反病毒软件会让其他进程消耗更多的CPU吗？

Question

反病毒软件会做其他的进程扫描来消耗更多的CPU吗？

我们最近转向了一个新的下一代，基于人工智能的反病毒软件。在我们运行Java进程的几个Linux服务器上，最近CPU使用率经常很高。显然，Java是CPU的最高使用者，而反病毒进程使用的不多。我非常肯定，这不是反病毒背后的更高的CPU使用率，因为这些尖峰开始几天前，甚至AV软件被安装。所以，现在，我正在说服别人这不是反病毒(相信我，没有人相信他们在顶级-c上看到的)。在我回到团队之前，我想确保当反病毒扫描其他进程打开的每一个文件时，结果CPU的使用将显示在反病毒进程而不是打开文件的进程上。这是如何在CPU使用状态下出现的吗？

服务器运行Amazon，反病毒是Crowdstrike。

Answer 1

很难确定，这取决于AV实现以及它如何拦截进程(可执行文件、内存)所使用的资源。

因为一些AVs以非常高的权限运行(可能在内核级别)，所以它们有可能拦截系统调用和库，以便在运行时将它们的扫描代码封装起来。在这种情况下，不会有单独的AV进程占用资源，系统将把资源使用情况反映到执行系统调用和引入库的进程中。

..。除非三明治代码将工作卸载到AV进程。然后我们又回到了这样的场景，就是AV占用了扫描资源。

更传统的AVs工作在擦除内存和文件系统的基础上，潜在地监视新的进程，这将使AV价格完成大部分工作，而不是工作流程。

你怎么能确切地知道它是怎么发生的呢？您需要深入研究一下，使用strace，使用perf监视内核任务，监视随时间推移的资源使用情况，包括AV和不带AV，等等。