5 Ноября, 2009

Результаты тестирования антивирусов (данные с августа-сентябрь 2009 года).

sergey Terentyev
Как известно аналитические данные VirusInfo широко используются специалистами различных security-компаний для сравнения и оценки антивирусных продуктов.

А теперь подробнее о методике тестирования.

Все наверное слышали о таком сервисе как Virustotal.Как в пословице "Не верь жене и тормозам", так и в случае с антивирусами нельзя доверять ни одному пусть даже самому лучшему антивирусу.Я сам им частенько пользуюсь, когда приходится скачивать какую нибудь подозрительную программу.

Так вот, VirusInfo проводит проверку антивирусов на эффективность используя бесплатный онлайн-мультисканер VirusTotal. Участники проекта, являющиеся практикующими специалистами в области лечения компьютеров от вредоносного программного обеспечения, загружают на мультисканер вредоносное ПО, полученное с зараженных машин, и публикуют в специально выделенной теме результаты сканирования. Загружаемое вредоносное программное обеспечение должно соответствовать следующим требованиям:

1) Образец не должен детектироваться установленным на зараженном компьютере антивирусным программным обеспечением.

2) Образец должен быть обнаружен лично консультантом в ситуации реального лечения.

3) Образец не должен быть взят со стороннего сайта или из сторонней коллекции вредоносного ПО.

Публикуемые результаты сканирования регулярно обобщаются в график уровня детектирования. График выстраивается в соответствии со следующими принципами построения:

1) По оси X расставляются антивирусные продукты, представленные на VirusTotal на данный момент времени; на оси Y представляется количество загруженных образцов.

2) Для каждого продукта отмечается количество образцов, успешно детектированных им с помощью той или иной методики обнаружения. На диаграмме отражается общее количество детектированных образцов, а также доля каждой методики детектирования в общем количестве обнаружений.

3) Разделяются следующие методики обнаружения:

a) сигнатурное детектирование (обнаружение уже известного продукту вредоносного ПО сигнатурным методом)

б) эвристическое детектирование (обнаружение неизвестного вредоносного ПО методом эмуляции / анализа кода и т.д. Пример детектирования, понимаемого как эвристическое: "Heur.Trojan.Generic"; "a variant of: XXXXX")

в) сообщение о подозрительном файле (обнаружение возможно неизвестного вредоносного ПО методом сообщения о подозрительных характеристиках исследуемого образца. Пример детектирования, понимаемого как сообщение о подозрительном файле: "Suspicious file"; "VIPRE: Suspicious")

г) сообщение о подозрительном упаковщике / крипторе (обнаружение возможно неизвестного вредоносного ПО методом сообщения о неизвестном / редком / подозрительном упаковщике / крипторе или факте многократного упаковывания / шифрования. Пример детектирования, понимаемого как сообщение о подозрительном упаковщике / крипторе: "HEUR/Crypted").

В результате тестирования антивирусов по данным за август-сентябрь 2009 г., можно подвести следующие итоги.


Сбор материалов для тестирования осуществляется на нерегулярной добровольной основе. Портал производит публикацию отчетных графиков тестирования раз в два месяца. Тестирование не следует толковать как полностью отражающее возможности антивирусных продуктов по обнаружению вредоносного программного обеспечения; вместе с тем полученные данные представляют определенную ценность при комплексном сравнении антивирусов с привлечением данных нескольких независимых тестов.

Дополнительные материалы

Исследование антивирусов проводится в специализированном разделе "Тестирование" форума VirusInfo. В данном разделе зарегистрированным участникам предоставляется доступ к более ранним графикам сравнительного тестирования, а также возможность обсуждения результатов тестирования.



http://virusinfo.info/
Также дополнительную информацию вы можете найти в блоге drwebseller.ru
или введите имя

CAPTCHA