วิธีที่เราทดสอบการบล็อกมัลแวร์

ผลิตภัณฑ์ป้องกันไวรัสและชุดรักษาความปลอดภัยควรป้องกันการโจมตีจากไวรัสและมัลแวร์อื่น ๆ ฉันท้าทายผลิตภัณฑ์ดังกล่าวโดยพยายามติดระบบทดสอบที่มีการป้องกันโดยใช้ตัวอย่างมัลแวร์ที่รู้จัก จากนั้นฉันคำนวณคะแนนการบล็อกมัลแวร์โดยพิจารณาจากความสำเร็จของผลิตภัณฑ์ที่ตรวจพบและป้องกันการโจมตีเหล่านี้ ฉันยังตรวจสอบความสามารถของโปรแกรมป้องกันไวรัสในการป้องกันการติดเชื้อโดยการบล็อก URL ที่โฮสต์มัลแวร์

การบล็อก URL ที่เป็นอันตราย

มัลแวร์ที่ทันสมัยเกือบทั้งหมดเข้าถึงระบบของคุณจากอินเทอร์เน็ต ผลิตภัณฑ์แอนติไวรัสส่วนใหญ่จะปิดการติดเชื้อโดยบล็อกการเข้าถึง URL ที่โฮสต์มัลแวร์ทั้งหมด อื่น ๆ ตรวจสอบไฟล์ระหว่างหรือทันทีหลังจากดาวน์โหลด ปีที่แล้วฉันแนะนำการทดสอบโดยเฉพาะเพื่อวัดว่าผลิตภัณฑ์จัดการบล็อก URL ที่เป็นอันตรายได้ดีเพียงใด

ฉันเริ่มต้นด้วยฟีดของ URL ที่เป็นอันตรายใหม่ ๆ ที่มาจาก MRG-Effitas พวกเขาประมวลผล URL หลายพันรายการทุกวัน โดยทั่วไปแล้วสิ่งที่ฉันใช้จะไม่เกินสี่ชั่วโมง ฉันกรองรายการเพื่อจับเฉพาะ URL ที่ชี้ไปยังไฟล์ที่ปฏิบัติการได้

กระบวนการทดสอบนั้นค่อนข้างง่าย ด้วยการใช้ยูทิลิตี้เรียบง่ายที่ฉันเขียนเองฉันจะเปิดใช้งาน URL ใน Internet Explorer โดยปิดการรักษาความปลอดภัยของ IE เอง สำหรับแต่ละ URL มีผลลัพธ์ที่เป็นไปได้สามประการ ซอฟต์แวร์ความปลอดภัยอาจบล็อกการเข้าถึง URL ทั้งหมดอาจลบไฟล์ในระหว่างหรือหลังจากดาวน์โหลดเสร็จหรืออาจไม่ทำอะไรเลย ฉันรายงานเปอร์เซ็นต์โดยรวมที่ถูกปิดกั้นไม่ว่าจะอยู่ในระดับ URL หรือระหว่างการดาวน์โหลด

ฉันได้ทำการทดสอบนี้มาตั้งแต่เดือนพฤศจิกายน 2556 ฉันไม่มีข้อมูลสำหรับผลิตภัณฑ์ที่ตรวจสอบก่อนวันที่

การโจมตีมัลแวร์โดยเจตนา

ตัวอย่างมัลแวร์ของฉันมีการเปลี่ยนแปลงอยู่ตลอดเวลา แต่โดยทั่วไปจะมีการรวบรวมแอดแวร์สปายแวร์ไวรัสเวิร์มแวร์แวร์ (ซอฟต์แวร์รักษาความปลอดภัยอันธพาล) รูทคิทและโทรจัน

ฉันติดตั้งผลิตภัณฑ์บนระบบทดสอบที่สะอาดและทำการอัปเดตด้วยตนเองเพื่อให้แน่ใจว่ามีคำจำกัดความไวรัสล่าสุด จากนั้นฉันก็เปิดโฟลเดอร์ที่มีกลุ่มตัวอย่างและสังเกตว่าผลิตภัณฑ์มีปฏิกิริยาอย่างไร ในหลายกรณีการเข้าถึงที่น้อยที่สุดที่เกิดขึ้นเมื่อ Windows Explorer แสดงชื่อไฟล์นั้นเพียงพอที่จะกระตุ้นการป้องกันแบบเรียลไทม์ ฉันยังคลิกเพียงครั้งเดียวในแต่ละไฟล์เนื่องจากการป้องกันแบบเรียลไทม์ในบางผลิตภัณฑ์ไม่ได้เตะจนกว่าจะคลิก

เกณฑ์การให้คะแนน

โดยปกติแล้วผลิตภัณฑ์จะได้คะแนนเต็ม สิบ คะแนนสำหรับการคุกคามแต่ละครั้ง ต่อการทดสอบฉันเปิดตัวอย่างใด ๆ ที่รอดพ้นจากการคัดครั้งแรกและสังเกตว่าผลิตภัณฑ์มีปฏิกิริยาอย่างไร โดยทั่วไปฉันจะเปิดตัวสามหรือสี่ของพวกเขาแล้วเรียกใช้เครื่องมือการวิเคราะห์ที่เป็นกรรมสิทธิ์ของฉันเพื่อตรวจสอบว่าภัยคุกคามที่มีการจัดการเพื่อวางไฟล์ใด ๆ ในระบบทดสอบ

• วิธีการหลีกเลี่ยง Scareware วิธีการหลีกเลี่ยง Scareware
• ไวรัสสปายแวร์และมัลแวร์: อะไรคือความแตกต่าง ไวรัสสปายแวร์และมัลแวร์: อะไรคือความแตกต่าง

หากภัยคุกคามไม่ได้สร้างไฟล์ที่เรียกใช้งานได้และติดตั้งจากศูนย์ถึง 20 เปอร์เซ็นต์ของไฟล์ที่ไม่สามารถเรียกใช้งานได้และ Registry junk I ได้รับ สิบ คะแนนเช่นเดียวกับที่โปรแกรมป้องกันไวรัสกำจัดออกไป โปรแกรมป้องกันไวรัสที่อนุญาตให้มีการคุกคามที่จะวางขยะ 20 ถึง 80 เปอร์เซ็นต์ในระบบทดสอบยังคงได้รับ เก้า แต้ม ซึ่งจะลดลงเหลือ แปด คะแนนหากขยะ 80 เปอร์เซ็นต์หรือมากกว่านั้นลงสู่ระบบทดสอบ

เมื่อโปรแกรมป้องกันไวรัสตรวจพบภัยคุกคามที่พยายามติดตั้งจริง ๆ แล้วควรป้องกันตำแหน่งของไฟล์ปฏิบัติการใด ๆ หากไฟล์ที่ปฏิบัติการได้ผ่านฉันให้ ห้า คะแนนหรือครึ่งเครดิต ถ้าแม้จะมีความพยายามอย่างดีที่สุดของโปรแกรมป้องกันไวรัสส่วนประกอบมัลแวร์ก็สามารถทำงานได้ซึ่งลดลงไปถึง สาม จุด ความล้มเหลวโดยรวมในการตรวจจับภัยคุกคามนั้นได้รับคะแนน เป็นศูนย์ คะแนนการปิดกั้นโดยรวมเป็นเพียงค่าเฉลี่ยของคะแนนแต่ละคะแนน ฉันยังแยกคะแนนแยกเพื่อปิดกั้นรูทคิทและ Scareware

คะแนนสุดท้ายของผลิตภัณฑ์ไม่มีความสัมพันธ์แบบหนึ่งต่อหนึ่งกับคะแนนการบล็อกและกำจัดมัลแวร์ ปัจจัยอื่น ๆ อาจเข้ามามีบทบาทรวมถึงผลการทดสอบในห้องปฏิบัติการอิสระ แต่การให้คะแนนดีในการบล็อกมัลแวร์และการทดสอบการบล็อก URL ประสงค์ร้ายจะช่วยให้ได้คะแนนที่ดี