Тест самозащиты антивирусов x64 (результаты)

[Сергей Ильин 1538]

Взять КИС поставить его в ручной режим и результат будет уже другим, так как трудно будет попасть в KernelMode или использовать права LocalSystem итд.

А если ещё и рессурсы подкрутить и ещё пару галок кое где поставить ... то результат будет вообще третим.... smile.gif

Давайте конкретнее, какие настройки могут повлиять на самозащиту? Приведите примеры. Еще раз, мы не запускаем малвару, которая может как-то там определиться проактивкой. Файлы чистые и для антивируса неизвестные. Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

Ну так дайте возможность этим "домохозяйкам" получить информацию об их продукте. Что где "поковырять", если им так захочется.

Домохозяйки нигде ковыряться не хотят и не будут, поверьте мне У них есть дела поважнее. Есть даже целые сообщества типа FlyLady.ru. Люди думают как все успевать и оптимизировать свое время, а вы говорите настройки антивируса ковырять Как поставили, так и работает. Логика проста: они профи, знают как нужно. В этом как очень частая уловка вендоров. Они говорят, что наши продукты самые суперфункциональные, а на деле в настройках этот самый функционал отключен по разным причинам, в основном из-за желания уменьшить ресурсоемкость. А это уже прямая манипуляция. Вам продают делая на упор на какую-то фишку, а на самом деле вы ей не пользуетесь. Нужно ли нам этому подыгрывать?

[KIS_fan 17]

Давайте конкретнее, какие настройки могут повлиять на самозащиту? Приведите примеры. Еще раз, мы не запускаем малвару, которая может как-то там определиться проактивкой. Файлы чистые и для антивируса неизвестные. Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

Я не имею ввиду этот тест. Я говорю про все способы атаки на самозащиту. И если КИС в авто режиме вырубить можно и не одним способом. То в ручном режиме будет работать контроль программ - который будет служить как отдельная защита компа и дополнительная самозащита продукта. То в таком режиме КИС много чего не позволит, а ещё и рессурсы подкрутить и ещё пару галок кое где поставить ... то вырубание КИСа через прогу будет невозможным.

Примеры:

1) Получить права LocalSystem в авто режиме - раз плюнуть. А в ручном режиме будет очень сложно, а с дополнительными рессурсами это

будет невозможно.

2) Попасть в KernelMode в авто режиме - не так сложно. А в ручном режиме будет сложно а с дополнительными рессурсами ( которые также закрывают/могут закрывать баги в продукте ) будет можно сказать невозможно.

[strat 275]

2) Попасть в KernelMode в авто режиме - не так сложно. А в ручном режиме будет сложно а с дополнительными рессурсами

Я вижу рациональное зерно в утверждении, но как же быть с ответом "разрешить" в ручном режиме, и что конкретно менять в дополнительных ресурсах, что это, защита от winlock? Т.е. если сделать настройки antiwinlock, малварь не пролезет в автозагрузку, не сможет выбить ав в safe mode, типа этого?

[Umnik 997]

То, о чем тут говорится имеет прямое отношение, блин, к динамическому тесту АМ, а не к тесту самозащиты.

[ntoskrnl 155]

Голословно.

Чего голословно? Хук запихать или WriteProcessMemory/CreateRemoteThread? Половину этих тестов даже писать не надо, можно накопипастить из готовых проектов или даже из гугля.

Потому ему не нужно заниматься не своим делом. Как экспертам портала не стоит заниматься хирургией, например.

Может это решение "ему" предоставим?

Позволь обратить внимание, что эти утилиты убивали продукты, без всяких там соплей.

Я выше просил, не нужно меня "стращать" этими "страшными" утилитами. Информация, необходимая злоумышленнику, в тестах уже есть. Объясняю на пальцах. Если я 1) захочу прибить, скажем, Эмси, 2) Знаю, как это написать, то мне достаточно просто посмотреть итоговую табличку из теста и, а--га, Эмси, ACL на файлах и в реестре, оконные сообщения, модификация реестра... Остается спокойно это всё набросать, скачать пробник Эмси и через пару часиков у меня готовая "убивалка". А вот если предположить, что я 1) понятия не имею как это писать, 2) хочу защитить Эмси от этих неприятностей, то инфы для этого - нуль. Ни что где нажать, ни есть ли это "нажать" вообще в продукте. И что этот "я" должен делать в такой ситуации? Идти на форум и выслушивать про "домохозяек"? Ещё раз, кратенько, вся необходимая информация для нападения в тесте имеется, информация для защиты от такого нападения - отсутствует в принципе. Пойдёт такое объяснение?

Это тест на дефолтных настройках - согласно статистикам эти настройки не меняются в 90 и более процентах случаев. Вообще не меняются. И да, это не обзор продуктов, хотя обзоры также публикуются и ты можешь найти их здесь. Ну, могу дать ссылку на свой, например: http://www.anti-malware.ru/node/2149

Лидер теста живет на настройках по умолчанию пять секунд. Или сколько там понадобится, чтобы отправить систему в рестарт. После этого по нему можно справлять поминки. И что же, позволю себе поинтересоваться, произошло с этим тестом? Почему там всё на максимальных настройках? Может потому, что "некоторые" этот тест на дефолте пролетают со свистом? А что такое случилось с Матюшеком, что он тестирует продукты на максимуме, что даёт вполне адекватное представление о возможностях каждого продукта. А не о том, как их настроил изготовитель, исходя из каких угодно соображений, области использования, целевой аудитории, совместимости, юзабельности, даже рынка сбыта (тут вот, немного не в тему, недавно, выяснилось, что KPM использует RC4 по умолчанию. Обсудим все преимущества XOR-шифрования для "домохозяек"?) Надо уточнять, куда отправятся "некоторые" продукты со своего почетного шестого места при заводских настройках? Так почему же такая избирательность в разных тестах у одной команды тестировщиков?

В любом режиме работы KIS поднимается алерт на установку/запуск драйвера, если это делает не доверенное (т.е. слабоограниченное и ниже) приложение с не доверенным драйвером.

А я потому и сделал оговорку про ленивых. Ленивые будут долбиться в SCM, а неленивые полезут туда через другой процесс, через физпамять, через физдиск, через модификацию реестра, через... да что я, собственно, перечисляю, всё это есть в "тесте на пронкновение".

-----------------------------------

Затачиваться под тулзы (заносить их в какие-то либо ограничения) нельзя, иначе это уже совсем другой тест. Да еще одна вещь, Тестовые утилиты действуют из под User Mode.

То есть, выходит, я был прав в части комодо? Ведь он по умолчанию заносит всё неизвестное в ограничения, а "это уже совсем другой тест"...

И маленькая просьба, раз уж речь идёт про UM, можно попросить обходиться в статья без "нагоняющих трепет" префиксов "Zw". MS на этот счёт вполне четкие рекомендации, просто чтобы не сбивало с толку при прочтении.

Домохозяйки нигде ковыряться не хотят и не будут, поверьте мне У них есть дела поважнее. Есть даже целые сообщества типа FlyLady.ru.

Почему это я должен верить? И можно попросить поменьше этих "домохозяек" и этого снобизма? Я уже выше написал, что вижу, что результаты в части комодо, например, не совсем совпадают с практикой. Что я должен думать? Мне, и не только мне, известны некоторые хитрости по обходу минимальных настроек, но как я могу быть уверен, что здесь не используется что-то другое? Как я могу быть уверен, что это "другое" годится только для настроек по умолчанию? Что я должен делать в такой ситуации? Падать в ножки, и умолять что я не "домохозяйка"? Вот человек спрашивает:

Кстати, а можно попросить внештатно проверить (ради того же пресловутого спортивного интереса) воспроизводимость проблемных пунктов для Dr.Web на версии Dr.Web, находящейся в открытом бета-тестировании при включённой функции (см. скриншот)?

Он тоже "домохозяйка"? И что в ответ? "Можно будет проверить на досуге." Вот спасибо.

Люди думают как все успевать и оптимизировать свое время, а вы говорите настройки антивируса ковырять Как поставили, так и работает. Логика проста: они профи, знают как нужно.

Вы прямо-таки мои мысли читаете:

http://forum.kaspersky.com/index.php?showt...t&p=1543080

http://forum.kaspersky.com/index.php?showt...t&p=1564678

В этом как очень частая уловка вендоров. Они говорят, что наши продукты самые суперфункциональные, а на деле в настройках этот самый функционал отключен по разным причинам, в основном из-за желания уменьшить ресурсоемкость. А это уже прямая манипуляция. Вам продают делая на упор на какую-то фишку, а на самом деле вы ей не пользуетесь. Нужно ли нам этому подыгрывать?

А можно попросить, что называется, "нагнать конкретики"?

[Umnik 997]

Чего голословно? Хук запихать или WriteProcessMemory/CreateRemoteThread? Половину этих тестов даже писать не надо, можно накопипастить из готовых проектов или даже из гугля.

Ты уже смотрел утилиты, написанные Рабиновичем, чтобы убить продукты? И в них Илья, конечно, использовал этот метод? Везде.

Может это решение "ему" предоставим?

Пошли переброски глупостями.

Пойдёт такое объяснение?

Да. Это причина не выкладывать тулзы для всех, т.к. кому надо - знают методы, а плодить кидди, нафик надо?

Лидер теста живет на настройках по умолчанию пять секунд. Или сколько там понадобится, чтобы отправить систему в рестарт.

Ну и то, что дальше:

1. Слышать звон

2. Не по теме

3. Графомания

4. Полное игнорирование требований. Как на этапе их составления (публичного, обращу внимания), так и после выкатки результатов.

[KIS_fan 17]

Я вижу рациональное зерно в утверждении, но как же быть с ответом "разрешить" в ручном режиме, и что конкретно менять в дополнительных ресурсах, что это, защита от winlock? Т.е. если сделать настройки antiwinlock, малварь не пролезет в автозагрузку, не сможет выбить ав в safe mode, типа этого?

Под ресурсами подрузамевается весь реестер (все его ключи и ветки) и весь Локальный диск. И ещё много чего отдельного...

[Сергей Ильин 1538]

То, о чем тут говорится имеет прямое отношение, блин, к динамическому тесту АМ, а не к тесту самозащиты.

Именно! Вот там можно сколько угодно включать ручные режимы, смотреть как работает защита в комплексе. А тут мы проверяли только самозащиту типовых конфигураций.

WriteProcessMemory/CreateRemoteThread?

К слову это есть и всегда было в тесте. Вы не внимательно читали методологию.

После этого по нему можно справлять поминки. И что же, позволю себе поинтересоваться, произошло с этим тестом? Почему там всё на максимальных настройках?

Это не тест, а сравнение-исследование. Там проверяются возможности противостояния проникновению в ядро в принципе, любыми средствами, которые доступны в арсенале продукта, но это все оффтоп.

А можно попросить, что называется, "нагнать конкретики"?

Одни хвалятся продвинутой эвристикой, которую отключают по дефолту. Другие хвалятся поддержкой упаковщиков, но почему-то тоже по умолчанию забывают поставить нужную галку. У третьих хипс работает в полную силу только в том случае, если при уставновке выбрать некий "расширенный режим" . Сколько можно морочить голову людям? Если функционал нужен и важен, включайте его по-умолчанию!

[Umnik 997]

Обсуждение скина Пипкина тут: http://www.anti-malware.ru/forum/index.php?showtopic=9162

[AlkatraZ 5]

Хохо касперский снова платиновый... реальный отжиг от тестеров!

У вас кроме касперского в лидерах бывают, бывали, другие антивирусы?

почему я не могу в репу ставить + и -? че за жлобство со стороны админов?

[Mr. Justice 771]

По всей видимости некоторым людям очень трудно свыкнутся с мыслью, что ЛК делает приличные продукты и именно поэтому ее продукты зачастую побеждают в тестах. Гораздо легче все свалить на предвзятость тестеров и аффилированность АМ. Думаю, что такие беспочвенные обвинения нужно квалифицировать как заезжанный низкопробный троллинг со всеми вытекающими отсюда последствиями.

Господа, неужели вы думаете что АМ будет специально занижать результаты тестирования какого-либо продукта (включая Касперского), для того, чтобы создать видимость обективности портала и непредвзятости тестеров?

В общем так, обвинения портала в аффилированности или обвинения тестеров в предвзятости без приведения конкретных и внятных доказательств, а не домыслов, будет рассматриваться как пустословие и явный троллинг, а также как распространение ложных сведений, порочащих деловую репутацию портала (п. 11.1, 11.10 Правил форума).

На всякий случай скажу, что не пользуюсь продукцией ЛК уже более 4 лет и не считаю использование ее продуктов единственно возможным способом надежно защитить компьютер.

[ntoskrnl 155]

Ты уже смотрел утилиты, написанные Рабиновичем, чтобы убить продукты? И в них Илья, конечно, использовал этот метод? Везде.

Я ещё раз повторяю, эксперту, если он действительно эксперт, нет нужды смотреть "утилиты", ему достаточно посмотреть, что эти утилиты делают и какими средствами, благо всё это в результатах теста указано. Это искать дыры долго и нудно, а написать по готовому заданию или описанию несколько десятков строчек, особенно когда они уже где-то написаны, - дело минут или десятков минут. Для экспертов, разумеется.

Пошли переброски глупостями.

Да. Это причина не выкладывать тулзы для всех, т.к. кому надо - знают методы, а плодить кидди, нафик надо?

Ну и то, что дальше:

1. Слышать звон

2. Не по теме

3. Графомания

4. Полное игнорирование требований. Как на этапе их составления (публичного, обращу внимания), так и после выкатки результатов.

По существу возражений нет, правильно понимаю? И не надо тыкать, мы не на базаре.

----------------------------

К слову это есть и всегда было в тесте. Вы не внимательно читали методологию.

Я не понял, к чему Вы это написали применительно к контексту того обсуждения. Можете уточнить, что именно я невнимательно читал?

Это не тест, а сравнение-исследование. Там проверяются возможности противостояния проникновению в ядро в принципе, любыми средствами, которые доступны в арсенале продукта, но это все оффтоп.

Давайте обойдёмся без жонглирования словами. На форуме это упоминается в качестве "теста", там везде есть фразы "методология теста", "участники теста", "результаты теста" и т.д. И мне просто интересно понять, в чём принципиальная разница этих тестов-"сравнений", что так радикально отличаются настройки продуктов. К "домохозяйкам" в ядро не "проникают"? Или в чём? И я всё ещё не теряю надежды получить ответ на простой вопрос, с какими настройками и с какими ограничениями работали тесты под Комодо.

Одни хвалятся продвинутой эвристикой, которую отключают по дефолту. Другие хвалятся поддержкой упаковщиков, но почему-то тоже по умолчанию забывают поставить нужную галку. У третьих хипс работает в полную силу только в том случае, если при уставновке выбрать некий "расширенный режим" . Сколько можно морочить голову людям? Если функционал нужен и важен, включайте его по-умолчанию!

Я не вижу здесь никакой конкретики. Вот честно, не вижу.

[Сергей Ильин 1538]

Давайте обойдёмся без жонглирования словами. На форуме это упоминается в качестве "теста", там везде есть фразы "методология теста", "участники теста", "результаты теста" и т.д. И мне просто интересно понять, в чём принципиальная разница этих тестов-"сравнений", что так радикально отличаются настройки продуктов.

Давайте обойдемся без навязывание своей точки зрения, ок? Мы не считаем тот тест полноценным, поэтому он называется сравнением. Надеюсь я четко выразился. Мы сделали исследование потенциальных (максимальных) возможностей продуктов, поэтому настройки закручивались как только можно сильно. В данном тесте мы использовали строго настройки по умолчанию. И будем продолжать тестировать именно с такими настройками. Я не собираюсь больше тратить время на доказывание очевидных вещей - 80-90% юзеров используют настройки по умолчанию и тест мы делаем для них.

Я не понял, к чему Вы это написали применительно к контексту того обсуждения. Можете уточнить, что именно я невнимательно читал?

Перечитайте список используемых в тесте методов внимательно, прежде чем делать какие-то предложения.

Я не вижу здесь никакой конкретики. Вот честно, не вижу.

Ваши проблемы. Кто знает продукты прекрасно понял о чем идет речь. Я не собираюсь публично кого-то тут "разоблачать".

[ntoskrnl 155]

Давайте обойдемся без навязывание своей точки зрения, ок? Мы не считаем тот тест полноценным, поэтому он называется сравнением. Надеюсь я четко выразился. Мы сделали исследование потенциальных (максимальных) возможностей продуктов, поэтому настройки закручивались как только можно сильно. В данном тесте мы использовали строго настройки по умолчанию. И будем продолжать тестировать именно с такими настройками. Я не собираюсь больше тратить время на доказывание очевидных вещей - 80-90% юзеров используют настройки по умолчанию и тест мы делаем для них.

А Вы знаете, я не навязываю свою точку зрения. В отличие от Вас. Я задал несколько простых вопросов, в частности, почему так сильно отличаются методики, тем более, что эти тесты весьма взаимосвязаны. Вы и сами так считаете:

Там писали, например, что можно кучей способов прибить любой антивирус из ядра. Только смысл это проверять? Пропустил я ядро - извини друг ...

но, почему-то, продолжаете настаивать на лингвистических различиях и каких-то "неполноценностях". Кстати, в какой из редакций того "сравнения" оно стало "сравнением"? В первой, или во второй? Я уже не помню просто, но топик на форуме однозначно говорит о тесте. И Вы, будучи автором теста, можете ответить на один простой вопрос о тестировании Комодо? Я могу даже его переформулировать, как так получилось, что тестовые утилиты оказались не в ограничениях? Ведь это же настройка по умолчанию, у "90% юзеров".

Перечитайте список используемых в тесте методов внимательно, прежде чем делать какие-то предложения.

Зачем мне его перечитывать, если Вы не можете объяснить, что имеете в виду? Свою точку зрения я уже высказал.

Ваши проблемы. Кто знает продукты прекрасно понял о чем идет речь. Я не собираюсь публично кого-то тут "разоблачать".

С чего Вы взяли, что я "не понял". Но зачем Вы приводите аргументы, если не хотите их кокретизировать?

[Ezh 0]

Я бы сказал, что настройки по умолчанию у любых программ используют 98% пользователей. Любителей поковыряться не так много, как кажется тем, кто сам "в теме".

[Mr. Justice 771]

Удалил все сообщения, не вписывающиеся в тему. Прошу придерживатся обсуждаемой темы. Выяснять отношения, а также обсуждать модераторов лучше в приватном общении.

[senyak 330]

Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

[Kopeicev 94]

Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

Нет не было. Он не дружит с VirtualBox, как и многие другие АВ. Мы использовали Vmware

[Dmitriy K 603]

Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

кое кто опять что-то напутал?

вы же знаете кто

[ntoskrnl 155]

Вопрос: Были ли проблемы с Comodo? А то где-то читал, что он не совсем дружит с виртуальными системами

Проблемы с Comodo, судя по результатам теста, заключались в том, что тесты работали в доверенном режиме. Хотя при настройках по умолчанию, на которые здесь все усиленно напирают, неизвестные программы считаются им недоверенными и произвести указанные, как "непройденные" действия не могут, это есть даже в руководстве пользователя. И вопрос здесь не о Comodo конкретно, а а том, по каким причинам для одного из участников теста, фактически, была изменена методика тестирования. А тестирование под виртуалкой это вообще детский садик.

[senyak 330]

кое кто опять что-то напутал?

вы же знаете кто

Кто и что? Меня интересует именно Comodo. Мне ответили, за что спасибо

[A. 875]

Проблемы с Comodo, судя по результатам теста, заключались в том, что тесты работали в доверенном режиме. Хотя при настройках по умолчанию, на которые здесь все усиленно напирают, неизвестные программы считаются им недоверенными и произвести указанные, как "непройденные" действия не могут, это есть даже в руководстве пользователя. И вопрос здесь не о Comodo конкретно, а а том, по каким причинам для одного из участников теста, фактически, была изменена методика тестирования.

Вопрос именно в Комодо, конкретно.

Вы сами посудите - для проведения теста программы необходимо запустить. Вредоносными они не являются. Блокировка всего - это конечно забавно, но как же пользователи Комода вообще что либо на свои машины ставят ? Ждут пока файлы в "доверенные" кто-то добавит или делают это сами ? Ок, вот в ситуации когда пользователь сам файлы в доверенные внесет (из-за социальной инженерии, например) или эти файлы попадут в базу доверенных сами - Комодо и покажет тот результат, который он показал.

Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

[Сергей Ильин 1538]

Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

ntoskrnl, а такое кстати уже было в нашей практике.

Вообще тесты следует всего далеть таким образом, чтобы была проверка наихудшего сценария. И только так. Если можно нажать "Отменить/пропустить" - продукт теряет баллы. Ибо всегда найдется % юзеров которые так и сделают. Можно записать себе как теорему. К тому же другие вендоры как-то защищают в актоматическом режиме и ничего не спрашивают, не требуют "дурацкого" обучения, "расширенного режима" и т.п. Приравнивать их результаты ИМХО было бы очень несправедливо.

[ntoskrnl 155]

Вопрос именно в Комодо, конкретно.

Я просто очень хорошо знаю принцип его работы, чтобы, когда второй тест подряд вижу, что он "пропускает" модификацию кем-попало охраняемых файлов/ключей или их атрибутов на настройках по умолчанию, я понимаю, что написана чушь.

Вы сами посудите - для проведения теста программы необходимо запустить. Вредоносными они не являются. Блокировка всего - это конечно забавно, но как же пользователи Комода вообще что либо на свои машины ставят ? Ждут пока файлы в "доверенные" кто-то добавит или делают это сами ? Ок, вот в ситуации когда пользователь сам файлы в доверенные внесет (из-за социальной инженерии, например) или эти файлы попадут в базу доверенных сами - Комодо и покажет тот результат, который он показал.

Ну так тесты запускаются. В песочнице. Автоматически. Пользователи прекрасно ставят программы, так же как и пользователи других вендоров. В режиме по умолчанию - по списку доверенных поставщиков, например. И я не видел, чтобы где-то в тесте было написано, что это тест пользователей и их решений.

Если не поняли, то вот еще более простой пример-вопрос: - какой-то вендор тупо взял и задетектил все тестовые программы как вредоносные. И при запуске их - сигнатурами детектит и удаляет. Означает ли это что данная антивирусная программа неуязвима для типов атак, использованных в тестах ?

Не надо думать, что я что-то "не понял". И отвлекитесь от сигнатур, здесь речь идёт о том, что была именена методика тестирования. Вместо проверки рекомендованых производителем настроек, как заявлено в методологии, тестер сам начал принимать решения по политике безопасности для определенных программ. Фактически, он приступил к настройке действий продукта. Для скольких участников была произведена подобная настройка? Остается гадать.

-----------------------------------

ntoskrnl, а такое кстати уже было в нашей практике.

Вообще тесты следует всего далеть таким образом, чтобы была проверка наихудшего сценария. И только так. Если можно нажать "Отменить/пропустить" - продукт теряет баллы. Ибо всегда найдется % юзеров которые так и сделают. Можно записать себе как теорему. К тому же другие вендоры как-то защищают в актоматическом режиме и ничего не спрашивают, не требуют "дурацкого" обучения, "расширенного режима" и т.п. Приравнивать их результаты ИМХО было бы очень несправедливо.

То есть Вы уже не настаиваете, как раньше, на том, что всё должно делаться на настройках по умолчанию? Уже, оказывается, надо настроить продукт на минимальную защиту? А не рекомендованую изготовителем? Давайте разберемся с простым вопросом. Ручное добавление теста в доверенные, тогда как в реальной жизни при указанных настройках, он попадает в недоверенные, это нормально? Что конкретно проверялось? Я уже спрашивал, проверялся функционал продукта, или конкретные настройки, в том числе внесенные тестером в политику безопасности.

[A. 875]

Ну так тесты запускаются. В песочнице. Автоматически. Пользователи прекрасно ставят программы, так же как и пользователи других вендоров. В режиме по умолчанию - по списку доверенных поставщиков, например. И я не видел, чтобы где-то в тесте было написано, что это тест пользователей и их решений.

А где было написано что это был тест HIPSов или песочниц ? Их тестируют в другом тесте и по другой методике, в разделе "тесты" найдете.