Video: VoodooShield проактивная защита и эффективный инструмент безопасности (September 2024)
Anta att du har en dator som är garanterad ren och skadlig från skadlig programvara. Du kan hålla den orörd genom att helt enkelt förhindra att nya program startas. Du skulle inte behöva traditionellt antivirusskydd alls! Men du skulle inte heller kunna uppdatera dina applikationer eller installera nya program. Den typen av extrem vitlista är alldeles för stel. VoodooSofts VoodooShield tar en mjukare inställning. Som standard blockerar det nya okända program endast när ditt system är i riskzonen. Ny för version 3.0, VoodooShield lägger till AI-baserad upptäckt av skadlig programvara, men du bör fortfarande använda den i samband med ett mer traditionellt antivirus.
Du kan använda VoodooShields grundläggande funktioner gratis i en icke-kommersiell miljö. Men om du betalar för $ 19, 99 per år prenumeration får du också teknisk support, möjligheten att justera inställningar och andra avancerade funktioner. Detta är en översyn av den betalda upplagan, även om det mesta av det jag beskriver i denna recension gäller både gratisversionen.
Komma igång
Efter den snabba, enkla installationen ber programmet dig välja ett inledande säkerhetsläge och stavar valen tydligt. AutoPilot-läget kräver mindre användarinteraktion, men är bara lite mindre säker. Applikationsvittlistningsläge ökar säkerheten på bekostnad av att du behöver fler svar från dig, användaren. Vid denna punkt skapar programmet en första vitlista som innehåller alla program som körs på systemet.
Ja, om skadlig programvara redan körs kommer den att bli listad tillsammans med resten. Om du alls är orolig, skanna systemet med ett verktyg som Malwarebytes Anti-Malware 2.0 innan du installerar VoodooShield.
En stor välkomstskärm erbjuder en enkel beskrivning av hur programmet fungerar. I korthet säger det att i stället för att försöka upptäcka och blockera dåliga program från att köra som typiska verktyg för skydd mot skadlig program, låter VoodooShield bara goda (vitlistade) program att starta.
Nästa skärm förklarar att programmets skydd slås på när du är i fara och i automatiskt läge slås av när du inte är det. Ja, det kan blockera något du tänkte köra - i så fall klickar du bara på en knapp för att tillåta det programmet. Du kan också stänga av den tillfälligt för att installera nya program.
Förvirrad alls? Det är visserligen inte ditt vanliga antivirusprogram. Nytt sedan föregående utgåva är en fullständig användarmanual tillgänglig för dig som vill gräva in för en djupare förståelse.
På, smart och av
Allt du normalt ser av VoodooShield är en liten sköldformad ikon längst ner till höger på skärmen. Du kan flytta den till en annan plats och högerklicka på den för en enkel meny som bland annat låter dig styra programmets driftläge.
När VoodooShield är avstängt, är det i träningsläge, vilket innebär att det vitlistar varje program du kör. Sköldikonen blir röd och visar AV. Använd det här läget när du installerar ett nytt program från en pålitlig källa.
När du slår på VoodooShield blir skölden blå och visas PÅ, och det visar stillbilder på alla program som körs. Det blockerar körning av något annat program som inte redan finns på vitlistan. Om det blockerar åtkomst till ett program du tänkte starta klickar du på popup-meddelandefältet för att avslöja alla detaljer och klicka sedan på Tillåt. Om du inte känner igen programmet klickar du på Blockera. Eller så kan du bara ignorera det; VoodooShield blockeras automatiskt efter 20 sekunder.
Första gången efter att du installerat VoodooShield kan du se en hel del av dessa popup-fönster. Du kan minska popup-röran genom att aktivera Smart-läget. Logiken bakom detta läge är enkel. Det antar att du inte redan har skadlig programvara på din dator, så det enda sättet som malware kan komma in är från Internet eller från en flyttbar enhet. I Smart-läge är VoodooShield standardinställt för att vara av, och det vitslistar program du kör. Men om du ansluter till Internet eller sätter i en USB-enhet, slås den på.
VoodooAi och skanning
Tidigare har jag rekommenderat att du använder VoodooShield i samband med ett mer traditionellt antivirus, kanske Bitdefender Antivirus Plus 2016, McAfee AntiVirus Plus eller något annat av våra Editors 'Choice antivirusverktyg. VoodooShield FAQ pekar på Webroot som ett särskilt kompatibelt val. Den nuvarande versionen av produkten kommer närmare att ha en fristående antivirusförmåga, men det är fortfarande en bra idé att kompisera med ett traditionellt antivirusprogram.
Produkten innehåller nu ett maskininlärningsverktyg som heter VoodooAi. Träna med tusentals prover av skadlig programvara och giltiga filer, tre analyssystem utvecklar interna modeller av egenskaperna som skiljer de två grupperna. De letar inte efter specifika malware-signaturer eller efter malware-beteende. Snarare spårar de cirka 40 filegenskaper som skiljer sig väsentligt i de två grupperna.
Som komplement till denna maskininlärningsmotor kontrollerar VoodooShield alla blockerade filer mot databasen för en välkänd multiengins antivirus-skanningstjänst. Juridiska och avtalsmässiga frågor hindrar företaget från att namnge den tjänsten, men du kan säkert gissa. Och ja, även om tjänsten i fråga inte kan användas som en primär detekteringsmotor, är kontrollen av filer som redan har blockerats OK.
Enligt min kontakt på VoodooSoft, "Om VoodooAi-resultatet är super lågt, säger 0, 2 000 eller mindre, och alla resultat från de 57 motorerna är rena, är filen säker." Omvänt antyder ett mycket högt VoodooAi-resultat att något är fel med filen, oavsett om det faktiskt är skadlig programvara eller inte.
Kör på AutoPilot
Det nya AutoPilot-läget drar nytta av dessa två detekteringsmetoder för att få VoodooShield att fungera mer som ett riktigt antivirusprogram och mindre som en produkt med bara vitlista. Den blockerar tillfälligt alla program som inte är vitlistade, tillräckligt länge för att få en VoodooAi-poäng och kontrollera online-skanningstjänsten. Alla filer som får en ren hälsokostnad från båda får köras utan hinder. I detta läge förblir skölden blå och visar AUTO.
För en fil som verkar vara skadlig programvara erbjuder VoodooShield flera alternativ. Förutom att bara blockera filens körning kan du välja att karantänera den, precis som du kan med Symantec Norton AntiVirus Basic, Kaspersky Anti-Virus och de flesta traditionella antivirusverktyg.
När VoodooShield blockerar en fil som skadlig, inte bara okänd eller misstänkt, ändras knappen Tillåt till Allow False Positive. Om du klickar på den måste du bekräfta att du vet vad du gör och att köra filen kan införa skadlig programvara.
Praktisk
För ett verkligt test försökte jag starta vart och ett av skadliga prover som jag använder i regelbundet antivirus-test. VoodooShield blockerade dem alla, naturligtvis, eftersom de inte var vitlistade. Den identifierade också alla som skadlig programvara. Webroot SecureAnywhere AntiVirus upptäckte också 100 procent av dessa prover.
Genom att klicka på en länk i Detaljer i popup-varningen fick jag se hur programmet rankade med alla tre VoodooAi-komponenterna och listade också namnen som användes på programmet av upp till 57 antivirusmotorer. De flesta av mina prover fångades av 40 eller fler av motorerna. Inget flaggades av färre än 25 av dem.
Jag lanserade också 20 PCMag-verktygsprogram. Det här är legitima program som inte används vanligt eftersom PCMag-verktygsbiblioteket har stängts av. VoodooShield blockerade åtta av dem och gav ett tydligt meddelande om varför det gjorde det. I ett fall uppgav det att medan filen var okänd för skanningssidan, ansåg VoodooAi det vara säkert. Det markerade fyra som misstänkta baserat på VoodoAi-analys och noterade att den virusscannande webbplatsen ansåg dem rena.
De återstående tre var sanna falska positiver - giltiga program identifierade som skadlig programvara. I båda fallen bedömde VoodooAi filen osäker och exakt en av de 57 motorerna på skanningsplatsen identifierade den som skadlig programvara. Det är verkligen sant att med 57 olika motorer har du 57 möjligheter till falskt positivt.
Going Cuckoo
VoodooShield har ett lokalt sandlådeläge, utformat för att låta dig köra iffy-program utan att tillåta dem att göra riskfyllda ändringar i filsystemet eller registret. Jag har emellertid aldrig tyckt att det var mycket användbart, eftersom alla program som kräver administratörsnivååtkomst inte kommer att fungera korrekt i denna sandlåda. Version 3.0 lägger till möjligheten att köra misstänkta program i sandkassan online och med öppen källkod.
När jag testade med mina standardprover med skadlig kod skickade jag inledningsvis var och en till Cuckoo sandlåda. Processen är imponerande. Du kan faktiskt titta på skadlig programvara som körs i en virtuell maskin via Remote Desktop Access. Analys kan ta ett tag; Jag gjorde inte tid, men fem minuter verkar ungefär rätt.
Efter att ha slutfört sin analys presenterar Cuckoo dig massor av information om det testade programmet, inklusive en skadlig bedömning på en skala på 10 och de egenskaper som gick in i detta betyg. Till exempel är en fil som tar bort sin ursprungliga binär från disken misstänkt, liksom en som torkar bevisen för sin egen nedladdning. Men den ena röda flaggan som var gemensam för varje prov var denna: "Filen har identifierats av minst tio antivirus på VirusTotal som skadlig."
Jag bekräftade faktiskt att en fil med just den röda flaggan och ingen annan gav 10 av 10 betyg på skadlig programvaruskala. Vid den tidpunkten slutade jag att spendera den extra tiden för att köra varje prov genom Cuckoo.
Jag körde också de legitima verktyg som flaggades av VoodooShield genom sandlådan. Alla utom en sträckte sig från 3, 3 till 5 på malware-skalan. En av dem, utformad för att rapportera djupa detaljer om systemet, flaggades som total skadlig programvara, eftersom dess beteende antydde ett försök att gömma sig från virtualiseringsverktyg.
Jag tyckte att sandlådan skannade fascinerande, men den genomsnittliga användaren skulle nästan säkert inte. Det finns inget krav på att använda Cuckoo, lyckligtvis.
Avancerade inställningar
En av de saker du får genom att välja den betalda versionen är full tillgång till programmets avancerade inställningar. Observera att du säkert kan använda VoodooShield utan att beröra dem. Faktum är att många av inställningarna är inriktade på en hanterad situation där IT styr vad användare kan göra med programmet. Jag kommer inte att försöka en uttömmande diskussion av alla inställningar.
Två inställningssidor som kan visa sig vara användbara är vitlista och karantän. Inte bara kan du se alla program som du (eller VoodooShield) har vitlistat, du kan ta bort alla som var vitlistade i fel. På liknande sätt kan du se alla filer i karantän och eventuellt radera dem permanent. I det osannolika fallet att du lyckades karantänera en giltig fil kan du återställa den.
På verktygssidan kan du säkerhetskopiera och återställa vitlistan eller säkerhetskopiera och återställa dina inställningar. Det här är också den sida som gör det möjligt för en IT-administratör att definiera ett lösenord och hindra användare från att göra ändringar i inställningarna. I en installation med flera datorer kan administratören logga in på VoodooShield online för att synkronisera vitlistor mellan datorer.
I Smart-läget stängs VoodooShield från till till när en webbmedveten applikation startar. Webbsidan visar alla appar som den spårar och markerar alla som är anslutna. Det låter dig också lägga till anpassade webbläsare och andra webbmedvetna appar i listan.
Inställningssidan låter dig bland annat finjustera VoodooAis känslighet från standardbalanserat läge ner till Reckless eller upp till Paranoid. Du kan finjustera UI-element som sköldikonens transparens. Du kan också kontrollera hur VoodooShield hanterar program i specifika mappar.
Om du startar Inställningsdialogen från den kostnadsfria utgåvan föreslår programmet att du uppgraderar till den betalda upplagan. Om du avvisar att uppgradera ser du fortfarande alla inställningar. Du kan bara inte ändra dem.
En utvecklande lösning
En ren vitlistningslösning, där alla nya filer bara inte kommer att köras, skulle vara för irriterande för den genomsnittliga användaren. VoodooShields förmåga att låsa ner datorn endast när det finns risk för risk balanserar säkerheten med bekvämlighet. Det nya VoodooAi-systemet, i samband med användning av en multienginscanningstjänst, förenar detta program när det är ett riktigt fristående antivirusprogram.
Även företagets huvudmän medger att VoodooShield ännu inte är en fristående lösning. Överväg att använda det tillsammans med en av våra Editors 'Choice antivirusprodukter, Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic och Webroot SecureAnywhere Antivirus.
