Auto-ochrona antywirusów, test 32 programów dla firm i użytkowników domowych

26 listopada 2014

Niezależne laboratorium AV-Test opublikowało wyniki z nietypowego, ale zarazem bardzo ciekawego testu 32 programów antywirusowych. Test dotyczył skuteczności auto-ochrony (self-protection) antywirusów dla firm i konsumentów przed atakami wirusów na ich kod.

AV-Test, by pokazać jak naprawdę producenci ‘chroniąc siebie chronią nas’, zainstalowali poszczególne programy i rejestrowali zmiany 32 i 64-bitowych plików PE (portable executable) antywirusa. Pliki PE obejmują na przykład: EXE, DLL, SYS, DRV.

AV-Test sprawdził zaimplementowane mechanizmy obronne

1. Mechanizm ASLR po raz pierwszy został zastosowany w systemie Windows Vista. Losowy układ alokacji przestrzeni adresowej (ASLR – address space layout randomization) zabezpiecza (czyt. utrudnia) przed przepełnieniem bufora na skutek ataku exploita z wykorzystaniem luki w systemie. Ten skomplikowany mechanizm w skrócie oznacza, że ASLR losowo przydziela stos adresów pamięci aplikacji, co sprawia, że żaden z istotnych elementów systemu (między innymi pliki exe, dll, sys) nie może zostać łatwo namierzony przez złośliwy kod obcej aplikacji, jest to tym trudniejsze, jeśli złośliwy kod nie wie w jakiej lokalizacji w pamięci w danym czasie znajduje się aplikacja.  

2. DEP (Data Execution Prevention) jest zabezpieczeniem spotykanym we współczesnych systemach operacyjnych rodziny Microsoft Windows. Jego celem jest uniemożliwienie wykonywania kodu z segmentu danych. Pomaga to w ochronie przed exploitami wykorzystującymi przepełnienie bufora. DEP działa w dwóch trybach: sprzętowym, w którym procesor oznacza strony pamięci jako niewykonywalne, oraz programowym, który daje ograniczoną ochronę i jest stosowany wtedy, gdy procesor nie potrafi oznaczyć stron pamięci jako niewykonywalne. Pierwsza wersja DEP pojawiła się w systemie Windows XP Service Pack 2.

Procentowe wyniki z poniższych tabel biorą się z właściwości, iż od 5 do 45 procent wszystkich plików antywirusa po jego zainstalowaniu to pliki PE, których zabezpieczenie sprawdzano w tym badaniu.

Powyższa tabela przedstawia zabezpieczenie 32 i 64 bitowych plików PE metodami DEP i ASLR, ostatnia kolumna to ogólna średnia. Jedynym programem dla biznesu, który oprócz własnych metod ochrony posiada także metody DEP i ASLR jest Symantec Endpoint Protection.

Producenci rozwiązań korporacyjnych w znacznie większym stopniu polegają na własnych metodach obrony i jak pokazuje powyższa tabela – nie zawsze stosują metody DEP i ASLR. Sophos swoje 64-bitowe pliki ma w pełni zabezpieczone, jednak 32-bitowe już nie. Producent zaznacza, że duża liczba niezabezpieczonych 32-bitowych plików DLL zawiera tylko dane, które nie stanowią żadnego zagrożenia. Z kolei Firma Trend Micro jest jedyną firmą, która tylko w nieznacznym stopniu zabezpiecze swoje pliki PE metodami DEP i ASLR.

Jeśli chodzi o produkty dla zwykłych konsumentów i zabezpieczenie ich plików PE metodami DEP i ASLR, tutaj najlepszy jest ESET, AVIRA i Symantec. Warto zauważyć też dwie właściwości: niecała połowa producentów zdobyła średni wynik ponad 90 procent oraz 64-bitowe programy są lepiej zabezpieczone (lecz nie we wszystkich przypadkach).

Dziękujemy AV-Test za ten niecodzienny test. A skoro już mowa o słabych zabezpieczeniach antywirusów, zachęcamy do zapoznania się z równie interesującymi wynikami:

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
Podaj porawny e-mail, aby dostać powiadomienie o odpowiedzi na Twój post.
0 komentarzy
Inline Feedbacks
View all comments

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

ankieta

Czy w Twojej firmie używa się dwuskładnikowego logowania?
GŁOSUJ