Существует мнение, что реальное качество работы антивируса в ходе экспериментов определить нельзя. Чаще всего оно обуславливается тем, что если взять ограниченный набор образцов, то мы можем оценить лишь качество детектирования конкретно этого набора, но не всех существующих вирусов вместе. Вполне очевидно, что это правда, однако если ваши данные будут уничтожены каким-либо вирусом, вам будет безразлично, насколько хорош ваш антивирус в целом - важны конкретные моменты. Поэтому, мы случайным образом выбираем ограниченный набор образцов для тестирования и оцениваем качество детектирования на нем, допуская, что где-то там этот антивирус может показать себя лучше или хуже.
В данном тестировании приняли участие следующие продукты:
* Personal - бесплатная версия, Premium - платная, но результаты показывают одинаковые, поэтому мы исключаем Premium из таблиц результатов и задаемся вопросом, зачем покупать этот продукт;
** Как было установлено ранее, NIS2011 и SEP12 используют одинаковые антивирусные базы и между собой они различаются только интерфейсом. Мы остановимся на NIS2011 как продукте, ориентированным на домашнего пользователя;
*** В ходе предыдущего тестирования G-Data показал себя лидером по качеству детектирования, поэтому мы взяли сразу три версии этого продукта, оказалось, что они ничем не отличаются кроме интерфейса и скорости работы (версия 2012 работает быстрее других), поэтому мы оставим G-Data 2012 в таблицах, а две предыдущие версии опустим;
Немного о методике. Тестирования проходило в четыре этапа в которых исследовались четыре коллекции с образцами вредоносного ПО, хакерскими утилитами, программами-шутками и различным мусором (вроде поврежденных программ). В результат шло количество оставшихся после работы антивируса файлов. Сами коллекции представляют собой следующее:
Для первого этапа предлагался набор из отобранных вручную образцов вирусов 1996~2010 года создания. Образцы проверены на запускаемость в среде Windows XP SP3. Самые опасные смогли уничтожить необходимые для загрузки ОС файлы, самые безопасные после запуска сразу закрылись.
Для второго этапа был сформирован набор из всего, что удалось найти - это и рабочие вирусы, и несамостоятельные их компоненты, и зараженные файлы, и даже примитивные bat-вирусы.
Для третьего этапа была взята коллекция из 3339 файлов. Основная цель данного этапа - сравнение количества обнаружений различных антивирусных продуктов.
Для четвертого этапа были отобраны новейшие образцы вредоносного ПО 2010~2011 года создания. О качестве работы антивирусов будем говорить, опираясь, в основном, на этот этап.
I Этап
В коллекции для данного этапа содержались 94 файлов, каждый был проверен на виртуальной машине под Windows XP SP3 на предмет запускаемости.
Большинство антивирусов справились на этом этапе неплохо. Отдельно стоит отметить Антивирус Касперского, Emsisoft и G-Data, которые нашли опасность там, где ее на самом деле не было. Ну и Dr.Web CureIt!, который пропустил слишком много опасных объектов.
II Этап
Для данного этапа была подготовлена коллекция из 6164 файлов, в которой, по примерным оценкам, 3500 файлов содержат опасный код. Остальные файлы не представляют опасность либо потому, что они впринципе не запускаются, либо потому, что они ничего не делают, либо это обычные пользовательские программы, часть из которых была "вылечена" после заражения. Результаты данного этапа:
Как видно, большинство антивирусов предпочитают "прямой" подход к вопросу детектирования - если в файле есть участки кода, напоминающие обнаруженные в вирусах, файл автоматически определяется как опасный, даже если это на самом деле не так. Другая ситуация, когда файл вируса опасен, но поврежден и в силу этого не может быть запущен. Данный этап демонстрирует, что даже при срабатывании антивируса, файл не обязательно представляет опасность, это всего лишь значит, что в нем нашлись похожие на то, что есть в антивирусных базах, участки кода. По этой причине антивирусы часто срабатывают на кейгены, патчи и модули обхода защиты, которые на самом деле могут и не нести опасности.
III Этап
Данный этап был проведен исключительно для анализа результатов детектирований.
IV Этап
Основной этап нашего тестирования. Здесь приведены образцы вредоносного ПО 2010 ~ 2011 года создания, именно эти цифры покажут, насколько хорошо антивирусы справляются с новыми угрозами. В данной коллекции около 10 безопасных файлов - это несамостоятельные компоненты каких-то вирусов, которые, тем не менее, должны детектироваться современными антивирусами.
Выводы:
Eset NOD32 4.2 неплохо показал себя в ходе всех этапов тестирования. Он прекрасно обнаружил угрозы на первом и втором этапах, на третьем он доказал, что не удаляет из базы опасные старые вирусы, как это делает большинство, а на четвертом этапе он показал один из лучших результатов по детектированию современных угроз. Такой продукт можно смело рекомендовать пользователям любого уровня подготовки.
Avast 6 Free показал очень много ложных срабатываний на безвредные файлы и в ходе третьего этапа обнаружил меньше угроз, чем год назад, что говорит об удалении из базы старых угроз. На четвертом этапе показал себя неплохо, но проблема ложных срабатываний ставит под сомнение целесообразность его использования неподготовленными пользователями.
Dr.Web 6 показал относительно неплохие результаты на первых трех этапах и средний результат на четвертом. Неплохой вариант для домашнего использования, но за аналогичную цену есть продукты и лучше.
Антивирус Касперского 2011 показал отличные результаты детектирования и множество ложных срабатываний. В целом, по уровню работы аналогичен бесплатному Avast!, разве что тормозит систему гораздо сильнее.
Dr.Web CureIt! - бесплатный сканер от DrWeb, фактически, самостоятельный кусок антивируса. Качество обнаружения хуже, чем у большинства проверенных антивирусов, не обладает резидентным сканером и годен лишь для проверки ПК в экстренной ситуации.
Comodo Antivirus 2011 по уровню ложных срабатываний обошел абсолютно всех, однако качество детектирования современных угроз держится на среднем уровне. В итоге общее качество можно оценить как "ниже среднего".
Avira Antivir Personal показал плохой уровень обнаружения старых угроз и отличный уровень обнаружения новых. Стратегия антивируса - удаление из базы старых записей с целью ускорения работы. Мы считаем эту стратегию ненадежной и оцениваем качество работы продукта в целом как "ниже среднего".
Emsisoft Anti-Malware - сравнительно молодой продукт, который показал прекрасное качество работы на всех четырех этапахи даже нашел больше всех современных угроз. оценить работу можно только как "отлично", будем следить за успехами продукта.
Norton Internet Security 2011 на протяжении всех тестирований всегда показывал средние результаты, сейчас ситуация аналогичная. Да, он хорошо показал себя на старых образцах, но в случае с детектированием новых угроз его результат четвертый с конца. Это не очень хороший результат.
G-Data Internet Security 2012 немецкий аналог нашего Касперского - обнаруживает все, что только есть, показывает множество ложных срабатываний и при этом еще дико тормозит. Последняя версия сделала шаг вперед в плане скорости работы, но результат все равно оставляет желать лучшего.
Panda Cloud показал плохие результаты на всех этапах тестирования, ужасный интерфейс и абсолютную бесполезность в плане защиты безопасности компьютера. Самая низкая оценка в рамках данного тестирования.
Panda Antivirus 2011 Pro показал средние результаты в ходе первых трех этапов и неплохой результат на современных образцах, но тормозит и неудобен в управлении. Средняя оценка - это больше, чем заслуживает продукт такого уровня.
AVG Internet Security 2011 - средние показатели детектирования угроз как на старых, так и на современных образцах. Можно поставить оценку "средне".
BitDefender 2011 Pro показал средний уровень обнаружения и множество ложных срабатываний на первых этапах и неплохой результат на современных образцах. К минусам можно отнести уже привычные тормоза и крайне неудобный интерфейс, один из самых неудобных среди тестируемых продуктов.
Microsoft Security Essentials показал довольно посредственные результаты в детектировании современных угроз, ввиду чего для домашнего пользователя годится слабо. удобный, быстрый, но бесполезный.
McAfee VirusScan Enterprise 8.8 по качеству обнаружения современных угроз уступает даже MS Security Essentials, однако сюда добавляется невысокая скорость работы и более загруженный интерфейс. Оценка "ниже среднего".
офф сайт lnk
А вот результаты которые были получены нами в ходе тестирования (за оснувы был взят 3й этап и база из 3339 объектов). Тестирование проводилось на виртуальной машине.
З.Ы. Печально, но факт!
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...