Hogyan teszteljük a vírusvédelmi és biztonsági szoftvereket

Minden antivírus vagy biztonsági csomag termék megvédi magát a sokféle biztonsági kockázattal és bosszantással szemben. De valóban teljesítik-e az ígéreteiket? Amikor ezeket a termékeket felülvizsgálják, sokféle módon teszteljük állításaikat. Minden felülvizsgálat beszámol a tesztek eredményeiről, valamint a termékkel kapcsolatos gyakorlati tapasztalatokról. Ez a cikk mélyebben fog mélyülni, és elmagyarázza, hogy ezek a tesztek hogyan működnek.

Természetesen nem minden teszt alkalmas minden termékre. Számos vírusvédelmi segédprogram tartalmaz adathalászat elleni védelmet, de mások nem. A legtöbb lakosztály tartalmaz spamszűrést, de néhányuk kihagyja ezt a funkciót, és egyes víruskereső termékek bónuszként adják hozzá. Bármelyik termék is kínál tulajdonságokat, teszteljük őket.

Valós idejű víruskereső tesztelése

Minden teljesen felszerelt víruskereső eszköz tartalmaz igény szerinti szkennert a meglévő malware fertőzések keresésére és megsemmisítésére, valamint valós idejű monitort az új támadások elkerülésére. A múltban ténylegesen karbantartottuk a rosszindulatú programokkal fertőzött virtuális gépeket, hogy teszteljük az egyes termékek képességét a meglévő rosszindulatú programok eltávolítására. A rosszindulatú programok kódolásában elért haladás az élő rosszindulatú programokkal való tesztelést túlságosan veszélyesvé tette, de továbbra is élvezhetjük az egyes termékek valós idejű védelmét.

Minden év tavasszal, amikor a legtöbb biztonsági szolgáltató befejezte az éves frissítési ciklust, egy új malware-mintagyűjteményt gyűjtünk erre a tesztre. Kezdjük a legfrissebb rosszindulatú szoftverek tárolására szolgáló URL-ekkel, letölthetünk több száz mintát, és kezelhető számra vonhatjuk le őket.

Az egyes mintákat különféle, kézzel kódolt eszközökkel elemezzük. Néhány minta felismeri, amikor virtuális gépen futnak, és tartózkodnak a rosszindulatú tevékenységektől; egyszerűen nem használjuk ezeket. Számos különféle típust keresünk, valamint olyan mintákat, amelyek megváltoztatják a fájlrendszert és a nyilvántartást. Néhány erőfeszítéssel a gyűjteményt kezelhető számra állítjuk elő, és pontosan rögzítjük, hogy a rendszer milyen változtatásokat hajt végre az egyes mintákban.

A termék rosszindulatú programok blokkoló képességének teszteléséhez letöltött egy mappát a mintákból a felhőtárolóból. Egyes termékek valós idejű védelme azonnal elindul, és törli az ismert rosszindulatú programokat. Ha a valós idejű védelem indításához szükség van egy kattintásra minden egyes mintára, vagy a gyűjteményt átmásoljuk egy új mappába. Figyelembe vesszük, hogy hány mintát távolít el az antivírus látás közben.

Ezután elindítunk minden fennmaradó mintát, és megfigyeljük, hogy az antivírus észlelte-e. Rögzítjük a kimutatott teljes százalékot, függetlenül attól, hogy mikor történt az észlelés.

A rosszindulatú programok támadásának észlelése nem elegendő; a víruskeresőnek valójában meg kell akadályoznia a támadást. Egy kis házon belüli program ellenőrzi a rendszert annak meghatározására, hogy a rosszindulatú program képes-e bármilyen beállításjegyzék-módosítást végrehajtani, vagy telepítette-e fájljait. A futtatható fájlok esetében azt is ellenőrzi, hogy ezek a folyamatok valóban futnak-e. És amint a mérés befejeződött, leállítjuk a virtuális gépet.

Ha egy termék megakadályozza az összes végrehajtható nyomkövetés telepítését egy rosszindulatú program mintáján keresztül, akkor 8, 9 vagy 10 pontot szerez, attól függően, hogy mennyire akadályozta meg a rendszer nem végrehajtható nyomkövetésekkel való zsúfoltságát. A rosszindulatú programok felismerése, de a végrehajtható komponensek telepítésének megakadályozása nem sikerül, 5 pontot kap. Végül, ha az antivírus védelmi kísérlete ellenére egy vagy több rosszindulatú program folyamatosan fut, érdemes csupán 3 pontot megtenni. Ezen pontszámok átlaga lesz a termék végleges rosszindulatú programot gátló pontszáma.

A rosszindulatú URL-blokkolás tesztelése

A rosszindulatú programok megsemmisítésének a legjobb ideje, mielőtt eléri a számítógépet. Számos vírusvédelmi termék integrálódik a böngészőkbe, és távolítja őket az ismert rosszindulatú programokat tároló URL-ektől. Ha a védelem nem lép fel ezen a szinten, mindig van lehetőség arra, hogy törölje a rosszindulatú programok hasznos terhelését a letöltés alatt vagy közvetlenül a letöltés után.

Míg az alapvető rosszindulatú programok blokkoló tesztje ugyanazt a mintasort használja egy szezonra, a rosszindulatú szoftverek tárolására szolgáló URL-ek, amelyeket a webalapú védelem tesztelésére használunk, minden alkalommal különböznek. A londoni székhelyű MRG-Effitas legfrissebb rosszindulatú URL-címeit kapjuk, és általában legfeljebb egy napos URL-eket használunk.

Egy kicsi, célra épített segédprogrammal lemegyünk a listára, és mindegyik URL-t egymás után elindítottuk. Elhagyjuk azokat, amelyek valójában nem utalnak a rosszindulatú programok letöltésére, és azokat, amelyek hibaüzeneteket eredményeznek. A többit megjegyezzük, hogy az antivírus megakadályozza-e az URL-hez való hozzáférést, megsemmisíti a letöltést, vagy semmit sem hoz. Az eredmény rögzítése után a segédprogram a lista következő URL-jére ugrik, amely nem ugyanabban a tartományban található. Kihagyunk minden olyan fájlt, amely nagyobb, mint 5 MB, és olyan fájlokat is, amelyek már megjelentek ugyanazon a tesztnél. Addig tartjuk fenn, amíg legalább 100 ellenőrzött rosszindulatú programot tároló URL-re felhalmozunk adatokat.

A teszt pontszáma egyszerűen azon URL-ek százaléka, amelyeknél az antivírus megakadályozta a rosszindulatú programok letöltését, akár azáltal, hogy teljesen megszakítják az URL-hez való hozzáférést, vagy pedig letörölte a letöltött fájlt. A pontszámok nagyon eltérőek, de a legjobb biztonsági eszközök legalább 90 százalékot tudnak kezelni.

Az adathalász-észlelés tesztelése

Miért folytassa az adatlopó trójaiak kidolgozását, amikor csak rácsaphatja az embereket, hogy feladják jelszavaikat? Ez a rosszindulatú szereplők gondolkodása, akik adathalász webhelyeket hoznak létre és kezelnek. Ezek a csalárd webhelyek utánozzák a bankokat és más érzékeny webhelyeket. Ha megadja a bejelentkezési adatait, éppen átadta a királyság kulcsait. És az adathalászat platformfüggetlen; minden operációs rendszeren működik, amely támogatja az internetes böngészést.

Ezek a hamis webhelyek általában nem sokkal a létrehozásuk után kerülnek feketelistára, tehát a teszteléshez csak a legújabb adathalász URL-eket használjuk. Ezeket az adathalász-orientált weboldalakról gyűjtjük, előnyben részesítve azokat, amelyeket csalásként jelentettek be, de még nem ellenőriztek. Ez arra kényszeríti a biztonsági programokat, hogy valósidejű elemzést használják az egyszerű gondolkodású feketelistákra támaszkodás helyett.

A teszthez négy virtuális gépet használunk, az egyiket a tesztelés alatt álló termék szerint, és egy-egy a Chrome, a Firefox és a Microsoft Edge beépített adathalász védelemmel. Egy kis segédprogram indít el minden URL-t a négy böngészőben. Ha ezek közül bármelyik hibaüzenetet ad vissza, akkor azt az URL-t eldobjuk. Ha az eredményül kapott oldal nem próbál aktívan más webhelyet utánozni, vagy nem próbálja meg begyűjteni a felhasználónevet és a jelszót, akkor elvetjük. A többit rögzítjük, hogy minden termék észlelte-e a csalást.

Sok esetben a tesztelés alatt álló termék egyáltalán nem képes elérni olyan jól, mint a beépített védelem egy vagy több böngészőben.

A spamszűrés tesztelése

Manapság a legtöbb felhasználó e-mail fiókjaiban az e-mail szolgáltató vagy az e-mail szerveren futó segédprogram eltávolította a levélszemetet. Valójában a spamszűrés iránti igény folyamatosan csökken. Az osztrák tesztlaboratórium az AV-Comparatives néhány évvel ezelőtt tesztelte a spam-ellenes funkciókat, megállapítva, hogy még a Microsoft Outlook is önmagában blokkolta a spam közel 90% -át, és a legtöbb lakosztály jobban teljesített, némelyikük sokkal jobban. A laboratórium még azt sem ígéri, hogy folytatja a fogyasztóbarát spamszűrők tesztelését, megjegyezve, hogy "több gyártó arra gondol, hogy távolítsa el a spam-ellenes funkciót a fogyasztói biztonsági termékektől".

A múltban saját spam-ellenes teszteket végeztünk egy valós fiókkal, amely spam és érvényes leveleket is kap. Több ezer üzenet letöltése és a Beérkezett üzenetek és a spam mappák tartalmának kézi elemzése több időt és erőfeszítést igényelt, mint a többi gyakorlati teszt. A maximális erőfeszítésnek a minimális jelentőséggel bíró tulajdonságra történő eltöltésére már nincs értelme.

Még fontos pontok vannak a lakosztály spamszűrőjéről. Milyen e-mail klienseket támogat? Használhatja egy nem támogatott ügyféllel? A POP3 e-mail fiókokra korlátozódik, vagy IMAP, Exchange vagy akár web alapú e-maileket is kezel? A továbbiakban alaposan megvizsgáljuk az egyes csomagok spam-ellenes képességeit, de többé nem töltünk le és nem analizálunk több ezer e-mailt.

A Security Suite teljesítményének tesztelése

Amikor a biztonsági csomag gondosan figyeli a rosszindulatú programok támadásait, védekezik a hálózati behatolások ellen, megakadályozza, hogy böngészője veszélyes webhelyeket látogasson el, és így tovább, egyértelműen a rendszer egy részének CPU-ját és egyéb erőforrásait használja munkájához. Néhány évvel ezelőtt a biztonsági lakosztályok hírnevet szerzett a rendszer erőforrásainak annyira nagy mennyiségű felszívására, hogy a saját számítógépének használata befolyásolta. Manapság sokkal jobb a helyzet, de még mindig végezzünk néhány egyszerű tesztet, hogy betekintést nyerjünk az egyes csomagok rendszer teljesítményére gyakorolt ​​hatásáról.

A biztonsági szoftvereknek a lehető legkorábban kell betölteniük a rendszerindítási folyamatot, hogy ne találjanak már ellenőrzött malware programokat. A felhasználók azonban a Windows újraindítás utáni használatának megkezdéséhez nem akarnak várakozni hosszabb ideig. A teszt szkriptünk azonnal elindul a rendszerindítás után, és megkérdezi a Windows-t, hogy másodpercenként egyszer jelentse a CPU felhasználási szintjét. 10 másodperc után egymás után, amikor a CPU-használat nem haladja meg az 5% -ot, kijelenti, hogy a rendszer használatra kész. A rendszerindítási folyamat kezdetének levonásával (ahogyan azt a Windows jelentette) tudjuk, mennyi ideig tartott a rendszerindítási folyamat. A teszt sok ismétlését lefuttatjuk, és összehasonlítottuk az átlagot sok ismétléssel, ha nem volt szettek.

Valójában valószínűleg nem csak egyszer, naponta egyszer indítja újra a számítógépet. A mindennapi fájlműveleteket lelassító biztonsági csomag jelentősebb hatást gyakorolhat a tevékenységeire. Az ilyen jellegű lelassulás ellenőrzése érdekében elkészítünk egy szkriptet, amely mozgatja és átmásolja a meghajtók között egy nagy, hatalmas fájlok nagy gyűjteményét. Átlagolva több futtatást Suite nélkül, és több futást aktív biztonsági csomag esetén, meghatározhatjuk, hogy a csomag milyen mértékben lelassította ezeket a fájltevékenységeket. Egy hasonló szkript méri a készlet hatását egy szkriptre, amely ugyanazt a fájlgyűjteményt becsomagolja és kibontja.

A legkönnyebb érintéssel rendelkező lakosztályok átlagos lelassulása ebben a három tesztben kevesebb, mint 1 százalék lehet. A spektrum másik végén nagyon kevés lakosztály átlagosan 25, vagy annál több. Valójában észreveheti a nehezebb kezű lakosztályok hatását.

Tűzfalvédelem tesztelése

A tűzfal sikerének számszerűsítése nem olyan egyszerű, mivel a különböző gyártók eltérő elképzeléseik vannak arról, hogy a tűzfalat mit kell tenni. Ennek ellenére számos tesztet alkalmazhatunk ezek többségére.

A tűzfal általában két feladattal rendelkezik: védi a számítógépet a külső támadásoktól és biztosítja, hogy a programok ne használják vissza a hálózati kapcsolatot. A támadás elleni védekezéshez fizikai számítógépet használunk, amely a router DMZ portján keresztül csatlakozik. Ez egy közvetlenül az internethez csatlakoztatott számítógép hatását eredményezi. Ez nagyon fontos a teszteléshez, mivel egy útválasztón keresztül csatlakoztatott számítógép gyakorlatilag teljesen láthatatlan az internet számára. Megtaláltuk a tesztrendszert port-szkennelésekkel és más web-alapú tesztekkel. A legtöbb esetben azt tapasztaljuk, hogy a tűzfal teljesen elrejti a tesztelő rendszert a támadásoktól, minden portot lopakodó üzemmódba helyezve.

A beépített Windows tűzfal kezeli az összes port lopakodását, tehát ez a teszt csak alapvető szempont. De még itt is vannak különböző vélemények. A Kaspersky tervezői nem látnak értéket a lopakodó kikötőkben, mindaddig, amíg a portok zárva vannak, és a tűzfal aktívan megakadályozza a támadásokat.

A programvezérlés a legkorábbi személyes tűzfalakban rendkívül gyakorlati volt. Minden alkalommal, amikor egy ismeretlen program megpróbálta elérni a hálózatot, a tűzfal felbukkanott egy lekérdezést, amelyben felszólította a felhasználót, hogy engedélyezi-e a hozzáférést. Ez a megközelítés nem túl hatékony, mivel a felhasználónak fogalma sincs arról, hogy mi a helyes lépés. A legtöbb csak mindent megenged. Mások minden alkalommal a Blokkolás gombra kattintanak, amíg el nem szakítanak egy fontos programot; utána mindent megengednek. A funkciók gyakorlati ellenőrzését egy apró, óránként kódolt böngésző segédprogrammal végezzük, amely mindig ismeretlen programnak minősül.

Egyes rosszindulatú programok megkísérelik megkerülni az ilyen egyszerű programvezérlést azáltal, hogy megbízható programként manipulálják vagy álarcosítják őket. Amikor egy régi iskola tűzfalával találkozunk, képességeinket szivárgási teszteknek nevezett segédprogramok segítségével teszteljük. Ezek a programok ugyanazokat a technikákat használják a programvezérlés elkerülésére, ártalmas hasznos teher nélkül. Kevesebb és kevesebb szivárgási tesztet találunk, amelyek továbbra is működnek a modern Windows verziók alatt.

A spektrum másik végén a legjobb tűzfalak automatikusan konfigurálják az ismert jó programok hálózati engedélyeit, kiküszöbölik az ismert rossz programokat és fokozza az ismeretlen felügyeletet. Ha egy ismeretlen program megkísérel gyanús kapcsolatot, akkor a tűzfal bekapcsol, hogy megállítsa.

A szoftver nem és nem lehet tökéletes, ezért a rossz fiúk keményen dolgoznak, hogy biztonsági lyukakat találjanak a népszerű operációs rendszerekben, böngészőkben és alkalmazásokban. Kihasználják a rendszerbiztonság kompromittálását, a felfedezett sebezhetőségek felhasználásával. A kiaknázott termék gyártója természetesen a lehető leghamarabb kiad egy biztonsági javítást, de amíg a javítást valóban nem alkalmazza, sebezhető vagy.

A legokosabb tűzfalak elfogják ezeket a támadásokat hálózati szinten, így soha nem is érik el számítógépét. Még azok számára is, akik nem vizsgálnak hálózati szinten, az antivírus összetevő sok esetben megsemmisíti a kizsákmányolásból származó rosszindulatú programok hasznos terhelését. A CORE Impact penetrációs eszközt használjuk, hogy mindegyik tesztrendszert elérjék mintegy 30 legutóbbi kihasználással, és rögzítsük, hogy a biztonsági termék hogyan védte le őket.

Végül elvégezzünk egy józanság-ellenőrzést, hogy megtudjuk, vajon egy rosszindulatú program-kódoló könnyen letilthatja-e a biztonsági védelmet. Be / ki kapcsolót keresünk a nyilvántartásban, és teszteljük, hogy használható-e a védelem kikapcsolására (bár évek óta találtunk egy terméket erre a támadásra). A Task Manager használatával megpróbáljuk megszakítani a biztonsági folyamatokat. És ellenőrizzük, hogy lehet-e leállítani vagy letiltani a termék alapvető Windows szolgáltatásait.

A szülői felügyelet tesztelése

A szülői felügyelet és felügyelet a programok és szolgáltatások széles skáláját fedezi. A tipikus szülői felügyeleti segédprogram távol tartja a gyerekeket a kellemetlen webhelyektől, figyelemmel kíséri internethasználatukat, és lehetővé teszi a szülők számára, hogy meghatározzák, mikor és mennyi ideig engedélyezik a gyerekeknek az internetet minden nap. Más funkciók a csevegőpartnerek korlátozásától a kockázatos témákkal kapcsolatos Facebook-hozzászólások járőrzéséig terjednek.

Mindig elvégezzük a józanság-ellenőrzést annak ellenőrzése érdekében, hogy a tartalomszűrő valóban működik-e. Mint kiderült, a pornó oldalak tesztelésére rövid pillanat alatt elérhető. Szinte minden olyan URL-t, amely méretjelzőből áll, és egy normálisan lefedett testrész neve már pornóoldal. Nagyon kevés termék nem teljesíti ezt a tesztet.

Egy apró házon belüli böngésző segédprogramot használunk annak ellenőrzésére, hogy a tartalom szűrése független-e a böngészőtől. Kibocsátunk egy háromszósságú hálózati parancsot (nem, ezt nem tesszük közzé itt), amely letilt néhány egyszerű gondolkodású tartalomszűrőt. És ellenőrizzük, hogy elkerülhetjük-e a szűrőt egy anonimizáló proxy webhely használatával.

A gyermekek számítógépének vagy internetének használatára vonatkozó határidők bevezetése csak akkor hatékony, ha a gyerekek nem zavarhatják az időmérést. Ellenőrizzük, hogy az időbeosztás funkció működik-e, majd próbáljuk megkerülni azt a rendszer dátumának és időpontjának visszaállításával. A legjobb termékek dátuma és időpontja szempontjából nem támaszkodnak a rendszer órájára.

Ezután egyszerűen csak azon szolgáltatások tesztelése kérdése, amelyekkel a program állítja. Ha ígéri azt, hogy blokkolja az egyes programok használatát, akkor bekapcsoljuk ezt a funkciót, és megpróbáljuk megszakítani a program áthelyezésével, másolásával vagy átnevezésével. Ha azt mondja, hogy kiküszöböli a rossz szavakat az e-mailből vagy az azonnali üzenetküldésből, akkor egy véletlenszerű szót adunk a blokklistához, és ellenőrizzük, hogy nem kerül-e elküldés. Ha állítása szerint korlátozhatja az azonnali üzenetküldő kapcsolatokat, két fiókunk között megbeszélést létesítünk, majd az egyiket letiltjuk. Bármelyik vezérlő vagy megfigyelő teljesítményt is ígér a program, mindent megteszünk annak tesztelésére.

Antivirus Lab tesztek értelmezése

Nincs elég erőforrásunk az ilyen kimerítő antivírus tesztek futtatásához, amelyeket független laboratóriumok végeznek szerte a világon, ezért különös figyelmet fordítunk ezek eredményeire. Két olyan laboratóriumot követünk, amelyek tanúsításokat állítanak ki, és négy laboratóriumot, amelyek rendszeresen kiadják a teszteredményeket, és az eredményeket felhasználva segítenek az értékelésünkben.

Az ICSA Labs és a West Coast Labs a biztonsági tanúsítási tesztek széles skáláját kínálja. Különösen a rosszindulatú programok felismerésére és a rosszindulatú programok eltávolítására vonatkozó tanúsítványainkat követjük. A biztonsági szolgáltatók fizetnek, ha termékeiket tesztelik, és a folyamat során a laboratóriumok segítséget nyújtanak a tanúsítást megakadályozó problémák megoldásához. Amit itt nézünk, az a tény, hogy a laboratórium a terméket elég jelentősnek találta a teszteléshez, és az eladó hajlandó volt fizetni a tesztelésért.

A németországi Magdeburgi székhelyű AV-Test Institute folyamatosan víruskereső programokat tesz különféle tesztek segítségével. Az egyik, amelyre összpontosítunk, egy három részből álló teszt, amely akár 6 pontot is megkaphat mindhárom kategóriában: védelem, teljesítmény és használhatóság. A tanúsítás eléréséhez egy terméknek összesen 10 pontot kell szereznie nulla nélkül. A legjobb termékek ebben a tesztben tökéletes 18 pontot hoznak.

A védelem tesztelése érdekében a kutatók mindegyik terméket az AV-Test referenciakészletének, több mint 100 000 mintának, és több ezer rendkívül széles körben elterjedt mintának teszik ki. A termékek hitelt kapnak a fertőzés bármilyen szakaszában történő megakadályozása érdekében, legyen az akár a rosszindulatú szoftverek tárolására szolgáló URL-hez való hozzáférés megakadályozása, a rosszindulatú programok észlelése az aláírások segítségével, vagy a rosszindulatú programok futásának megakadályozása. A legjobb termékek gyakran elérték a 100 százalékos sikert ebben a tesztben.

A teljesítmény fontos - ha az antivírus észrevehetően hátráltatja a rendszer teljesítményét, egyes felhasználók kikapcsolják. Az AV-Test kutatói megmérik az időkülönbséget, amely 13 közös rendszerművelet elvégzéséhez szükséges, a jelen lévő biztonsági termékkel és anélkül. Ezek között a fájlok letöltése az internetről, a fájlok másolása mind helyi, mind a hálózaton keresztül, valamint a közös programok futtatása. Több futtatás átlaga alapján meg tudják határozni, hogy az egyes termékek milyen hatással vannak.

A használhatóság tesztje nem feltétlenül az, amit gondol. Ennek semmi köze nincs a könnyű használathoz vagy a felhasználói felület kialakításához. Inkább a felhasználhatósági problémákat méri, amelyek akkor fordulnak elő, amikor egy víruskereső program tévesen jelöl egy legitim programot vagy weboldalt rosszindulatúnak vagy gyanúsnak. A kutatók aktívan telepítik és működtetik a folyamatosan változó népszerű programok gyűjteményét, észrevegyék az antivírusok furcsa viselkedését. Egy külön beolvasható teszttel ellenőrzik, hogy az antivírus nem azonosítja-e a 600 000-nél több legitim fájlt rosszindulatú programként.

Az AV-Comparatives által rendszeresen kiadott, az Ausztriában székhellyel rendelkező és az Innsbrucki Egyetemmel szorosan együttműködő tesztek négyéből (korábban ötből) származó eredményeket gyűjtünk. A tesztet sikeres biztonsági eszközök Standard tanúsítvánnyal rendelkeznek; azokat, amelyek kudarcot vallnak, csak tesztelték. Ha egy program meghaladja a szükséges minimumot, akkor kereshet Advanced vagy Advanced + tanúsítvánnyal.

Az AV-Comparatives fájldetektálási teszt egy egyszerű, statikus teszt, amely minden vírusölőt körülbelül 100 000 malware mintával szemben ellenőriz, hamis pozitív tesztekkel a pontosság biztosítása érdekében. És a teljesítményteszt, hasonlóan az AV-teszthez, megmér minden hatást a rendszer teljesítményére. Korábban bevontuk a heurisztikus / viselkedési tesztet; ezt a tesztet elhagyták.

Az AV-Comparatives dinamikus teljes terméktesztét tartjuk a legfontosabbnak. A teszt célja a lehető legszorosabban szimulálni a tényleges felhasználói élményt, lehetővé téve a biztonsági termék összes összetevőjén, hogy lépéseket tegyen a rosszindulatú programok ellen. Végül a kármentesítési teszt egy rosszindulatú program gyűjtésével kezdődik, amelyről az összes tesztelt termék ismert és felismeri a biztonsági termékeket, hogy visszaállítsák a fertőzött rendszert, és teljesen eltávolítsák a rosszindulatú programokat.

Ahol az AV-teszt és az AV-összehasonlító termékek általában 20–24 terméket tesztelnek, az SE Labs általában nem több, mint 10-et jelent. Ez nagyrészt ennek a laboratóriumi tesztnek a jellege miatt. A kutatók a valós világban tároló rosszindulatú szoftverekkel foglalkozó webhelyeket rögzítik és visszajátszási technikát használnak, hogy minden termék pontosan ugyanazt a meghajtó letöltést vagy más webes támadást találja meg. Rendkívül reális, de nehéz.

A támadások egyikét teljesen blokkoló program három pontot kap. Ha a támadás kezdete után cselekedett, de sikerült eltávolítania az összes végrehajtható nyomot, akkor két pontot érdemel. És ha pusztán befejezi a támadást, teljes megtisztítás nélkül, akkor is kap egy pontot. Abban a sajnálatos esetben, ha a rosszindulatú program szabadon fut a tesztrendszeren, a tesztelt termék öt pontot veszít . Emiatt néhány termék ténylegesen nulla alatti.

Külön kutatásban a kutatók értékelik, hogy az egyes termékek mennyire tartózkodnak attól, hogy hibásan azonosítsák az érvényes szoftvert rosszindulatúnak, az eredményeket az egyes érvényes programok prevalenciája alapján súlyozzák, és hogy a hamis pozitív azonosítás milyen hatással lenne. Egyesítik e két vizsgálat eredményeit, és az öt szint egyikén tanúsítják a termékeket: AAA, AA, A, B és C.

• A legjobb biztonsági lakosztályok 2019-re A legjobb biztonsági lakosztályok 2019-re
• A legjobb antivírusvédelem 2019-ig A legjobb antivírusvédelem 2019-ig
• A legjobb ingyenes vírusvédelem 2019-ig A legjobb ingyenes vírusvédelem 2019-ig

Már egy ideje az MRG-Effitas által szállított mintákat használunk rosszindulatú URL-blokkoló tesztünkben. Ez a laboratórium negyedéves eredményeket ad ki két, az általunk követett teszthez. A 360 értékelési és tanúsítási teszt szimulálja a valós védelmet az aktuális rosszindulatú programok ellen, hasonlóan az AV-Comparatives által használt dinamikus valós teszthez. Az a termék, amely teljes mértékben megakadályozza a mintakészlet általi fertőzést, 1. szintű tanúsítvánnyal rendelkezik. A 2. szintű tanúsítás azt jelenti, hogy a rosszindulatú programok legalább egy része fájlokat és egyéb nyomokat telepített a tesztrendszerre, de ezeket a nyomokat a következő újraindításkor megsemmisítették. Az online banki tanúsítás kifejezetten teszteket tesz a pénzügyi rosszindulatú programok és botnetek elleni védelem érdekében.

A laboratóriumi eredmények átfogó összefoglalójának elkészítése nem könnyű, mivel a laboratóriumok nem tesztelik ugyanazt a programgyűjteményt. Olyan rendszert dolgoztunk ki, amely normalizálja az egyes laboratóriumok pontszámait 0 és 10 közötti értékre. Az összesített laboratóriumi eredménytáblázat az eredmények átlagát, a laboratóriumok tesztelésének számát és a kapott tanúsítások számát tartalmazza. Ha csak egy laboratórium foglalkozik egy termékkel a tesztelésben, úgy gondoljuk, hogy ez nem elegendő információ az összesített pontszámhoz.

Lehetséges, hogy megjegyezte, hogy a tesztelési módszerek e listája nem terjed ki a virtuális magánhálózatokra vagy a VPN-kre. A VPN tesztelése nagyon különbözik a biztonsági csomag bármely más részének tesztelésétől, ezért külön magyarázatot adtunk a VPN szolgáltatások tesztelésére.