Дом Отзывы Как мы тестируем блокировку вредоносных программ

Как мы тестируем блокировку вредоносных программ

Видео: Dame Tu cosita ñ (Ноябрь 2024)

Видео: Dame Tu cosita ñ (Ноябрь 2024)
Anonim

Каждый антивирусный продукт и пакет безопасности должны предотвращать атаки вирусов и других вредоносных программ. Я бросаю вызов таким продуктам, сознательно пытаясь заразить защищенную тестовую систему, используя известные образцы вредоносных программ. Затем я рассчитываю оценку блокировки вредоносных программ на основе того, насколько успешно продукт обнаружил и предотвратил эти атаки. Я также проверяю способность антивируса предотвращать заражение, блокируя URL-адреса вредоносных программ.

Блокировка вредоносных URL-адресов

Почти все современные вредоносные программы попадают в вашу систему из Интернета. Многие антивирусные продукты предотвращают заражение, блокируя весь доступ к URL-адресам вредоносных программ. Другие проверяют файлы во время или сразу после загрузки. В прошлом году я представил тест, специально предназначенный для измерения того, насколько хорошо продукт обрабатывает блокировку вредоносных URL-адресов.

Я начну с подачи совершенно новых вредоносных URL-адресов, предоставленных MRG-Effitas. Они обрабатывают много тысяч URL-адресов каждый день; как правило, те, которые я использую, не старше четырех часов. Я фильтрую список, чтобы специально захватывать URL-адреса, указывающие на исполняемый файл.

Процесс тестирования довольно прост. Используя простую утилиту, которую я сам кодировал, я запускаю URL в Internet Explorer с отключенной собственной безопасностью IE. Для каждого URL есть три возможных результата. Программное обеспечение безопасности может блокировать любой доступ к URL, оно может уничтожить файл во время или сразу после загрузки, или оно может ничего не делать. Я сообщаю общий процент заблокированных, будь то на уровне URL или во время загрузки.

Я проводил этот тест с ноября 2013 года; У меня нет данных для продуктов, проверенных до этой даты.

Умышленная атака вредоносных программ

Мои образцы вредоносных программ со временем меняются, но в коллекцию, как правило, входят рекламное ПО, шпионское ПО, вирусы, черви, программы-шпионы (мошеннические программы безопасности), руткиты и трояны.

Я устанавливаю продукт в чистой тестовой системе и запускаю обновление вручную, чтобы убедиться, что оно содержит самые последние определения вирусов. Затем я просто открываю папку, содержащую коллекцию образцов, и отмечаю, как продукт реагирует. Во многих случаях минимальный доступ, который появляется, когда проводник Windows отображает имя файла, достаточен для запуска защиты в режиме реального времени. Я также нажимаю один раз на каждый файл, так как защита в реальном времени в некоторых продуктах срабатывает только после щелчка.

счет

Естественно, продукт получает десять баллов за каждую угрозу, которую он устраняет на месте. Продолжая тестирование, я запускаю любые образцы, которые пережили первоначальный отбор, и отмечаю, как продукт реагирует. Обычно я запускаю три или четыре из них, а затем запускаю собственные проприетарные инструменты анализа, чтобы определить, удалось ли угрозам разместить какие-либо файлы в тестовой системе.

  • Как избежать Scareware Как избежать Scareware
  • Вирусы, шпионское и вредоносное ПО: в чем разница? Вирусы, шпионское и вредоносное ПО: в чем разница?

Если угроза не привела к выполнению каких-либо исполняемых файлов и установила от нуля до 20 процентов своего неисполняемого файла, а мусор реестра, я присуждаю десять баллов, так же, как если бы антивирус уничтожил их на месте. Антивирус, позволивший угрозе поместить в тестовую систему от 20 до 80 процентов своего мусора, по-прежнему получает девять баллов. Это падает до восьми баллов, если 80% или больше мусора попало в тестовую систему.

Как только антивирус обнаружил угрозу при попытке установки, он действительно должен предотвратить размещение любых исполняемых файлов. Если исполняемый файл проходит, я предлагаю пять баллов или половину кредита. Если, несмотря на все усилия антивируса, вредоносный компонент запускается, это снижается до трех пунктов. Естественно, полный провал в обнаружении угрозы приносит ноль очков. Общий балл блокирования - это просто среднее значение всех отдельных баллов. Я также выставляю отдельные оценки за блокировку руткитов и программ-шпионов.

Окончательный рейтинг продукта не имеет однозначного соотношения с показателями блокирования и удаления вредоносных программ. Другие факторы могут вступать в игру, в том числе результаты независимых лабораторных тестов, но хорошие результаты по моим тестам на блокировку вредоносных программ и вредоносных URL-адресов, безусловно, помогают получить хороший рейтинг.

Как мы тестируем блокировку вредоносных программ