Video: Исследуем Portable Executable (EXE-файл, Формат PE-файла, 0x01) (Ottobre 2024)
Un'utilità antivirus tradizionale basata su firma controlla i file rispetto a un database di firme malware. I monitor basati sul comportamento rilevano malware cercando segni di attività dannosa. Anti-Executable 5.2 ($ 45, diretto) adotta un approccio molto più semplice. Qualsiasi programma che non è nell'elenco delle applicazioni consentite non può essere eseguito, punto. La versione 5.0 semplifica un po 'l'esperienza dell'utente, ma ha ancora alcune stranezze.
Pensa alla tua utility antivirus come al portiere di un locale notturno di lusso. Bitdefender Antivirus Plus (2014) include il rilevamento tradizionale basato sulla firma; è come un portiere con un elenco di indesiderabili che sono banditi dal club. Il rilevamento SONAR basato sul comportamento, integrato in Norton AntiVirus (2013), è come un portiere che misura la folla e lascia entrare solo i clienti ben educati. Per quanto riguarda Anti-Executable, è il tipo che ringhia, "Non sei nella lista!"
Oltre all'edizione Standard recensita qui, Faronics offre una versione appositamente ottimizzata per l'uso sui server. Esiste anche una versione gestita centralmente progettata per le aziende. Ma al centro di tutti e tre c'è la stessa tecnologia "default deny".
Iniziare
Il pacchetto di download per Anti-Executable include la documentazione basata su PDF e faresti bene a leggerlo prima di procedere con l'installazione. In questo modo saprai perché ti viene richiesto di definire una password dell'utente amministratore e una password dell'utente fidato e cosa significa se selezioni la casella "Includi file DLL durante la creazione dell'elenco di controllo".
Il processo di installazione è cambiato dall'ultima edizione. In precedenza, era possibile scegliere se eseguire la scansione anti-eseguibile del sistema e aggiungere file alla whitelist. La disattivazione di quella scansione iniziale ti ha lasciato una whitelist vuota, il che significa che ogni programma sarebbe bloccato. In modo sensato, la versione corrente esegue sempre una scansione iniziale.
Anti-Executable presuppone che il tuo sistema sia privo di malware. La sua scansione iniziale whitelist assolutamente ogni programma che trova, senza considerare se si tratta di malware o meno. Per la migliore protezione, ti consigliamo di pre-scansionare il sistema con uno strumento di pulizia gratuito e resistente come Malwarebytes Anti-Malware 1.70, Comodo Cleaning Essentials 6 o Norton Power Eraser.
Per quanto riguarda l'inclusione di DLL nella scansione, ciò aiuterà a proteggere dalle minacce come Browser Helper Objects dannosi che non vengono eseguiti da un file.EXE. Puoi anche impostarlo per monitorare i file JAR Java. In teoria, l'aumento dei tipi di file tracciati potrebbe influire sulle prestazioni, ma non ho notato alcuna differenza.
Elenco di controllo dell'esecuzione
La whitelist e la blacklist separate dell'edizione precedente sono ora unite in un unico Elenco di controllo dell'esecuzione. Come notato, per impostazione predefinita nella lista bianca Anti-Executable autorizza ogni file che trova in una scansione. È possibile scorrere l'elenco e impostarlo per bloccare programmi specifici, se necessario. Non sei sicuro di un file? Dall'elenco è possibile avviare una ricerca su Google o cercarla nel database identificativo di Faronics.
Nota che se selezioni la casella per includere i file DLL, dovrai aggiornare l'elenco. Altrimenti l'avvio di un eseguibile autorizzato potrebbe innescare dozzine di avvisi per DLL non ancora autorizzate utilizzate da tale eseguibile. Basta fare clic sul pulsante Aggiungi, selezionare tutte le unità pertinenti ed eseguire nuovamente la scansione. Puoi anche scansionare qualsiasi cartella particolare e consentire o bloccare tutti gli elementi trovati in quella cartella o in quella cartella e nelle sue sottocartelle.
C'è un'opzione per contrassegnare qualsiasi file eseguibile nell'elenco come Trusted. Ciò significa che è consentito avviare altri file eseguibili che non sono autorizzati. Questo mi sembra un po 'pericoloso; Ci penserei due volte prima di selezionare la casella Trusted.
Puoi anche inserire nella whitelist i file per editore; fai clic su Mostra editori ed esegui una scansione. Faronics ha rimosso sensibilmente i blocchi di abilità degli editori, poiché qualsiasi programma non esplicitamente consentito non verrà eseguito. Questa edizione offre anche un controllo granulare sulla whitelisting basata sull'editore. Molto spesso, inserirai nella whitelist tutti i file firmati dall'editore specificato. Ora, tuttavia, puoi anche aggiungere la whitelist in base al nome del prodotto, al nome file e persino alle versioni specifiche del file. Non vedo il valore del controllo a questo livello di dettaglio; forse è più significativo nelle impostazioni Enterprise.
