Video: Как проверить ОПАСНЫЕ файлы в песочнице Windows 10 (December 2024)
Elk antivirusproduct en beveiligingspakket moet aanvallen door virussen en andere malware voorkomen. Ik daag dergelijke producten uit door opzettelijk een beschermd testsysteem te infecteren met bekende malwarevoorbeelden. Ik bereken vervolgens een score voor het blokkeren van malware op basis van hoe succesvol het product deze aanvallen heeft gedetecteerd en heeft voorkomen. Ik controleer ook het vermogen van de antivirus om infecties te voorkomen door URL's voor het hosten van malware te blokkeren.
Schadelijke URL's blokkeren
Bijna alle moderne malware bereikt uw systeem via internet. Veel antivirusproducten voorkomen infecties door alle toegang tot URL's voor het hosten van malware te blokkeren. Anderen controleren bestanden tijdens of onmiddellijk na het downloaden. Vorig jaar introduceerde ik een test specifiek gericht op het meten van hoe goed een product het blokkeren van kwaadaardige URL's verwerkt.
Ik begin met een feed van extreem nieuwe kwaadaardige URL's geleverd door MRG-Effitas. Ze verwerken dagelijks vele duizenden URL's; meestal zijn degenen die ik gebruik niet meer dan vier uur oud. Ik filter de lijst om specifiek URL's vast te leggen die verwijzen naar een uitvoerbaar bestand.
Het testproces is vrij eenvoudig. Met behulp van een eenvoudig hulpprogramma dat ik zelf heb gecodeerd, start ik de URL's in Internet Explorer, waarbij IE's eigen beveiliging is uitgeschakeld. Voor elke URL zijn er drie mogelijke uitkomsten. De beveiligingssoftware kan alle toegang tot de URL blokkeren, het bestand kan tijdens of direct na het downloaden worden gewist of het kan niets doen. Ik rapporteer het totale geblokkeerde percentage, zowel op URL-niveau als tijdens het downloaden.
Ik voer deze test sinds november 2013 uit; Ik heb geen gegevens voor producten die vóór die datum zijn beoordeeld.
Opzettelijke malware-aanval
Mijn malwarevoorbeelden veranderen in de loop van de tijd, maar de verzameling bevat meestal adware, spyware, virussen, wormen, scareware (malafide beveiligingssoftware), rootkits en Trojaanse paarden.
Ik installeer het product op een schoon testsysteem en voer handmatig een update uit om te controleren of het over de nieuwste virusdefinities beschikt. Vervolgens open ik eenvoudig een map met de verzameling monsters en merk ik op hoe het product reageert. In veel gevallen is de minimale toegang die optreedt wanneer Windows Verkenner de bestandsnaam weergeeft voldoende om realtime bescherming te activeren. Ik klik ook op elk bestand, omdat realtime-beveiliging in sommige producten pas begint na een klik.
scoring
Natuurlijk scoort het product een volle tien punten voor elke bedreiging die het op zicht elimineert. Voortgaand op de test, lanceer ik alle monsters die de eerste ruiming hebben overleefd en noteer hoe het product reageert. Meestal start ik er drie of vier en voer ik vervolgens mijn eigen analysehulpmiddelen uit om te bepalen of de bedreigingen erin zijn geslaagd om bestanden op het testsysteem te plaatsen.
- Hoe Scareware te vermijden Hoe Scareware te vermijden
- Virussen, spyware en malware: wat is het verschil? Virussen, spyware en malware: wat is het verschil?
Als de dreiging geen uitvoerbare bestanden plant en installeert van nul tot 20 procent van het niet-uitvoerbare bestand en Registry-junk, geef ik tien punten, net alsof de antivirus het op zicht wegvaagde. Een antivirusprogramma waarmee de dreiging 20 tot 80 procent van zijn ongewenste e-mail op het testsysteem kan zetten, krijgt nog steeds negen punten. Dat daalt naar acht punten als 80 procent of meer van de rommel op het testsysteem belandde.
Zodra de antivirus een bedreiging heeft gedetecteerd tijdens de installatie, zou het echt de plaatsing van uitvoerbare bestanden moeten voorkomen. Als een uitvoerbaar bestand doorkomt, bied ik vijf punten, of half credits. Als, ondanks de inspanningen van de antivirus, een malware-onderdeel erin slaagt te draaien, komt dit neer op drie punten. Natuurlijk levert een volledig verzuim om de dreiging op te sporen nul punten op. De algehele blokkerende score is gewoon het gemiddelde van alle individuele scores. Ik breek ook afzonderlijke scores voor het blokkeren van rootkits en scareware.
De eindbeoordeling van het product heeft geen een-op-een correlatie met de scores voor het blokkeren en verwijderen van malware. Andere factoren kunnen een rol spelen, waaronder de resultaten van onafhankelijke lab-tests, maar goed scoren op mijn malware-blokkering en kwaadaardige URL-blokkeringstests helpen zeker om een goede beoordeling te krijgen.