防毒不夠用？ ThreatFire 免費幫你擋零日攻擊

除了以社交手段誘騙使用者來自廢武功外，另一個容易讓黑客突圍的管道，就是利用系統或軟體的漏洞來趁虛而入，如零日攻擊（Zero-day attack）。畢竟要在沒問題的程式中（如IE、Adobe），找出有問題的「程序」，就不見得是所有的防毒軟體，特別是功能閹割的免費防毒所能做到的。這時加裝一款ThreatFire這種，專門查緝後門、木馬的反間諜軟體，就有其必要。

何謂零日攻擊（Zero-day attack）

簡單來說，就是漏洞發現之前的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期，因為發現漏洞時，軟體公司得花一段時間來製作修補程式，但是通常「發現」這個漏洞的人就是黑客，所以修補程式發布時，攻擊程式可能也會同時出現。而且就算時發布了修補程式，離使用者意識到並實際執行修補也還有一段時間，有的電腦也許早就被攻陷了。

軟體介紹

• 名稱：ThreatFire 4.7 Free
• 檔案大小：8.59MB（載點）
• 官方網頁：http://www.threatfire.com/

▲ThreatFire強調對零日攻擊的防禦，透過本身的ActiveDefense行為監控技術來監測系統內是否有奇怪的程序，偷偷在運作。

基本功能

ThreatFire是防毒軟體公司PC Tools旗下的產品，Google軟體集下的Spyware Doctor with Anti-virus，可能不少玩家也有印象，它們也有提供免費的防毒和防火牆可以下載。ThreatFire 並不是正規的防毒軟體，算是額外補強系統安全的工具，所以使用者還是得具備一套防毒軟體才行。由於是補強工具，所以不會跟原本的防毒軟體發生衝突，至少在PP試著安裝到原本灌有Trend Micro OfficeScan與Norton 2012 Beta的環境之下，相安無事。

▲安裝時，ThreatFire會先替系統檢查有沒有防毒與防火牆等安全工具。

▲進入首頁的世界地圖之下，會顯示最新的惡意軟體被發現的時間、區域與風險程度等資料。

▲據ThreatFire資料庫統計，威脅分布最高的是31.3.%的中國。

▲開始掃描之下有針對特定區域掃描的「Intelli-Scan」與整個系統的「完全掃描」。

進階功能

除了狀態顯示與掃描這些基本功能之外，在「高級工具」之下可以增加對某些程序的即時監控，並自行定義安全規則。不過ThreatFire本身就有預設一套安全規則，所以也不一定要特別去修改。裡面的「系統活動監控」則可以查出程式的運作狀況。

 ▲可以讓玩家手動新增或修改監控的規則。

▲「系統活動監控」可以看出目前使用中的程序有何異狀。

▲在設置的功能下分成常規、隔離與預定掃描等頁籤。能在此將語系切成簡體中文，或是上網去找網友做的正體中文語系包。

▲在「敏感度級別」下，可以調整對威脅的敏感度。

▲敏感度設太高，可能會每開一個程式就會出現一次警報。

▲ThreatFire也有類似雲端信譽評等的「社區保護」功能機制。

 

▲TheatFire在關閉主程式進入閒置狀態時，僅用掉3MB左右的主記憶體，平均CPU則接近0。

▲使用Intelli-Scan，處理器使用維持在50%以下，但記憶體也只略升到4-5MB左右。

▲從官方公布的系統最低需求就可以看出，ThreatFire不需要用掉太多資源。

防毒不只是「防毒」

或許會有玩家認為，現在的防毒軟體不是本來就應該具備防木馬、間諜程式的功能嗎？說起來是這樣子沒錯，但就跟雙引擎比單引擎的偵測率高差不多道理，畢竟多1道關卡，在不造成衝突的前提下，還是會提升惡意程式發現的機率。而且部份的免費防毒，並不見得具備行為分析的功能，就算是依靠雲端來加速病毒庫的更新，當某些惡意程式還沒被納入到病毒庫時，這類型補強的軟體就可以發揮作用。

愈來愈多機構或防毒廠都已經意識到，現在的病毒類型大都轉變成「沉默」的木馬或間諜程式，情況也只會更嚴重，所以未來主打行為監控或HIPS（主機入侵防禦系統）功能，來揪出潛在威脅的防毒軟體只會愈來愈多，雖然不見得會讓這些專門查殺木馬的工具變得無用武之地，像當年的AVG Anti-Spyware 7.5與Anti-Virus 7.5乾脆合體成AVG Anti-Virus 8.0，應該會更合時宜。

測試平台

• 處理器：Intel Celeron E1600
• 記憶體：Kingston DDR3 1GB x 2
• 硬碟：HITACHI 500GB
• 作業系統：Windows 7 Ultimate