Vídeo: VoodooShield проактивная защита и эффективный инструмент безопасности (Outubro 2024)
Suponha que você tenha um PC com garantia de limpeza e livre de malware. Você pode mantê-lo intacto simplesmente impedindo o lançamento de novos programas. Você não precisaria da proteção antivírus tradicional! Mas você também não poderá atualizar seus aplicativos ou instalar novos programas. Esse tipo de lista branca extrema é muito rígido. O VoodooShield da VoodooSoft adota uma abordagem mais suave. Por padrão, ele bloqueia novos programas desconhecidos apenas quando seu sistema está em risco. Novo na versão 3.0, o VoodooShield adiciona a detecção de malware baseada em IA, mas você ainda deve usá-lo em conjunto com um antivírus mais tradicional.
Você pode usar os recursos básicos do VoodooShield gratuitamente em um ambiente não comercial. No entanto, se você pagar a assinatura de US $ 19, 99 por ano, também receberá suporte técnico, capacidade de ajustar configurações e outros recursos avançados. Esta é uma revisão da edição paga, embora a maior parte do que descrevo nesta revisão se aplique também à versão gratuita.
Começando
Após a instalação rápida e simples, o programa solicita que você escolha um modo de segurança inicial, explicitando claramente as opções. O modo AutoPilot requer menos interação do usuário, mas é apenas um pouco menos seguro. O Modo de lista de permissões de aplicativos aprimora a segurança às custas de precisar de mais respostas de você, usuário. Nesse ponto, o programa cria uma lista de permissões inicial que inclui todos os programas em execução no sistema.
Sim, se o malware já estiver em execução, ele será incluído na lista de permissões juntamente com o restante. Se você estiver preocupado, verifique o sistema com uma ferramenta como o Malwarebytes Anti-Malware 2.0 antes de instalar o VoodooShield.
Uma grande tela de boas-vindas oferece uma descrição simples de como o programa funciona. Em resumo, ele afirma que, em vez de tentar detectar e impedir a execução de programas ruins da mesma maneira que as ferramentas típicas de proteção contra malware, o VoodooShield permite apenas o lançamento de programas bons (na lista de permissões).
A próxima tela explica que, no modo automático, a proteção do programa é ativada quando você está em risco e desativada quando não está. Sim, pode bloquear algo que você pretendia executar - nesse caso, basta clicar em um botão para permitir esse programa. Você também pode desativá-lo temporariamente para instalar novos programas.
Confuso em tudo? É certo que não é o seu antivírus usual. Novo desde a edição anterior, um manual completo do usuário está disponível para quem deseja se aprofundar no assunto.
Ativado, Inteligente e Desativado
Tudo o que você vê normalmente no VoodooShield é um pequeno ícone em forma de escudo no canto inferior direito da tela. Você pode movê-lo para um local diferente e clicar com o botão direito do mouse para obter um menu simples que, entre outras coisas, permite controlar o modo operacional do programa.
Quando o VoodooShield está desativado, ele está no modo de treinamento, o que significa que ele lista todos os programas que você executa. O ícone do escudo fica vermelho e exibe OFF. Use este modo ao instalar um novo programa a partir de uma fonte confiável.
Quando você ativa o VoodooShield, o escudo fica azul e é exibido ON, e captura instantâneos de todos os programas em execução. Ele bloqueia a execução de qualquer outro programa que ainda não esteja na lista de permissões. Se ele bloquear o acesso a um programa que você pretendia iniciar, clique no pop-up da área de notificação para revelar todos os detalhes e clique em Permitir. Se você não reconhecer o programa, clique em Bloquear. Ou você pode simplesmente ignorá-lo; O VoodooShield é bloqueado automaticamente após 20 segundos.
Pela primeira vez após a instalação do VoodooShield, você pode ver alguns desses pop-ups. Você pode reduzir a confusão de pop-ups ativando o modo Inteligente. A lógica por trás desse modo é simples. Ele pressupõe que você não possui malware já presente no seu computador; portanto, a única maneira de entrar no malware é pela Internet ou por uma unidade removível. No modo Inteligente, o VoodooShield usa como padrão desativado e lista os programas que você executa. Mas se você se conectar à Internet ou inserir uma unidade USB, ela será ativada.
VoodooAi e Digitalização
No passado, eu aconselhava o uso do VoodooShield em conjunto com um antivírus mais tradicional, talvez o Bitdefender Antivirus Plus 2016, o McAfee AntiVirus Plus ou outra ferramenta antivírus da Editors 'Choice. As perguntas frequentes do VoodooShield apontam para o Webroot como uma opção particularmente compatível. A versão atual do produto está mais próxima de ter as habilidades de um antivírus independente, mas fazer amizade com um antivírus tradicional ainda é uma boa idéia.
O produto agora inclui uma ferramenta de aprendizado de máquina chamada VoodooAi. Treinados com milhares de amostras de malware e arquivos válidos, três sistemas de análise desenvolvem modelos internos das características que distinguem os dois grupos. Eles não procuram assinaturas de malware específicas ou comportamentos semelhantes a malware. Em vez disso, eles rastreiam cerca de 40 características de arquivo que diferem significativamente nos dois grupos.
Complementando esse mecanismo de aprendizado de máquina, o VoodooShield verifica qualquer arquivo bloqueado no banco de dados de um conhecido serviço de verificação antivírus de vários mecanismos. Questões legais e contratuais impedem a empresa de nomear esse serviço, mas você certamente pode adivinhar. E sim, embora o serviço em questão não possa ser legitimamente usado como um mecanismo de detecção primário, a verificação de arquivos que já foram bloqueados está OK.
De acordo com meu contato na VoodooSoft, "Se o resultado do VoodooAi for super baixo, digamos 0, 2000 ou menos, e todos os resultados dos 57 mecanismos estiverem limpos, o arquivo estará seguro". Por outro lado, um resultado VoodooAi muito alto sugere que algo está errado com o arquivo, independentemente de ser um malware.
Executando no AutoPilot
O novo modo AutoPilot tira proveito desses dois métodos de detecção para fazer o VoodooShield agir mais como um verdadeiro antivírus e menos como um produto exclusivo da lista de permissões. Ele bloqueia temporariamente qualquer programa que não esteja na lista de permissões, apenas o tempo suficiente para obter uma pontuação no VoodooAi e verificar o serviço de digitalização online. Qualquer arquivo que receba um atestado de integridade de ambos pode ser executado sem impedimentos. Nesse modo, o escudo permanece azul e exibe AUTO.
Para um arquivo que parece ser malware, o VoodooShield oferece várias opções. Além de apenas bloquear a execução do arquivo, você pode optar por colocá-lo em quarentena, da mesma forma que pode com o Symantec Norton AntiVirus Basic, o Kaspersky Anti-Virus e as ferramentas antivírus mais tradicionais.
Quando o VoodooShield bloqueia um arquivo como malicioso, não apenas desconhecido ou suspeito, o botão Permitir muda para Permitir falso positivo. Se você clicar nele, deverá confirmar que sabe o que está fazendo e que a execução do arquivo pode introduzir malware.
Mãos em
Para um teste do mundo real, tentei iniciar cada uma das amostras de malware usadas em testes antivírus regulares. O VoodooShield bloqueou todos eles, naturalmente, pois eles não estavam na lista de permissões. Também os identificou como malware. O Webroot SecureAnywhere AntiVirus também detectou 100% dessas amostras.
Clicar no link Detalhes no aviso pop-up permitiu-me ver como o programa foi classificado com todos os três componentes VoodooAi e também listou os nomes aplicados ao programa por até 57 mecanismos antivírus. A maioria das minhas amostras foi capturada por 40 ou mais motores. Nenhum foi sinalizado por menos de 25 deles.
Também lancei 20 programas utilitários PCMag. Estes são programas legítimos que não são comumente usados, pois a biblioteca de utilitários PCMag foi encerrada. O VoodooShield bloqueou oito deles, dando uma mensagem clara sobre o motivo. Em um caso, afirmou que, embora o arquivo fosse desconhecido para o site de digitalização, o VoodooAi considerou seguro. Sinalizou quatro como suspeitos com base na análise da VoodoAi, observando que o site de verificação de vírus os considerava limpos.
Os três restantes eram falsos positivos verdadeiros - programas válidos identificados como malware. Nos dois casos, a VoodooAi classificou o arquivo como inseguro e exatamente um dos 57 mecanismos no site de verificação o identificou como malware. Certamente é verdade que, com 57 mecanismos diferentes, você tem 57 oportunidades para um falso positivo.
Going Cuckoo
O VoodooShield inclui um modo sandbox local, projetado para permitir que você execute programas duvidosos sem permitir que eles façam alterações arriscadas no sistema de arquivos ou no Registro. No entanto, nunca achei muito útil, pois qualquer aplicativo que exija acesso no nível de administrador não funcionará corretamente nessa sandbox. A versão 3.0 adiciona a capacidade de executar programas suspeitos na sandbox Cuckoo online e de código aberto.
Ao testar com minhas amostras de malware padrão, inicialmente enviei cada uma para a caixa de proteção Cuckoo. O processo é impressionante. Na verdade, você pode assistir ao malware em execução em uma máquina virtual via Acesso à área de trabalho remota. A análise pode demorar um pouco; Eu não cronometrei, mas cinco minutos parecem certos.
Ao concluir sua análise, o Cuckoo apresenta uma tonelada de informações sobre o programa testado, incluindo uma classificação de malware em uma escala de 10 e as características incluídas nessa classificação. Por exemplo, um arquivo que exclui seu binário original do disco é suspeito, assim como um arquivo que apaga as evidências de seu próprio download. Mas a única bandeira vermelha comum a todas as amostras foi a seguinte: "O arquivo foi identificado por pelo menos dez antivírus no VirusTotal como malicioso".
Na verdade, confirmei que um arquivo com apenas essa bandeira vermelha e nenhum outro classificado como 10 de 10 na escala de malware. Nesse ponto, parei de gastar o tempo extra para executar cada amostra no Cuckoo.
Também executei os utilitários legítimos sinalizados pelo VoodooShield na sandbox. Todos, exceto um, variaram de 3, 3 a 5 na escala de malware. Um deles, projetado para relatar detalhes profundos sobre o sistema, foi sinalizado como malware total, porque seu comportamento sugeria uma tentativa de ocultar as ferramentas de virtualização.
Achei a varredura sandbox fascinante, mas o usuário médio quase certamente não. Felizmente, não há necessidade de usar o cuco.
Configurações avançadas
Uma das opções que você obtém ao optar pela versão paga é o acesso total às configurações avançadas do programa. Observe que você certamente pode usar o VoodooShield sem nunca tocar neles. De fato, muitas das configurações visam uma situação gerenciada na qual a TI controla o que os usuários podem fazer com o programa. Não tentarei uma discussão exaustiva de todas as configurações.
Duas páginas de configurações que podem ser úteis são Lista de permissões e Quarentena. Não apenas você pode ver todos os programas que você (ou o VoodooShield) incluiu na lista de permissões, como também pode remover os que foram incluídos na lista de permissões por engano. De maneira semelhante, você pode ver todos os arquivos em quarentena e, opcionalmente, excluí-los permanentemente. No caso improvável de você conseguir colocar em quarentena um arquivo válido, você pode restaurá-lo.
Na página Utilitário, você pode fazer backup e restaurar a lista de permissões, ou fazer backup e restaurar suas configurações. Essa também é a página que permite ao administrador de TI definir uma senha, impedindo que os usuários façam alterações nas configurações. Em uma instalação para vários computadores, o administrador pode fazer login no VoodooShield online para sincronizar listas de permissões entre computadores.
No modo Inteligente, o VoodooShield é desativado quando o aplicativo com reconhecimento da Web é iniciado. A página Aplicativos da Web lista todos os aplicativos que acompanha, destacando os que estão conectados no momento. Também permite adicionar navegadores personalizados e outros aplicativos compatíveis com a Web à lista.
Entre outras coisas, a página de configurações permite ajustar a sensibilidade do VoodooAi do modo Balanceado padrão para Reckless ou Paranoid. Você pode ajustar elementos da interface do usuário, como a transparência do ícone do escudo. Você também pode controlar como o VoodooShield lida com programas em pastas específicas.
Se você iniciar a caixa de diálogo Configurações a partir da edição gratuita, o programa sugere que você atualize para a edição paga. Se você recusar a atualização, ainda verá todas as configurações. Você simplesmente não será capaz de alterá-los.
Uma solução em evolução
Uma solução pura de lista branca, onde qualquer novo arquivo simplesmente não será executado, seria muito irritante para o usuário médio. A capacidade do VoodooShield de bloquear o computador apenas quando há risco de equilibrar a segurança com conveniência. O novo sistema VoodooAi, em conjunto com o uso de um serviço de varredura de vários motores, aproxima esse programa de ser um verdadeiro antivírus independente.
No entanto, mesmo os diretores da empresa admitem que o VoodooShield ainda não é uma solução independente. Considere usá-lo juntamente com um dos produtos antivírus da Editors 'Choice, Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Symantec Norton AntiVirus Basic e Webroot SecureAnywhere Antivirus.
