Мы сравниваем антивирусы по выполнению ими хотя бы их основной функции в самом минимальном варианте, без использования поведенческих анализаторов
Важно защитить систему
любым способом. Оценка по сумме способов была бы наиболее объективной.
Всегда считал, что антивирусы - не считая поведенческого анализатора - реагируют на определённым образом сформированные участки кода вируса, а не на сам вирус, как таковой, ведь не добавляется же вирус в антивирусную базу целиком - они, иногда, весят довольно-таки немало для, казалось бы, неприметных программок, каковыми они должны быть.
Примерно так и есть. В классическом варианте в базу попадают участки кода. В случае с поли/мета-морфными зверьками помогает мало. Кроме того, есть поведенческие сигнатуры(в пояснении почти не нуждается), а также общая эвристика, тут уж кто во что горазд. Исследуемому объекту начисляются "очки опасности" за использование упаковщика, шифрования, нестандартного заголовка, наличие в импорте вызовов, не характерных для мирного приложения, наверное еще за что-то.
И никакой респект они за такое поведение не получат - если вирус, при каком-либо условии, сможет выполнить свои функции, неважно как он был запущен - антивирус должен на него отреагировать, хотя бы занеся его в "подозрительные" файлы.
Я имел в виду тот случай, когда осталась часть файла, попавшая в сигнатуры того или иного авера, но собственно опасный код из вируса удален (для чего иногда достаточно подправить пару байт). Поясню на примере из жизни. Некая антивирусная программа "вылечила" некую троянскую прогу, деактивировав опасный код. Высылаешь файл на virustotal.com, наблюдаешь ругань половины представленных антивирусов, не смотря на то, что файл ни то что навредить, он и запуститься уже не может толком.
По поводу проактивки и эмуляции, поправлю сам себя, сделав уточнение. У разных аверов это реализовано по-разному. Если мы не запускаем файл, а просто даем команду проверить его, то возможны следующие действия:
1) Проверка по сигнатурам. Победит тот, у кого базы ширше базы ( при существующих темпах роста появления новых злодеев в скором времени базы сиргантур будут иметь невозможные размеры, что заставляет многих вендоров искать другие пути).
2) Тоже + эвристика.
3) Попытка запустить файло под эмулятором. Наиболее эффективно, но - долго. Отсюда, возможные упреки в "тормознутости". Точно не знаю, как у кого сделано. Возможно, у кого-то вся моща включается только в случае реального запуска.
К критериям оценки важно добавить следующие:
1) Минимум ложных срабатываний.
2) Эффективная самозащита.
3) Стабильная работа.
Что касется последнего... Я недавно поставил для пробы MсAfee Total Protection. По нескольку раз на дню, после вполне безобидных изменений в системе (или просто перезагрузок) это чудо сообщает о том, что "компьютер защищен не полностью" и требует нажать кнопку "исправить". Оно что, само "кнопку нажать" не может? Другие тоже приглючивали, раз от разу, но при этом сами восстанавливались (сообщая, что были те или иные проблемы). Не ожидал такого от сурьезной конторы.
Эх, нет в мире совершенства...