除了以社交手段誘騙使用者來自廢武功外,另一個容易讓黑客突圍的管道,就是利用系統或軟體的漏洞來趁虛而入,如零日攻擊(Zero-day attack)。畢竟要在沒問題的程式中(如IE、Adobe),找出有問題的「程序」,就不見得是所有的防毒軟體,特別是功能閹割的免費防毒所能做到的。這時加裝一款ThreatFire這種,專門查緝後門、木馬的反間諜軟體,就有其必要。

何謂零日攻擊(Zero-day attack)

簡單來說,就是漏洞發現之前的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布時,攻擊程式可能也會同時出現。而且就算時發布了修補程式,離使用者意識到並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。

軟體介紹


▲ThreatFire強調對零日攻擊的防禦,透過本身的ActiveDefense行為監控技術來監測系統內是否有奇怪的程序,偷偷在運作。

基本功能

ThreatFire是防毒軟體公司PC Tools旗下的產品,Google軟體集下的Spyware Doctor with Anti-virus,可能不少玩家也有印象,它們也有提供免費的防毒和防火牆可以下載。ThreatFire 並不是正規的防毒軟體,算是額外補強系統安全的工具,所以使用者還是得具備一套防毒軟體才行。由於是補強工具,所以不會跟原本的防毒軟體發生衝突,至少在PP試著安裝到原本灌有Trend Micro OfficeScan與Norton 2012 Beta的環境之下,相安無事。


▲安裝時,ThreatFire會先替系統檢查有沒有防毒與防火牆等安全工具。

▲進入首頁的世界地圖之下,會顯示最新的惡意軟體被發現的時間、區域與風險程度等資料。

▲據ThreatFire資料庫統計,威脅分布最高的是31.3.%的中國。

▲開始掃描之下有針對特定區域掃描的「Intelli-Scan」與整個系統的「完全掃描」。

進階功能

除了狀態顯示與掃描這些基本功能之外,在「高級工具」之下可以增加對某些程序的即時監控,並自行定義安全規則。不過ThreatFire本身就有預設一套安全規則,所以也不一定要特別去修改。裡面的「系統活動監控」則可以查出程式的運作狀況。


 ▲可以讓玩家手動新增或修改監控的規則。

▲「系統活動監控」可以看出目前使用中的程序有何異狀。

▲在設置的功能下分成常規、隔離與預定掃描等頁籤。能在此將語系切成簡體中文,或是上網去找網友做的正體中文語系包。

▲在「敏感度級別」下,可以調整對威脅的敏感度。

▲敏感度設太高,可能會每開一個程式就會出現一次警報。

▲ThreatFire也有類似雲端信譽評等的「社區保護」功能機制。

 

▲TheatFire在關閉主程式進入閒置狀態時,僅用掉3MB左右的主記憶體,平均CPU則接近0。


▲使用Intelli-Scan,處理器使用維持在50%以下,但記憶體也只略升到4-5MB左右。

▲從官方公布的系統最低需求就可以看出,ThreatFire不需要用掉太多資源。

防毒不只是「防毒」

或許會有玩家認為,現在的防毒軟體不是本來就應該具備防木馬、間諜程式的功能嗎?說起來是這樣子沒錯,但就跟雙引擎比單引擎的偵測率高差不多道理,畢竟多1道關卡,在不造成衝突的前提下,還是會提升惡意程式發現的機率。而且部份的免費防毒,並不見得具備行為分析的功能,就算是依靠雲端來加速病毒庫的更新,當某些惡意程式還沒被納入到病毒庫時,這類型補強的軟體就可以發揮作用。

愈來愈多機構或防毒廠都已經意識到,現在的病毒類型大都轉變成「沉默」的木馬或間諜程式,情況也只會更嚴重,所以未來主打行為監控或HIPS(主機入侵防禦系統)功能,來揪出潛在威脅的防毒軟體只會愈來愈多,雖然不見得會讓這些專門查殺木馬的工具變得無用武之地,像當年的AVG Anti-Spyware 7.5與Anti-Virus 7.5乾脆合體成AVG Anti-Virus 8.0,應該會更合時宜。

測試平台

  • 處理器:Intel Celeron E1600
  • 記憶體:Kingston DDR3 1GB x 2
  • 硬碟:HITACHI 500GB
  • 作業系統:Windows 7 Ultimate

共 1 則回應

1 樓 · 小白 · 發表於 2011-05-01 22:24 · 檢舉

看起來還不錯的 ThreatFire,佔用系統資源又低, <( ̄︶ ̄)>唯一不滿的是它竟然是簡體中文 ╯-__-)╯ ╩╩(雖然有繁中安裝包,Orz)

飽食終日,無所事事,關心電腦大小事。