Які антивірусні продукти найкраще захищають себе?

Ви захищаєте свої дані та свої пристрої від свого антивірусу чи пакета безпеки, але наскільки він захищає себе? Програмне забезпечення безпеки - це лише програмне забезпечення, яке має недоліки, як і будь-який інший тип програми. Кодери можуть зробити кілька простих кроків, щоб переконатися, що програмний недолік не відкриває програму для використання атаки. Однак останній звіт німецької лабораторії AV-Test Institute показує широкий спектр того, наскільки добре постачальники безпеки озброюють свої продукти проти прямої атаки.

Просте рішення

У звіті AV-Test зазначено, що найкращі програми мають лише одну помилку кожні 2000 рядків коду. Проблема в тому, що велика програма буде містити не тисячі, а мільйони рядків коду. Це багато помилок. Не кожна помилка відкриває програму для нападу зловмисним програмним забезпеченням, але деякі це роблять.

Щоб досягти успіху в атаці, експлуатація повинна змусити програму жертви виконувати шкідливий код. Деякі роблять це, вставляючи код як дані та змушуючи жертву виконувати її. Інші маніпулюють стеком або купами, областями пам'яті, які використовуються програмами для тимчасового зберігання. Заклинювання більше даних у буфері, ніж дозволяє фактична пам'ять, - це ще один спосіб ввести довільний код у простір пам'яті програми.

Існують дві зрілі технології, які можуть перешкодити багатьом подвигам. Захист від виконання даних (DEP) просто запобігає виконанню коду в будь-якій області пам'яті, яка позначена як зберігання даних. Це одне лише знищує одну точку входу для подвигу.

Рандомізація просторового макета адреси (ASLR), як випливає з назви, переміщує сектори пам'яті, використовувані програмою, тому зловмисник не може передбачити, де знайти сектор, що містить вразливий код. Обидві методи широко використовуються в самій Windows. Для більшості сучасних компіляторів реалізація кожної з цих технологій захисту є настільки ж простою, як і перемикання комутатора.

Методика випробувань

Дослідники AV-Test зібрали 24 продукти безпеки споживачів та вісім продуктів, орієнтованих на бізнес. Для кожного продукту вони проводили простий перепис. Вони перераховували кожен виконуваний файл, бібліотеку динамічних посилань, драйвер та. Вони оцінювали 32-бітні та 64-бітні продукти окремо.

Як я вже згадував, результати охоплювали широкий діапазон. ESET був єдиним споживчим продуктом зі 100-відсотковим покриттям; Symantec був єдиним бізнес-продуктом на цьому рівні. Avira, G Data, McAfee та AVG повністю захищають свої 64-бітні продукти за допомогою DEP та ASLR. Однак охоплення їх 32-бітовими виданнями коливалося від 90 до не зовсім 100-відсоткових.

На іншому кінці спектру eScan Internet Security Suite в середньому охоплював лише 17, 5 відсотків. Kingsoft Antivirus в середньому склав 19 відсотків, але взагалі не використовував DEP у своїх 64-бітних продуктах.

Зважаючи на те, що включення цих захисних механізмів - це лише питання переключення компілятора компілятора, чому б продавці їх ігнорували? AV-Test отримав ряд відповідей. Деякі постачальники використовували сторонні бібліотеки, які не були зібрані із захистом. Деякі повідомили, що використовують власну технологію безпеки, несумісну з DEP та ASLR. А деякі заявляли, що певні файли не активно використовуються програмою, тому вони не мають значення. (То чому б не видалити їх?)

Захист, працездатність, зручність використання

Поряд із звітом про самозахист, AV-Test випустив останній звіт про захист, ефективність та зручність використання антивірусу. Ви можете переглянути деталі їх методики тестування в Інтернеті. Повні результати тестів також доступні в Інтернеті; Я потрапив сюди на високі точки.

Касперський набрав ідеальних 18 очок, як і минулого разу, а Авіра за останній час набрала 1, 5 бала, приєднавшись до Касперського на вершині. На спусковому схилі і ZoneAlarm, і Vipre потрапили на 3, 5 бала нижче, ніж минулого разу. Для ZoneAlarm це все було в тесті на продуктивність, де його оцінка знизилася з ідеальних 6 до 2, 5. Віпре втратив очки у всіх трьох областях. Його загальний бал у 8, 5 балів значно нижче 10 балів, необхідних для сертифікації.

Я, безумовно, ціную лабораторії, такі як AV-Test, розширюючи свої оцінки на нові області, як-от перевірка продуктів безпеки для самозахисту. Якщо нічого іншого, цей конкретний звіт змусить виробників безпеки двічі задуматися над тим, як обійтися без DEP та ASLR. Так, є поважні причини пропустити їх для конкретних файлів, але відсутні ці причини, просто переведіть перемикач!