主要冲突点详细解析

　　实时监控、主动防御等技术的发展是一柄双刃剑，一方面随着监控点的增加能应对新的安全威胁，另一方面也使反病毒产品的稳定性遇到挑战，测试难度普遍加大。反病毒产品自身的稳定性压力都在呈现几何级数增长，相互之间的兼容则变得更加困难。以下从文件监控、防火墙、浏览器防护、主动防御四个主要技术点，描述导致反病毒产品自身的稳定性下降、与操作系统之间和相互之间出现严重冲突问题的成因。

　　文件监控的潜在兼容性问题

　　文件监控是反病毒厂商普遍采用的技术手段，其主要机理是对文件的创建、读取、关闭等行为进行监控触发对文件病毒检测，以阻断病毒的执行和部分相关行为。

　　文件监控的实现方式主要有以下两大类型：

　　1. API挂钩。

　　根据钩挂API的层次不同我们又可以分为 ：

　　(a) Ring3文件监控。

　　多采用inline hook的方式修改文件操作相关函数的前几个字节，跳转到自己的函数，然后对将要操作的文件和缓冲区进行检测。

　　由于实现跳转的方式有多种，所以不同软件的实现策略有所不同，很难保证多个软件共存时前一软件修改后不影响到后一个软件，而且很可能导致相关进程崩溃。