Cách chúng tôi kiểm tra phần mềm chống vi-rút và bảo mật

Mỗi sản phẩm phần mềm chống vi-rút hoặc bảo mật hứa hẹn sẽ bảo vệ bạn khỏi vô số rủi ro và phiền toái về bảo mật. Nhưng họ có thực sự sống theo lời hứa của họ không? Khi đánh giá các sản phẩm này để xem xét, chúng tôi đưa yêu cầu của họ vào thử nghiệm theo nhiều cách khác nhau. Mỗi đánh giá báo cáo kết quả kiểm tra của chúng tôi, cũng như kinh nghiệm thực hành với sản phẩm. Bài viết này sẽ đào sâu hơn, giải thích cách các thử nghiệm này hoạt động.

Tất nhiên, không phải mọi thử nghiệm đều phù hợp với mọi sản phẩm. Nhiều tiện ích chống vi-rút bao gồm bảo vệ chống lừa đảo, nhưng một số thì không. Hầu hết các bộ phần mềm bao gồm lọc thư rác, nhưng một số bỏ qua tính năng này và một số sản phẩm chống vi-rút thêm nó làm phần thưởng. Bất cứ tính năng nào mà một sản phẩm nhất định cung cấp, chúng tôi sẽ thử nghiệm chúng.

Kiểm tra Antivirus thời gian thực

Mỗi công cụ chống vi-rút được cung cấp đầy đủ bao gồm một máy quét theo yêu cầu để tìm kiếm và tiêu diệt các phần mềm độc hại hiện có và trình theo dõi thời gian thực để chống lại các cuộc tấn công mới. Trước đây, chúng tôi thực sự đã duy trì một bộ sưu tập các máy ảo bị nhiễm phần mềm độc hại để kiểm tra khả năng loại bỏ phần mềm độc hại hiện có của mỗi sản phẩm. Những tiến bộ trong mã hóa phần mềm độc hại khiến việc kiểm tra phần mềm độc hại trực tiếp trở nên quá nguy hiểm, nhưng chúng tôi vẫn có thể thực hiện bảo vệ thời gian thực của mỗi sản phẩm.

Mỗi năm vào đầu mùa xuân, khi hầu hết các nhà cung cấp bảo mật đã kết thúc chu kỳ cập nhật hàng năm của họ, chúng tôi thu thập một bộ sưu tập mẫu phần mềm độc hại mới cho thử nghiệm này. Chúng tôi bắt đầu với một nguồn cấp dữ liệu URL lưu trữ phần mềm độc hại mới nhất, tải xuống hàng trăm mẫu và rút chúng xuống một số có thể quản lý được.

Chúng tôi phân tích từng mẫu bằng các công cụ mã hóa khác nhau. Một số mẫu phát hiện khi chúng chạy trong máy ảo và tránh hoạt động độc hại; chúng tôi chỉ đơn giản là không sử dụng chúng. Chúng tôi tìm kiếm nhiều loại khác nhau và cho các mẫu thay đổi hệ thống tệp và Sổ đăng ký. Với một số nỗ lực, chúng tôi cắt giảm bộ sưu tập xuống một con số có thể quản lý được và ghi lại chính xác những gì hệ thống thay đổi mỗi mẫu tạo ra.

Để kiểm tra khả năng chặn phần mềm độc hại của sản phẩm, chúng tôi tải xuống một thư mục mẫu từ bộ nhớ đám mây. Bảo vệ thời gian thực trong một số sản phẩm khởi động ngay lập tức, xóa sạch phần mềm độc hại đã biết. Nếu cần thiết để kích hoạt bảo vệ thời gian thực, chúng tôi nhấp một lần vào từng mẫu hoặc sao chép bộ sưu tập vào một thư mục mới. Chúng tôi lưu ý có bao nhiêu mẫu diệt vi-rút loại bỏ trong tầm nhìn.

Tiếp theo, chúng tôi khởi chạy từng mẫu còn lại và lưu ý xem phần mềm chống vi-rút có phát hiện ra không. Chúng tôi ghi lại tổng tỷ lệ được phát hiện, bất kể khi nào phát hiện xảy ra.

Phát hiện một cuộc tấn công phần mềm độc hại là không đủ; phần mềm chống vi-rút phải thực sự ngăn chặn cuộc tấn công. Một chương trình nhỏ trong nhà sẽ kiểm tra hệ thống để xác định xem phần mềm độc hại có quản lý để thực hiện bất kỳ thay đổi Registry nào hay cài đặt bất kỳ tệp nào của nó không. Trong trường hợp các tệp thực thi, nó cũng kiểm tra xem có bất kỳ quy trình nào đang thực sự chạy hay không. Và ngay sau khi đo xong, chúng tôi tắt máy ảo.

Nếu một sản phẩm ngăn cài đặt tất cả các dấu vết có thể thực hiện được bằng một mẫu phần mềm độc hại, thì nó kiếm được 8, 9 hoặc 10 điểm, tùy thuộc vào mức độ ngăn chặn làm lộn xộn hệ thống với các dấu vết không thể thực thi. Phát hiện phần mềm độc hại nhưng không ngăn chặn cài đặt các thành phần thực thi được tín dụng một nửa, 5 điểm. Cuối cùng, nếu, bất chấp nỗ lực bảo vệ của phần mềm chống vi-rút, một hoặc nhiều quy trình phần mềm độc hại đang thực sự chạy, đó chỉ đáng 3 điểm. Trung bình của tất cả các điểm số này trở thành điểm số chặn phần mềm độc hại cuối cùng của sản phẩm.

Kiểm tra chặn URL độc hại

Thời điểm tốt nhất để tiêu diệt phần mềm độc hại là trước khi nó đến máy tính của bạn. Nhiều sản phẩm chống vi-rút tích hợp với trình duyệt của bạn và tránh xa các URL lưu trữ phần mềm độc hại đã biết. Nếu bảo vệ không phát huy ở cấp đó, luôn có cơ hội xóa sạch tải trọng phần mềm độc hại trong hoặc ngay sau khi tải xuống.

Mặc dù thử nghiệm chặn phần mềm độc hại cơ bản sử dụng cùng một bộ mẫu cho một mùa, các URL lưu trữ phần mềm độc hại mà chúng tôi sử dụng để kiểm tra bảo vệ dựa trên Web mỗi lần khác nhau. Chúng tôi nhận được nguồn cấp dữ liệu của các URL độc hại mới nhất từ ​​MRG-Effitas có trụ sở tại London và thường sử dụng các URL không quá một ngày.

Sử dụng một tiện ích nhỏ được xây dựng theo mục đích, chúng tôi lần lượt đi xuống danh sách, lần lượt khởi chạy từng URL. Chúng tôi loại bỏ bất kỳ thứ gì không thực sự trỏ đến tải xuống phần mềm độc hại và bất kỳ thông báo lỗi nào trả về. Đối với phần còn lại, chúng tôi lưu ý liệu phần mềm chống vi-rút ngăn chặn truy cập vào URL, xóa sạch phần tải xuống hoặc không làm gì cả. Sau khi ghi kết quả, tiện ích sẽ nhảy tới URL tiếp theo trong danh sách không cùng tên miền. Chúng tôi bỏ qua bất kỳ tệp nào lớn hơn 5 MB và cũng bỏ qua các tệp đã xuất hiện trong cùng một thử nghiệm. Chúng tôi giữ nguyên cho đến khi chúng tôi tích lũy dữ liệu cho ít nhất 100 URL lưu trữ phần mềm độc hại đã được xác minh.

Điểm trong bài kiểm tra này chỉ đơn giản là tỷ lệ phần trăm các URL mà phần mềm chống vi-rút ngăn chặn tải xuống phần mềm độc hại, cho dù bằng cách cắt hoàn toàn quyền truy cập vào URL hoặc xóa sạch tệp đã tải xuống. Điểm số rất khác nhau, nhưng các công cụ bảo mật tốt nhất quản lý 90 phần trăm trở lên.

Kiểm tra phát hiện lừa đảo

Tại sao phải dùng đến các Trojans đánh cắp dữ liệu phức tạp, khi bạn chỉ có thể lừa mọi người từ bỏ mật khẩu của họ? Đó là suy nghĩ của các nhân vật nam tạo ra và quản lý các trang web lừa đảo. Các trang web lừa đảo này bắt chước các ngân hàng và các trang web nhạy cảm khác. Nếu bạn nhập thông tin đăng nhập của mình, bạn đã trao chìa khóa cho vương quốc. Và lừa đảo là độc lập với nền tảng; nó hoạt động trên mọi hệ điều hành hỗ trợ duyệt Web.

Các trang web giả mạo này thường được đưa vào danh sách đen không lâu sau khi tạo, vì vậy để kiểm tra, chúng tôi chỉ sử dụng các URL lừa đảo mới nhất. Chúng tôi thu thập những thứ này từ các trang web định hướng lừa đảo, ủng hộ những trang web được báo cáo là lừa đảo nhưng chưa được xác minh. Điều này buộc các chương trình bảo mật sử dụng phân tích thời gian thực thay vì dựa vào danh sách đen có đầu óc đơn giản.

Chúng tôi sử dụng bốn máy ảo cho thử nghiệm này, một máy theo sản phẩm đang thử nghiệm và một máy sử dụng bảo vệ lừa đảo được tích hợp trong Chrome, Firefox và Microsoft Edge. Một chương trình tiện ích nhỏ khởi chạy mỗi URL trong bốn trình duyệt. Nếu bất kỳ ai trong số họ trả về một thông báo lỗi, chúng tôi sẽ loại bỏ URL đó. Nếu trang kết quả không chủ động cố gắng bắt chước một trang web khác hoặc không cố gắng nắm bắt dữ liệu tên người dùng và mật khẩu, chúng tôi sẽ loại bỏ nó. Đối với phần còn lại, chúng tôi ghi lại xem mỗi sản phẩm có phát hiện gian lận hay không.

Trong nhiều trường hợp, sản phẩm được thử nghiệm thậm chí không thể làm tốt như bảo vệ tích hợp trong một hoặc nhiều trình duyệt.

Kiểm tra lọc thư rác

Ngày nay, tài khoản email đối với hầu hết người tiêu dùng đã bị nhà cung cấp dịch vụ email loại bỏ khỏi thư rác hoặc bởi một tiện ích chạy trên máy chủ email. Trong thực tế, nhu cầu lọc thư rác đang giảm dần. Phòng thí nghiệm kiểm tra AV của Áo đã so sánh thử nghiệm chức năng chống thư rác cách đây vài năm, phát hiện ra rằng ngay cả Microsoft Outlook cũng đã chặn gần 90% thư rác và hầu hết các bộ đều làm tốt hơn, một số trong số đó tốt hơn nhiều. Phòng thí nghiệm thậm chí không hứa sẽ tiếp tục thử nghiệm các bộ lọc spam đối mặt với người tiêu dùng, lưu ý rằng "một số nhà cung cấp đang nghĩ đến việc loại bỏ tính năng chống thư rác khỏi các sản phẩm bảo mật tiêu dùng của họ."

Trước đây, chúng tôi đã thực hiện các bài kiểm tra chống thư rác của riêng mình bằng tài khoản trong thế giới thực có cả thư rác và thư hợp lệ. Quá trình tải xuống hàng ngàn thư và phân tích thủ công nội dung của Hộp thư đến và thư mục spam mất nhiều thời gian và công sức hơn bất kỳ bài kiểm tra thực hành nào khác. Mong đợi nỗ lực tối đa cho một tính năng có tầm quan trọng tối thiểu không còn có ý nghĩa.

Vẫn còn những điểm quan trọng để báo cáo về bộ lọc thư rác của bộ. Nó hỗ trợ khách hàng email nào? Bạn có thể sử dụng nó với một khách hàng không được hỗ trợ? Có bị giới hạn trong tài khoản email POP3 không, hay nó cũng xử lý email IMAP, Exchange hoặc thậm chí là dựa trên web? Trong tương lai, chúng tôi sẽ xem xét cẩn thận các khả năng chống thư rác của từng bộ, nhưng chúng tôi sẽ không còn tải xuống và phân tích hàng ngàn email.

Kiểm tra hiệu năng của Security Suite

Khi bộ bảo mật của bạn đang bận rộn theo dõi các cuộc tấn công phần mềm độc hại, bảo vệ chống lại sự xâm nhập của mạng, ngăn trình duyệt của bạn truy cập các trang web nguy hiểm, v.v., rõ ràng là sử dụng một số CPU của hệ thống và các tài nguyên khác để thực hiện công việc của mình. Vài năm trước, các bộ bảo mật đã nổi tiếng vì đã hút rất nhiều tài nguyên hệ thống của bạn đến nỗi việc sử dụng máy tính của bạn bị ảnh hưởng. Mọi thứ tốt hơn rất nhiều trong những ngày này, nhưng chúng tôi vẫn thực hiện một số thử nghiệm đơn giản để hiểu rõ hơn về tác động của từng bộ đối với hiệu năng hệ thống.

Phần mềm bảo mật cần tải càng sớm trong quá trình khởi động càng tốt, vì sợ rằng phần mềm độc hại đã được kiểm soát. Nhưng người dùng không muốn đợi lâu hơn mức cần thiết để bắt đầu sử dụng Windows sau khi khởi động lại. Tập lệnh thử nghiệm của chúng tôi chạy ngay sau khi khởi động và bắt đầu yêu cầu Windows báo cáo mức độ sử dụng CPU mỗi giây một lần. Sau 10 giây liên tiếp với việc sử dụng CPU không quá 5 phần trăm, nó tuyên bố hệ thống đã sẵn sàng để sử dụng. Trừ khi bắt đầu quá trình khởi động (như được báo cáo bởi Windows), chúng tôi biết quá trình khởi động mất bao lâu. Chúng tôi chạy nhiều lần lặp lại thử nghiệm này và so sánh trung bình với nhiều lần lặp lại khi không có bộ phần mềm nào có mặt.

Trong thực tế, bạn có thể khởi động lại không quá một lần mỗi ngày. Một bộ bảo mật làm chậm hoạt động tệp hàng ngày có thể có tác động đáng kể hơn đến các hoạt động của bạn. Để kiểm tra mức độ chậm lại đó, chúng tôi đặt thời gian cho một tập lệnh di chuyển và sao chép một tập hợp lớn các tệp từ lớn đến lớn giữa các ổ đĩa. Tính trung bình một số lần chạy mà không có bộ phần mềm và một số lần chạy với bộ bảo mật được kích hoạt, chúng tôi có thể xác định bộ phần mềm làm chậm các hoạt động tệp này. Một tập lệnh tương tự đo hiệu ứng của bộ trên một tập lệnh nén và giải nén cùng một bộ sưu tập tập tin.

Sự chậm lại trung bình trong ba thử nghiệm này của các bộ với cảm ứng rất nhẹ có thể ít hơn 1 phần trăm. Ở đầu kia của quang phổ, rất ít bộ trung bình 25 phần trăm, hoặc thậm chí nhiều hơn. Bạn thực sự có thể nhận thấy tác động của các bộ nặng hơn.

Kiểm tra tường lửa bảo vệ

Không dễ để định lượng thành công của tường lửa, bởi vì các nhà cung cấp khác nhau có những ý tưởng khác nhau về việc tường lửa nên làm gì. Thậm chí, có một số thử nghiệm chúng ta có thể áp dụng cho hầu hết chúng.

Thông thường, tường lửa có hai công việc, bảo vệ máy tính khỏi sự tấn công từ bên ngoài và đảm bảo rằng các chương trình không sử dụng sai kết nối mạng. Để kiểm tra bảo vệ chống lại sự tấn công, chúng tôi sử dụng một máy tính vật lý kết nối qua cổng DMZ của bộ định tuyến. Điều này mang lại hiệu quả của một máy tính được kết nối trực tiếp với Internet. Điều đó rất quan trọng để thử nghiệm, bởi vì một máy tính được kết nối qua bộ định tuyến thực sự vô hình với Internet. Chúng tôi tấn công hệ thống kiểm tra bằng quét cổng và các thử nghiệm dựa trên Web khác. Trong hầu hết các trường hợp, chúng tôi thấy rằng tường lửa che giấu hoàn toàn hệ thống kiểm tra khỏi các cuộc tấn công này, đưa tất cả các cổng vào chế độ ẩn.

Tường lửa Windows tích hợp xử lý lén lút tất cả các cổng, vì vậy thử nghiệm này chỉ là đường cơ sở. Nhưng ngay cả ở đây, có những ý kiến ​​khác nhau. Các nhà thiết kế của Kaspersky không thấy bất kỳ giá trị nào trong các cổng tàng hình miễn là các cổng được đóng và tường lửa chủ động ngăn chặn sự tấn công.

Kiểm soát chương trình trong tường lửa cá nhân sớm nhất là vô cùng thuận tay. Mỗi khi một chương trình không xác định cố gắng truy cập mạng, tường lửa sẽ xuất hiện một truy vấn hỏi người dùng có cho phép truy cập hay không. Cách tiếp cận này không hiệu quả lắm, vì người dùng thường không biết hành động nào là đúng. Hầu hết sẽ chỉ cho phép mọi thứ. Những người khác sẽ bấm Chặn mọi lúc, cho đến khi họ phá vỡ một số chương trình quan trọng; sau đó họ cho phép mọi thứ. Chúng tôi thực hiện kiểm tra thực hành chức năng này bằng tiện ích trình duyệt nhỏ được mã hóa theo giờ, một tiện ích sẽ luôn đủ điều kiện là một chương trình không xác định.

Một số chương trình độc hại cố gắng khắc phục loại kiểm soát chương trình đơn giản này bằng cách thao túng hoặc giả mạo như các chương trình đáng tin cậy. Khi chúng tôi gặp phải tường lửa trường học cũ, chúng tôi sẽ kiểm tra các kỹ năng của nó bằng các tiện ích gọi là kiểm tra rò rỉ. Các chương trình này sử dụng các kỹ thuật tương tự để trốn tránh kiểm soát chương trình, nhưng không có bất kỳ tải trọng độc hại nào. Chúng tôi tìm thấy ngày càng ít các thử nghiệm rò rỉ vẫn hoạt động trong các phiên bản Windows hiện đại.

Ở đầu kia của phổ, tường lửa tốt nhất sẽ tự động định cấu hình quyền truy cập mạng cho các chương trình tốt đã biết, loại bỏ các chương trình xấu đã biết và tăng cường giám sát các ẩn số. Nếu một chương trình không xác định cố gắng kết nối đáng ngờ, tường lửa sẽ khởi động vào thời điểm đó để ngăn chặn nó.

Phần mềm không phải và không thể hoàn hảo, vì vậy kẻ xấu làm việc chăm chỉ để tìm lỗ hổng bảo mật trong các hệ điều hành, trình duyệt và ứng dụng phổ biến. Họ nghĩ ra cách khai thác để thỏa hiệp bảo mật hệ thống bằng cách sử dụng bất kỳ lỗ hổng nào họ tìm thấy. Đương nhiên, nhà sản xuất sản phẩm bị khai thác phát hành một bản vá bảo mật càng sớm càng tốt, nhưng cho đến khi bạn thực sự áp dụng bản vá đó, bạn sẽ dễ bị tổn thương.

Tường lửa thông minh nhất chặn các cuộc tấn công khai thác này ở cấp độ mạng, vì vậy chúng thậm chí không bao giờ tiếp cận được với máy tính của bạn. Ngay cả đối với những người không quét ở cấp độ mạng, trong nhiều trường hợp, thành phần chống vi-rút sẽ xóa sạch tải trọng phần mềm độc hại của khai thác. Chúng tôi sử dụng công cụ thâm nhập CORE Impact để tấn công từng hệ thống thử nghiệm với khoảng 30 lần khai thác gần đây và ghi lại mức độ tốt của sản phẩm bảo mật đã bảo vệ chúng.

Cuối cùng, chúng tôi chạy kiểm tra độ tỉnh táo để xem liệu một bộ mã hóa phần mềm độc hại có thể dễ dàng vô hiệu hóa bảo vệ an ninh hay không. Chúng tôi tìm kiếm một công tắc bật / tắt trong Registry và kiểm tra xem nó có thể được sử dụng để tắt bảo vệ hay không (mặc dù đã nhiều năm kể từ khi chúng tôi tìm thấy một sản phẩm dễ bị tấn công này). Chúng tôi cố gắng chấm dứt các quy trình bảo mật bằng Trình quản lý tác vụ. Và chúng tôi kiểm tra xem có thể dừng hoặc vô hiệu hóa các dịch vụ Windows thiết yếu của sản phẩm hay không.

Kiểm tra kiểm soát của cha mẹ

Kiểm soát và giám sát của phụ huynh bao gồm rất nhiều chương trình và tính năng. Tiện ích kiểm soát của cha mẹ điển hình giúp trẻ tránh xa các trang web không đáng tin cậy, theo dõi việc sử dụng Internet của chúng và cho phép cha mẹ xác định thời gian và thời gian trẻ em được phép sử dụng Internet mỗi ngày. Các tính năng khác bao gồm từ giới hạn danh bạ trò chuyện đến tuần tra các bài đăng trên Facebook cho các chủ đề rủi ro.

Chúng tôi luôn thực hiện kiểm tra độ tỉnh táo để đảm bảo bộ lọc nội dung thực sự hoạt động. Hóa ra, việc tìm kiếm các trang web khiêu dâm để thử nghiệm là một cách nhanh chóng. Chỉ cần bất kỳ URL bao gồm một tính từ kích thước và tên của một bộ phận cơ thể thường được bảo hiểm đã là một trang web khiêu dâm. Rất ít sản phẩm thất bại trong bài kiểm tra này.

Chúng tôi sử dụng một tiện ích trình duyệt nội bộ nhỏ để xác minh rằng lọc nội dung là độc lập với trình duyệt. Chúng tôi ban hành lệnh mạng ba từ (không, chúng tôi sẽ không xuất bản ở đây) để vô hiệu hóa một số bộ lọc nội dung đơn giản. Và chúng tôi kiểm tra xem chúng tôi có thể trốn tránh bộ lọc hay không bằng cách sử dụng trang web proxy ẩn danh an toàn.

Áp dụng giới hạn thời gian trên máy tính của trẻ em hoặc sử dụng Internet chỉ có hiệu quả nếu trẻ em không thể can thiệp vào việc chấm công. Chúng tôi xác minh rằng tính năng lập lịch trình thời gian hoạt động, sau đó thử trốn tránh nó bằng cách đặt lại ngày và giờ hệ thống. Các sản phẩm tốt nhất không phụ thuộc vào đồng hồ hệ thống cho ngày và giờ của chúng.

Sau đó, đơn giản chỉ là vấn đề kiểm tra các tính năng mà chương trình tuyên bố có. Nếu nó hứa hẹn khả năng chặn sử dụng các chương trình cụ thể, chúng tôi sẽ sử dụng tính năng đó và cố gắng phá vỡ nó bằng cách di chuyển, sao chép hoặc đổi tên chương trình. Nếu nó nói rằng nó loại bỏ các từ xấu từ email hoặc nhắn tin tức thì, chúng tôi sẽ thêm một từ ngẫu nhiên vào danh sách chặn và xác minh rằng nó không được gửi. Nếu tuyên bố nó có thể giới hạn các liên hệ nhắn tin tức thì, chúng tôi sẽ thiết lập một cuộc trò chuyện giữa hai tài khoản của chúng tôi và sau đó cấm một trong số chúng. Bất cứ điều khiển hay giám sát nào mà chương trình hứa hẹn, chúng tôi sẽ cố gắng hết sức để đưa nó vào thử nghiệm.

Phiên dịch các xét nghiệm Antivirus Lab

Chúng tôi không có tài nguyên để chạy các loại thử nghiệm chống vi-rút toàn diện được thực hiện bởi các phòng thí nghiệm độc lập trên khắp thế giới, vì vậy chúng tôi chú ý đến những phát hiện của họ. Chúng tôi theo dõi hai phòng thí nghiệm cấp chứng chỉ và bốn phòng thí nghiệm phát hành kết quả kiểm tra một cách thường xuyên, sử dụng kết quả của họ để giúp thông báo đánh giá của chúng tôi.

ICSA Labs và West Coast Labs cung cấp nhiều bài kiểm tra chứng nhận bảo mật. Chúng tôi đặc biệt tuân theo các chứng nhận của họ để phát hiện phần mềm độc hại và loại bỏ phần mềm độc hại. Các nhà cung cấp bảo mật trả tiền để kiểm tra sản phẩm của họ và quy trình này bao gồm trợ giúp từ các phòng thí nghiệm để khắc phục mọi sự cố ngăn chặn chứng nhận. Những gì chúng tôi đang xem xét ở đây là thực tế rằng phòng thí nghiệm đã tìm thấy sản phẩm đủ quan trọng để kiểm tra và nhà cung cấp sẵn sàng trả tiền để thử nghiệm.

Có trụ sở tại Magdeburg, Đức, Viện kiểm tra AV liên tục đưa các chương trình chống vi-rút thông qua nhiều thử nghiệm khác nhau. Bài kiểm tra mà chúng tôi tập trung vào là một bài kiểm tra gồm ba phần, đạt tới 6 điểm trong mỗi ba hạng mục: Bảo vệ, Hiệu suất và Khả năng sử dụng. Để đạt được chứng nhận, một sản phẩm phải kiếm được tổng cộng 10 điểm mà không có số không. Các sản phẩm tốt nhất mang về nhà 18 điểm hoàn hảo trong bài kiểm tra này.

Để kiểm tra khả năng bảo vệ, các nhà nghiên cứu đưa từng sản phẩm vào bộ tham chiếu của hơn 100.000 mẫu của AV-Test và tới vài nghìn mẫu cực kỳ phổ biến. Các sản phẩm nhận được tín dụng để ngăn chặn sự xâm nhập ở bất kỳ giai đoạn nào, có thể là chặn truy cập vào URL lưu trữ phần mềm độc hại, phát hiện phần mềm độc hại bằng chữ ký hoặc ngăn phần mềm độc hại chạy. Các sản phẩm tốt nhất thường đạt được thành công 100 phần trăm trong thử nghiệm này.

Hiệu suất rất quan trọng nếu chương trình chống vi-rút gây chú ý đến hiệu suất hệ thống, một số người dùng sẽ tắt nó. Các nhà nghiên cứu của AV-Test đo lường sự khác biệt về thời gian cần thiết để thực hiện 13 hành động chung của hệ thống có và không có sản phẩm bảo mật. Trong số các hành động này đang tải xuống các tệp từ Internet, sao chép các tệp cả cục bộ và trên mạng và chạy các chương trình phổ biến. Tính trung bình cho nhiều lần chạy, họ có thể xác định mức độ ảnh hưởng của mỗi sản phẩm.

Kiểm tra khả năng sử dụng không nhất thiết là những gì bạn nghĩ. Nó không có gì để làm với dễ sử dụng hoặc thiết kế giao diện người dùng. Thay vào đó, nó đo lường các vấn đề về khả năng sử dụng xảy ra khi một chương trình chống vi-rút đánh dấu nhầm một chương trình hoặc trang web hợp pháp là độc hại hoặc đáng ngờ. Các nhà nghiên cứu tích cực cài đặt và chạy một bộ sưu tập các chương trình phổ biến luôn thay đổi, chú ý đến bất kỳ hành vi kỳ quặc nào của chương trình chống vi-rút. Một kiểm tra chỉ quét riêng biệt để đảm bảo rằng phần mềm chống vi-rút không xác định bất kỳ hơn 600.000 tệp hợp pháp là phần mềm độc hại.

Chúng tôi thu thập kết quả từ bốn (trước đó là năm) trong số nhiều bài kiểm tra được AV-So sánh thường xuyên phát hành, có trụ sở tại Áo và hợp tác chặt chẽ với Đại học Innsbruck. Các công cụ bảo mật vượt qua bài kiểm tra nhận được chứng nhận Tiêu chuẩn; những người thất bại được chỉ định là chỉ thử nghiệm. Nếu một chương trình vượt trên và vượt quá mức tối thiểu cần thiết, nó có thể kiếm được chứng nhận Nâng cao hoặc Nâng cao +.

Kiểm tra phát hiện tệp của AV-So sánh là một thử nghiệm tĩnh, đơn giản, kiểm tra từng phần mềm chống vi-rút với khoảng 100.000 mẫu phần mềm độc hại, với thử nghiệm dương tính giả để đảm bảo độ chính xác. Và kiểm tra hiệu năng, giống như AV-Test, đo bất kỳ tác động nào đến hiệu suất hệ thống. Trước đây, chúng tôi bao gồm các bài kiểm tra heuristic / hành vi; bài kiểm tra này đã bị loại bỏ.

Chúng tôi coi thử nghiệm toàn bộ sản phẩm năng động của AV-So sánh là quan trọng nhất. Thử nghiệm này nhằm mô phỏng gần nhất có thể trải nghiệm thực tế của người dùng, cho phép tất cả các thành phần của sản phẩm bảo mật thực hiện hành động chống lại phần mềm độc hại. Cuối cùng, thử nghiệm khắc phục bắt đầu với một tập hợp phần mềm độc hại mà tất cả các sản phẩm được kiểm tra đều biết để phát hiện và thách thức các sản phẩm bảo mật để khôi phục hệ thống bị nhiễm, loại bỏ hoàn toàn phần mềm độc hại.

Trong đó AV-Test và AV-So sánh thường bao gồm 20 đến 24 sản phẩm trong thử nghiệm, SE Labs thường báo cáo không quá 10. Điều đó phần lớn là do bản chất của thử nghiệm trong phòng thí nghiệm này. Các nhà nghiên cứu nắm bắt các trang web lưu trữ phần mềm độc hại trong thế giới thực và sử dụng kỹ thuật phát lại để mỗi sản phẩm gặp chính xác cùng một lần tải xuống bằng ổ đĩa hoặc tấn công dựa trên Web khác. Nó cực kỳ thực tế, nhưng khó khăn.

Một chương trình hoàn toàn chặn một trong những cuộc tấn công này kiếm được ba điểm. Nếu nó hành động sau khi cuộc tấn công bắt đầu nhưng đã loại bỏ được tất cả dấu vết thực thi, thì đó là hai điểm đáng giá. Và nếu nó chỉ đơn thuần chấm dứt cuộc tấn công, mà không dọn dẹp hoàn toàn, nó vẫn được một điểm. Trong trường hợp không may là phần mềm độc hại chạy miễn phí trên hệ thống kiểm tra, sản phẩm được kiểm tra sẽ mất năm điểm. Bởi vì điều này, một số sản phẩm đã thực sự ghi điểm dưới không.

Trong một thử nghiệm riêng biệt, các nhà nghiên cứu đánh giá mức độ mỗi sản phẩm kiềm chế không xác định nhầm phần mềm hợp lệ là độc hại, đánh giá kết quả dựa trên mức độ phổ biến của từng chương trình và mức độ ảnh hưởng của việc xác định dương tính giả. Họ kết hợp các kết quả của hai thử nghiệm này và chứng nhận sản phẩm ở một trong năm cấp độ: AAA, AA, A, B và C.

• Bộ bảo mật tốt nhất cho năm 2019 Bộ bảo mật tốt nhất cho năm 2019
• Bảo vệ chống vi-rút tốt nhất cho năm 2019 Bảo vệ chống vi-rút tốt nhất cho năm 2019
• Bảo vệ chống vi-rút miễn phí tốt nhất cho năm 2019 Bảo vệ chống vi-rút miễn phí tốt nhất cho năm 2019

Đôi khi, chúng tôi đã sử dụng nguồn cấp dữ liệu mẫu được cung cấp bởi MRG-Effitas trong thử nghiệm chặn URL độc hại. Phòng thí nghiệm này cũng công bố kết quả hàng quý cho hai bài kiểm tra cụ thể mà chúng tôi theo dõi. Thử nghiệm Đánh giá & Chứng nhận 360 mô phỏng bảo vệ trong thế giới thực chống lại phần mềm độc hại hiện tại, tương tự như thử nghiệm trong thế giới thực động được sử dụng bởi AV-So sánh. Một sản phẩm ngăn chặn hoàn toàn mọi sự phá hoại của bộ mẫu nhận được chứng nhận Cấp 1. Chứng nhận cấp 2 có nghĩa là ít nhất một số mẫu phần mềm độc hại đã gieo các tệp và các dấu vết khác trên hệ thống kiểm tra, nhưng các dấu vết này đã bị loại bỏ vào thời điểm khởi động lại tiếp theo. Chứng nhận ngân hàng trực tuyến kiểm tra rất cụ thể để bảo vệ chống lại phần mềm độc hại và botnet tài chính.

Đi kèm với một bản tóm tắt tổng thể về kết quả phòng thí nghiệm là không dễ dàng, vì các phòng thí nghiệm không kiểm tra cùng một bộ sưu tập các chương trình. Chúng tôi đã nghĩ ra một hệ thống bình thường hóa điểm số của từng phòng thí nghiệm thành giá trị từ 0 đến 10. Biểu đồ kết quả phòng thí nghiệm tổng hợp của chúng tôi báo cáo trung bình của các điểm số này, số lượng thử nghiệm trong phòng thí nghiệm và số chứng nhận nhận được. Nếu chỉ có một phòng thí nghiệm bao gồm một sản phẩm trong thử nghiệm, chúng tôi cho rằng đó là thông tin không đủ cho điểm tổng hợp.

Bạn có thể đã lưu ý rằng danh sách các phương pháp thử nghiệm này không bao gồm các mạng riêng ảo hoặc VPN. Kiểm tra VPN rất khác so với kiểm tra bất kỳ phần nào khác của bộ bảo mật, vì vậy chúng tôi đã cung cấp một lời giải thích riêng cho cách chúng tôi kiểm tra các dịch vụ VPN.