Cách chúng tôi kiểm tra chặn phần mềm độc hại

Mọi sản phẩm chống vi-rút và bộ bảo mật nên ngăn chặn sự tấn công của vi-rút và phần mềm độc hại khác. Tôi thách thức các sản phẩm như vậy bằng cách cố tình lây nhiễm hệ thống kiểm tra được bảo vệ bằng các mẫu phần mềm độc hại đã biết. Sau đó, tôi tính điểm chặn phần mềm độc hại dựa trên mức độ thành công của sản phẩm đã phát hiện và ngăn chặn các cuộc tấn công này. Tôi cũng kiểm tra khả năng chống vi-rút của chương trình chống vi-rút bằng cách chặn các URL lưu trữ phần mềm độc hại.

Chặn các URL độc hại

Hầu như tất cả các phần mềm độc hại hiện đại tiếp cận hệ thống của bạn từ Internet. Nhiều sản phẩm chống vi-rút chống lại sự lây nhiễm bằng cách chặn tất cả quyền truy cập vào các URL lưu trữ phần mềm độc hại. Những người khác kiểm tra các tập tin trong hoặc ngay sau khi tải về. Năm ngoái tôi đã giới thiệu một thử nghiệm đặc biệt nhằm mục đích đo lường mức độ sản phẩm xử lý chặn các URL độc hại.

Tôi bắt đầu với một nguồn cấp dữ liệu URL độc hại cực kỳ mới do MRG-Effitas cung cấp. Họ xử lý hàng ngàn URL mỗi ngày; thông thường những cái tôi sử dụng không quá bốn giờ. Tôi lọc danh sách để nắm bắt cụ thể các URL trỏ đến tệp thực thi.

Quá trình thử nghiệm khá đơn giản. Sử dụng một tiện ích đơn giản do tôi tự mã hóa, tôi khởi chạy các URL trong Internet Explorer, với tính năng bảo mật của IE bị tắt. Đối với mỗi URL, có ba kết quả có thể xảy ra. Phần mềm bảo mật có thể chặn tất cả quyền truy cập vào URL, phần mềm có thể xóa sạch tệp trong hoặc ngay sau khi tải xuống hoặc có thể không làm gì cả. Tôi báo cáo tỷ lệ phần trăm tổng thể bị chặn, cho dù ở cấp độ URL hoặc trong khi tải xuống.

Tôi đã chạy thử nghiệm này từ tháng 11 năm 2013; Tôi không có dữ liệu cho các sản phẩm được xem xét trước ngày đó.

Cố ý tấn công phần mềm độc hại

Các mẫu phần mềm độc hại của tôi thay đổi theo thời gian, nhưng bộ sưu tập thường sẽ bao gồm phần mềm quảng cáo, phần mềm gián điệp, vi rút, sâu, phần mềm bảo mật (phần mềm bảo mật giả mạo), rootkit và Trojan.

Tôi cài đặt sản phẩm trên một hệ thống kiểm tra sạch và tự chạy một bản cập nhật, để đảm bảo rằng nó có các định nghĩa virus mới nhất. Sau đó, tôi chỉ cần mở một thư mục chứa bộ sưu tập mẫu và lưu ý cách sản phẩm phản ứng. Trong nhiều trường hợp, quyền truy cập tối thiểu xảy ra khi Windows Explorer hiển thị tên tệp là đủ để kích hoạt bảo vệ thời gian thực. Tôi cũng nhấp một lần vào mỗi tệp, vì bảo vệ thời gian thực trong một số sản phẩm không hoạt động cho đến khi nhấp.

Chấm điểm

Đương nhiên, sản phẩm ghi được mười điểm cho mỗi mối đe dọa mà nó loại bỏ trong tầm nhìn. Tiếp tục thử nghiệm, tôi tung ra bất kỳ mẫu nào còn sót lại sau khi loại bỏ ban đầu và lưu ý cách sản phẩm phản ứng. Thông thường, tôi sẽ khởi chạy ba hoặc bốn trong số chúng và sau đó chạy các công cụ phân tích độc quyền của mình để xác định xem các mối đe dọa có được quản lý để đặt bất kỳ tệp nào trên hệ thống kiểm tra hay không.

• Làm thế nào để tránh sẹo
• Virus, phần mềm gián điệp và phần mềm độc hại: Sự khác biệt là gì? Virus, phần mềm gián điệp và phần mềm độc hại: Sự khác biệt là gì?

Nếu mối đe dọa không tạo ra bất kỳ tệp thực thi nào và được cài đặt từ 0 đến 20 phần trăm tệp không thể thực thi và rác của tôi, tôi sẽ nhận được mười điểm, giống như khi phần mềm chống vi-rút xóa sạch nó. Một phần mềm chống vi-rút cho phép mối đe dọa đưa 20 đến 80 phần trăm rác của nó vào hệ thống kiểm tra vẫn được chín điểm. Điều đó chìm xuống tám điểm nếu 80 phần trăm rác trở lên rơi vào hệ thống kiểm tra.

Khi phần mềm chống vi-rút đã phát hiện ra một mối đe dọa khi cài đặt, nó thực sự sẽ ngăn chặn việc đặt bất kỳ tệp thực thi nào. Nếu một tập tin thực thi được thông qua tôi cung cấp năm điểm, hoặc một nửa tín dụng. Nếu, bất chấp những nỗ lực tốt nhất của phần mềm chống vi-rút, một thành phần phần mềm độc hại có thể chạy, giảm xuống còn ba điểm. Đương nhiên, một sự thất bại hoàn toàn để phát hiện mối đe dọa kiếm được điểm không . Điểm chặn tổng thể chỉ đơn giản là trung bình của tất cả các điểm riêng lẻ. Tôi cũng chia ra các điểm riêng biệt để chặn rootkit và Scarware.

Xếp hạng cuối cùng của sản phẩm không có mối tương quan một-một với điểm số loại bỏ và chặn phần mềm độc hại. Các yếu tố khác có thể xuất hiện, bao gồm kết quả kiểm tra phòng thí nghiệm độc lập, nhưng đạt điểm cao trong việc chặn phần mềm độc hại và kiểm tra chặn URL độc hại của tôi chắc chắn giúp có được đánh giá tốt.