相關文章

27f4d7717b95133272b6599c4132248a 除了以社交手段誘騙使用者來自廢武功外,另一個容易讓黑客突圍的管道,就是利用系統或軟體的漏洞來趁虛而入,如零日攻擊(Zero-day attack)。畢竟要在沒問題的程式中(如IE、Adobe),找出有問題的「程序」,就不見得是所有的防毒軟體,特別是功能閹割的免費防毒所能做到的。這時加裝一款ThreatFire這種,專門查緝後門、木馬的反間諜軟體,就有其必要。

何謂零日攻擊(Zero-day attack)

簡單來說,就是漏洞發現之前的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布時,攻擊程式可能也會同時出現。而且就算時發布了修補程式,離使用者意識到並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。

軟體介紹


▲ThreatFire強調對零日攻擊的防禦,透過本身的ActiveDefense行為監控技術來監測系統內是否有奇怪的程序,偷偷在運作。

基本功能

ThreatFire是防毒軟體公司PC Tools旗下的產品,Google軟體集下的Spyware Doctor with Anti-virus,可能不少玩家也有印象,它們也有提供免費的防毒和防火牆可以下載。ThreatFire 並不是正規的防毒軟體,算是額外補強系統安全的工具,所以使用者還是得具備一套防毒軟體才行。由於是補強工具,所以不會跟原本的防毒軟體發生衝突,至少在PP試著安裝到原本灌有Trend Micro OfficeScan與Norton 2012 Beta的環境之下,相安無事。


▲安裝時,ThreatFire會先替系統檢查有沒有防毒與防火牆等安全工具。

▲進入首頁的世界地圖之下,會顯示最新的惡意軟體被發現的時間、區域與風險程度等資料。

▲據ThreatFire資料庫統計,威脅分布最高的是31.3.%的中國。

▲開始掃描之下有針對特定區域掃描的「Intelli-Scan」與整個系統的「完全掃描」。

進階功能

除了狀態顯示與掃描這些基本功能之外,在「高級工具」之下可以增加對某些程序的即時監控,並自行定義安全規則。不過ThreatFire本身就有預設一套安全規則,所以也不一定要特別去修改。裡面的「系統活動監控」則可以查出程式的運作狀況。


 ▲可以讓玩家手動新增或修改監控的規則。

▲「系統活動監控」可以看出目前使用中的程序有何異狀。

▲在設置的功能下分成常規、隔離與預定掃描等頁籤。能在此將語系切成簡體中文,或是上網去找網友做的正體中文語系包。

▲在「敏感度級別」下,可以調整對威脅的敏感度。

▲敏感度設太高,可能會每開一個程式就會出現一次警報。

▲ThreatFire也有類似雲端信譽評等的「社區保護」功能機制。

 

▲TheatFire在關閉主程式進入閒置狀態時,僅用掉3MB左右的主記憶體,平均CPU則接近0。


▲使用Intelli-Scan,處理器使用維持在50%以下,但記憶體也只略升到4-5MB左右。

▲從官方公布的系統最低需求就可以看出,ThreatFire不需要用掉太多資源。

防毒不只是「防毒」

或許會有玩家認為,現在的防毒軟體不是本來就應該具備防木馬、間諜程式的功能嗎?說起來是這樣子沒錯,但就跟雙引擎比單引擎的偵測率高差不多道理,畢竟多1道關卡,在不造成衝突的前提下,還是會提升惡意程式發現的機率。而且部份的免費防毒,並不見得具備行為分析的功能,就算是依靠雲端來加速病毒庫的更新,當某些惡意程式還沒被納入到病毒庫時,這類型補強的軟體就可以發揮作用。

愈來愈多機構或防毒廠都已經意識到,現在的病毒類型大都轉變成「沉默」的木馬或間諜程式,情況也只會更嚴重,所以未來主打行為監控或HIPS(主機入侵防禦系統)功能,來揪出潛在威脅的防毒軟體只會愈來愈多,雖然不見得會讓這些專門查殺木馬的工具變得無用武之地,像當年的AVG Anti-Spyware 7.5與Anti-Virus 7.5乾脆合體成AVG Anti-Virus 8.0,應該會更合時宜。

測試平台

  • 處理器:Intel Celeron E1600
  • 記憶體:Kingston DDR3 1GB x 2
  • 硬碟:HITACHI 500GB
  • 作業系統:Windows 7 Ultimate

使用 Facebook 留言

A5965d88bec69482e17467b9250a43f4?size=48&default=wavatar
2.  ww (發表於 2011年5月01日 22:02)
看到celeron,就覺得小編好可憐...╮(╯_╰)╭
但至少不是P4...囧
路人G
3.  路人G (發表於 2011年5月02日 00:10)
我有個疑問,這跟PC Tools底下的Spyware Doctor差別在哪?我有裝Spyware Doctor(不包含AntiVirus),它的作用不也是掃描電腦有無木馬等間諜程式之類的嗎?
朔影
1人給推

4.  朔影 (發表於 2011年5月02日 03:10)
沒用過Spyware Doctor,不過以這套來說,主打的應該是「可以針對可疑行為的程序進行封鎖」

傳統上的防毒都是屬於被動式的,得等到病毒出來後,由軟體公司進行分析、並建立病毒碼,最後讓使用者更新病毒碼,這時才有辦法抓得到病毒
而這實在太慢了,所以便有了這種主動式檢查可疑行為的機制,這樣就算並未建立病毒碼,也可以透過病毒存取不正常資料的行為中,試圖找到潛在的未知病毒

不過…對一般使用者而言,其實用途並不一定那麼大就是了
3a3d47291130e5f4479ec3d24c47e234?size=48&default=wavatar
5.  駭客 (發表於 2011年5月02日 09:05)
※ 引述《小烏賊》的留言:
> 小弟沒有什麼重要的東西讓駭客偷啦~一堆遊戲吧~哈<( ̄︶ ̄)>

請google,"BotNet",駭客不是只會偷料
798ffedaf4614c38b337bd129794f54d?size=48&default=wavatar
2人給推

6.  amy (發表於 2011年5月02日 16:36)
※ 引述《路人G》的留言:
> 我有個疑問,這跟PC Tools底下的Spyware Doctor差別在哪?我有裝Spyware Doctor(不包含AntiVirus),它的作用不也是掃描電腦有無木馬等間諜程式之類的嗎?

簡單來說:
Spyware Doctor是反間諜軟體,ThreatFire是智能型HIPS。
諸葛PP
7.  諸葛PP (發表於 2011年5月03日 09:39)
※ 引述《ww》的留言:
> 看到celeron,就覺得小編好可憐...╮(╯_╰)╭
> 但至少不是P4...囧

不會啦!醬比較容易比較哪套比較吃系統資源…(哽咽)
397a77bd9edef14168d716a303567d3f?size=48&default=wavatar
8.  Carl (發表於 2011年5月03日 18:55)
這樣不算殺毒軟件那應該叫做甚麼軟件阿??
Ef8f866a47b2714e4aac0c2a546ed3cc?size=48&default=wavatar
10.  SU (發表於 2011年5月03日 21:06)
用過這家的防毒軟體灌完後 開機變得有夠慢 = =╬

發表回應

謹慎發言,尊重彼此。按此展開留言規則