Методология теста проактивной антивирусной защиты (декабрь 2007)

Тест проводился на специально подготовленном стенде под управлением VMware GSX Server. Для каждого антивирусного продукта клонировалась «чистая» виртуальная машина с операционной системой Microsoft Windows XP SP2.

В тестировании участвовали следующие антивирусные программы:

1. Agnitum Outpost Security Suite 2008
2. Avast! Professional Edition 4.7
3. AVG Anti-Virus Professional Edition 7.5
4. Avira AntiVir Personal Edition Premium 7.0
5. BitDefender Antivirus 2008
6. Dr.Web 4.44
7. Eset Nod32 Anti-Virus 3.0
8. F-Secure Anti-Virus 2008
9. Kaspersky Anti-Virus 7.0
10. McAfee VirusScan Plus 2008
11. Panda Antivirus 2008
12. Sophos Anti-Virus 7.0
13. Symantec Anti-Virus 2008
14. Trend Micro Antivirus plus Antispyware 2008
15. VBA32 Antivirus 3.12

При установке антивирусов производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

После подготовки тестового стенда создавались специальные условия для проверки эффективности работы эвристика. Для этого у всех антивирусов отключалась функция обновления, т.е. происходило замораживание антивирусных баз данных на дату начала теста.

В "дикой природе" (In The Wild, далее ITW: корпоративные шлюзы, поступления в частные коллекции), отбирались ITW-образцы вредоносных программ, поступившие в источники через две недели после заморозки антивирусных баз. Новизна образцов определялась по отсутствию совпадений хешей по общей коллекции Anti-Malware.ru, которая собиралась в течение шести месяцев до начала теста. Таким образом, обеспечивался отбор вредоносных программ, с высокой степенью вероятности еще неизвестных антивирусам на момент прекращения обновлений (заморозки антивирусных баз).

Важно! Разрыв в две недели между заморозкой антивирусных баз и началом сбора вредоносных программ был сделан намеренно, чтобы минимизировать возможность попадания в коллекцию образцов, известных какому-либо антивирусу.

В результате всех мероприятий моделировалась ситуация, при которой эффективность классических сигнатурных компонент защиты сводилась к нулю. В результате любое детектирование неизвестного по определению образца при простом сканировании по требованию могло осуществляться только проактивной эвристической компонентой, чего мы и хотели.

Сканирование по требования производилось с максимально возможными настройками: включение эвристики (максимальный уровень), проверка всех файлов, обнаружение всех типов вредоносных и потенциально опасных программ.

В качестве приложения к тесту после его окончания проводилось обновление всех антивирусных программ, и делалась повторная проверка коллекции (через неделю после окончания основного тестирования). В результате фиксировалась эффективность работы классических сигнатурных методов каждого антивируса в дополнение к эвристике.

Шаги создания тестовой среды:

1. Установка антивирусной программы на чистую машину;
2. Перезагрузка системы;
3. Проверка успешной установки и работоспособности всех модулей программы;
4. Обновление антивирусной программы;
5. Перезагрузка системы;
6. Выключение функций обновления, отключения от сети Интернет (заморозка баз);
7. Сохранение образа виртуальной машины;
8. Отключение виртуальной машины на 6 недель;
9. Сбор тестовой коллекции вредоносных программ.

Шаги проведения тестирования:

1. Включение виртуальной машины;
2. Проверка коллекции отобранных новых вредоносных программ сканером по требованию (настройки на автоматическое удаление обнаруженных объектов);
3. Подсчет оставшихся образцов после проверки коллекции;
4. Обновление антивируса;
5. Повторная проверка оставшихся в пункте 3 образцов.
6. Подсчет оставшихся образцов после повторной проверки коллекции.

Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина – шаг 1. Для каждого антивируса создавалась своя копия коллекции вредоносных программ – шаг 9.