Video: AVG Antivirus Free | Review and Ransomware Test (Oktober 2024)
Aktualitet er en af grundene. Jeg gør mit bedste for at gennemgå hvert nyt sikkerhedsprodukt, så snart det er frigivet. Laboratorierne udfører deres test på et skema, der sjældent matcher mine behov. Omfattende er en anden. Ikke hvert sikkerhedsfirma deltager med hvert laboratorium; nogle deltager slet ikke. For dem, der ikke deltager, er mine egne resultater alt, hvad jeg er nødt til at gå på. Endelig giver praktisk test mig en fornemmelse af, hvordan produktet og firmaet håndterer svære situationer, som malware, der forhindrer installation af den beskyttende software.
For at få en rimelig sammenligning er jeg nødt til at køre hvert antivirusprodukt mod det samme sæt prøver. Ja, det betyder, at jeg aldrig tester med nul-dages malware, der aldrig er set før. Jeg stoler på laboratorierne med deres større ressourcer til at udføre den slags test. Det tager lang tid at oprette et nyt sæt inficerede testsystemer, så jeg har kun råd til at gøre det en gang om året. I betragtning af at mine prøver ikke er fjernt nye, ville du tro, at alle sikkerhedsprodukter kunne håndtere dem godt, men det er ikke, hvad jeg observerer.
Indsamling af prøver
De store uafhængige laboratorier opretholder et ur på internettet og indfanger konstant nye malware-prøver. Selvfølgelig er de nødt til at evaluere hundreder af mistænkte for at identificere dem, der virkelig er ondsindede, og bestemme, hvilken slags ondsindet opførsel de udviser.
Til min egen test er jeg afhængig af hjælp fra eksperter fra mange forskellige sikkerhedsfirmaer. Jeg beder hver gruppe om at levere virkelige webadresser til ti eller så "interessante" trusler. Naturligvis ønsker ikke alle virksomheder at deltage, men jeg får en repræsentativ prøve. At gribe filerne fra deres virkelige placering har to fordele. For det første behøver jeg ikke at beskæftige mig med e-mail eller filudvekslingssikkerhed udslette prøver under transit. For det andet eliminerer det muligheden for, at et firma kan spille systemet ved at levere en engangstrussel, som kun deres produkt kan registrere.
Malwareforfattere bevæger sig konstant og morfiserer deres softwarevåben, så jeg downloader foreslåede prøver straks efter modtagelse af URL’erne. Alligevel er nogle af dem allerede forsvundet, da jeg prøver at gribe dem.
Slip virussen!
Det næste trin, en hård nok, involverer lancering af enhver foreslået prøve i en virtuel maskine under kontrol af overvågningssoftware. Uden at give væk for mange detaljer, bruger jeg et værktøj, der registrerer alle fil- og registreringsdatabaseændringer, et andet, der registrerer ændringer, der bruger før og efter systemsnapshots, og for det tredje rapporterer om alle kørende processer. Jeg kører også et par rootkit-scannere efter hver installation, da teoretisk kan en rootkit undgå detektering af andre skærme.
Resultaterne er ofte skuffende. Nogle eksempler registrerer, når de kører i en virtuel maskine og nægter at installere. Andre ønsker et specifikt operativsystem eller en bestemt landekode, før de griber ind. Atter andre venter måske på instruktion fra et kommando-og-kontrolcenter. Og nogle få beskadiger testsystemet, så det ikke fungerer længere.
Ud af mit seneste sæt forslag var 10 procent allerede væk, da jeg prøvede at downloade dem, og omkring halvdelen af resten var uacceptable af en eller anden grund. Fra dem, der blev tilbage, valgte jeg tre dusin og så ud til at få en række malware-typer foreslået af en blanding af forskellige virksomheder.
Er det der?
Valg af malware-prøver er kun halvdelen af arbejdet. Jeg er også nødt til at gennemgå reams og reams af logfiler, der er genereret under overvågningsprocessen. Overvågningsværktøjerne registrerer alt inklusive ændringer, der ikke er relateret til malware-prøven. Jeg skrev et par filtrerings- og analyseprogrammer for at hjælpe mig med at udvinde de specifikke filer og Registreringsspor tilføjet af malware-installationsprogrammet.
Efter at have installeret tre prøver hver i tolv ellers identiske virtuelle maskiner, kører jeg et andet lille program, der læser mine endelige logfiler og kontrollerer, at de kørende programmer, filer og Registreringsspor, der er knyttet til prøverne, faktisk er til stede. Ganske ofte er jeg nødt til at justere mine logfiler, fordi en polymorf trojan installeret ved hjælp af forskellige filnavne end den bruges, da jeg kørte min analyse. Faktisk havde over en tredjedel af min nuværende samling brug for tilpasning til polymorfisme.
Er det gået?
Når alt dette præparat er gennemført, er det en enkel sag at analysere et bestemt antivirusprodukts oprydningssucces. Jeg installerer produktet på alle tolv systemer, kører en fuld scanning og kører mit check-værktøj for at bestemme, hvilke (hvis nogen) spor der er tilbage. Et produkt, der fjerner alle eksekverbare spor og mindst 80 procent af det ikke-eksekverbare junk scorer ti point. Hvis det fjerner mindst 20 procent af uønsket, er det værd at være ni point; mindre end 20 procent får otte point. Hvis eksekverbare filer forbliver bag, scorer produktet fem point; der går ned til tre punkter, hvis nogen af filerne stadig kører. Og selvfølgelig får en totalmiss overhovedet ingen point.
Gennemsnittet af point for hver af tre dusin prøver giver mig en temmelig god oversigt over, hvor godt produktet håndterer rengøring af malware-inficerede testsystemer. Derudover får jeg praktisk oplevelse af processen. Antag, at to produkter får identiske scoringer, men det ene er installeret og scannet uden problemer, og det andet krævede arbejdstimer af teknisk support; den første er klart bedre.
Nu ved du, hvad der går ind i diagrammet for fjernelse af malware, som jeg inkluderer i enhver antivirusanmeldelse. Det er masser af arbejde en gang om året, men det arbejde lønner sig i spar.
