Сравнивать антивирусы - сложнейшее и неблагодарнейшее дело. Уйма подобных материалов публиковалась в одной только "Компьютерре-Онлайн", не говоря уж о других изданиях, и каждый раз выходит, что автор что-то упустил, что-то интерпретировал неверно и вызвал гнев читателей или даже работников антивирусных компаний. В конце концов, некоторые аспекты работы антивирусных программ просто невозможно оценить без дополнительных средств. На этот раз мы придумали, как избежать подобных недоразумений и предоставить читателям наиболее компетентную информацию. Где её взять? Всё очень просто: достаточно передать дело в руки профессионалов. Оказывается, есть на свете люди, которые занимаются именно тестированием и сравнительным анализом антивирусных программ. Есть такая компания и в нашей стране. Предлагаемый отчёт был составлен в тесном сотрудничестве с экспертами из Anti-Malware.ru.
Для теста были отобраны пять антивирусных продуктов: Антивирус Касперского 7.0, Eset Nod32 2.7, DrWeb 4.4, Norton Anti-Virus 2007 и Avira AntiVir PE Classic 7.0. В предлагавшемся изначально списке присутствовали Panda, McAfee, Sophos и ClamAV, но Panda и McAfee в России распространены значительно меньше остальных, а Sophos не имеет персональной версии. Свободно распространяемый ClamAV было решено заменить на просто бесплатный Avira.
Эксперты Anti-Malware.ru выделили две группы критериев, на которые стоит ориентироваться покупателям, - качество защиты и все прочие. Качество защиты, безусловно, наиболее важная часть, но и остальные пункты тоже могут оказаться значимыми. При прочих равных стоит выбирать наименее требовательное к ресурсам решение, да и устойчивость к сбоям может оказаться критичным параметром.
В качестве общих критериев были выделены: замедление работы системы при использовании антивируса, удобство интерфейса, простота использования, функциональность, устойчивость к сбоям, гибкость настроек, простота установки.
Большинство этих параметров достаточно сложны для оценки и сильно подвержены субъективным решениям, так что за основу экспертная группа взяла отзывы и комментарии пользователей на портале Anti-malware.ru. Скорость сканирования и ресурсоёмкость, впрочем, замерялась самостоятельно (отдельно на исполняемых файлах, архивах и объектах OLE).
При оценки качества защиты учитывались: скорость реакции, качество сигнатурного детектирования, качество эвристического анализатора, качество поведенческого блокиратора, возможность лечения активных заражений, возможность обнаружения активных руткитов, самозащита, поддержка упаковщиков и количество ложных срабатываний.
Для определения скорости реакции оценивалась реакция антивирусной программы при обнаружении новейших видов вредоносных программ. В этих целях использовалось более 200 семплов, собранных за последние две недели, сразу после получения. Здесь выигрывают антивирусы, базы которых пополняются наиболее активно.
Эффективность сигнатурного детектирования проверялась на коллекции ITW, собранных Anti-Malware.ru за последние 6 месяцев, что составляет в сумме около 1000 семплов.
Эффективность работы эвристического анализатора проверяется методом сканирования 200 семплов новых вирусов, собранных за последние две недели. Чтобы исключить возможность определения вирусов по их сигнатурам и дать работу эвристическому анализатору, в этом тесте специально применяются устаревшие антивирусные базы.
Оценивалось и качество поведенческого блокиратора. Многие из протестированных антивирусов его просто не имеют, так что важно хотя бы его наличие.
Чтобы оценить возможности лечения активного заражения экспертами были выбраны 17 семплов наиболее опасных вредоносных программ. Для прохождения этого теста антивирусная программа должна успешно справиться с последствиями работы вируса.