除了以社交手段誘騙使用者來自廢武功外,另一個容易讓黑客突圍的管道,就是利用系統或軟體的漏洞來趁虛而入,如零日攻擊(Zero-day attack)。畢竟要在沒問題的程式中(如IE、Adobe),找出有問題的「程序」,就不見得是所有的防毒軟體,特別是功能閹割的免費防毒所能做到的。這時加裝一款ThreatFire這種,專門查緝後門、木馬的反間諜軟體,就有其必要。
何謂零日攻擊(Zero-day attack)
簡單來說,就是漏洞發現之前的攻擊。在「漏洞發現」到「修補漏洞」中間會有一段空窗期,因為發現漏洞時,軟體公司得花一段時間來製作修補程式,但是通常「發現」這個漏洞的人就是黑客,所以修補程式發布時,攻擊程式可能也會同時出現。而且就算時發布了修補程式,離使用者意識到並實際執行修補也還有一段時間,有的電腦也許早就被攻陷了。
軟體介紹
- 名稱:ThreatFire 4.7 Free
- 檔案大小:8.59MB(載點)
- 官方網頁:http://www.threatfire.com/
▲ThreatFire強調對零日攻擊的防禦,透過本身的ActiveDefense行為監控技術來監測系統內是否有奇怪的程序,偷偷在運作。
基本功能
ThreatFire是防毒軟體公司PC Tools旗下的產品,Google軟體集下的Spyware Doctor with Anti-virus,可能不少玩家也有印象,它們也有提供免費的防毒和防火牆可以下載。ThreatFire 並不是正規的防毒軟體,算是額外補強系統安全的工具,所以使用者還是得具備一套防毒軟體才行。由於是補強工具,所以不會跟原本的防毒軟體發生衝突,至少在PP試著安裝到原本灌有Trend Micro OfficeScan與Norton 2012 Beta的環境之下,相安無事。
▲安裝時,ThreatFire會先替系統檢查有沒有防毒與防火牆等安全工具。
▲進入首頁的世界地圖之下,會顯示最新的惡意軟體被發現的時間、區域與風險程度等資料。
▲據ThreatFire資料庫統計,威脅分布最高的是31.3.%的中國。
▲開始掃描之下有針對特定區域掃描的「Intelli-Scan」與整個系統的「完全掃描」。
進階功能
除了狀態顯示與掃描這些基本功能之外,在「高級工具」之下可以增加對某些程序的即時監控,並自行定義安全規則。不過ThreatFire本身就有預設一套安全規則,所以也不一定要特別去修改。裡面的「系統活動監控」則可以查出程式的運作狀況。
▲可以讓玩家手動新增或修改監控的規則。
▲「系統活動監控」可以看出目前使用中的程序有何異狀。
▲在設置的功能下分成常規、隔離與預定掃描等頁籤。能在此將語系切成簡體中文,或是上網去找網友做的正體中文語系包。
▲在「敏感度級別」下,可以調整對威脅的敏感度。
▲敏感度設太高,可能會每開一個程式就會出現一次警報。
▲ThreatFire也有類似雲端信譽評等的「社區保護」功能機制。
▲TheatFire在關閉主程式進入閒置狀態時,僅用掉3MB左右的主記憶體,平均CPU則接近0。
▲使用Intelli-Scan,處理器使用維持在50%以下,但記憶體也只略升到4-5MB左右。
▲從官方公布的系統最低需求就可以看出,ThreatFire不需要用掉太多資源。
防毒不只是「防毒」
或許會有玩家認為,現在的防毒軟體不是本來就應該具備防木馬、間諜程式的功能嗎?說起來是這樣子沒錯,但就跟雙引擎比單引擎的偵測率高差不多道理,畢竟多1道關卡,在不造成衝突的前提下,還是會提升惡意程式發現的機率。而且部份的免費防毒,並不見得具備行為分析的功能,就算是依靠雲端來加速病毒庫的更新,當某些惡意程式還沒被納入到病毒庫時,這類型補強的軟體就可以發揮作用。
愈來愈多機構或防毒廠都已經意識到,現在的病毒類型大都轉變成「沉默」的木馬或間諜程式,情況也只會更嚴重,所以未來主打行為監控或HIPS(主機入侵防禦系統)功能,來揪出潛在威脅的防毒軟體只會愈來愈多,雖然不見得會讓這些專門查殺木馬的工具變得無用武之地,像當年的AVG Anti-Spyware 7.5與Anti-Virus 7.5乾脆合體成AVG Anti-Virus 8.0,應該會更合時宜。
測試平台
- 處理器:Intel Celeron E1600
- 記憶體:Kingston DDR3 1GB x 2
- 硬碟:HITACHI 500GB
- 作業系統:Windows 7 Ultimate
但至少不是P4...囧
傳統上的防毒都是屬於被動式的,得等到病毒出來後,由軟體公司進行分析、並建立病毒碼,最後讓使用者更新病毒碼,這時才有辦法抓得到病毒
而這實在太慢了,所以便有了這種主動式檢查可疑行為的機制,這樣就算並未建立病毒碼,也可以透過病毒存取不正常資料的行為中,試圖找到潛在的未知病毒
不過…對一般使用者而言,其實用途並不一定那麼大就是了
> 小弟沒有什麼重要的東西讓駭客偷啦~一堆遊戲吧~哈<( ̄︶ ̄)>
請google,"BotNet",駭客不是只會偷料
> 我有個疑問,這跟PC Tools底下的Spyware Doctor差別在哪?我有裝Spyware Doctor(不包含AntiVirus),它的作用不也是掃描電腦有無木馬等間諜程式之類的嗎?
簡單來說:
Spyware Doctor是反間諜軟體,ThreatFire是智能型HIPS。
> 看到celeron,就覺得小編好可憐...╮(╯_╰)╭
> 但至少不是P4...囧
不會啦!醬比較容易比較哪套比較吃系統資源…(哽咽)