системах, но такие действия требуют серьезного внимания, так как одновременная обработка одних и тех же участков файла может привести к печальным результатам). Для перехвата обращений к файлам антивирусы устанавливают в систему специальные драйверы, и эти перехватчики выстраиваются в очередь. Таким образом, разумно устроенная система будет передавать проверку файла от одного антивируса другому.

Внимание! Такая система обработки файловых операций приводит к тому, что вирус может встать на очередь обработчиков первым – и его работу не заметит ни один антивирус. Поэтому Dr.Web перехватывает действия с файлами не на уровне файловой системы, а ниже – на уровне системных драйверов.

И действительно. На компьютере у автора этого выпуска одно время мирно работали три антивируса. Нервно реагировал на это только системный браузер. Поэтому повторять такой эксперимент автор не рекомендует.

Наихудший эффект использования нескольких антивирусов заключается в том, что они не доверяют друг другу. Когда антивирус выполняет свою задачу, он предполагает, что является единственной защитой в системе. Поэтому он может расценивать файлы второго антивируса как вредоносные программы. В лучшем случае вы столкнетесь с постоянными ложными срабатываниями, в худшем – они станут пытаться удалить друг друга, что может привести к нестабильной работе системы и повреждению критически важных файлов.

https://www.comss.ru/page.php?id=3628

Смешались в кучу кони, люди… С чего вдруг антивирус будет думать, что он – единственная защита? У пользователя может быть свой брандмауэр, родительский контроль, система защиты от атак, резервное копирование – и со всем этим антивирус должен конфликтовать?

Может ли один антивирус расценивать файлы другого как вредоносные программы? Здесь все куда интереснее, чем в утверждении выше. Во-первых, есть древний миф о сигнатурах, гласящий, что, поскольку антивирус распознает вирусы по сигнатурам, то они хранятся в вирусной базе, а значит, второй антивирус, проверяя базу, найдет сигнатуры и сойдет с ума от количества вирусов в одном файле. Но сигнатура – это лишь характерный кусок кода, и какой именно кусок будет взят разными производителями как характерный, не знает никто. Даже если мы предположим, что все вендоры случайно взяли одну и туже сигнатуру (теория вероятностей оправдывает и не такое), то и в этом случае ничего страшного не произойдет – сигнатуры хранятся в базе в упакованном виде. И разархивировать эту базу второй антивирус не станет – в этом нет смысла.

Но СМИ время от времени сообщают, что один антивирус начал блокировать другой. Да, такое бывает, но не чаще, чем тот же антивирус блокирует иные легальные программы – а для СМИ такие новости неинтересны. А еще бывает, что антивирус начинает уничтожать сам себя. Пальцем не показываем, у нас такого не было.

А вот то, что антивирус предупреждает пользователя об установке той или иной программы, — это факт. На самом деле ни один антивирус не может быть уверен в легитимности всех приложений, которые устанавливаются на компьютер. Поэтому срабатывание превентивной защиты на установку любой программы — это нормально. И здесь не имеет значения, что именно устанавливается — второй антивирус или иное ПО.

Но предположим, что один антивирус начнет удалять другой. Забудем о самозащите, которая просто этого не позволит. Что произойдет? Скорее всего, ничего. Антивирус — это просто программа, сложная, но программа. Никакой битвы с перестрелками из-за угла и форматированием разделов с целью зачистки местности при ее удалении не будет.

Пользователи часто используют специализированные инструменты очистки для усиления защиты компьютера. Они работают по-другому, потому что не выполняют постоянное сканирование файлов, а предназначены для чистки компьютера в случае необходимости. Могут ли подобные сканеры привести к конфликтам с активным антивирусом?

Если вы просто будете выполнять периодические сканирования системы, то проблем можно избежать.

https://www.comss.ru/page.php?id=3628

Нарушение логики. Если, скажем, Dr.Web CureIt! откроет некий файл, то штатный антивирус (согласно ранее написанному) должен обратить на это внимание и проверить его перед тем, как отдать антивирусному сканеру — «в результате файл может оказаться заблокированным, когда один из антивирусов попытается проверить его». Чего, как знают все пользователи нашей утилиты, не происходит.

При исследовании антивирусов вам может прийти мысль установить несколько антивирусов, чтобы улучшить защиту ПК. На самом деле, произойдет обратный эффект.

https://www.comss.ru/page.php?id=3628

На самом деле все ранее приведенные аргументы ничего не говорили про защиту. Они посвящены только возможным проблемам – которых вполне можно избежать, если использовать продукты, проходящие надежное тестирование их разработчиками, в том числе и на совместимость с иными решениями.

Так что же — стандарты правы и можно ставить два антивируса? И это тоже не совсем так. Идея о необходимости использования нескольких антивирусов базируется на том, что вредоносные программы поступают вендорам независимо: что не поймает один – поймает другой. Но на самом деле ситуация иная. Вирусописатели тестируют свои «произведения» перед их выпуском в дикую природу на всех антивирусах. И сколько бы вы (или ваш антивирус) вирусных баз ни использовали, в случае качественной подготовки антивирусные проверки вас не спасут. Защищаться нужно иными способами (в частности, с помощью поведенческого анализатора, но это тема отдельная).

#антивирусная_проверка #безопасность #Dr.Web_CureIt!

Антивирусная правДА! рекомендует

  • Чем больше антивирусов на компьютере, тем выше потребление ресурсов. Это логично.
  • Если антивирусы хорошо тестируются производителями, то конфликтов может и не быть. Почему «может»? Просто потому, что системы постоянной защиты не рассчитаны на работу в присутствии нескольких аналогичных продуктов. А вот Dr.Web CureIt! и Dr.Web KATANA отлично работают при наличии других антивирусов.
  • Количество антивирусов не улучшит существенно качество защиты. А вот периодическая проверка вторым антивирусом – вещь нужная. Не все антивирусы включают в свои базы знания обо всех вредоносных программах, и Dr.Web CureIt! нужен именно для избавления от того, чего не знает (или не способен знать) основной антивирус.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: