Video: AVG Antivirus Free | Review and Ransomware Test (November 2024)
Tijdigheid is een reden. Ik doe mijn best om elk nieuw beveiligingsproduct te beoordelen zodra het is uitgebracht. De laboratoria voeren hun tests uit volgens een schema dat zelden overeenkomt met mijn behoeften. Alomvattendheid is een ander. Niet elk beveiligingsbedrijf neemt deel aan elk lab; sommigen doen helemaal niet mee. Voor degenen die niet deelnemen, zijn mijn eigen resultaten alles wat ik heb om verder te gaan. Tot slot geeft hands-on testen mij een idee hoe het product en het bedrijf omgaan met moeilijke situaties, zoals malware die de installatie van de beschermende software verhindert.
Om een redelijke vergelijking te krijgen, moet ik elk antivirusproduct op dezelfde set monsters uitvoeren. Ja, dat betekent dat ik nooit test met zero-day, nooit eerder geziene malware. Ik vertrouw op de laboratoria, met hun grotere middelen, om dat soort testen uit te voeren. Het maken van een nieuwe reeks aangetaste testsystemen duurt lang, dus ik kan het me slechts één keer per jaar veroorloven. Aangezien mijn monsters niet op afstand nieuw zijn, zou je denken dat alle beveiligingsproducten er goed mee zouden kunnen omgaan, maar dat is niet wat ik waarneem.
Monsters verzamelen
De grote onafhankelijke laboratoria houden het internet in de gaten en vangen voortdurend nieuwe malwaremonsters op. Natuurlijk moeten ze honderden verdachten evalueren om diegenen te identificeren die echt kwaadaardig zijn, en bepalen wat voor soort kwaadaardig gedrag ze vertonen.
Voor mijn eigen testen vertrouw ik op hulp van experts van veel verschillende beveiligingsbedrijven. Ik vraag elke groep om real-world URL's te leveren voor een tiental "interessante" bedreigingen. Natuurlijk wil niet elk bedrijf meedoen, maar ik krijg een representatieve steekproef. Het ophalen van de bestanden van hun echte locatie heeft twee voordelen. Ten eerste hoef ik niet te maken te hebben met e-mail of bestandsuitwisselingsbeveiliging die tijdens het transport monsters wegvaagt. Ten tweede elimineert het de mogelijkheid dat een bedrijf het systeem kan bespelen door een eenmalige dreiging te bieden die alleen hun product kan detecteren.
Malwareschrijvers zijn constant in beweging en veranderen van hun softwarewapens, dus ik download voorgestelde voorbeelden onmiddellijk na ontvangst van de URL's. Toch zijn sommigen al verdwenen tegen de tijd dat ik ze probeer te pakken.
Laat het virus vrij!
De volgende stap, een zware, omvat het lanceren van elk voorgesteld monster in een virtuele machine, onder toezicht van bewakingssoftware. Zonder teveel details weg te geven, gebruik ik een tool die alle bestands- en registerwijzigingen registreert, een andere die veranderingen detecteert met behulp van voor en na systeemmomentopnamen en ten derde dat rapporteert over alle lopende processen. Ik gebruik ook een paar rootkit-scanners na elke installatie, omdat een rootkit in theorie detectie door andere monitoren zou kunnen ontwijken.
De resultaten vallen vaak tegen. Sommige voorbeelden detecteren wanneer ze op een virtuele machine worden uitgevoerd en weigeren te installeren. Anderen willen een specifiek besturingssysteem of een specifieke landcode voordat ze actie ondernemen. Weer anderen wachten misschien op instructies van een commando- en controlecentrum. En een paar beschadigen het testsysteem zodanig dat het niet meer werkt.
Van mijn meest recente set suggesties was 10 procent al weg toen ik ze probeerde te downloaden, en ongeveer de helft van de rest was om de een of andere reden onacceptabel. Van degenen die overbleven, koos ik drie dozijn, op zoek naar een verscheidenheid aan malwaretypes voorgesteld door een mix van verschillende bedrijven.
Is het daar?
Malwarevoorbeelden selecteren is slechts het halve werk. Ik moet ook door riemen en riemen logbestanden gaan die tijdens het bewakingsproces zijn gegenereerd. De monitoringtools registreren alles, inclusief wijzigingen die geen verband houden met het voorbeeld van malware. Ik heb een aantal filter- en analyseprogramma's geschreven om me te helpen de specifieke bestanden en registersporen te verwijderen die door het malware-installatieprogramma zijn toegevoegd.
Na het installeren van drie monsters per stuk in twaalf anders identieke virtuele machines, voer ik een ander klein programma uit dat mijn laatste logboeken leest en controleert of de actieve programma's, bestanden en register-sporen die bij de monsters horen, daadwerkelijk aanwezig zijn. Heel vaak moet ik mijn logboeken aanpassen omdat een polymorfe Trojan is geïnstalleerd met andere bestandsnamen dan toen ik mijn analyse uitvoerde. Meer dan een derde van mijn huidige collectie moest zelfs worden aangepast voor polymorfisme.
Is het weg?
Met al deze voorbereidingen voltooid, is het analyseren van het succes van een bepaald antivirusproduct eenvoudig. Ik installeer het product op alle twaalf systemen, voer een volledige scan uit en voer mijn controletool uit om te bepalen welke (eventuele) sporen achterblijven. Een product dat alle uitvoerbare sporen verwijdert en ten minste 80 procent van de niet-uitvoerbare ongewenste e-mail scoort tien punten. Als het ten minste 20 procent van de rommel verwijdert, is dat negen punten waard; minder dan 20 procent krijgt acht punten. Als uitvoerbare bestanden achterblijven, scoort het product vijf punten; dat komt neer op drie punten als een van de bestanden nog actief is. En natuurlijk krijgt een totale miss helemaal geen punten.
Het berekenen van de punten voor elk van de drie dozijn monsters geeft me een vrij goed beeld van hoe goed het product omgaat met het opschonen van door malware aangetaste testsystemen. Daarnaast krijg ik praktijkervaring met het proces. Stel dat twee producten identieke scores krijgen, maar één zonder problemen wordt geïnstalleerd en gescand en de andere vereiste uren werk door technische ondersteuning; de eerste is duidelijk beter.
Nu weet je wat er in de grafiek voor het verwijderen van malware zit die ik in elke antiviruscontrole opneem. Het is een ton werk eenmaal per jaar, maar dat werk loont in schoppen.
