Методология теста проактивной антивирусной защиты (декабрь 2007)

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2.

В тестировании участвовали следующие антивирусные программы:

  1. Agnitum Outpost Security Suite 2008
  2. Avast! Professional Edition 4.7
  3. AVG Anti-Virus Professional Edition 7.5
  4. Avira AntiVir Personal Edition Premium 7.0
  5. BitDefender Antivirus 2008
  6. Dr.Web 4.44
  7. Eset Nod32 Anti-Virus 3.0
  8. F-Secure Anti-Virus 2008
  9. Kaspersky Anti-Virus 7.0
  10. McAfee VirusScan Plus 2008
  11. Panda Antivirus 2008
  12. Sophos Anti-Virus 7.0
  13. Symantec Anti-Virus 2008
  14. Trend Micro Antivirus plus Antispyware 2008
  15. VBA32 Antivirus 3.12

При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

После подготовки тестового стенда создавались специальные условия для проверки эффективности работы эвристика. Для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста.

В "дикой природе" (In The Wild, далее ITW: корпоративные шлюзы, поступления в частные коллекции), отбирались ITW-образцы вредоносных программ, поступившие в источники через две недели после заморозки антивирусных баз. Новизна образцов определялась по отсутствию совпадений хешей по общей коллекции Anti-Malware.ru, которая собиралась в течение шести месяцев до начала теста. Таким образом, обеспечивался отбор вредоносных программ, с высокой степенью вероятности еще неизвестных антивирусам на момент прекращения обновлений (заморозки антивирусных баз).

Важно! Разрыв в две недели между заморозкой антивирусных баз и началом сбора вредоносных программ был сделан намеренно, чтобы минимизировать возможность попадания в коллекцию образцов, известных какому-либо антивирусу.

В результате всех мероприятий моделировалась ситуация, при которой эффективность классических сигнатурных компонент защиты сводилась к нулю. В результате любое детектирование неизвестного по определению образца при простом сканировании по требованию могло осуществляться только проактивной эвристической компонентой, чего мы и хотели.

Сканирование по требования производилось с максимально возможными настройками: включение эвристики (максимальный уровень), проверка всех файлов, обнаружение всех типов вредоносных и потенциально опасных программ.

В качестве приложения к тесту после его окончания проводилось обновление всех антивирусных программ, и делалась повторная проверка коллекции (через неделю после окончания основного тестирования). В результате фиксировалась эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.

Шаги создания тестовой среды:

  1. Установка антивирусной программы на чистую машину;
  2. Перезагрузка системы;
  3. Проверка успешной установки и работоспособности всех модулей программы;
  4. Обновление антивирусной программы;
  5. Перезагрузка системы;
  6. Выключение функций обновления, отключения от сети Интернет (заморозка баз);
  7. Сохранение образа виртуальной машины;
  8. Отключение виртуальной машины на 6 недель;
  9. Сбор тестовой коллекции вредоносных программ.

Шаги проведения тестирования:

  1. Включение виртуальной машины;
  2. Проверка коллекции отобранных новых вредоносных программ сканером по требованию (настройки на автоматическое удаление обнаруженных объектов);
  3. Подсчет оставшихся образцов после проверки коллекции;
  4. Обновление антивируса;
  5. Повторная проверка оставшихся в пункте 3 образцов.
  6. Подсчет оставшихся образцов после повторной проверки коллекции.

Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина – шаг 1. Для каждого антивируса создавалась своя копия коллекции вредоносных программ – шаг 9.

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.