Die Balance zwischen Performance (geringe Auswirkung auf die Geschwindigkeit) und Echtzeit-Ermittlung
In der Vergangenheit wurde häufig über Antivirus-Programme geklagt, dass sie die Systemperformance stark beeinträchtigen, d.h. den PC im täglichen Gebrauch langsamer laufen lassen. Heutzutage verwenden Antivirus-Produkte verschiedene Optimierungstechniken, um die Auswirkungen auf das System und die Unterbrechung alltäglicher Aufgaben zu verringern.
In diesem Blog-Beitrag wollen wir die Frage beantworten, ob die leistungssteigernden Maßnahmen der Anti-Virus-Hersteller die Fähigkeit der Produkte, Malware zu erkennen, unter bestimmten Umständen beeinträchtigen könnten. Zu diesem Zweck haben wir überprüft, ob Antivirus-Produkte in bestimmten Szenarien konsistent Malware erkennen.
Es ist schwierig, das richtige Gleichgewicht zwischen Echtzeit Malware-Erkennung und Performance zu finden. Die Hersteller von Antivirenprogrammen optimieren ihre jeweiligen Produkte auf verschiedene Weise, um die Auswirkungen auf die Systemleistung zu verringern. Im Folgenden finden Sie einige Beispiele für Optimierungen, welche . theoretisch in einige Produkte implementiert werden könnten. Alle diese Maßnahmen könnten sich positiv auf die Performance auswirken, aber die Erkennungsrate von bösartigen Dateien verringern. Wir übernehmen keine Garantie für die Vollständigkeit oder Korrektheit der folgenden Liste, da es viele unbekannte Variablen und unterschiedliche Implementierungen gibt, die wir nicht berücksichtigen können. Genaue Antworten und technische Details zu einem einzelnen Produkt kann nur der jeweilige Anti-Virus-Hersteller geben.
- Ausschluss bestimmter Dateitypen aus der Analyse: Das Antivirus-Programm schließt oft bestimmte Dateitypen (oder sogar Dateierweiterungen) von der Analyse aus.
- Ausschluss von Dateien die von bekannten Entwicklern signiert wurden: Das Antivirus-Programm kann Dateien, die von bekannten Entwicklern signiert wurden, von der Analyse ausschließen.
- Ausschluss der Analyse von Dateien, die vom Security-Programm auf die Whitelist gesetzt wurden: Das Antivirus-Programm kann die Analyse für eine Liste bestimmter, vordefinierter Programme, die auf der Whitelist stehen, ausschließen.
- Ausschluss von mit Fingerabdrücken versehene Dateien oder Programme: Das Antivirus-Programm überspringt möglicherweise die erneute Analyse von Dateien, die bereits analysiert wurden oder die sich seit der letzten Analyse oder Aktualisierung nicht verändert haben. Außerdem werden Dateien, auf die der Nutzer in der aktuellen Windows-Sitzung zugreift, möglicherweise nur einmal analysiert und erst nach einem Neustart des Systems oder einem Signatur-Update erneut analysiert. Einige Programme schlagen vor, sofort nach der Installation einen vollständigen On-Demand Scan des Systems durchzuführen, um einen Fingerabdruck bestimmter Dateien auf dem System zu erstellen.
- Verschiedene heuristische Analysestufen: Je nachdem, woher eine Datei stammt (z.B. aus dem Internet oder von der lokalen Festplatte), welche Aktion der Nutzer mit einer Datei durchführt (z.B. Kopieren, Archivieren oder Starten) oder wie viele Dateien verarbeitet werden, kann das Anti-Virus bei seiner Analyse unterschiedliche heuristische Methoden anwenden. Bei einigen Heuristikmodellen kann die Analyse weniger Zeit in Anspruch nehmen und somit weniger Systemressourcen verbrauchen.
- Ausschluss der Analyse spezifischer Ziele: Die Analyse wird möglicherweise nicht durchgeführt, wenn Dateien während des Kopierens, der Wiederherstellung, des Herunterladens usw. an bestimmte Zielspeicherorte (z.B. USB-Laufwerk) geschrieben werden.
- Ausschluss der Analyse von Dateien auf großen Medien oder Netzwerkfreigaben: der Inhalt von Medien mit potenziell hoher Speicherkapazität (z.B. externe USB-Laufwerke) oder Netzwerkfreigaben wird möglicherweise nicht analysiert.
- Ausschluss der Analyse für verschiedene Partitionen desselben Datenträgers: Die Analyse wird möglicherweise nicht durchgeführt, wenn Dateien zwischen verschiedenen Partitionen auf demselben Datenträger kopiert/verschoben werden.
- Ausschluss von Dateien, während sie erstellt/gelesen/verschoben/kopiert werden: Das Antivirus-Programm analysiert die Dateien möglicherweise nur, wenn sie ausgeführt werden.
- Ausschluss der Analyse von bestimmten Dateinamen und/oder Speicherorten: Das Antivirus-Programm kann Dateien mit bestimmten Namen und/oder an bestimmten Orten auf dem System von der Analyse ausschließen.
- Ausschluss der Analyse für bestimmte Aktionen: Die Analyse von Dateien bei Vorgängen, die oft einige Zeit in Anspruch nehmen (z. B. Archivierung oder Entarchivierung von Dateien), kann deaktiviert werden.
- Start der Analyse nach bestimmten Aktionen: Die Analyse kann erst beginnen, wenn der aktuelle Vorgang (z.B. das Kopieren oder Wiederherstellen von Dateien) abgeschlossen ist. In diesem Fall bemerkt der Nutzer möglicherweise keine Leistungseinbrüche während des Vorgangs selbst.
- Begrenzung der Anzahl und Größe der zu analysierenden Dateien: Wenn mehrere Dateien kopiert werden (entweder lose oder in Ordnern), könnte das Antivirus-Programm nur bis zu einer Anzahl von x Dateien analysieren und dann die Analyse für die restlichen Dateien abbrechen. Ebenso könnte das Antivirus-Programm die Analyse großer Ordner oder Dateien überspringen oder nur Stichproben bei einigen Dateien durchführen, anstatt sie alle zu analysieren.
- Verschiedene Standard-Analysestufen je nach Hardware: Standardmäßig kann das Antivirus-Programm auf High-End-Rechnern eine gründlichere Analyse durchführen, auf schwächerer Hardware jedoch eine weniger umfassende Analyse, um die begrenzten Ressourcen zu schonen.
Wie haben wir getestet?
Mehrere verschiedene typische Benutzeraktionen wurden auf einem sauberen und aktuellen Windows 10 21H2-System durchgeführt, auf dem die jeweilige Consumer Security-Software installiert war (unter Beibehaltung der Standardeinstellungen). Das Testsystem verfügte über eine aktive Internetverbindung, um die Auswirkungen von Cloud-Diensten/Funktionen in der realen Welt zu berücksichtigen. Diese Aktivitäten könnten im täglichen Betrieb der Nutzer zu beobachten sein, allerdings mit dem Zusatz von bösartigen Dateien im jeweiligen Szenario. Um ein vollständigeres Bild von den Erkennungsmechanismen der einzelnen Programme zu erhalten, haben wir verschiedene Techniken zur Durchführung dieser Aktionen eingesetzt. Bei der Datei-Kopierprüfung haben wir beispielsweise verschiedene Tools und Verfahren zum Kopieren der Dateien verwendet. Wir haben auch verschiedene Orte und Richtungen berücksichtigt.
- Kopieren von Dateien: Hierzu haben wir ein Set von Dateien kopiert, der aus mehreren sauberen Dateien und einer bösartigen Datei bestand.
- Archivieren/Entpacken: Um das Archivieren zu testen, haben wir einen Satz von Dateien archiviert, der aus mehreren sauberen Dateien und einer bösartigen Datei bestand. Um die Entpackung zu testen, bereiteten wir ein Archiv vor, das eine bösartige Datei und mehrere saubere Dateien enthielt; dieses wurde dann auf dem jeweiligen Test-PC entpackt.
- Installieren von Anwendungen: Wir haben eine Anwendung installiert, die während des Installationsvorgangs eine bösartige Datei auf der Systemfestplatte ablegt.
- Starten von Anwendungen: Hierzu haben wir ein bösartiges Dokument mit der entsprechenden Anwendung geöffnet.
- Download von Dateien: Hierzu haben wir bösartige Dateien von verschiedenen Webservern im Internet heruntergeladen.
Die in diesem Test verwendeten bösartigen Samples würden von allen getesteten Programmen bei einem einfachen On-Demand Scan erkannt werden. Der Test prüft, ob dieselben Samples in den oben aufgeführten zusätzlichen spezifischen Szenarien erkannt werden.
Bitte beachten Sie, dass die für diesen Test verwendeten Szenarien nur eine Teilmenge der möglichen Szenarien darstellen, die getestet werden könnten. Es ist nicht möglich, alle denkbaren Szenarien zu testen, da es eine Reihe von Variablen gibt (Dateitypen/Speicherorte, Anzahl/Größe der Dateien, Ordnerstruktur, Laufwerkstyp usw.), und die möglichen Kombinationen dieser Variablen unbegrenzt sind.
Erkenntnisse
Die folgenden Produkte wurden im April 2022 geprüft (mit Standardeinstellungen): Avast Free Antivirus, AVG Free Antivirus, Avira Prime, Bitdefender Internet Security, ESET Internet Security, G Data Total Security, K7 Total Security, Kaspersky Internet Security, Malwarebytes Premium, McAfee Total Protection, Microsoft Defender Antivirus, NortonLifeLock Norton 360 Deluxe, Panda Free Antivirus, TotalAV Antivirus Pro, Total Defense Essential Antivirus, Trend Micro Internet Security, VIPRE Advanced Security.
Die nachstehende Tabelle fasst die Ergebnisse für jedes Szenario zusammen und zeigt, ob die Security-Programme Dateien bei üblichen Vorgängen wie dem Kopieren oder Herunterladen von Dateien auf Malware untersuchen.
Immer analysiert: Das Produkt hat in dem jeweiligen Testszenario und mit den verwendeten Techniken konsistent Dateien analysiert (und somit Malware erkennt). Die Testergebnisse zeigen, dass alle Produkte Dateien zumindest bei der "Installation von Anwendungen" und dem "Starten von Anwendungen" auf Malware untersucht haben. Dies sind die Szenarien, in denen Malware das System direkt infizieren könnte.
Manchmal analysiert: Dateien wurden manchmal, aber nicht immer, analysiert, abhängig von den Umständen (z.B. verwendetes Programm/Methode, Gesamtzahl der Dateien, Speicherort der Dateien) und der Optimierungslogik.
Nie analysiert: Das Produkt hat die Dateien in dem spezifischen Szenario und mit den verwendeten Techniken nicht analysiert und in diesem Fall wurde keine Malware erkannt. Malwarebytes und McAfee analysierten keine Dateien während dem "Kopieren von Dateien" und dem "Archivieren/Entpacken".
Zusammenfassung
Wie aus der obigen Tabelle ersichtlich ist, scannen zwei der Anbieter nie während des Kopierens oder Archivierens. Weitere sieben Anbieter scannen nur manchmal während dem Archivieren/Entpacken, und weitere vier Anbieter scannen nur manchmal während des Kopierens von Dateien. Alle Anbieter scannen jedoch bei der Installation und beim Start von Anwendungen (d.h. alle Dateien werden bei der Ausführung gescannt, wodurch das System geschützt wird). Wenn wir gezeigt haben, dass die Dateien manchmal analysiert, bedeuted dies, dass das Scannen von Faktoren wie dem Speicherort der Datei, dem verwendeten Programm/der verwendeten Methode und der Tatsache abhängt, ob eine einzelne Datei oder mehrere Dateien kopiert werden.
Negative Nebeneffekte der Geschwindigkeitsoptimierung
Die Ergebnisse zeigen, dass unter bestimmten Umständen Dateien nicht analysiert und somit Malware nicht erkannt werden, während sie vom Nutzer ausgeführt werden. Dies könnte beim Nutzer den falschen Eindruck erwecken, dass er Dateien, die er auf sein System heruntergeladen/kopiert/wiederhergestellt hat und die von seinem Antivirus-Programm nicht automatisch als Malware erkannt wurden, gefahrlos an andere Nutzer weitergeben kann.
Empfehlungen
Wir verstehen, dass Nutzer nach sehr schnellen Antivirus-Produkten suchen und dass die Hersteller versuchen, die Leistung so weit wie möglich zu optimieren, ohne die Sicherheit zu beeinträchtigen. Wir sind jedoch der Meinung, dass die Hersteller nach Möglichkeit transparenter machen könnten, wie Kompromisse zwischen Erkennung und Performance umgesetzt werden, damit die Nutzer dies berücksichtigen können. Wenn ein AV-Programm einige Dateioperationen nicht überwacht, um eine bessere Performance zu erzielen, schlagen wir vor, dass die Hersteller dies den Benutzern klar mitteilen (dies könnte z.B. während des Installationsprozesses des Programms geschehen). Einige Produkte sind in der Lage, das richtige Gleichgewicht zwischen Security und Performance zu finden.
Wir schlagen vor, dass AV-Programme idealerweise Standardeinstellungen haben sollten, die mehr Wert auf Erkennung als auf Performance legen, um die Sicherheit für unerfahrene Nutzer zu verbessern. Klar erklärte, granulare Konfigurationsoptionen könnten es Power-Usern dann ermöglichen, die Erkennung in bestimmten Szenarien zu deaktivieren.
Wie die Testergebnisse zeigen, analysieren einige Produkte Dateien möglicherweise nicht konsistent oder sogar überhaupt nicht, z.B. bei bestimmten Datei-Kopierszenarien. Daher empfehlen wir, alle Dateien, die möglicherweise bösartig sind (oder sogar Ihr gesamtes System), einem On-Demand Scan zu unterziehen. Dies kann zwar auch seine Grenzen haben, aber ein On-Demand Scan analysiert Dateien in der Regel gründlicher als die Echtzeitanalyse, die verwendet wird, wenn Dateien z.B. kopiert, heruntergeladen oder entpackt werden. Wenn möglich, sollte der Scan mit einer aktiven Internetverbindung durchgeführt werden, damit das AV-Produkt auf seine Cloud-Dienste zugreifen kann, wodurch sich die Erkennungsraten oft erheblich verbessern.
Die in diesem Artikel enthaltenen Informationen können den Nutzern helfen, die Ergebnisse von Performance Tests in Relation zu setzen, bei denen übliche reale Szenarien verwendet werden. Bitte besuchen Sie gerne auch unsere Websites für Protection und Performance Tests.