|
=== Sandbox ===
Alcuni antivirus provanoeseguono ai file ritenuti eseguiresospetti in una [[sandbox]], ovvero un ambiente di prova chiuso, i file eseguibili e, tramite l'analisi del loro comportamento, riuscire a capirecapiscono se contengono codice malevolo o meno. Questo metodo, se basato su buoni [[algoritmi]], può essere molto preciso. Ovviamente, però, l'esecuzione all'interno di una sandbox richiede prestazioni e tempi di esecuzione più elevati rispetto ad un metodo basato sulle signatures. {{Senza fonte|Generalmente metodi di analisi dinamica, come quello delle sandbox, sono usati dalle aziende produttrici di software antivirus al fine di analizzare i virus ricevuti ed estrarre automaticamente le firme.}}
== Funzionamento ==
Si discute se i software antivirus siano o meno utili. Nel 2012, [[Imperva]], una società di [[sicurezza informatica]], ha pubblicato uno studio nel quale sosteneva che meno del 5% delle soluzioni antivirus erano in grado di rilevare [[virus (informatica)|virus]] precedentemente non catalogati.<ref>[http://www.imperva.com/docs/HII_Assessing_the_Effectiveness_of_Antivirus_Solutions.pdf Assessing the Effectiveness of Antivirus Solutions]</ref><ref>[https://www.nytimes.com/2013/01/01/technology/antivirus-makers-work-on-software-to-catch-malware-more-effectively.html?pagewanted=2&_r=2&ref=technology Outmaneuvered at Their Own Game, Antivirus Makers Struggle to Adapt]</ref> Questo studio è stato ampiamente criticato non solo da quasi tutte le società produttrici di software antivirus, ma anche dalla maggior parte delle altre compagnie che lavorano nel mondo della [[sicurezza informatica]].<ref name="On the Topic of AV Being Useless">[http://www.f-secure.com/weblog/archives/00002482.html On the Topic of AV Being Useless]</ref><ref>[https://www.intego.com/mac-security-blog/that-anti-virus-test-you-read-might-not-be-accurate-and-heres-why/ That Anti-Virus Test You Read Might Not Be Accurate, and Here's Whys]</ref><ref>[http://blogs.avg.com/news-threats/anti-virus-protection-uninstall/ Do you really need Anti Virus protection? Go on uninstall it then] {{webarchive|url=https://web.archive.org/web/20130118051640/http://blogs.avg.com/news-threats/anti-virus-protection-uninstall/ |data=18 gennaio 2013 }}</ref> La principale critica è legata alle dimensioni del campione di studio. Infatti, il test ha utilizzato solamente 84 campioni su i milioni di malware esistenti per [[Windows]].
Un'altra critica ha riguardato il fatto che lo studio è stato effettuato utilizzando i report di [[VirusTotal]] piuttosto che i reali prodotti e, come la stessa VirusTotal ha precisato: «ilIl servizio non è stato progettato come strumento per eseguire analisi comparative antivirus, ma come uno strumento che controlla campioni sospetti con diverse soluzioni antivirus e aiuta i laboratori antivirus inoltrandogli malware che non riescono a rilevare. Coloro che usano VirusTotal per eseguire analisi comparative antivirus dovrebbero sapere che stanno facendo molti errori impliciti nella loro metodologia, l'essere più ovvio...»<ref>''"At VirusTotal we are tired of repeating that the service was not designed as a tool to perform antivirus comparative analyses, but as a tool that checks suspicious samples with several antivirus solutions and helps antivirus labs by forwarding them the malware they fail to detect. Those who use VirusTotal to perform antivirus comparative analyses should know that they are making many implicit errors in their methodology, the most obvious being..."''</ref>.<ref>{{Cita web|url=https://www.virustotal.com/about/|titolo=About - VirusTotal|sito=www.virustotal.com|accesso=2018-05-08}}</ref> Questo è principalmente dovuto al fatto che le compagnie produttrici di software antivirus non forniscono a VirusTotal le esatte configurazioni dei prodotti reali.<ref name="On the Topic of AV Being Useless"/> Inoltre, VirusTotal non esegue i malware con i prodotti già installati. Questo significa che tutte le tecnologie euristiche e comportamentali e la scansione della memoria non sono utilizzate. E così i risultati del rilevamento sono scarsi rispetto ai prodotti completi. Un altro aspetto che è stato criticato è stata la "rilevanza" dei campioni. Infatti, il set di campioni dovrebbe includere solo campioni che sono stati verificati infettivi. Valutare la protezione degli antivirus utilizzando campioni di prova che non rappresentano alcun pericolo non ha alcun senso. Per questa, e altre ragioni, la [[Anti-Malware Testing Standards Organization]] (AMTSO) fornisce linee guida per il testing di prodotti AntiMalware.<ref>[http://www.amtso.org/ publisher=AMTSO Anti-Malware Testing Standards Organization]</ref>
===Virus Bulletin VB100===
|
