Esegui più AntiVirus con Dockers

Naviga le tue risposte
0

Ho bisogno di eseguire più Antivirus nel mio sistema. Inevitabilmente non posso. Quindi, pensavo che la finestra mobile fosse una buona opzione. Ma penso che non sia possibile. Perché gli antivirus sono in modalità kernel e il kernel è condiviso tra più finestre mobili. Corretto?

Se è così, qual è la tua idea su un altro metodo? L'uso di macchine virtuali non è una buona opzione. Ad esempio, ho bisogno di 10 macchine virtuali se uso 10 Antivrus.

A cura:

Un'altra domanda: è possibile installare più AV in un sistema e disabilitare la scansione in tempo reale per evitare conflitti?

    
posta Mohammad Reza Ramezani 24.11.2017 - 19:06
fonte

2 risposte

1

Divulgazione: lavoro per i fornitori di AV.

La risposta dipende dal fatto che tu stia parlando:

  • Motore antimalware che analizza il contenuto senza eseguirlo. Questo è ciò che la gente chiama "scansione di un file" e ciò che viene utilizzato, ad esempio, da VirusTotal;
  • Motore antimalware che rileva il malware monitorando i processi in esecuzione per attività dannose (questo è spesso chiamato "analisi del comportamento").

Per il primo, ad eccezione di Symantec, che secondo quanto riferito esegue parti di motore antivurus nel kernel , non conosco nessun altro fornitore il cui motore antimalware funzioni nel kernel. Anche per Symantec era questione di scelta e non il requisito, in quanto il motore anti-malware ha lo stesso rilevamento durante l'esecuzione in userspace. Il modulo del kernel è necessario per intercettare gli eventi (come l'accesso ai file), ma il nome del file a cui si accede viene generalmente passato a userspace e scansionato lì; non ci sono requisiti per scansionarlo nel kernel.

Per il secondo, sebbene questo motore sia di solito implementato principalmente nello userspace, dipende molto dai suoi sensori implementati tramite i driver del kernel. Senza di loro il motore non rileverà nulla.

Quindi la risposta finale è:

  • Sì, è possibile installare più prodotti anti-malware sullo stesso sistema. Poiché questo scenario non è supportato dalla maggior parte dei prodotti di sicurezza, chi ti chiederebbe di disinstallare un altro prodotto, ciò richiederebbe modifiche, come l'eliminazione delle informazioni sull'installazione del prodotto in modo che i prodotti si installassero insieme.

  • Il tasso di rilevamento in questo scenario sarebbe limitato a un motore antimalware statico / dinamico e il rilevamento del runtime non sarebbe applicabile (dovrebbe essere disabilitato).

  • Poiché questa configurazione non è supportata e può essere ottenuta solo tramite tweaks, è intrinsecamente instabile e può collassare facilmente (crash / deadlock). Soprattutto quando uno dei prodotti di sicurezza riceve un aggiornamento del prodotto;

  • Eseguirli in macchine virtuali diverse è una soluzione molto migliore, poiché le risorse utilizzate dal prodotto anti-malware che esegue scansioni sarebbero piuttosto significative;

  • Perché non utilizzare invece VirusTotal?

risposta data 25.11.2017 - 08:41
fonte
0

Non è una buona idea provare a eseguire più strumenti AV attivi con qualsiasi metodo. Tuttavia, ci sono un sacco di strumenti non attivi che potresti facilmente eseguire con un programma continuo.

Se si tenta di eseguire più strumenti attivi - mentre è possibile installare ciascuno in una VM con un'unità condivisa - è probabile che si verifichino problemi di blocco dei file, si verificherebbe sicuramente un notevole impatto sulle prestazioni delle unità.

Scelgo uno strumento attivo decente e quindi periodicamente (durante i periodi di silenzio) - esegui i controlli batch.

Dovresti notare che nessuno di questi è in grado di aumentare la tua sicurezza in relazione ai problemi del giorno zero.

    
risposta data 24.11.2017 - 19:56
fonte

Leggi altre domande sui tag

problema di riempimento nella password hash sha-1 Come funziona la crittografia a chiave pubblica / privata? [duplicare]