Jak testować antywirusa
- 27.10.2009
Aby uzyskać rzetelne wyniki podczas testowania systemu antywirusowego, należy ocenić znacznie więcej niż tylko prosty odsetek zablokowanych ataków.
Aby test był przeprowadzony wiarygodnie, należy użyć rzeczywiście występujących próbek, związanych z atakami. Do pozyskiwania służą najczęściej specjalnie przygotowane skrzynki pułapki, których zadaniem jest zbieranie załączników, spamu oraz wiadomości związanych z phishingiem. W tradycyjnym modelu zazwyczaj była to skrzynka pocztowa, której adres e-mail był specjalnie umieszczany (jawnie lub niewidocznie) na wielu stronach WWW, listach dyskusyjnych usenet i w podobnych miejscach.
Plik dobry, link lepszy
Ważnym źródłem są próbki dostarczane przez dostawców oprogramowania antywirusowego, złapane na żywo (in the wild) w Internecie, wykryte często dopiero na podstawie zachowania kodu po infekcji. Jest to bogate źródło wykrytego kodu, m.in. dlatego, że dostawcy systemów antywirusowych korzystają z efektu skali - wykrywają wiele infekcji naraz. Nie zawsze przesyłana jest całość kodu, czasami są to tylko fragmenty, ale nie ulega wątpliwości, że takie próbki są niezbędne. Czasami dodaje się do nich także próbki zgłaszane przez wolontariuszy, zebrane np. przez serwisantów lub pracowników IT. Te ostatnie mogą zawierać malware specjalnie przygotowany do ataku przeciw konkretnej instytucji. Są to cenne próbki, ale bardzo niszowe. Ważną cechą takich próbek jest dostosowanie do omijania konkretnego antywirusa.
Szczególnym rodzajem próbek są pliki zapakowane za pomocą narzędzia ataku, takiego jak Metasploit. Przy pewnych opcjach, które dodają losowy fragment kodu, każda wygenerowana próbka posiada inny skrót kryptograficzny. W ten sposób można sprawdzić reakcję oprogramowania antywirusowego na nowe, nieznane dotąd pliki.