每个防病毒或安全套件产品都有望保护您免受多种安全风险和烦恼。但是他们实际上履行了诺言吗?在评估这些产品进行审查时,我们以许多不同的方式对它们的要求进行了测试。每个评论都会报告我们的测试结果以及该产品的动手经验。本文将更深入地介绍这些测试的工作原理。
当然,并非每种测试都适用于每种产品。许多防病毒实用程序都包含针对网络钓鱼的防护,但有些则没有。大多数套件都包含垃圾邮件过滤功能,但有些套件忽略了此功能,某些防病毒产品将其添加为奖励。无论给定产品提供什么功能,我们都会对其进行测试。
测试实时防病毒
每个功能强大的防病毒工具都包括一个按需扫描程序,用于查找和销毁现有的恶意软件侵扰;以及一个实时监视器,用于抵御新的攻击。过去,我们实际上维护了一组感染了恶意软件的虚拟机,以测试每种产品清除现有恶意软件的能力。恶意软件编码的进步使使用实时恶意软件进行测试变得非常危险,但是我们仍然可以行使每种产品的实时保护。
每年初春,大多数安全厂商都完成了年度更新周期后,我们会收集一组新的恶意软件样本进行此测试。我们从提供最新的恶意软件托管URL的供稿开始,下载数百个示例,然后将其数量减少到可管理的数量。
我们使用各种手工编码工具分析每个样本。一些样本会检测它们何时在虚拟机中运行,并避免恶意活动。我们根本不使用那些。我们寻找各种不同的类型,并寻找对文件系统和注册表进行更改的示例。尽力而为,我们将集合缩减为一个易于管理的数字,并准确记录每个样本进行的系统更改。
为了测试产品的恶意软件拦截功能,我们从云存储中下载了一个样本文件夹。某些产品的实时保护立即生效,从而消除了已知的恶意软件。如果需要触发实时保护,我们只需单击每个样本,或将集合复制到新文件夹中。我们注意到该防病毒软件消除了多少样本。
接下来,我们启动剩余的每个样本,并注意防病毒软件是否检测到了它。无论何时发生检测,我们都会记录检测到的总百分比。
仅检测恶意软件攻击是不够的。防病毒软件实际上必须阻止攻击。一个小的内部程序会检查系统,以确定恶意软件是否设法进行了注册表更改或安装了任何文件。对于可执行文件,它还会检查这些进程中是否有任何一个在实际运行。一旦测量完成,我们就关闭虚拟机。
如果产品阻止恶意软件样本安装所有可执行跟踪,则它会获得8分,9分或10分,这取决于它防止非执行跟踪使系统混乱的程度。检测恶意软件但未能阻止安装可执行组件将获得5分,即半分。最后,如果尽管防病毒尝试进行保护,但实际上正在运行一个或多个恶意软件进程,则仅值3分。所有这些分数的平均值成为产品的最终恶意软件阻止分数。
测试恶意URL阻止
消除恶意软件的最佳时间是在恶意软件到达您的计算机之前。许多防病毒产品都与您的浏览器集成在一起,使它们远离已知的恶意软件托管URL。如果没有在该级别上提供保护,则总是有机会在下载期间或下载之后立即清除恶意软件负载。
尽管一个季节的基本恶意软件拦截测试使用同一组样本,但我们用来测试基于Web的保护的恶意软件托管URL每次都不同。我们从位于伦敦的MRG-Effitas获得最新的恶意URL的提要,并且通常使用不超过一天的URL。
使用一个专用的小型实用程序,我们从列表中移了下来,依次启动每个URL。我们会丢弃所有未真正指向恶意软件下载的内容,以及任何返回错误消息的内容。对于其余的内容,我们注意到防病毒软件是阻止访问URL,清除下载还是不执行任何操作。记录结果后,该实用程序将跳转到列表中不在同一域中的下一个URL。我们会跳过任何大于5MB的文件,并且还会跳过同一测试中已经出现的文件。我们一直坚持下去,直到我们为至少100个经过验证的恶意软件托管URL积累了数据。
此测试中的分数仅是防病毒软件阻止URL下载恶意软件的URL的百分比,无论是通过完全切断对该URL的访问还是清除已下载的文件。分数差异很大,但是最好的安全工具可以管理90%或更高的分数。
测试网络钓鱼检测
当您可以诱使人们放弃其密码时,为什么要使用精心设计的窃取数据的木马呢?这就是创建和管理网络钓鱼网站的犯罪分子的心态。这些欺诈性站点模仿银行和其他敏感站点。如果您输入登录凭据,那么您就已经放弃了王国的密钥。网络钓鱼与平台无关。它可以在支持浏览Web的任何操作系统上运行。
这些假冒网站通常在创建后不久便被列入黑名单,因此为了进行测试,我们仅使用最新的网络钓鱼URL。我们从面向网络钓鱼的网站收集这些信息,以偏爱那些被举报为欺诈但尚未验证的网站。这迫使安全程序使用实时分析,而不是依赖简单的黑名单。
我们使用四台虚拟机进行此测试,一台使用被测试产品,另一台使用内置于Chrome,Firefox和Microsoft Edge的网络钓鱼防护。一个小型实用程序在四个浏览器中启动每个URL。如果其中任何一个返回错误消息,我们将丢弃该URL。如果结果页面没有主动尝试模仿另一个站点,或者没有尝试捕获用户名和密码数据,我们将其丢弃。对于其余部分,我们记录每个产品是否检测到欺诈行为。
在许多情况下,被测产品甚至不能像一个或多个浏览器中的内置保护那样好。
测试垃圾邮件过滤
如今,大多数消费者的电子邮件帐户已被电子邮件提供商或运行在电子邮件服务器上的实用程序清除了垃圾邮件。实际上,垃圾邮件过滤的需求正在稳步减少。奥地利的测试实验室AV-Comparatives几年前测试了反垃圾邮件功能,发现仅Microsoft Outlook就能阻止近90%的垃圾邮件,而且大多数套件的性能都更好,其中一些套件更好。该实验室甚至没有承诺继续测试面向消费者的垃圾邮件过滤器,并指出“一些供应商正在考虑从其消费者安全产品中删除反垃圾邮件功能。”
过去,我们使用真实的帐户运行自己的反垃圾邮件测试,该帐户同时获得垃圾邮件和有效邮件。与其他动手测试相比,下载数千条消息并手动分析“收件箱”和“垃圾邮件”文件夹内容的过程花费了更多的时间和精力。在重要性最低的功能上花费最大的精力不再有意义。
关于套件的垃圾邮件过滤器,仍有一些要点要报告。它支持哪些电子邮件客户端?可以与不受支持的客户端一起使用吗?它仅限于POP3电子邮件帐户,还是可以处理IMAP,Exchange甚至基于Web的电子邮件?展望未来,我们将仔细考虑每个套件的反垃圾邮件功能,但是我们将不再下载和分析成千上万的电子邮件。
测试安全套件的性能
当您的安全套件忙于监视恶意软件攻击,防御网络入侵,阻止浏览器访问危险的网站等等时,显然是在使用系统的某些CPU和其他资源来完成其工作。几年前,安全套件因占用过多的系统资源而闻名,以至于您自己的计算机使用受到影响。如今情况已经好多了,但是我们仍然运行一些简单的测试来深入了解每个套件对系统性能的影响。
安全软件需要在启动过程中尽早加载,以免发现恶意软件已经处于控制之中。但是,用户不想等待的时间比重新启动后开始使用Windows所需的时间长。我们的测试脚本在启动后立即运行,并开始要求Windows每秒报告一次CPU使用率水平。连续10秒钟(CPU使用率不超过5%)后,它将声明系统已可以使用。减去启动过程的开始(如Windows所述),我们知道启动过程花费了多长时间。我们对该测试进行了多次重复,并将平均值与不存在套件时多次重复的平均值进行比较。
实际上,您每天可能最多重启一次。减慢日常文件操作速度的安全套件可能会对您的活动产生更大的影响。为了检查这种速度变慢,我们给脚本计时,该脚本在驱动器之间移动并复制大量的大型文件。平均不带套件的几次运行和启用安全套件的几次运行的平均值,我们可以确定套件减慢了这些文件活动的速度。一个类似的脚本可衡量套件对一个脚本的效果,该脚本可对同一文件集进行压缩和解压缩。
触摸最轻的套件在这三个测试中的平均减慢速度可以小于1%。另一方面,极少数套房的平均房价为25%,甚至更高。您可能实际上注意到了笨拙的套件的影响。
测试防火墙保护
量化防火墙的成功并非易事,因为不同的供应商对防火墙应该做什么应该有不同的想法。即便如此,我们仍然可以对许多测试进行大量测试。
通常,防火墙有两个任务,可以保护计算机免受外部攻击,并确保程序不会滥用网络连接。为了测试防御攻击,我们使用一台通过路由器的DMZ端口连接的物理计算机。这产生了直接连接到Internet的计算机的效果。这对于测试很重要,因为通过路由器连接的计算机实际上对整个Internet都是不可见的。我们通过端口扫描和其他基于Web的测试来测试系统。在大多数情况下,我们发现防火墙完全将测试系统隐藏在这些攻击之外,从而使所有端口都处于隐身模式。
内置的Windows防火墙可处理所有端口的隐身操作,因此此测试只是一个基准。但是即使在这里,也有不同的意见。卡巴斯基的设计者认为,只要端口处于关闭状态并且防火墙可以主动阻止攻击,隐匿端口就不会有任何价值。
最早的个人防火墙中的程序控制是非常动手的。每当未知程序尝试访问网络时,防火墙都会弹出查询,询问用户是否允许访问。这种方法不是很有效,因为用户通常不知道什么动作是正确的。大多数只会允许一切。其他人每次都单击“阻止”,直到他们破坏一些重要程序为止;之后,他们允许一切。我们使用一个小时制编码的微型浏览器实用程序来执行此功能的动手检查,该实用程序始终会被视为未知程序。
一些恶意程序试图通过操纵或伪装成受信任程序来避开这种简单的程序控制。当我们遇到老式防火墙时,我们使用称为泄漏测试的实用程序来测试其技能。这些程序使用相同的技术来逃避程序控制,但是没有任何恶意负载。我们发现越来越少的泄漏测试仍然可以在现代Windows版本下使用。
另一方面,最好的防火墙会自动为已知的好程序配置网络许可,消除已知的坏程序,并加强对未知程序的监视。如果未知程序尝试建立可疑连接,则防火墙会在此时启动以将其停止。
软件不是也不是完美的,所以坏蛋会努力寻找流行的操作系统,浏览器和应用程序中的安全漏洞。他们设计漏洞利用他们发现的任何漏洞来破坏系统安全性。自然而然地,被开发产品的制造商会尽快发布安全补丁,但在您实际应用该补丁之前,您很容易受到攻击。
最聪明的防火墙会在网络级别拦截这些利用攻击,因此它们甚至不会到达您的计算机。即使对于那些不在网络级别进行扫描的病毒,在许多情况下,防病毒组件也会清除漏洞的恶意软件有效载荷。我们使用CORE Impact渗透工具来对每个测试系统进行最近的30次攻击,并记录安全产品对它们的防御程度。
最后,我们进行完整性检查,以查看恶意软件编码器是否可以轻松禁用安全保护。我们在注册表中寻找一个开/关开关,并测试该开关是否可用于关闭保护功能(尽管自发现产品容易受到这种攻击以来已经有好几年了)。我们尝试使用任务管理器终止安全过程。并且我们检查是否可以停止或禁用产品的基本Windows服务。