Domov Varnostna ura Ali lahko vaš protivirusni program odpravi napad z zlonamerno programsko opremo nič?

Ali lahko vaš protivirusni program odpravi napad z zlonamerno programsko opremo nič?

Video: How to protect your computer from malware (November 2024)

Video: How to protect your computer from malware (November 2024)
Anonim

Testiranje protivirusne zaščite na podlagi podpisov je kratko. Zberete stotine ali tisoče znanih vzorcev zlonamerne programske opreme, izvedete skeniranje in zabeležite, koliko odkritega vašega protivirusnega izdelka. Vendar pa za povsem nov virus z ničelnimi dnevi (ali drugo vrsto zlonamerne programske opreme) nujno ni na voljo podpisa. Preizkušanje zaščite pred grožnjami brez dneva je naporno, toda raziskovalci v podjetju AV-Comparatives so razvili tehniko, ki jim ustreza. Kljub temu upoštevajte, da vsi antivirusni prodajalci ne podpirajo tega preizkusa; Kar nekaj se jih je odločilo za zadnjo izdajo, katere rezultati so pravkar objavljeni.

Po definiciji ni mogoče izvesti testa z dejanskimi vzorci nič na dan. Ko bodo raziskovalci lahko vzeli in potrdili vzorec, bi bili antivirusni prodajalci že na poti priprave podpisa. AV-Comparatives simulira zaznavanje nič dni, tako da "zamrzne" bazo podpisov izdelka in nato uporabi samo vzorce, ki so se prvič pojavili po veliki zamrznitvi.

Nekateri izdelki bodo odkrili novo zlonamerno programsko opremo z uporabo hevrističnih tehnik in jih prepoznali po podobnosti z znanimi zlonamernimi programi ali po drugih značilnostih. Raziskovalci so sprožili vsak vzorec, ki ga hevristika ni ujela, pri čemer so ugotovili, ali zaznavanje proizvoda, ki temelji na vedenju ali druga zaščita v realnem času, preprečuje okužbo. Izdelki so zaslužili v celoti, ker so zlonamerno programsko opremo blokirali sami in polovično dobropisali v primerih, ko je za blokiranje potrebna pravilna odločitev uporabnika.

Zelo dobro zaznavanje

Glede na stopnjo odkrivanja bi si 11 od 16 preizkušenih izdelkov prislužilo oceno ADVANCED +, najvišjo oceno. V tej skupini je Bitdefender vodil 97-odstotno; Kaspersky in Emsisoft sta vodila 94 odstotkov. Panda in Avast bi zaslužila DODATNO. Microsoft bi prav tako dobil napredno oceno, vendar ga AV-Comparatives uporablja le kot izhodišče. Na dnu bi AnhLab in Vipre prešli s STANDARDno oceno.

Lažni pozitivni peski

Heuristične sisteme zaznavanja in na vedenju morajo biti zelo previdno nastavljeni, da se prepreči označevanje veljavnih programov kot nevarnih - temu rečemo lažna pozitiva. Kar nekaj testiranih izdelkov je izgubilo točke za preveč lažnih pozitivnih rezultatov. Ker je bil test zaznave opravljen s podpisi, zamrznjenimi februarja lani, so raziskovalci lahko ponovno uporabili lažno pozitivne rezultate testa, opravljenega marca.

Šest testiranih izdelkov je izgubilo eno oceno zaradi preveč lažnih pozitivnih rezultatov. Za Emsisoft, eScan in G Data je to pomenilo padec z ADVANCED + na ADVANCED, medtem ko je Panda padla z ADVANCED na STANDARD. Kar zadeva AhnLab in Vipre, sta bila oba že na najnižji prehodni stopnji, zato je njihova končna ocena postala le TESTIRANA; niso mimo.

Prepir v oblaku

Prodajalci, ki svoje izdelke oddajo na testiranje s strani AV-Comparatives, se morajo strinjati, da bodo sodelovali v vseh zahtevanih testih. Preizkus zaznavanja datotek, ki temelji na podpisu, je eden od potrebnih nizov; Symantec tega testa ne odobri, zato v poročilih AV-Comparatives ne boste našli rezultatov za Norton.

Nasprotno je proaktivni test neobvezen. Glede na poročilo so se "AVG, McAfee, Qihoo, Sophos in Trend Micro odločili, da ne bodo sodelovali, saj se njihovi izdelki močno zanašajo na oblak." Ničdnevni test nujno izključuje zaznavanje v oblaku, saj oblaka ni mogoče "zamrzniti". Ti prodajalci so menili, da bodo njihovi izdelki brez dostopa do povezave v oblaku slabo dosegli rezultate.

Medtem ko so AV-primerjalci tem prodajalcem dovolili, da se poklonijo, jih poročilo le malo razjezi. "Tudi nekaj tednov kasneje številni vzorci zlonamerne programske opreme nekateri izdelki, ki so odvisni od oblaka, še vedno niso zaznali, čeprav so bile na voljo funkcije, ki temeljijo na oblaku, " navaja. "Menimo, da je marketinški izgovor, če se retrospektivni testi… kritizirajo, da ne smejo uporabljati virov v oblaku." Poročilo zaključi: "Če je datoteka popolnoma nova / neznana, oblak običajno ne bo mogel ugotoviti, ali je dober ali zlonameren."

Če si je vaš antivirus v tem testu prislužil najvišjo oceno, je to dober znak, da se bo branil pred povsem novimi grožnjami, ki niso nikogar. Ker pa test dobesedno ne uporablja nikoli vidnih vzorcev v resničnem svetu, slaba ocena (ali nikakršna udeležba) ne pomeni nujno, da ne bo naredil naloge. Za popolno razumevanje si boste želeli ogledati najrazličnejše teste in poglobljene praktične preglede protivirusnih programov PCMag.

Ali lahko vaš protivirusni program odpravi napad z zlonamerno programsko opremo nič?