Vídeo: I MIGLIORI ANTIVIRUS (2020) (De novembre 2024)
La puntualitat és un dels motius. Faig el possible per revisar cada nou producte de seguretat tan aviat com es publiqui. Els laboratoris realitzen les seves proves en un calendari que rarament coincideix amb les meves necessitats. La comprensió és una altra. No totes les empreses de seguretat participen amb tots els laboratoris; alguns no participen del tot. Per als que no participen, els meus propis resultats són tot el que he de seguir. Finalment, les proves pràctiques em donen la sensació de com el producte i l'empresa gestionen situacions difícils, com el programari maliciós que impedeix la instal·lació del programari de protecció.
Per obtenir una comparació raonable, necessito executar cada producte antivirus amb el mateix conjunt de mostres. Sí, això vol dir que mai no estic provant amb programari maliciós que no he vist mai abans. Confio en els laboratoris, amb els seus recursos més grans, per realitzar aquest tipus de proves. La creació d'un nou conjunt de sistemes de proves infestades requereix molt de temps, de manera que només em puc permetre el luxe de fer-ho una vegada a l'any. Tenint en compte que les meves mostres no són de forma remota, creuríeu que tots els productes de seguretat els manejarien bé, però no és el que observo.
Recopilació de mostres
Els grans laboratoris independents mantenen un rellotge a Internet, capturant constantment noves mostres de programari maliciós. Per descomptat, han d’avaluar centenars de sospitosos per identificar aquells que són veritablement maliciosos i determinar quina mena de comportaments maliciosos presenten.
Per a la meva pròpia prova, confio en l’ajuda d’experts de moltes companyies de seguretat diferents. Demano a cada grup que subministri URL del món real per a deu amenaces més "interessants". Per descomptat, no totes les empreses hi volen participar, però tinc una mostra representativa. Captar els fitxers de la ubicació del món real té dos avantatges. Primer, no he de tractar amb la seguretat de bescanvi de correu electrònic o d’intercanvi d’arxius que elimina mostres en trànsit. En segon lloc, elimina la possibilitat que una empresa pugui fer joc del sistema proporcionant una amenaça única que només detecta el seu producte.
Els escriptors de programari maliciós es mouen constantment i es moliden les seves armes de programari, de manera que descarrego mostres suggerides immediatament després de rebre els URL. Tot i així, alguns ja s’han esvaït quan intento agafar-los.
Allibereu el virus.
El següent pas, un ardu, consisteix en llançar totes les mostres suggerides en una màquina virtual, sota el control del programari de monitorització. Sense regalar massa detalls, faig servir una eina que registra tots els canvis de fitxers i registres, una altra que detecta els canvis utilitzant instantànies abans i després del sistema i una tercera que informa de tots els processos en execució. També executo un parell d’escàners de rootkit després de cada instal·lació, ja que en teoria un rootkit podria evadir la detecció d’altres monitors.
Els resultats són decepcionants. Alguns exemples detecten quan s’executa en una màquina virtual i es neguen a instal·lar-los. Altres volen un sistema operatiu específic o un codi de país específic abans de prendre mesures. Pot ser que altres persones esperen instruccions des d’un centre d’ordres i control. I uns quants danyen el sistema de prova fins al punt que ja no funciona.
Entre els darrers suggeriments de suggeriments, el 10 per cent ja no havia intentat descarregar-los, i prop de la meitat de la resta eren inacceptables per un motiu o altre. Entre els que quedaven, en vaig triar tres dotzenes, buscant una varietat de tipus de programari maliciós suggerits per diverses empreses.
Hi és?
Seleccionar mostres de programari maliciós és només la meitat del treball. També he de passar per reams i reams dels fitxers de registre generats durant el procés de supervisió. Les eines de control registren tot, inclosos els canvis no relacionats amb la mostra de programari maliciós. Vaig escriure un parell de programes de filtratge i anàlisi per ajudar-me a esbrinar els fitxers específics i les traces de registre afegides per l’instal·lador de programari maliciós.
Després d'instal·lar tres exemplars d'aparells en dotze màquines virtuals idèntiques, executo un altre petit programa que llegeix els meus registres finals i comprova que els programes, els fitxers i les traces de registre associades a les mostres estan actualment presents. Molt sovint, he d’ajustar els registres perquè hi ha instal·lat un troià polimòrfic amb diferents noms de fitxers dels que s’utilitzava quan feia la meva anàlisi. De fet, més d’un terç de la meva col·lecció actual necessitava ajustaments per al polimorfisme.
S’ha anat?
Amb tota aquesta preparació completa, analitzar l'èxit de neteja d'un producte antivirus particular és una qüestió senzilla. Instal·lo el producte en els dotze sistemes, realitzo una exploració completa i executo la meva eina de comprovació per determinar quines rastres queden (si hi ha). Un producte que elimina totes les traces executables i almenys el 80 per cent de la brossa no executable obté deu punts. Si elimineu un mínim del 20 per cent de la brossa, val més nou punts; menys del 20 per cent obté vuit punts. Si es queden enrere els fitxers executables, el producte obté cinc punts; que es reduirà a tres punts si encara hi ha algun fitxer en funcionament. I, per descomptat, una errada total no aconsegueix punts.
Mitjançant els punts de cadascuna de les tres dotzenes de mostres, em dóna una bona visió de la forma de manejar el producte de netejar els sistemes de prova infectats amb programari maliciós. A més, tinc una experiència pràctica del procés. Suposem que dos productes obtenen puntuacions idèntiques, però un s’instal·la i escaneja sense problemes i l’altre requereix hores de treball mitjançant suport tècnic; el primer és clarament millor.
Ja sabeu què inclou el gràfic d’eliminació de programari maliciós que incloc a totes les revisions d’antivirus. És un munt de treball un cop cada any, però aquest treball es compensa amb les piques.