Acasă Securitywatch Testarea antivirus 101

Testarea antivirus 101

Video: Comodo Internet Security 6 Installation & Configure by Britec (Noiembrie 2024)

Video: Comodo Internet Security 6 Installation & Configure by Britec (Noiembrie 2024)
Anonim

În diferite locații din întreaga lume, echipe de cercetători dedicați au pus zeci de produse antivirus prin teste înfiorătoare. Unele dintre aceste laboratoare de testare antivirus au proceduri care durează luni întregi. Alții contestă produsele antivirus pentru a detecta sute de mii de probe. Nu există nicio modalitate în care un recenzor singur ca mine ar putea să dubleze aceste eforturi, dar eu persist în efectuarea testelor practice pentru fiecare examinare antivirus. De ce? Există mai multe motive.

Punctualitatea este un motiv. Fac tot posibilul să revizuiesc fiecare nou produs de securitate imediat ce este lansat. Laboratoarele își efectuează testele pe un program care se potrivește rar cu nevoile mele. Comprehensiunea este alta. Nu orice companie de securitate participă la fiecare laborator; unii nu participă deloc. Pentru cei care nu participă, rezultatele mele sunt tot ce trebuie să continui. În cele din urmă, testarea hands-on îmi oferă o idee pentru modul în care produsul și compania gestionează situații dificile, cum ar fi malware-ul care împiedică instalarea software-ului de protecție.

Pentru a obține o comparație rezonabilă, trebuie să rulez fiecare produs antivirus împotriva aceluiași set de probe. Da, asta înseamnă că nu testez niciodată cu malware-ul de zero zile, niciodată văzut. Mă bazez pe laboratoare, cu resursele lor mai mari, pentru a efectua acest tip de testare. Crearea unui nou set de sisteme de testare infestate durează mult timp, așa că nu îmi permit să fac asta o dată pe an. Având în vedere că eșantioanele mele nu sunt noi de la distanță, ați crede că toate produsele de securitate le vor trata bine, dar asta nu observ.

Adunarea probelor

Marile laboratoare independente mențin un ceas pe Internet, captând constant noi probe de malware. Desigur, ei trebuie să evalueze sute de suspecți pentru a-i identifica pe cei cu adevărat rău-răi și pentru a determina ce fel de comportament rău intenționat prezintă.

Pentru testarea mea, mă bazez pe ajutorul experților de la mai multe companii de securitate diferite. Cer fiecărui grup să furnizeze URL-uri din lumea reală pentru zece amenințări „interesante”. Desigur, nu orice companie vrea să participe, dar primesc un eșantion reprezentativ. Preluarea fișierelor din locația lor reală are două avantaje. În primul rând, nu trebuie să mă ocup de securitatea prin e-mail sau schimbul de fișiere ștergând mostre în tranzit. În al doilea rând, elimină posibilitatea ca o companie să poată juca sistemul prin furnizarea unei amenințări unice pe care numai produsul lor le poate detecta.

Scriitorii malware se mișcă și își transformă în mod constant armele software, așa că descarc eșantioane sugerate imediat după primirea adreselor URL. Chiar și așa, unii dintre ei au dispărut deja în momentul în care încerc să-i prind.

Eliberați virusul!

Următorul pas, unul dificil, implică lansarea fiecărui eșantion sugerat într-o mașină virtuală, sub controlul software-ului de monitorizare. Fără a da prea multe detalii, folosesc un instrument care înregistrează toate modificările fișierelor și Registrului, altul care detectează modificările folosind instantanee înainte și după sistem și al treilea care raportează toate procesele care se execută. De asemenea, rulez câteva scanere rootkit după fiecare instalare, deoarece, teoretic, un rootkit ar putea sustrage detectarea de către alte monitoare.

Rezultatele sunt deseori dezamăgitoare. Unele probe detectează când rulează într-o mașină virtuală și refuză instalarea. Alții doresc un sistem de operare specific sau un cod de țară specific, înainte de a lua măsuri. Este posibil ca alții să aștepte instrucțiuni de la un centru de comandă și control. Și câteva deteriorează sistemul de testare, încât nu mai funcționează.

Din cel mai recent set de sugestii, 10 la sută au fost deja plecate de când am încercat să le descărc, iar aproximativ jumătate din rest erau inacceptabile dintr-un motiv sau altul. Dintre cele care au rămas, am ales trei zeci, căutând să obțin o varietate de tipuri de malware sugerate de un mix de companii diferite.

Este acolo?

Selectarea probelor de malware reprezintă doar jumătate din lucrare. De asemenea, trebuie să trec prin reams și reams de fișiere jurnal generate în timpul procesului de monitorizare. Instrumentele de monitorizare înregistrează totul, inclusiv modificările care nu au legătură cu proba malware. Am scris câteva programe de filtrare și analiză pentru a mă ajuta să descopăr fișierele specifice și urmele de Registru adăugate de instalatorul malware.

După instalarea a trei eșantioane pe 12 mașini virtuale identice altfel, rulez un alt mic program care îmi citește jurnalele finale și verifică dacă programele, fișierele și urmele de registru asociate cu eșantioanele sunt de fapt prezente. Destul de des, trebuie să-mi reglez jurnalele, deoarece un troian polimorf a fost instalat folosind nume de fișiere diferite decât cel folosit atunci când am efectuat analiza. De fapt, peste o treime din colecția mea actuală a avut nevoie de ajustare pentru polimorfism.

Este Gone?

Cu toată această pregătire completă, analiza succesului de curățare a unui anumit produs antivirus este o problemă simplă. Instalez produsul pe toate cele douăsprezece sisteme, execut o scanare completă și execut instrumentul de verificare pentru a determina ce (dacă există) urme rămân în urmă. Un produs care elimină toate urmele executabile și cel puțin 80 la sută din gunoiul neexecutabil obține zece puncte. Dacă elimină cel puțin 20 la sută din junk, asta înseamnă nouă puncte; mai puțin de 20 la sută primește opt puncte. Dacă fișierele executabile rămân în urmă, produsul obține cinci puncte; care se reduce la trei puncte dacă vreunul dintre fișiere este încă rulat. Și, desigur, o ratare totală nu primește puncte deloc.

Medierea punctelor pentru fiecare din cele zece probe îmi oferă o imagine destul de bună despre cât de bine se ocupă produsul de curățare a sistemelor de testare infestate cu malware. În plus, am experiență practică a procesului. Să presupunem că două produse obțin scoruri identice, dar unul instalat și scanat fără probleme și celălalt necesar de ore de muncă prin suport tehnic; primul este clar mai bun.

Acum știți ce se înscrie în graficul de eliminare a programelor malware pe care îl includ în fiecare analiză antivirus. Este o grămadă de muncă o dată pe an, dar această muncă plătește în pică.

Testarea antivirus 101