ThreatFire 3.0 惡意程序行為監控軟體

threat01.png之前在「惡意程序專用防護:Cyberhawk 2.0.4 Pro 免費註冊專業版」一文中,提到Cyberhawk提供了PCTools用戶免費獲得專業版功能的管道,而這一切的計畫終於在今天明朗化,被PCTools併購的Cyberhawk現在以PCTools的商標推出了名為「ThreatFire 3.0」的惡意程序監控軟體,正式結束舊版的名稱,邁向3.0。在ThreatFire 3.0 的免費版中,除了可以利用專利的行為監控技術來阻止惡意的病毒、蠕蟲、木馬、間諜等程序入侵,而且還把原本Cyberhawk Pro才提供的Rootkits偵測、自定義規則等功能也都納入免費版中提供,當然還加上了一些新的特色。而ThreatFire的Pro註冊版裡,還整合了PCTools的反病毒監控技術,因為行為監控是只針對正要行動的程序,反病毒掃描則可以找出那些隱藏在電腦中還未啟動的惡意軟體。不過我們下面的介紹是以ThreatFire 3.0的免費版為主,ThreatFire 3.0Free主要是一個傳統安全軟體的輔助工具,可以彌補許多傳統安全軟體防護不足的地方,依照ThreatFire自己的說法,它可以與原本的反病毒、反間諜、防火牆等軟體共容。

ThreatFire最具有特色的地方,應該就是它享有專利的行為監控技術(patent-pending ActiveDefense technology),可以監控電腦中活動的進程,當辨識到惡意的程序,或是發現可疑的行為時,便會阻止其對系統的入侵破壞,或是提示使用者進行判斷。這種監控方式因為是判斷某個程序的行為是否有妨礙系統安全的可疑動作,或是辨識那些會更動系統核心區域的行為,只要這個進程有「不正常」的動作就會被揪出來,理論上來說,這是更好的惡意軟體防護方式,因為不管惡意軟體怎麼變,他要入侵電腦就一定要做出某些動作,而我們只要揪出這些動作然後阻止即可,不需要完全依靠病毒碼的方式來辨識惡意軟體本身。

一般的HIPS(單機入侵防禦、系統防火牆)通常是為系統的重要核心資料建立一個防護罩,所有要通過這層防護障的程序行為都會被揪出來,然後由使用者判斷是否要允許放行。例如幫瀏覽器的首頁、工具列、ActiveX等建立一個防護罩,任何有要改動首頁、安裝工具列的行為都會被檔在防護罩外,除非使用者放行。而依據官方說法,ThreatFire和一般的HIPS不同的地方在於,ThrearFire有一套自己的行為監控辨識技術,所以可以自行放行一些安全的程序,對於確定是惡意的程序也可以自動阻擋,只有未知的可疑行為會先被隔離,並以「黃色」警示視窗的方式警告使用者,而在這個警示視窗中,使用者可以依據安全等級、可疑行為描述等進一步資料,來決定是否要放行。所以就使用的體驗來說,ThreatFire在行為監控的同時,也提供了使用者一個相對易用的體驗。當然,安全防護能力又是另外一回事,不過一般的使用者其實可以在安全防護能力與易用性上作一個平衡的抉擇,因為不是所有使用者都會需要很耗資源的全面監控的。

threat03.png

介紹完ThreatFire最主要的核心功能後,下面我就參考官方說法,來介紹一下3.0版的幾個功能與心得:

  • 穩定性與效能的增強:當然,新版如果沒有除錯和程式優化就實在說不過去,就我實際的使用體驗來看,換了新程序的ThreatFire(TFService.exe、TFTray.exe)在占用記憶體與CPU效率上有些微的增強,初步的使用看來是比之前的Cyberhawk更順暢,之前會碰到的「輸入法」效能問題目前也還沒有遇到。但是因為我也才試用了一個晚上,所以這部分還說不準。

  • 介面改變、基本操作不變:雖然會了新的主程式介面,但是操作方法還是和之前的Cyberhawk一樣,在主介面中的「Security Status」可以看到目前可防護數量和已經偵測的統計;在「Start Scan」中可以手動掃描Rootkits威脅;「Threat Control」中可以看到已經建立的允取、阻擋規則,可以進行修改;「Advanced Rules」可以讓進階使用者自行設計行為監控的規則,對於一般使用者的我來說,這部分目前先自動跳過;「Setting」可以設定一些基本的即時監控項目,還可以排程Rootkits的掃描

  • Community Protection社群式防護體系:在主程式介面的「Security Status」中可以看到「Your Protection(你的防護資料)」、「Community Protection(社群防護資料)」的區別,你的防護資料指的是你私人主機裡的各種防護事件統計,而Community的社群功能,則讓ThreatFire的使用者可以即時互相交換彼此的防護資料,當有用戶的ThreatFire偵測、標示出新的惡意程序時,就會透過用戶彼此的傳遞來最快的更新安全資料。只要到「Setting」的「Community Protection」選擇「On」,就可以加入這個共享機制。

  • Quarantine隔離區:最新ThreatFire擁有隔離區的功能,在跳出黃色的警示視窗時,可以選擇「Quarantine」,該進程檔案就會被放到隔離區當中,你可以到「Threat Comtrol」-「Quarantined」當中看到被放入隔離區的檔案。隔離區的功能可以讓你試試看刪除這個檔案會不會對系統造成影響,如果會有影響可以到隔離區復原檔案「Restore」,如果移除後系統仍然可以正常運作,也可以選擇「Permanently Delete」永久刪除這個檔案。(將檔案放入、移出隔離區後,最好重新啟動電腦)

threat02.png

對於家庭用戶,可以試試看用一個防火牆搭配一個ThreatFire,防火牆可以過濾網路的各種不當連線,而ThreatFire可以過濾系統的不安全修改、可疑程序的行為(也會包含一部分程序的可疑網路連線),不過ThreatFire可以阻擋惡意程序,可以刪除惡意程序檔案,但是無法像防毒軟體那樣對「中病毒」的檔案解毒,所以我也會安裝一個手動的反毒軟體ClamWin來掃描潛伏的病毒或解毒。這也是為什麼ThreatFire Pro註冊版用加入AntiVirus功能的原因。

有興趣的朋友可以試用看看ThreatFire這個改頭換面的惡意程序行為監控軟體。

留言

  1. (汗)我還在想之前囉唆了一堆,是不是不要再念這件事,免得讓行者站長又像EQ那樣試出問題,結果行者站長依然第一時間反應……

    先講個注意事項,ThreatFire 3.0 BETA版已知有內建移除功能不完全的問題(官方聲明),可能要準備Revo Uninstaller這類程式(因為要換正式版通常也必須自己移除BETA)。

    ThreatFire 3.0這次大改版中,介面配置跟原先一樣,只有畫面有換,FREE版的功能跟之前Cyberhawk 2.0.4 Pro一模一樣。

    我的個人看法是:不要用PRO版。用FREE加一款免費防毒。
    PC TOOL的防毒引擎來源眾說紛紜,實際比對掃病毒樣本時的偵測結果和名稱(因為各家取的名字會不太一樣),似乎是採用VirusBuster的引擎;但也有人聲稱他是用自製核心。總之,它的防毒效果評價並不突出,試用PC Tools AntiVirus™ 3.1 Free Edition的人也回報多種問題(不能上網、系統卡死、不支援中文資料夾、不能順利掃描硬碟),雖然可能已經改進了,但是何必當白老鼠?

    Cyberhawk的定位一直是「輔助」,雖然最近的阻擋率不斷提昇,我個人仍不建議單獨使用。除了可能有漏網之魚,它的提示並不十分清楚,有時還會抓錯關連程式,例如某病毒利用WINRAR自解壓縮執行,ThreatFire 3.0 BETA會擋下它然後把WINRAR抓去關……

    而且HIPS一定要「執行」後才能發現問題,有時候可能有些影響系統的行為已經發生而且不可逆;防毒軟體的即時監控可以在執行前先偵測到。安全起見,最好還是挑一款輕巧的防毒搭配使用。

    回覆刪除
  2. 為了換裝ThreatFire 3.0去找Revo Uninstaller,才發現已經變1.3版了!非常有野心的GROUP,官方說明的新增功能如下(Bug fixed跟介面修改不列):

    Added search in Uninstaller - very quick search as you type option in the list of installed applications

    Added deep scan when uninstallation is broken
    Added Disable/Enable Auto Starting command in the context menu of Auto Run Manager

    Added starting uninstall command with double clicking

    Added Portuguese Brazil localization

    Improved Junk Files Cleaner and bugs fixed - supports very deep folder hierarchy

    Improved Evidence Remove tool - shows a progress bar and a percentage of jobs done

    Improved uninstall scanning - shows the stages of scanning with a progress bar

    Improved speed of options dialog

    回覆刪除
  3. 我也要先汗一下,昨天裝時,主程式的「about」裡面並沒有Beta字樣,害我沒有注意到原來還在Beta階段。也提醒有興趣玩玩看的用戶注意一下囉!

    關於PCTool的AntiVirus我也有不好的印象,但是忘記那時候試用時發生什麼問題了,好像是太占資源之類的,不知道目前的版本怎麼樣。

    另外也謝謝Peter關於搭配方法的回饋。說到這個,這一次我安裝時,因為系統中已經有Comodo Firewall Pro,所以我想說既然裝了ThreatFire,因此就把Comodo Firewall Pro最「膾炙人口」的應用程式行為分析和元件監視給它關掉。不知道這樣的思考是否合理,還請Peter指點一下喔!

    最後說到安全測試,這是我目前還做不到的程度,我頂多只能就一般使用者的基本操作發表一下心得而已,再汗一下^^

    P.S.其實測試時出個問題是本來就會有的預期風險,只要平常資料做好轉移與備份,其實我是不在意重灌一下。(不過目前玩仙劍四,有每年只能安裝10次的限制,所以對重灌會更謹慎一點,要不然有時候其實就直接把重灌當作整理電腦了^^)

    回覆刪除
  4. 呵呵,Revo Uninstall我也很推薦,何且它的改版真的都很用心,目前我也用了一個多月的1.30版,真的是很不錯的一個系統工具,除了反安裝還有許多實用功能啊!

    回覆刪除
  5. PC TOOL的下載頁面把BETA藏在底下小字裡(暈)……除非事先聽說,不然搞錯其實很自然,頁面設計根本和之前的正式版一模一樣……

    應用程式行為分析和元件監視是指APLICATION MONITOR跟COMPONENT MONITOR嗎?

    不衝突的話其實不用關(除非覺得他一直跳視窗很煩),COMODO 2.4版的分析和元件監視相當厲害(3.0的DEFENCE+就非關不可,衝突的可能性太高,不過有DEFENCE+,我大概就不用ThreatFire了……),除了偶爾會發生的誤報外,幾乎所有連外動作都一定會被抓出來,讓你知道有哪些元件試圖透過正常的連線程式發出封包。這部份的功力ThreatFire應該是比不上的,而且COMODO關掉這兩個功能剩下的東西好像也不多了……

    舊一點的電腦我可能會建議放棄防火牆(特別是像CPF 2這麼大的牆),超舊的電腦(非XP)我會建議在HIPS跟防毒中2選一,然後用硬碟備份軟體後援。如果有用FOXY、GOGOBOX、BT、EMULE這類P2P、或是成天MSN檔案亂傳,而且習慣抓完直接點兩下開啟,那也建議不用裝防火牆。因為人家從外入侵的可能性遠低於自己抓到有毒程式自爆的機會……用HIPS自訂規則阻止遠端修改系統的行為即可。

    安全測試留給我第一篇留言連結中的強者做吧……人家的興趣是以身試毒……

    有一個HIPS內建規則小測試,站長有興趣可以玩一下:
    先關閉HIPS的監控,然後把一個圖檔或文字檔的檔名改成系統進程檔名(svchost.exe、services.exe、winlogon.exe這類),接著用WINRAR這類壓縮軟體把它壓成壓縮檔。接著開啟HIPS監控,把這個檔案解壓縮,看會出現什麼狀況。
    這是很簡單的誤報測試,看HIPS是不是「見到黑影就開槍」,單純用檔名來判斷程式危險性。雖然原則上這麼想很合理(因為不會有人沒事把檔名弄成跟系統檔一樣),但是這種判斷法太單純,容易被避過。
    據說TF會把WINRAR當成病毒,沒有第二句話直接關起來……

    CCleaner、Glary Utilities、Revo Uninstaller都有獨到之處,可是功能重複的地方好多……

    回覆刪除
  6. 應用程式行為分析我指得是在「Advanced configuration」裡面的「Application Behaviour Analysis」,因為覺得很多功能似乎和ThreatFire重覆。

    至於「COMPONENT MONITOR」因為開啟時覺得太煩,設為學習模式後也不常去查看,所以記然很少利用它,才想說關掉試試看(而且看到有些論壇討論這個功能有可能造成CPU占用率過高的問題,我自己是沒有碰過)。

    而APLICATION MONITOR可是Comodo Firewall的基本,當然是關不得的囉^^

    回覆刪除
  7. 像站長這樣常試新軟體的人,CPF應該靜不下來吧……
    Application Behaviour Analysis關掉應該是不打緊,我覺得第二項dll injection關掉應該就會安靜許多(我不確定哪些提示是出自ABA就是了)。
    內對外網路監控主要是防止木馬、間諜程式偷傳訊息,有防毒加HIPS其實就少了很多派上用場的機會(但是可以擋掉WINDOWS裡很多東西煩人的自動連線)。

    有個東西不想裝太多防護程式的人可以考慮:
    McAfee® VirusScan Plus – Special edition from AOL

    在AOL停止供應AVS後的一年期免費方案,著名的AAA免費防毒(ANTIVIR、AVAST、AVG)之外的選擇。含Virus protection 、Spyware Protection跟Firewall,加上ThreatFire 3.0就可以收工,其他什麼防間諜、防火牆、有的沒的都不需要了。

    不過申請手續要寫的東西多一點,得跟AOL請一個信箱。不想寫那麼多東西可至這個網頁:
    http://www.natwest.com/microsites/personal/latest_deals/index.asp?referrer=online
    按最下方寫著:Free PC Security那一格。

    這是簡易套裝,效果可能不比用各式免費安全軟體中的頂尖者堆起來的銅牆鐵壁(雖然這麼說,McAfee在國外也是響噹噹的老字號,只是在亞洲有點水土不服罷了)。話又說回來,除非現在用的防毒軟體天天跳警告,不然何苦消耗那麼多系統資源去防那不存在的威脅?畢竟如果又來一次CIH般的全球風暴,也沒人敢保證哪種銅牆鐵壁真擋的下來(拔網路線最快)。像站長說的,自己要考量安全防護能力與易用性上的平衡。

    再次呼籲:不要再拿著卡巴企業版序號到處幫人灌盜版了!也不要迷信廣告盜用TREND或NORTON了!我看過太多叫好人同學幫忙灌付費防毒不付錢、然後連病毒碼都不更新,照樣把電腦變跑馬場的案例(一堆木馬)。
    我不是不建議花錢買整合式強力防毒,用的順手、符合需求,那花點錢省時間買安全保障何樂而不為?(而且付錢的是大爺,出問題直接一通電話叫他們處理就好)只是防毒這種事畢竟敵暗我明,惡意程式天天推陳出新,沒有什麼方案是一勞永逸的(不用WINDOWS跟拔網路線大概算),有基本的SENSE和好習慣,加上適度的防護,才是最好的。

    回覆刪除
  8. 由於現在多數防毒軟體也加入對SPY、AD的偵測,在資安論壇有大老提點本人:「你的防毒軟體夠好,根本不需要這類額外輔助軟體」……

    幹嘛不在我裝AVG ANTISPYWARE之前就告訴我……

    如果覺得不安心,想要在即時監控外裝一個純掃描當輔助,個人認為BD10 FREE是不錯的選擇,因為能同時偵測病毒、木馬、SPY、廣告和惡意程式,比單純掃SPY、廣告、不具即時監控的多數免費反間諜軟體要來的多元,平時也不太吃資源。

    最後,在下的意見聽聽做參考就算了,和長期在資安領域打滾的人比起來,在下還是差遠了。只不過比較常在這裡大放闕詞而已。很多事,自己試的結果會比在下胡吹來的準。

    總覺得會來這兒的人都有基本的SENSE不需要我囉唆就是了(真的要念的人都不懂得來電腦玩物這種寶庫)……

    回覆刪除
  9. 悲情經驗談,想要用Revo uninstaller拆Cyberhawk2.0改裝TF;結果先是途中ANTIVIR誤報關連檔中斷,接著移除不斷失敗。改用CCleaner要求關閉所有執行程式(包含CCleaner)才能繼續。

    Cyberhawk為了避免被惡意程式關閉移除,似乎會阻止WINDOWS內建新增移除程式之外的程式進行刪除動作……

    也就是TF BETA應該也只能用WINDOWS內建新增移除程式來拆,拆不乾淨要自求多福……
    請教站長,這種情況下,要怎樣利用Revo uninstaller處理剩下的殘骸?

    回覆刪除
  10. 其實就像我之前好像在留言中有提過,用Revo Uninstaller來清理一般應用程式遺留的殘骸是沒有問題,但是如果是要移除系統類程式的話,因為有可能把重要系統檔也移除,所以像Cyberhawk、Spyware Terminator這種會深入系統核心的HIPS軟體,我自己都是用Windows基本的新增移除(或軟體自帶),這樣最安全。

    至於移除不乾淨的問題,我通常只是用像CCleaner之類的軟體來清理垃圾檔和登錄檔就會滿足了;除非我偶爾檢查C槽時被我看到殘留資料夾,或是檢查登錄檔時看到遺留物,才會手動去刪。要不然很少去追究到底硬碟中、登錄檔中還有沒有殘留東西,只要開機啟動時的程式與服務都是乾淨的,也不會在電腦作業時跑出破名其妙的錯誤就好了。

    回覆刪除
  11. 嗚、嗚(泣),我引以為傲的XP light bar(開機時微軟國旗下方那像跑馬燈的東西)只跑一次就進系統的輝煌紀錄完全消失了,現在要跑四次才進的了。不知道是又灌又拆Cyberhawk搞出來的,還是因為新裝了Glary Utilities、Revo Uninstaller、PDF-XChange PDF Viewer跟Lingoes。

    CCleaner跟Glary Utilities對無效登錄檔的判定差蠻多的,Glary Utilities能刪的多、誤判也多,考慮只用Revo Uninstaller就好。想請教站長對老牌註冊表管理軟體「系統醫生」有沒有什麼看法(灌系統時順便裝的)?

    用Easy ghost做好C槽備份了(核心是NORTON GHOST 8.X),準備挑戰TH 3 BETA……

    怎麼留言介面現在被弄的這麼難用?GOOGLE最近好像在各種介面修改上做了不少蠢事……

    回覆刪除
  12. 這兩天的Blogger都是怪怪的。

    說到系統醫生,其實我沒有什麼特別的想法,很久以前用過一陣子,最近都沒有用了。不過記得那時候是很紅的一款註冊表清理軟體。

    回覆刪除
  13. 昨天已經官方已經釋出bate3版了
    禮拜天再來試用看看
    行者站長謝謝您提供一些好用的軟體介紹阿

    回覆刪除
  14. 哇,那這樣我改天也要來試用一下啦^^

    回覆刪除

  15. 已經灌好bate3版了
    用了一下感覺不會很占資源
    但是還是有點疑問就是advanced rules
    裡面有兩個預設的清單那個要打開嗎
    雖然default值是沒有打勾的?

    回覆刪除
  16. ThreatFire 沒見到 Bate 的字樣 ?

    回覆刪除
  17. 有可能你沒注意看(因為它藏得很隱密),也可能已經推出正式版,但我最近有段時間沒有注意這套軟體了。

    回覆刪除
  18. 不知道站長有沒有去過一個叫spycar的綱站, 有提供測試間諜防護軟件能力的檔案下載
    剛剛測試了一下threatfire 3發現他能力比boclean差很多, 站長可以去試試看
    http://spycar.org/Spycar.html

    回覆刪除
  19. 小弟試過在 Windows 2000 (已安裝 SP4) 的電腦上運行,發現在掃描系統登錄 (即 Registry) 時,會使 Windows 有短暫鎖死的情況 (連 Task Manager 也被鎖住),甚至試過 Hang 機 (Keyboard 與 Mouse 也不能動),表現非常差,暫時不建議使用 (或等下一個更新版再試)。

    回覆刪除
  20. 我在XP中長期使用並沒有遇到特別的問題,
    不過這種軟體確實容易有不相容的現象,
    需要小心

    回覆刪除

張貼留言

為了避免垃圾廣告留言過多,開始測試「留言管理」機制,讓我可以更容易回應讀者留言,並更簡單過濾掉廣告,但只要不是廣告留言都會通過審核。

這個網誌中的熱門文章

全家沖印、 7-11 列印照片誰好用?立可得與 ibon教學+比較表

Google Maps 我的地圖完全教學!規劃自助旅行攻略

Slack 完整教學與上手心得:找到正確的團隊溝通之道

Google NotebookLM 免費中文 AI 筆記實例教學,老師、學生、創作者利器

Miro 遠距工作開視覺會議的免費強大白板,專案圖解實例教學

Google 表單自動關閉回覆教學:時間人數到達就過期

畫張圖說得更清楚! Napkin 用 AI 幫你的簡報文章手繪視覺思考圖

少記筆記,減少整理,高效輸出:6 原則打造任務驅動型第二大腦

Google 表單的 10 個專業問卷調查設計秘密教學