ThreatFire
ThreatFire 主要是一个传统安全软体的辅助工具,可以弥补许多传统安全软体防护不足的地方,依照ThreatFire自己的说法,它可以与原本的反病毒、反间谍、防火墙等软体共容.
ThreatFire 3.0 的免费版中,除了可以利用专利的行为监控技术来阻止恶意的病毒、蠕虫、木马、间谍等程序入侵 ,而且还把原本Cyberhawk Pro才提供的Rootkits侦测、自定义规则等功能也都纳入免费版中提供,当然还加上了一些新的特色.
而ThreatFire的Pro注册版里,还整合了PCTools的反病毒监控技术,因为行为监控是只针对正要行动的程序,反病毒扫描则可以找出那些隐藏在电脑中还未启动的恶意软体.
ThreatFire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending ActiveDefense technology ),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎麽变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎么变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.
重要的是,它具有类似程序防火墙的作用,号称西方的微点,是可以与杀毒软件配合使用的一个绝佳选择,能够查出杀毒软件所无法扫描到的恶意程序,保护电脑安全
测试评语:
总结:
ThreatFire号称西方的微点,ThreatFire工作原理与微点类似,行为判断,不依靠病毒库升级,防御未知病毒木马的“零日威胁”!具有类似程序防火墙的作用,但是对付“土著恶意程序”就没那么有效了,在实测最近流行的猫癣下载器的时候,ThreatFire就不幸被猫癣下载器感染成反反复复难以除根的“香港脚”了…不过,ThreatFire有和收费版相差无几的免费版可用,也还是值得一用的安全软件
threatfire的扩展如果你具有基本的安全知识,而且还有耐心,那么完全可以自定一个规则来打造拦截率超过98%的tf。
下面引用网友baerzake的规则,也就是著名的tf局长规则。
因为病毒的特性是就是隐蔽,无界面,无进程……,故而设置一条针对非交互进程的规则即可,规则大意是禁止后台执行可执行文件。
正常程序一般不会后台自动运行,除了一些升级程序,可以在提示时选择允许并记住就可以了(开始提示会有点多,但一两天后就会很安静,很强大)。
具体设置见下图右
(常用可执行文件有*.ax *.bat *.bin *.cab *.cmd *.com *.cpl *.dll *.drv *.exe *.hiv *.hta *.lmz *.ocx *.olb *.pif *.scr *.sys *.tlb *.vxd *.x32)
实测中几乎所有的病毒或恶意程序都被拦截,有的甚至连自带的规则都没过(能过自带的就是很厉害的病毒了。)
至于应该如何判断,最好的办法是先看这个进程是不是自己的正常程序(在哪个文件夹,是不是三无产品)。如果不是,那就要小心了,到“文件活动详细信息”去看看这个程序到底想做什么,如果它是想搞破坏,坚决斩立决。
其次,如果是在安装补丁、或安装新的软件时它立马弹出来,则应该放行。这些经验还很浅显,只是抛砖引玉,娱乐一下大众o(∩_∩)o