Как оптимизация производительности антивирусов влияет на защиту Windows ПК

В прошлом антивирусы нередко вызывали критику пользователей за серьезное влияние на производительность ПК, т.е. на замедление его работы при повседневном использовании. В настоящее время антивирусы используют различные методы оптимизации для снижения воздействия на систему и исключения прерываний при выполнении повседневных задач.

В серии тестов лаборатория AV-Comparatives попыталась ответить на вопрос, могут ли какие-либо меры по повышению производительности, принятые антивирусными вендорами, повлиять на способность продуктов обнаруживать вредоносное ПО при определенных обстоятельствах. С этой целью была проанализирована стабильность обнаружения вредоносного ПО в определенных сценариях.

Найти оптимальный баланс между обнаружением угроз в режиме реального времени и производительностью непросто. Вендоры применяют различные оптимизации, чтобы уменьшить влияние на производительность системы. Ниже приведены некоторые примеры оптимизаций, которые теоретически могут быть применены в определенных продуктах. Все они могут оказать положительное влияние на производительность, но могут снизить уровень обнаружения любых вредоносных файлов. Список может быть неполным, так как существует много неизвестных переменных и различных реализаций, рассмотреть которые не представляется возможным. Точные ответы и технические подробности об отдельном продукте может предоставить только соответствующий поставщик антивирусного ПО.

• Исключить анализ определенных типов файлов: антивирусы часто исключают определенные типы файлов (или даже расширения файлов) из анализа.
• Исключить анализ файлов, подписанных известными разработчиками: антивирусы могут исключать из анализа файлы, подписанные известными и надежными разработчиками.
• Исключить анализ файлов из белого списка: антивирусы могут исключить анализ списка определенных, предопределенных программ из белого списка.
• Исключить файлы или программы с проверенным цифровым профилем: антивирусы могут пропускать повторный анализ файлов, которые уже были проанализированы или не изменились с момента последнего анализа или обновления. Кроме того, файлы, к которым пользователь обращается в текущем сеансе Windows, могут быть проанализированы только один раз и повторно проанализированы только после перезагрузки системы или обновления подписи. Некоторые антивирусы могут запустить полное сканирование системы по запросу сразу после установки, чтобы снять цифровые отпечатки с определенных файлов в системе.
• Использовать различные уровни эвристического анализа: в зависимости от происхождения файла (например, из Интернета или локальный файл), действия, которое пользователь выполняет над файлом (например, копирование, добавление в архив или запуск), или количества обрабатываемых файлов, антивирусы могут применять различные эвристические методы при анализе. При использовании некоторых эвристических моделей анализ может занять меньше времени, что потребует меньше системных ресурсов.
• Исключить анализ конкретных целей: анализ может не выполняться, если файлы записываются в определенные целевые места (например, на USB-накопитель) во время копирования, извлечения архива, скачивания и др.
• Исключить анализ файлов на больших носителях или в сетевых ресурсах: содержимое носителей с потенциально большой емкостью (например, внешние USB-накопители) или источников в локальной сети может не анализироваться.
• Исключить анализ для разных разделов одного диска: анализ может не выполняться, когда файлы копируются или перемещаются между разными разделами на одном диске.
• Исключить анализ файлов во время их создания, чтения, перемещения или копирования: антивирусы могут анализировать файлы только при их запуске.
• Исключить анализ определенных имен файлов или местоположений: антивирусы могут исключить из анализа файлы с определенными именами или в определенных местах в системе.
• Исключить анализ для определенных действий: анализ файлов во время операций, выполнение которых часто занимает некоторое время (например, архивирование или разархивирование файлов), может быть пропущен.
• Запустить анализ после определенных действий: анализ может начаться только после завершения текущей операции (например, копирования или разархивирования файлов). В этом случае пользователь может не заметить падения производительности во время самой операции.
• Ограничить количество и размер файлов для анализа: при копировании нескольких файлов (как отдельных, так и в папках) антивирусы могут анализировать только определенное количество файлов, а затем остановят анализ для остальных файлов. Точно так же антивирусы могут пропустить анализ больших папок или файлов или просто запустить выборочную проверку некоторых файлов.
• Различные уровни анализа в зависимости от оборудования: по умолчанию антивирусы могут выполнять более глубокий анализ на высокопроизводительных компьютерах, но менее полный анализ на более слабом оборудовании, чтобы уменьшить общую нагрузку.

Как проходит тестирование

В чистой и обновленной системе Windows 10, версия 21H2, защищаемой соответствующим антивирусом с настройками по умолчанию, выполнялись различные виды пользовательских действий. Тестовая система была подключена к Интернету, чтобы также учитываться влияние облачных защитных функций. Использовались повседневные операции пользователей, но с добавлением вредоносных файлов в соответствующий сценарий. Чтобы получить более полное представление о механизмах обнаружения, предлагаемых каждым антивирусом, были использованы различные методы выполнения этих действий. Например, при проверке копирования файлов применялись разные инструменты и процедуры копирования файлов. Также рассматривались разные расположения и направления копирования.

• Копирование файлов: копировался набор файлов, состоящий из нескольких чистых файлов и одного вредоносного файла.
• Архивирование и распаковка архивов: для тестирования архивирования в архив добавлялся набор файлов, состоящий из нескольких чистых файлов и одного вредоносного файла. Для проверки разархивирования был подготовлен архив, содержащий один вредоносный файл и несколько чистых файлов, после чего выполнялось извлечение архива
• Установка приложений: устанавливалось приложение, которое в процессе установки размещает вредоносный файл на системном диске.
• Запуск приложений: открывался вредоносный документ с соответствующим приложением.
• Загрузка файлов: выполнялась загрузка вредоносных файлов с различных серверов в Интернете.

Вредоносные образцы, использованные в этом тесте, будут обнаружены всеми протестированными антивирусами при простом сканировании по требованию. Тест проверяет, будут ли эти образцы обнаружены в дополнительных конкретных сценариях, перечисленных выше.

Нужно понимать, что сценарии, используемые для этого тестирования, являются лишь подмножеством возможных сценариев. Протестировать каждый потенциальный сценарий невозможно, учитывая, что существует ряд переменных (типы файлов, местоположения файлов, количество и размеры файлов, структура папок, тип диска и т. д.). Возможные комбинации этих переменных не ограничены.

Результаты тестирования

В апреле 2022 года были протестированы следующие антивирусы с настройками по умолчанию:

• Avast Free Antivirus
• AVG Free Antivirus
• Avira Prime
• Bitdefender Internet Security
• ESET NOD32 Internet Security
• G Data Total Security
• K7 Total Security
• Kaspersky Internet Security
• Malwarebytes Premium
• McAfee Total Protection
• Microsoft Defender Antivirus
• NortonLifeLock Norton 360 Deluxe
• Panda Free Antivirus
• Total Defense Essential Antivirus
• Total AV Total Security
• Trend Micro Internet Security
• VIPRE Advanced Security

В таблице ниже приведены результаты для каждого сценария. В таблице показано, анализировали ли антивирусы тестовые образцы во время различных операций, таких как копирование или загрузка файлов.

• Всегда анализируется (Always analysed): продукт постоянно анализирует файлы (и, следовательно, обнаруживает вредоносное ПО) в конкретном тестовом сценарии и с использованием используемых методов. Результаты тестирования показывают, что все продукты анализировали файлы на наличие вредоносного ПО как минимум в сценариях  «Установка приложений» и «Запуск приложений». Это сценарии, в которых вредоносное ПО может напрямую заразить систему.
• Иногда анализировались (Sometimes analysed): файлы иногда, но не всегда, анализировались в зависимости от обстоятельств (используемой программы, общего количества файлов, расположения файлов) и логики оптимизации.
• Никогда не анализировалось (Never analysed): продукт не анализировал файлы в конкретном сценарии и с использованием используемых методов, поэтому в этом случае не было обнаружено вредоносного ПО. Malwarebytes и McAfee никогда не анализировали файлы во время «Копирования файлов» и «Архивации/разархивации».

Выводы

Как видно из таблицы, два продукта никогда не анализируют файлы во время копирования или архивирования. Еще 7 антивирусов только иногда сканируют во время архивирования или извлечения архива, а еще 4 антивируса сканируют только иногда во время копирования файлов. Однако все решения выполняют сканирование при установке и запуске приложений (имеется в виду, что все файлы сканируются при выполнении, тем самым защищая систему). Если указано что файлы иногда анализируются, это означает, что сканирование зависит от таких факторов, как расположение файла, используемая программа или метод, количество копируемых файлов.

Отрицательный эффект оптимизаций производительности

Результаты показывают, что в некоторых случаях файлы могут не анализироваться и, следовательно,  вредоносное ПО не будет обнаружено. Это может создать у пользователей ложное впечатление, что если файлы, которые они загрузили/скопировали/разархивировали в свою систему, не были автоматически обнаружены антивирусом как вредоносные, то их можно безопасно передать другим пользователям.

Рекомендации по защите

Вполне естественно, что пользователям нужны очень быстрые антивирусные продукты, поэтому вендоры стараются максимально оптимизировать производительность, не влияя на безопасность. Однако, разработчики антивирусов могли бы быть более прозрачными в отношении того, как реализуются компромиссы между обнаружением и производительностью, чтобы пользователи могли принять это во внимание. Если антивирусная программа не отслеживает некоторые операции с файлами для оптимизации производительности, то вендору следует четко сообщить об этом пользователям (это можно сделать, например, в процессе установки). Некоторые продукты способны найти правильный баланс между безопасностью и производительностью.

Эксперты AV-Comparatives считают, что антивирусы должны иметь настройки по умолчанию, которые больше внимания уделяют обнаружению, чем производительности, чтобы повысить безопасность для неопытных пользователей. А опытные пользователи, используя четко описанные параметры, смогли бы отключать обнаружение в некоторых конкретных сценариях.

Как показывают результаты тестирования, некоторые продукты могут анализировать файлы непоследовательно или вообще пропускать анализ при определенных сценариях, например при копировании файлов. По этой причине рекомендуется запускать сканирование по требованию любых файлов, которые могут быть вредоносными (или даже сканирование всей системы). Хотя это также может иметь свои ограничения, сканирование по требованию обычно анализирует файлы более глубоко, чем анализ в реальном времени, используемый, например, когда файлы скопированы, загружены или извлечены из архива. По возможности сканирование следует запускать при активном подключении к Интернету, чтобы антивирусный продукт мог получить доступ к своим облачным службам, что часто значительно повышает уровень обнаружения.