被PCTools 收購的Cyberhawk現在以PCTools的商標推出了名為ThreatFire 3.0的惡意程序監控軟體,正式結束舊版的名稱,邁向3.0。在ThreatFire 3.0 的免費版中,除了可以利用專利的行為監控技術來阻止惡意的病毒、蠕蟲、木馬、間諜等程序入侵 ,而且還把原本Cyberhawk Pro才提供的Rootkits偵測、自定義規則等功能也都納入免費版中提供,當然還加上了一些新的特色。
而ThreatFire的Pro註冊版裡,還整合了PCTools的反病毒監控技術,因為行為監控是只針對正要行動的程序,反病毒掃瞄則可以找出那些隱藏在電腦中還未啟動的惡意軟體。
ThreatFire 3.0Free主要是一個傳統安全軟體的輔助工具,可以彌補許多傳統安全軟體防護不足的地方,依照ThreatFire自己的說法,它可以與原本的反病毒、反間諜、防火牆等軟體共容。
ThreatFire 最具有特色的地方,應該就是它享有專利的行為監控技術 ( patent-pending ActiveDefense technology ),可以監控電腦中活動的進程,當辨識到惡意的程序,或是發現可疑的行為時,便會阻止其對系統的入侵破壞,或是提示使用者進行判斷。這種監控方式因為是判斷某個程序的行為是否有妨礙系統安全的可疑動作,或是辨識那些會更動系統核心區域的行為,只要這個進程有「不正常」的動作就會被揪出來,理論上來說,這是更好的惡意軟體防護方式,因為不管惡意軟體怎麼變,他要入侵電腦就一定要做出某些動作,而我們只要揪出這些動作然後阻止即可,不需要完全依靠病毒碼的方式來辨識惡意軟體本身。
一般的HIPS (單機入侵防禦、系統防火牆)通常是為系統的重要核心資料建立一個防護罩,所有要通過這層防護障的程序行為都會被揪出來,然後由使用者判斷是否要允許放行。例如幫瀏覽器的首頁、工具列、ActiveX等建立一個防護罩,任何有要改動首頁、安裝工具列的行為都會被檔在防護罩外,除非使用者放行。而依據官方說法,ThreatFire和一般的HIPS不同的地方在於, ThrearFire有一套自己的行為監控辨識技術,所以可以自行放行一些安全的程序,對於確定是惡意的程序也可以自動阻擋,只有未知的可疑行為會先被隔離,並以「黃色」警示視窗的方式警告使用者,而在這個警示視窗中,使用者可以依據安全等級、可疑行為描述等進一步資料,來決定是否要放行。所以就使用的體驗來說,ThreatFire在行為監控的同時,也提供了使用者一個相對易用的體驗。當然,安全防護能力又是另外一回事,不過一般的使用者其實可以在安全防護能力與易用性上作一個平衡的抉擇,因為不是所有使用者都會需要很耗資源的全面監控的。
* 穩定性與效能的增強:當然,新版如果沒有除錯和程式優化就實在說不過去,就我實際的使用體驗來看,換了新程序的ThreatFire (TFService.exe、 TFTray.exe)在佔用記憶體與CPU效率上有些微的增強,初步的使用看來是比之前的Cyberhawk更順暢,之前會碰到的「輸入法」效能問題目前也還沒有遇到。但是因為我也才試用了一個晚上,所以這部分還說不準。
* 介面改變、基本操作不變:雖然會了新的主程式介面,但是操作方法還是和之前的Cyberhawk一樣,在主介面中的「Security Status」可以看到目前可防護數量和已經偵測的統計;在「Start Scan」中可以手動掃瞄Rootkits威脅 ;「Threat Control」中可以看到已經建立的允取、阻擋規則,可以進行修改;「Advanced Rules」可以讓進階使用者自行設計行為監控的規則,對於一般使用者的我來說,這部分目前先自動跳過;「Setting」可以設定一些基本的即時監控項目,還可以排程Rootkits的掃瞄 。
* Community Protection社群式防護體系:在主程式介面的「Security Status」中可以看到「Your Protection(你的防護資料)」、「Community Protection(社群防護資料)」的區別,你的防護資料指的是你私人主機裡的各種防護事件統計,而Community的社群功能,則讓 ThreatFire的使用者可以即時互相交換彼此的防護資料,當有用戶的ThreatFire偵測、標示出新的惡意程序時,就會透過用戶彼此的傳遞來最快的更新安全資料 。只要到「Setting」的「Community Protection」選擇「On」,就可以加入這個共享機制。
* Quarantine隔離區:最新ThreatFire擁有隔離區的功能,在跳出黃色的警示視窗時,可以選擇「Quarantine」,該進程檔桉就會被放到隔離區當中,你可以到「Threat Comtrol」-「Quarantined」當中看到被放入隔離區的檔桉。隔離區的功能可以讓你試試看刪除這個檔桉會不會對系統造成影響,如果會有影響可以到隔離區復原檔桉「Restore」,如果移除後系統仍然可以正常運作,也可以選擇「Permanently Delete」永久刪除這個檔桉。(將檔桉放入、移出隔離區後,最好重新啟動電腦)
對於家庭用戶,可以試試看用一個防火牆搭配一個ThreatFire,防火牆可以過濾網路的各種不當連線,而ThreatFire可以過濾系統的不安全修改、可疑程序的行為(也會包含一部分程序的可疑網路連線),不過ThreatFire可以阻擋惡意程序,可以刪除惡意程序檔桉,但是無法像防毒軟體那樣對「中病毒」的檔桉解毒,所以我也會安裝一個手動的反毒軟體ClamWin來掃瞄潛伏的病毒或解毒。這也是為什麼ThreatFire Pro註冊版用加入AntiVirus功能的原因。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
上圖就是來自 訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。的測試,而 ThreatFire AntiVirus 是 PC Tools推出的產品,它和一般的防毒軟體不同,它可以偵測已知和未知的病毒、蠕蟲、間諜程式、木馬程式等,不過它訴求是在輔助其他軟體的不足,所以建議你安裝一套免費的防毒軟體(PC Tools AntiVirus、Avast!、AntiVir...),再安裝 ThreatFireAntiVirus,這樣應該會比起註冊碼常會失效的卡巴斯基來的安全多了。
