Методология теста самозащиты антивирусов (сентябрь 2010) - Тесты и сравнения антивирусов

Методология теста самозащиты антивирусов (сентябрь 2010)

Методология теста самозащиты антивирусов (сентябрь 2010)

В тестировании принимали участие 20 наиболее популярных антивирусных программ класса Internet Security актуальных версий на дату начала тестирования (01.08.2010), среди которых:

 

 

 

 

 

    1. Avast Internet Security 5.0.462
    2. AVG Internet Security 9.0 (build 117)
    3. Avira AntiVir Premium Security Suite 10.0.0.542
    4. BitDefender Internet Security 2010 (Build: 14.0.23.312)
    5. Comodo Internet Security 4.1.19277.920
    6. Dr.Web Security Space 6.0 (12.0.0.58851)
    7. Eset Smart Security 4.2.40.10
    8. F-Secure Internet Security 2010 (1.30.15265.0)
    9. G DATA Internet Security 2011 (21.0.2.1)
    10. Kaspersky Internet Security 2011 (11.0.1.400)
    11. McAfee Internet Security 2010 
    12. Microsoft Security Essentials 1.0.1963.0
    13. Norton Internet Security 2010 (17.7.0.12)
    14. Online Solutions Security Suite 1.5
    15. Outpost Security Suite Pro 2010 (7.0)(3377.514.1238.401)
    16. Panda Internet Security 2011(16.00.00)
    17. PC Tools Internet Security 2010 (7.0.0.545)
    18. Trend Micro Internet Security 2010 (17.50.0.1366)
    19. VBA32 Personal 3.12.12.6
    20. ZoneAlarm Security Suite 2010 (9.3.14.0)

Тест проводился на специально подготовленном стенде под управлением VMware Workstation 7.1.0 (build-261024). Для каждого антивирусного продукта клонировались "чистые" виртуальные машины под операционными системами Microsoft Windows XP SP3 (x86) и Windows 7 (x86).

При установке антивирусов использовались рекомендуемые производителем настройки по умолчанию и производились все рекомендуемые программой действия (перезагрузка системы, обновление и т.д.). Все компоненты защиты активировались, если это не было предусмотрено после установки автоматически.

Тестирование самозащиты антивирусов проводилось по следующим параметрам:

  1. Самозащита на уровне системы:
    1. изменение разрешений на доступ к файлам;
    2. изменение разрешений на доступ к ключам реестра.
  2. Защита собственных файлов:
    1. модификация/удаление модулей;
    2. удаление антивирусных баз.
  3. Защита своих ключей реестра:
    1. модификация/удаление значимых ключей реестра (вручную):
      • ключи автозапуска;
      • ключи сервисов;
      • ключи конфигурации.
  4. Защита своих процессов:
    1. Предотвращение завершения процессов:
      • из TaskManager;
      • API с уровня пользователя:
        1. стандартно (TerminateProcess);
        2. завершить все ветки процесса (TerminateThread);
        3. завершить процесс как задачу (EndTask);
        4. завершить процесс как работу (EndJob);
        5. завершить процесс при помощи дебагера (DebugActiveProcess);
        6. модификация указателя инструкций (EIP);
        7. сообщение от рабочей станции (WinStationTerminateProcess);
        8. "bruteforce" message posting;
        9. удаление после перезагрузки.
      • посылка сообщений (SendMessage API):
        1. WM_CLOSE;
        2. WM_QUIT;
        3. WM_SYSCOMMAND/SC_CLOSE;
        4. Комбинация пунктов 1-3;
        5. PostMessage;
        6. SendMessageCallback;
        7. SendNotifyMessage;
        8. PostThreadMessage.
      • API с уровня ядра:
        1. ZwTerminateProcess;
        2. ZwTerminateThread.
    2. Модификация процесса/кода:
      • инжектирование кода (CreateRemoteThread);
      • инжектирование DLL;
      • изменение атрибутов защиты памяти (VirtualProtectEx);
      • запись в процесс (WriteProcessMemory).
    3. Выгрузка драйверов

Проверка самозащиты производилась при помощи специально подготовленных утилит, имитирующих атаки или вручную, с правами локального администратора. После каждой атаки обязательно проводилась проверка работоспособности антивируса (его отдельных модулей, активных процессов, сервисов, драйверов, а так же проводилась проверка детектирования вредоносных программ при помощи тестового вируса EICAR).

Если в ходе тестов на завершение/модификацию процессов один из них завершался (т.е. атака на него удавалась), то все остальные процессы подвергались атаке повторно.

Шаги проведения тестирования:

  1. Установка антивирусной программы на чистую машину;
  2. Перезагрузка системы;
  3. Проверка успешной установки и работоспособности всех модулей программы;
  4. Сохранение образа виртуальной машины;
  5. Проверка самозащиты по одному из параметров;
  6. Повторная проверка работоспособности модулей программы;
  7. Откат системы к сохраненному ранее образу (пункт 4).

Для каждой антивирусной программы выделялась отдельная чистая виртуальная машина - шаг 1. После каждой проверки самозащиты антивируса по какому-либо критерию, машина откатывалась в первоначальное состояние - шаг 4.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Если вы являетесь производителем и хотели бы видеть свой продукт в списке протестированных по данной методологии или обновить его результаты, не дожидаясь нового планового теста, вы можете воспользоваться услугой индивидуального тестирования.