反病毒产品的兼容性问题

　　除了文件监控、防火墙、浏览器防护的潜在兼容性问题之外，在多款软件共存的情况下，主动防御的兼容性问题尤为严重。主动防御主要可以分为两个方面来看待：

　　1. 自我保护

　　多款安全软件都保护自己的监控点不被修改，特别是使用了inline hook或者对系统设备、内核对象、SSDT进行了hook的产品。类似安天Atool等Rootkit检查工具曾使用过替换进程SSDT保证自己的hook不被修改，但也导致使用SSDT hook的主动防御完全失效的副作用。360安全卫士曾使用替换SSDT的技术对自己的监控点进行保护，导致与其共存的安全软件主动防御功能中关于SSDT的部分完全失效。

　　一旦发现自己的监控点被修改，则会对监控点进行修复，也就是重新hook。这就有可能导致多款安全软件反复争夺监控点，或者hook直接互相调用造成死锁，最终耗尽系统资源，导致机器死机。

　　由于自我保护的存在，病毒感染安全软件后，依然会被安全软件的自我保护所保护，其他安全软件可能无法读取其内容进行检测，或者可以检测，但是无法结束相应的进程。

　　2. 恶意行为分析

　　一款软件出于安全角度考虑，不调用被hook的原始API，则会导致其他软件在分析恶意行为时，无法检测到该行为，进而造成程序的行为序列发生改变，最终导致行为分析误报或者漏报。