除了以社交手段誘騙使用者來自廢武功外,另一個容易讓黑客突圍的管道,就是利用系統或軟體的漏洞來趁虛而入,如零日攻擊Zero-day attack)。畢竟要在沒問題的程式中(如IEAdobe),找出有問題的「程序」,就不見得是所有的防毒軟體,特別是功能閹割的免費防毒所能做到的。這時加裝一款ThreatFire這種,專門查緝後門木馬反間諜軟體,就有其必要。

何謂零日攻擊

簡單來說,就是漏洞發現之前的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布時,攻擊程式可能也會同時出現。而且就算時發布了修補程式,離使用者意識到並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。

02.jpg  

▲ThreatFire強調對零日攻擊的防禦,透過本身的ActiveDefense行為監控技術來監測系統內是否有奇怪的程序,偷偷在運作。

基本功能 

ThreatFire是防毒軟體公司PC Tools旗下的產品,Google軟體集下的Spyware Doctor with Anti-virus,可能不少玩家也有印象,它們也有提供免費的防毒和防火牆可以下載ThreatFire 並不是正規的防毒軟體,算是額外補強系統安全的工具,所以使用者還是得具備一套防毒軟體才行。由於是補強工具,所以不會跟原本的防毒軟體發生衝突,至少在PP試著安裝到原本灌有Trend Micro OfficeScanNorton 2012 Beta的環境之下,相安無事。
 01.jpg

 

 

03.jpg   

▲進入首頁的世界地圖之下,會顯示最新的惡意軟體被發現的時間、區域與風險程度等資料。

04.jpg  

 

▲開始掃描之下有針對特定區域掃描的「Intelli-Scan」與整個系統的「完全掃描」。

進階功能 

除了狀態顯示與掃描這些基本功能之外,在「高級工具」之下可以增加對某些程序的即時監控,並自行定義安全規則。不過ThreatFire本身就有預設一套安全規則,所以也不一定要特別去修改。裡面的「系統活動監控」則可以查出程式的運作狀況。

 

05jpg.jpg

 

                                                                                ▲可以讓玩家手動新增或修改監控的規則。

06.jpg

                                                           ▲「系統活動監控」可以看出目前使用中的程序有何異狀。

07.jpg

     ▲在設置的功能下分成常規、隔離與預定掃描等頁籤。能在此將語系切成簡體中文

08.jpg

▲在「敏感度級別」下,可以調整對威脅的敏感度。

09.jpg

    ▲ThreatFire也有類似雲端信譽評等的「社區保護」功能機制。
11.jpg                                  

▲從官方公布的系統最低需求就可以看出,ThreatFire不需要用掉太多資源。
防毒不只是做防毒

或許會有玩家認為,現在的防毒軟體不是本來就應該具備防木馬、間諜程式的功能嗎?說起來是這樣子沒錯,但就跟雙引擎比單引擎的偵測率高差不多道理,畢竟多1道關卡,在不造成衝突的前提下,還是會提升惡意程式發現的機率。而且部份的免費防毒,並不見得具備行為分析的功能,就算是依靠雲端來加速病毒庫的更新,當某些惡意程式還沒被納入到病毒庫時,這類型補強的軟體就可以發揮作用。

愈來愈多機構或防毒廠都已經意識到,現在的病毒類型大都轉變成「沉默」的木馬或間諜程式,情況也只會更嚴重,所以未來主打行為監控HIPS主機入侵防禦系統)功能,來揪出潛在威脅的防毒軟體只會愈來愈多,雖然不見得會讓這些專門查殺木馬的工具變得無用武之地,像當年的AVG Anti-Spyware 7.5Anti-Virus 7.5乾脆合體成AVG Anti-Virus 8.0,應該會更合時宜。

本文章引用於T客幫


 

 

arrow
arrow
    全站熱搜

    黃小貓 發表在 痞客邦 留言(1) 人氣()

    E-mail轉寄