Windows三方杀毒防护软件中可能存在的问题和使用建议

安全
在处理 ECS Windows相关案例中,我们遇到很多奇怪的操作系统问题,例如软件安装失败,无法激活操作系统,无法访问本地磁盘,网络访问受到影响,系统蓝屏,系统Hang等,排查发现这与客户安装的各类杀毒防护软件(360, Symantec, 服务器安全狗等)有关。一般而言,杀毒软件在正常情况下会保护系统不受病毒、木马的攻击影响,但是在某些特殊情况下,可能会因为兼容性问题,导致Windows操作系统出现上述提到的异常的行为。

在处理 ECS Windows相关案例中,我们遇到很多奇怪的操作系统问题,例如软件安装失败,无法激活操作系统,无法访问本地磁盘,网络访问受到影响,系统蓝屏,系统Hang等,排查发现这与客户安装的各类杀毒防护软件(360, Symantec, 服务器安全狗等)有关。一般而言,杀毒软件在正常情况下会保护系统不受病毒、木马的攻击影响,但是在某些特殊情况下,可能会因为兼容性问题,导致Windows操作系统出现上述提到的异常的行为。

杀毒软件原理

杀毒软件的工作原理是在通过Windows内核驱动(Filter Driver)处理IRP请求来进行磁盘,网络,应用程序的监控工作。

影响软件安装,激活,访问本地磁盘文件 影响网络访问禁用杀毒软件是否能消除其影响?

客户经常会尝试在杀毒软件的管理控制台禁用防护功能,但是该操作未必能消除其影响,实际上杀毒软件的内核驱动仍然在运行,可能仍然会影响操作系统行为。只有完全卸载杀毒软件或者禁用对应的内核驱动才能排除杀毒软件的影响。

如何检查杀毒软件的内核驱动

我们可以通过Windows自带工具设备管理器或者msinfo32.exe检查正在运行的内核驱动,如果发现三方杀毒软件的驱动还在运行,说明其仍然在影响操作系统行为。

Windows Server 2008 R2

打开设备管理器,点击查看->显示隐藏的设备,检查”非即插即用驱动程序”,查看载入的驱动程序

Windows Server 2012

开始->运行->Msinfo32.exe -> 系统摘要-> 软件环境->系统驱动程序。 检查运行的驱动中是否有三方杀毒软件的驱动。

NAVENG以及NAVEX15是Symantec的内核驱动

排查方法

对于怀疑杀毒软件影响导致问题出现的案例, 如果有安装杀毒软件,请采用如下方案来避免杀毒软件的影响。

卸载杀毒软件,确认杀毒软件内核驱动已经卸载,观察问题是否再次发生。 使用msconfig进入安全模式,一般安全模式下不会载入三方杀毒软件内核驱动,检查在安全模式下是否有相同问题。 使用Clean Boot,避免载入三方杀毒软件驱动测试

如果确认问题是三方杀毒软件引起,您可以联系软件厂商,下载最新版本的杀毒软件来排除兼容性问题。

示例案例

如下给出2个杀毒软件导致问题的示例案例。

案例1 安装.net失败

问题描述

.net framework 4.0安装不了,装到一半的时候自动回滚,提示安装失败。

检查系统程序,应用日志,发现如下报错:

产品: Microsoft .NET Framework 4 Client Profile — 错误 1406。无法将值 RequiredPrivileges 写入注册表项 \SYSTEM\CurrentControlSet\Services\clr_optimization_v4.0.30319_32。系统错误 。请确认您有足够的权限访问该注册表项,或者与您的技术支持人员联系。

问题排查

由于提示权限访问失败,因此尝试使用process monitor检查是否有access denied错误出现,没有发现提示访问失败。一般而言,如果访问文件,注册表出现权限失败,会在process monitor查看到类似access denied的提示。 打开注册表,尝试手工定位到HKLM\SYSTEM\CurrentControlSet\Services\,手工创建测试项test失败,检查另外一台Windows 2008 R2对比测试可以成功创建。

解决方案

根据上述测试和日志分析,我们怀疑访问注册表的过程中,在内核层面被拒绝,怀疑杀毒软件影响。检查发现服务器安全狗,卸载后问题解决,可以正常安装。

案例2 Windows系统激活失败

问题描述

Windows系统激活失败

问题排查

运行激活命令:slmgr-ato,提示错误无法找到产品。 通过微软官方网站的建议,需要删除sppsvc临时数据尝试重新激活slmgr -rilc,提示Windows错误“0xc0000022”(Access Denied).

尝试使用process monitor抓取日志,同样没有找到Access Denied的错误,怀疑三方杀毒软件。 建议客户卸载360杀毒软件后问题解决。

责任编辑:未丽燕 来源: 论坛
相关推荐

2018-05-28 09:22:57

微软软件Windows

2011-10-08 14:37:59

漏洞

2022-01-17 07:50:39

Windows 11小部件微软

2018-03-12 12:38:30

混合云私有云云计算

2023-10-27 09:03:20

NginxWeb服务器

2023-03-22 09:09:21

鸿蒙Speexdsp

2023-09-05 15:34:22

三方包鸿蒙

2021-05-15 08:19:12

Windows10操作系统微软

2014-07-31 09:12:16

2009-01-14 12:45:05

MSNIM苹果

2021-07-28 06:46:25

Windows 操作系统微软

2013-11-25 13:41:48

2009-11-25 17:19:58

桌面软件Chrome第三方扩展

2022-11-21 16:15:41

ArkUI鸿蒙

2011-11-22 08:59:30

虚拟化虚拟桌面windows虚拟桌面

2010-05-25 11:09:31

SVN工具

2014-07-22 10:56:45

Android Stu第三方类库

2021-07-28 14:32:03

Windows微软

2014-04-08 15:16:00

2015-11-05 16:44:37

第三方登陆android源码
点赞
收藏

51CTO技术栈公众号