כיצד אנו בודקים חסימת תוכנות זדוניות

כל מוצר וחבילת אבטחה אנטי-וירוס צריך למנוע התקפה על ידי וירוסים ותוכנות זדוניות אחרות. אני מאתגר מוצרים כאלה על ידי ניסיון בכוונה להדביק מערכת בדיקה מוגנת באמצעות דגימות זדוניות ידועות. לאחר מכן אני מחשבת ציון חסימת תוכנות זדוניות על סמך מידת הצלחת המוצר וגילה התקפות אלה. אני גם בודק את יכולתו של האנטי-וירוס למנוע זיהום על ידי חסימת כתובות אתרים המארחות תוכנות זדוניות.

חסימת כתובות אתרים זדוניות

כמעט כל התוכנות הזדוניות המודרניות מגיעות למערכת שלך מהאינטרנט. מוצרי אנטי-וירוס רבים מונעים זיהום על ידי חסימת הגישה לכתובות אתרים המארחות תוכנות זדוניות. אחרים בודקים קבצים במהלך ההורדה או מייד אחריהם. בשנה שעברה הצגתי מבחן שמטרתו במיוחד למדוד עד כמה טוב מוצר מטפל בחסימה של כתובות אתרים זדוניות.

אני מתחיל עם עדכון של כתובות אתרים זדוניות חדשות במיוחד שסופקו על ידי MRG-Effitas. הם מעבדים אלפי כתובות URL בכל יום; בדרך כלל אלה שאני משתמש בהם הם בני פחות מארבע שעות. אני מסנן את הרשימה כדי ללכוד ספציפיות כתובות URL המפנות לקובץ הפעלה.

תהליך הבדיקה הוא די פשוט. בעזרת כלי פשוט קידדתי את עצמי, אני מפעיל את כתובות האתרים ב- Internet Explorer, כאשר האבטחה של IE עצמה כבויה. לכל כתובת אתר יש שלוש תוצאות אפשריות. תוכנת האבטחה עשויה לחסום את כל הגישה לכתובת האתר, היא עשויה למחוק את הקובץ במהלך או מיד לאחר ההורדה, או שהיא עשויה לעשות דבר. אני מדווח על האחוז הכולל שנחסם, בין אם ברמת ה- URL ובין אם במהלך ההורדה.

ביצעתי את המבחן הזה מאז נובמבר 2013; אין לי נתונים על מוצרים שנבדקו לפני תאריך זה.

התקפה זדונית מכוונת

דגימות הזדוניות שלי משתנות לאורך זמן, אך בדרך כלל האוסף יכלול תוכנות פרסום, תוכנות ריגול, וירוסים, תולעים, תוכנות צלקת (תוכנת אבטחה סוררת), ערכות שורש וסוסים טרויאנים.

אני מתקין את המוצר במערכת בדיקה נקייה ומריץ ידנית עדכון, כדי לוודא שיש לו את הגדרות הווירוסים העדכניות ביותר. ואז אני פשוט פותח תיקיה הכוללת את אוסף הדגימות ומציין איך המוצר מגיב. במקרים רבים, הגישה המינימלית המתרחשת כאשר סייר Windows מציג את שם הקובץ מספיקה כדי להפעיל הגנה בזמן אמת. אני גם לוחץ לחיצה אחת על כל קובץ, מכיוון שהגנה בזמן אמת במוצרים מסוימים לא נכנסת לחיצה אחת.

ניקוד

באופן טבעי המוצר מביא לעשר נקודות מלאות עבור כל איום שהוא מבטל באופק. בהמשך הבדיקה, אני משיק דגימות ששרדו את ההפעלה הראשונית וציין כיצד המוצר מגיב. בדרך כלל אפעיל שלושה או ארבעה מהם ואז אפעיל את כלי הניתוח הקנייניים שלי כדי לקבוע אם האיומים הצליחו להציב קבצים במערכת הבדיקה.

• כיצד להימנע ממצעי ציפורניים
• וירוסים, תוכנות ריגול ותוכנות זדוניות: מה ההבדל? וירוסים, תוכנות ריגול ותוכנות זדוניות: מה ההבדל?

אם האיום לא נטע קבצי הפעלה והתקין מאפס עד 20 אחוז מהקובץ שאינו ניתן להפעלה וגרוטאות הרישום, אני מעניק עשר נקודות, אותו דבר כאילו האנטי-וירוס מחק אותו באופק. אנטי-וירוס שאפשר לאיום להכניס 20 עד 80 אחוז מהזבל שלו במערכת הבדיקה, עדיין מקבל תשע נקודות. זה שוקע לשמונה נקודות אם 80 אחוז או יותר מהזבל נחת במערכת הבדיקה.

לאחר שהאנטי-וירוס זיהה איום שמנסה להתקין, הוא אמור למנוע מיקום של קבצי הפעלה כלשהם. אם עבר קובץ הפעלה אני מציע חמש נקודות, או חצי אשראי. אם, למרות המאמצים הטובים ביותר של האנטי-וירוס, רכיב זדוני מצליח להריץ, זה יורד לשלוש נקודות. מטבע הדברים, כישלון מוחלט באיתור האיום מרוויח אפס נקודות. ציון החסימה הכללי הוא פשוט הממוצע של כל הניקוד הבודד. אני גם מפרק ציונים נפרדים לחסימת ערכות שורש ותוככי צלקת.

לדירוג הסופי של המוצר אין קשר אחד לאחד עם ציוני החסימה וההסרה של תוכנות זדוניות. גורמים אחרים יכולים להופיע, כולל תוצאות בדיקות מעבדה עצמאיות, אך ציון טוב על חסימת תוכנות זדוניות שלי ובדיקות חסימת כתובות זדוניות בהחלט עוזרים לקבל דירוג טוב.