Video: Virus Attack (September 2024)
Per definition är det inte möjligt att köra ett test med faktiska nolldagsprov. När forskarna kunde fånga och validera ett prov skulle antivirusleverantörerna redan vara på väg att förbereda en signatur. AV-Comparatives simulerar nolldagars upptäckt genom att "frysa" en produkts signaturdatabas och sedan använda endast prover som först dykte upp efter den stora frysningen.
Vissa produkter kommer att upptäcka ny skadlig programvara med hjälp av heuristiska tekniker, identifiera dem genom likhet med känd skadlig programvara eller genom andra egenskaper. Forskarna lanserade varje prov som inte fångats av heuristik och noterade om produktens beteendebaserade upptäckt eller annat realtidsskydd förhindrade angrepp. Produkter tjänade full kredit för att ha blockerat skadlig programvara i sig själv och halvkrediter i situationer där blockering krävde ett korrekt beslut av användaren.
Mycket bra upptäckt
Baserat enbart på deras upptäckthastigheter skulle 11 av de 16 testade produkterna ha erhållit ett avancerat + betyg, toppklassificeringen. Bitdefender toppade denna grupp med 97 procent upptäckt; Kaspersky och Emsisoft lyckades båda ha 94 procent. Panda och Avast skulle ha vunnit AVANCERAD. Microsoft skulle också ha fått ett AVANCERAT-betyg, men AV-Comparatives använder det bara som en baslinje. Längst ner skulle AnhLab och Vipre ha gått med ett STANDARD-betyg.
Pesky False Positives
Heuristiska och beteendebaserade detekteringssystem måste vara mycket noggranna inställda för att undvika att flagga giltiga program som farliga - det är vad vi kallar falskt positivt. Ganska många av de testade produkterna förlorade poäng för för många falska positiver. Eftersom detekteringstestet utfördes med underskrifter frusna i februari, kunde forskarna återanvända de falska positiva resultaten från ett test som genomfördes i mars.
Sex av de testade produkterna tappade en klassificeringsnivå på grund av för många falska positiver. För Emsisoft, eScan och G Data innebar det att släppa från ADVANCED + till ADVANCED, medan Panda sjönk från ADVANCED till STANDARD. När det gäller AhnLab och Vipre var de båda redan på den lägsta passande nivån, så deras slutbetyg blev bara TESTAD; de passerade inte.
Molnkontrovers
Leverantörer som skickar in sina produkter för testning av AV-Comparatives måste komma överens om att delta i alla nödvändiga tester. Det signaturbaserade fildetekteringstestet är ett av de obligatoriska uppsättningarna; Symantec godkänner inte testet, varför du inte hittar resultat för Norton i AV-Comparatives-rapporter.
Det proaktiva testet, å andra sidan, är valfritt. Enligt rapporten beslutade "AVG, McAfee, Qihoo, Sophos och Trend Micro att inte delta, eftersom deras produkter förlitar sig mycket på molnet." Nolldagstestet utesluter nödvändigtvis molnbaserad detektion, eftersom det inte finns något sätt att "frysa" molnet. Dessa leverantörer ansåg att deras produkter skulle göra resultat dåligt utan tillgång till en molnanslutning.
Medan AV-jämförelser tillät dessa leverantörer att böja sig ut, skäller rapporten dem bara lite. "Även flera veckor senare upptäcktes fortfarande inte ett antal av de skadliga prover som användes av några molnberoende produkter, även när deras molnbaserade funktioner var tillgängliga", heter det. "Vi anser att det är en marknads ursäkt om retrospektiva test… kritiseras för att de inte får använda molnresurser." Rapporten avslutar "Om en fil är helt ny / okänd kommer molnet vanligtvis inte att kunna avgöra om det är bra eller skadligt."
Om ditt antivirus fick ett högsta betyg i detta test är det ett gott tecken på att det kommer att försvara sig mot helt nya nolldagarshot. Men eftersom testet bokstavligen inte använder verkliga prover som aldrig har sett förut, kan en dålig poäng (eller inget deltagande) inte nödvändigtvis bevisa att det inte kommer att göra jobbet. För en fullständig förståelse, vill du titta på ett brett utbud av tester och på PCMags fördjupade praktiska antivirusrecensioner.
