Video: VoodooShield проактивная защита и эффективный инструмент безопасности (Ottobre 2024)
Supponiamo di avere un PC pulito e privo di malware. Potresti mantenerlo incontaminato semplicemente impedendo l'avvio di nuovi programmi. Non avresti affatto bisogno della tradizionale protezione antivirus! Inoltre, non potresti aggiornare le tue applicazioni o installare nuovi programmi. Quel tipo di whitelisting estremo è troppo rigido. VoodooShield di VoodooSoft ha un approccio più morbido. Per impostazione predefinita, blocca i nuovi programmi sconosciuti solo quando il sistema è a rischio. Novità per la versione 3.0, VoodooShield aggiunge il rilevamento di malware basato sull'intelligenza artificiale, ma dovresti comunque utilizzarlo insieme a un antivirus più tradizionale.
Puoi utilizzare le funzionalità di base di VoodooShield gratuitamente in un ambiente non commerciale. Tuttavia, se si paga l'abbonamento di $ 19, 99 all'anno, si ottiene anche il supporto tecnico, la possibilità di regolare le impostazioni e altre funzionalità avanzate. Questa è una recensione dell'edizione a pagamento, anche se la maggior parte di ciò che descrivo in questa recensione si applica sia alla versione gratuita.
Iniziare
Dopo l'installazione rapida e semplice, il programma ti chiede di scegliere una modalità di sicurezza iniziale, precisando chiaramente le scelte. La modalità AutoPilot richiede meno interazione da parte dell'utente, ma è solo leggermente meno sicura. La modalità di whitelisting dell'applicazione aumenta la sicurezza a spese della necessità di più risposte da parte dell'utente. A questo punto, il programma crea una whitelist iniziale che include tutti i programmi in esecuzione sul sistema.
Sì, se il malware è già in esecuzione, viene inserito nella whitelist insieme agli altri. Se sei preoccupato, scansiona il sistema con uno strumento come Malwarebytes Anti-Malware 2.0 prima di installare VoodooShield.
Una grande schermata di benvenuto offre una semplice descrizione di come funziona il programma. In breve, afferma che invece di provare a rilevare e bloccare l'esecuzione di programmi dannosi come fanno i tipici strumenti di protezione da malware, VoodooShield consente solo l'avvio di programmi validi (autorizzati).
La schermata successiva spiega che nella sua modalità automatica, la protezione del programma si attiva quando sei a rischio e si spegne quando non lo sei. Sì, potrebbe bloccare qualcosa che intendevi eseguire: in tal caso, fai clic su un pulsante per consentire quel programma. Puoi anche disattivarlo temporaneamente per installare nuovi programmi.
Per niente confuso? Certo, non è il tuo solito antivirus. Novità dall'edizione precedente, è disponibile un manuale per l'utente completo per coloro che desiderano approfondire la conoscenza.
Acceso, Intelligente e Spento
Tutto ciò che vedi normalmente di VoodooShield è una piccola icona a forma di scudo nell'angolo in basso a destra dello schermo. Puoi spostarlo in una posizione diversa e fare clic con il pulsante destro del mouse per visualizzare un menu semplice che, tra le altre cose, ti consente di controllare la modalità operativa del programma.
Quando VoodooShield è disattivato, è in modalità allenamento, il che significa che autorizza tutti i programmi eseguiti. L'icona dello scudo diventa rossa e visualizza OFF. Utilizzare questa modalità quando si installa un nuovo programma da una fonte attendibile.
Quando si accende VoodooShield, lo scudo diventa blu e visualizza ON, e cattura istantaneamente ogni programma in esecuzione. Blocca l'esecuzione di qualsiasi altro programma che non sia già nella lista bianca. Se blocca l'accesso a un programma che intendevi avviare, fai clic sul popup dell'area di notifica per visualizzare i dettagli completi, quindi fai clic su Consenti. Se non riconosci il programma, fai clic su Blocca. Oppure puoi semplicemente ignorarlo; VoodooShield si blocca automaticamente dopo 20 secondi.
Per la prima volta dopo aver installato VoodooShield, potresti vedere alcuni di questi popup. È possibile ridurre il disordine popup attivando la modalità Smart. La logica dietro questa modalità è semplice. Si presume che non sia già presente malware sul computer, quindi l'unico modo in cui il malware può entrare è da Internet o da un'unità rimovibile. In modalità Smart, VoodooShield è disattivato per impostazione predefinita e inserisce nella whitelist i programmi eseguiti. Ma se ti connetti a Internet o inserisci un'unità USB, si accende.
VoodooAi e Scanning
In passato, ho consigliato di utilizzare VoodooShield insieme a un antivirus più tradizionale, forse Bitdefender Antivirus Plus 2016, McAfee AntiVirus Plus o un altro dei nostri strumenti antivirus Editors 'Choice. Le FAQ di VoodooShield indicano Webroot come una scelta particolarmente compatibile. La versione attuale del prodotto si avvicina ad avere le capacità di un antivirus autonomo, ma fare amicizia con un antivirus tradizionale è ancora una buona idea.
Il prodotto ora include uno strumento di apprendimento automatico chiamato VoodooAi. Insieme a migliaia di campioni di malware e file validi, tre sistemi di analisi sviluppano modelli interni delle caratteristiche che contraddistinguono i due gruppi. Non cercano firme malware specifiche o comportamenti simili a malware. Piuttosto, tengono traccia di circa 40 caratteristiche del file che differiscono in modo significativo nei due gruppi.
A integrazione di questo motore di apprendimento automatico, VoodooShield controlla qualsiasi file bloccato rispetto al database di un noto servizio di scansione antivirus multiengine. Problemi legali e contrattuali impediscono all'azienda di nominare quel servizio, ma puoi sicuramente indovinarlo. E sì, mentre il servizio in questione non può essere legittimamente utilizzato come motore di rilevamento primario, il controllo dei file che sono già stati bloccati è OK.
Secondo il mio contatto presso VoodooSoft, "Se il risultato VoodooAi è molto basso, diciamo 0, 2000 o meno, e tutti i risultati dei 57 motori sono puliti, allora il file è sicuro". Al contrario, un risultato VoodooAi molto elevato suggerisce che qualcosa non va nel file, indipendentemente dal fatto che si tratti o meno di malware.
In esecuzione su AutoPilot
La nuova modalità AutoPilot sfrutta questi due metodi di rilevamento per far sì che VoodooShield si comporti più come un vero antivirus e meno come un prodotto solo per la whitelist. Blocca temporaneamente qualsiasi programma che non è stato autorizzato, il tempo necessario per ottenere un punteggio VoodooAi e controllare il servizio di scansione online. Tutti i file che ottengono un buono stato di salute da entrambi possono eseguire senza ostacoli. In questa modalità, lo scudo rimane blu e visualizza AUTO.
Per un file che sembra essere un malware, VoodooShield offre diverse opzioni. Oltre a bloccare semplicemente l'esecuzione del file, puoi scegliere di metterlo in quarantena, proprio come con Symantec Norton AntiVirus Basic, Kaspersky Anti-Virus e gli strumenti antivirus più tradizionali.
Quando VoodooShield blocca un file come dannoso, non semplicemente sconosciuto o sospetto, il pulsante Consenti cambia in Consenti falso positivo. Se fai clic su di esso, devi confermare che sai cosa stai facendo e che l'esecuzione del file potrebbe introdurre malware.
Mani su
Per un test del mondo reale, ho provato a lanciare ciascuno dei campioni di malware che utilizzo nei test antivirus regolari. VoodooShield li ha bloccati tutti, naturalmente, poiché non sono stati autorizzati. Li ha anche identificati tutti come malware. Anche Webroot SecureAnywhere AntiVirus ha rilevato il 100 percento di questi campioni.
Facendo clic su un collegamento Dettagli nell'avviso pop-up mi ha permesso di vedere come il programma ha valutato con tutti e tre i componenti VoodooAi e ha anche elencato i nomi applicati al programma da un massimo di 57 motori antivirus. La maggior parte dei miei campioni sono stati catturati da 40 o più motori. Nessuno è stato segnalato da meno di 25 di essi.
Ho anche lanciato 20 programmi di utilità PCMag. Si tratta di programmi legittimi che non vengono comunemente utilizzati, poiché la libreria di utilità PCMag si è chiusa. VoodooShield ne ha bloccati otto, dando un chiaro messaggio sul perché lo ha fatto. In un caso, ha affermato che mentre il file era sconosciuto al sito di scansione, VoodooAi lo ha ritenuto sicuro. Ne ha identificato quattro come sospetti sulla base dell'analisi di VoodoAi, rilevando che il sito di scansione antivirus li ha considerati puliti.
I restanti tre erano veri falsi positivi: programmi validi identificati come malware. In ogni caso, VoodooAi ha valutato il file non sicuro e esattamente uno dei 57 motori sul sito di scansione lo ha identificato come malware. È certamente vero che con 57 motori diversi hai 57 opportunità per un falso positivo.
Andando a cucù
VoodooShield include una modalità sandbox locale, progettata per consentire l'esecuzione di programmi iffy senza consentire loro di apportare modifiche rischiose al file system o al registro. Tuttavia, non l'ho mai trovato molto utile, poiché qualsiasi applicazione che richiede l'accesso a livello di amministratore non funzionerà correttamente in questo sandbox. La versione 3.0 aggiunge la possibilità di eseguire programmi sospetti nella sandbox Cuckoo online e open source.
Durante i test con i miei campioni di malware standard, inizialmente li ho inviati alla sandbox di Cuckoo. Il processo è impressionante. Puoi effettivamente guardare il malware in esecuzione in una macchina virtuale tramite Accesso desktop remoto. L'analisi può richiedere del tempo; Non ho tempo, ma cinque minuti sembrano giusti.
Una volta completata l'analisi, Cuckoo ti fornisce una tonnellata di informazioni sul programma testato, tra cui una valutazione del malware su una scala di 10 e le caratteristiche che sono entrate in quella valutazione. Ad esempio, un file che cancella il suo file binario originale dal disco è sospetto, così come uno che cancella le prove del proprio download. Ma l'unica bandiera rossa comune a ogni campione era questa: "Il file è stato identificato da almeno dieci antivirus su VirusTotal come dannoso".
In effetti, ho confermato che un file con solo quella bandiera rossa e nessun altro classificato 10 su 10 sulla scala del malware. A quel punto ho smesso di passare il tempo extra per eseguire ogni campione attraverso il cuculo.
Ho anche eseguito le utilità legittime contrassegnate da VoodooShield attraverso la sandbox. Tutti tranne uno variavano da 3, 3 a 5 sulla scala del malware. Uno di questi, progettato per segnalare dettagli approfonditi sul sistema, è stato contrassegnato come malware totale, poiché il suo comportamento ha suggerito un tentativo di nascondersi dagli strumenti di virtualizzazione.
Ho trovato affascinante la scansione sandbox, ma l'utente medio quasi certamente no. Fortunatamente non è necessario l'uso del cuculo.
Impostazioni avanzate
Una delle cose che ottieni optando per la versione a pagamento è l'accesso completo alle impostazioni avanzate del programma. Nota che puoi sicuramente usare VoodooShield senza mai toccarli. In effetti, molte delle impostazioni sono rivolte a una situazione gestita in cui l'IT controlla ciò che gli utenti possono fare con il programma. Non tenterò una discussione esaustiva di tutte le impostazioni.
Due pagine di impostazioni che potrebbero rivelarsi utili sono Whitelist e Quarantine. Non solo puoi vedere tutti i programmi che tu (o VoodooShield) hai inserito nella whitelist, ma puoi anche rimuovere quelli che sono stati inseriti nella whitelist per errore. In modo simile, è possibile visualizzare tutti i file in quarantena ed eventualmente eliminarli in modo permanente. Nel caso improbabile in cui sei riuscito a mettere in quarantena un file valido, puoi ripristinarlo.
Nella pagina Utilità è possibile eseguire il backup e il ripristino della whitelist oppure il backup e il ripristino delle impostazioni. Questa è anche la pagina che consente a un amministratore IT di definire una password, impedendo agli utenti di apportare modifiche alle impostazioni. In un'installazione multi-PC, l'amministratore può accedere a VoodooShield online per sincronizzare le whitelist tra computer.
In modalità Smart, VoodooShield si attiva e disattiva all'avvio di un'applicazione compatibile con il Web. La pagina App Web elenca tutte le app tracciate, evidenziando quelle attualmente connesse. Inoltre, consente di aggiungere all'elenco browser personalizzati e altre app compatibili con il Web.
Tra le altre cose, la pagina delle impostazioni ti consente di modificare la sensibilità di VoodooAi dalla modalità bilanciata predefinita fino a Reckless o fino a Paranoid. Puoi modificare elementi dell'interfaccia utente come la trasparenza dell'icona dello scudo. Puoi anche controllare come VoodooShield gestisce i programmi in cartelle specifiche.
Se avvii la finestra di dialogo Impostazioni dall'edizione gratuita, il programma suggerisce di passare all'edizione a pagamento. Se rifiuti di eseguire l'aggiornamento, vedrai comunque tutte le impostazioni. Non sarai in grado di cambiarli.
Una soluzione in evoluzione
Una soluzione whitelisting pura, in cui qualsiasi nuovo file non verrà eseguito, sarebbe troppo fastidioso per l'utente medio. La capacità di VoodooShield di bloccare il computer solo quando esiste un potenziale rischio di bilanciamento della sicurezza con praticità. Il nuovo sistema VoodooAi, in combinazione con l'uso di un servizio di scansione multi-motore, avvicina questo programma all'essere un vero antivirus autonomo.
Tuttavia, anche i dirigenti dell'azienda ammettono che VoodooShield non è ancora una soluzione autonoma. Prendi in considerazione l'utilizzo insieme a uno dei nostri prodotti antivirus Editors 'Choice, Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic e Webroot SecureAnywhere Antivirus.
