Обзор VoodooShield 3

2016-09-06 | Автор | комментарии
VoodooShield использует метод «белого списка» для защиты от вирусов и других типов угроз. Новый самообучающийся модуль VoodooAi позволяет продукту приблизиться к возможностям обычного автономного антивируса

Скачать VoodooShield

Предположим, что вы являетесь обладателем гарантированно чистого компьютера без вредоносных программ. Вы можете сохранить его безопасность, просто предотвращая запуск новых программ. При этом вам совсем не понадобится традиционная антивирусная защита! С другой стороны, вы не сможете обновлять приложения или устанавливать новые программы. Данный вид метода «белого списка» является слишком жестким. VoodooShield от VoodooSoft предполагает более разумный подход. По умолчанию, продукт блокирует неизвестные программы, только когда система находится в зоне риска. Новая версия VoodooShield получила функцию обнаружения вредоносных программ, которая лежит в основе обычных антивирусов, но по-прежнему рекомендуется использовать решение совместно с традиционной защитой.

Основные функции VoodooShield можно использовать абсолютно бесплатно для некоммерческих нужд. При покупке подписки стоимостью 19,99 долларов пользователи получают техническую поддержку, а также возможность настройки параметров и других расширенных функций. В данном обзоре будет рассматриваться платная версия, хотя большинство описанных аспектов касаются также и бесплатного издания.

Начало работы

После быстрой простой установки, программа попросит выбрать первоначальный режим безопасности. Режим Автопилот подразумевает минимальное взаимодействие с пользователем, но является менее безопасным. Режим белого списка существенно повышает уровень безопасности, но требует вмешательства пользователя. При первом запуске программа создает начальный белый список, который включает все программы, запущенные в системе.

Действительно, если вредоносная программа уже запущена, она будет внесена в исключения вместе с остальными работающими приложениями. Если вы не уверены в отсутствии зловредов, то перед установкой VoodooShield проверьте компьютер с помощью специализированных инструментов очистки (антивирусных сканеров), например, Malwarebytes Anti-Malware.

Обзор VoodooShield 3: Начало работы

Большой приветственный экран предлагает простое описание принципа работы программы. Если вкратце, то пользователю объясняется, что VoodooShield не обнаруживает и блокирует опасные программы, а вместо этого разрешает запуск только доверенных (числящихся в белых списках) безопасных приложений.

Обзор VoodooShield 3: Начало работы

На следующем экране объясняется, что в автоматическом режиме защита программы включается, когда вы находитесь в зоне риска и выключается в случае безопасности. Действительно, программа может заблокировать приложения, которые должны быть запущены, но в этом случае нужно нажать на кнопку, чтобы разрешить запуск объекта. Вы также можете временно отключать защиту, чтобы устанавливать новые приложения.

Совсем запутались? Продукт значительно отличается от стандартной антивирусной защиты. Примечательно, что в новой версии появилось полноценное руководство, которое поможет вникнуть в детали работы программы.

Включение, отключение, интеллектуальный режим

VoodooShield отображается в виде маленькой иконки щита в нижнем правом углу экрана. Позицию иконки можно менять, а при клике правой кнопкой мыши по ней пользователь получает возможность контролировать режим работы программы.

Когда защита VoodooShield отключена, он находится в режиме обучения - это означает, что все запускаемые приложения будут добавляться в исключения. Иконка VoodooShield имеет при этом красный цвет и содержит надпись OFF (Отключено). Используйте данный режим при установке новых программ из доверенных источников.

Обзор VoodooShield 3: Контекстное меню

При включении защиту, иконка VoodooShield становится голубой и отображается надпись ON (Включено). VoodooShield делает снимок всех запущенных приложений и блокирует запуск новых программ, которые не находятся в списке исключений. Если был заблокирован доступ к надежной программе, которую нужно запустить, выберите всплывающее окно в области уведомления для просмотра детальной информации и выберите опцию Allow (Разрешить). Если программа неизвестна, выберите опцию Block (Блокировать). Можно просто проигнорировать оповещение, в этом случае VoodooShield заблокирует приложения автоматически спустя 20 секунд.

Первое время после установки VoodooShield, вы можете наблюдать большое количество оповещений. Можно снизить их количество, выбрав интеллектуальный режим (Smart). Логика обработки приложений в данном режиме предельно проста. VoodooShield предполагает, что изначально на компьютере отсутствуют вредоносные программы, поэтому самые вероятные пути поступления угроз - из Интернета или со съемного носителя. В режиме Smart VoodooShield отключает защиту, когда вы запускаете программы на компьютере, но активизируется при соединении к Интернету и при подключении USB-устройств флеш-памяти.

Антивирусная технология VoodooAi

Ранее строго рекомендовалось использовать VoodooShield совместно с традиционной антивирусной защитой, например, с Bitdefender Antivirus Plus или McAfee AntiVirus Plus. В разделе вопросов и ответов VoodooShield антивирус Webroot SecureAnywhere AntiVirus отмечается как наиболее совместимый выбор. Текущая версия продукта получила способности, схожие с функционалом автономного антивируса, но совместное использование со стационарной защитой и на этот раз не будет лишней мерой.

Обзор VoodooShield 3: Анализ файла

Продукт теперь получил самообучающийся компонент под названием VoodooAi. Модуль имеет способность к обучению и совершенствованию с помощью трехуровневой системы анализа вредоносных образцов и надежных файлов и разделения всех обработанных объектов на две группы. Данная система не занимается поиском отдельных моделей вредоносного поведения или сигнатур. Вместо этого она отслеживает 40 характеристик файлов, которые значительно различаются в обеих группах.

VoodooShield дополняет этот движок машинного обучения и проверяет наличие заблокированного файла в базе данных известного облачного сервиса, использующего десятки различных антивирусных двигателей. Согласно условиям сотрудничества, название сервиса официально не упоминается, но пользователям comss.ru не составит никакого труда догадаться, о какой облачной службе идет речь. Согласно регламенту, данный сервис не может использоваться в качестве первичного механизма обнаружения, но дополнительная проверка уже заблокированных файлов допускается.

Согласно рекомендации представителя, VoodooSoft: “Если VoodooAi выдает крайне низкий результат, скажем 0,2000 или ниже, а по результатам проверки 57 двигателями опасность не была обнаружена, то файл является безопасным”. С другой стороны, очень высокий показатель VoodooAi не обязательно является индикатором вредоносного файла, но свидетельствует о наличии определенных проблем с объектом.

Работаем на автопилоте

Новый режим Автопилот использует преимущества обоих механизмов обнаружения и делает VoodooShield похожим на традиционный антивирус, а не приложение для обработки исключений. В Автопилоте временно блокируются программы, которые не внесены в белый список. За это время высчитывается рейтинг VoodooAi, и файл анализируется в облачном сервисе сканирования. Любой файл, который признается чистым и безопасным обоими источниками, разрешается для беспрепятственного запуска. В данном режиме иконка имеет голубой цвет и надпись AUTO (Автоматически).

Для файлов, которые были признаны вредоносными, VoodooShield предлагает несколько возможных действий. Кроме блокировки исполнения файла, пользователь может отправить файл карантин. Такая возможность предусмотрена также в Norton Security, Kaspersky Anti-Virus и других традиционных антивирусных решениях.

Когда VoodooShield признает файл вредоносным, а не только подозрительным или неизвестным, кнопка Allow меняется на Allow False Positive (Разрешить ошибочно заблокированный файл). При нажатии на эту кнопку, нужно подтвердить свое действие, осознавая, что в случае ошибки компьютер может быть заражен.

Проверим в деле

Для тестирования продукта использовался набор вредоносных программ, которые используются в обычных тестах антивирусов в PCMag. VoodooShield заблокировал все угрозы, потому что они не значились в белых списках. Программа идентифицировала все объекты как вредоносные программы. Кстати, Webroot SecureAnywhere AntiVirus тоже обнаружил все тестовые образцы.

При нажатии на кнопку Details (Подробности) во всплывающем предупреждении отображался рейтинг файла при анализе тремя элементами VoodooAi и выводился список антивирусных двигателей из общего числа в 57 движков, которые распознали угрозу. Большинство тестовых зловредов детектировались 40 и более движками. Ни одна из угроз не была идентифицирована менее 25 двигателями.

Также были запущены 20 утилит PCMag, которые являются безопасными, но редко используются, потому что библиотека приложений PCMag отключена. VoodooShield ошибочно заблокировал 8 утилит, четко пояснив свое решение в сообщениях. В одном случае файл был неизвестен для сканирующего сервиса, а VoodooAi идентифицировал его как безопасный. Четыре образца были помечены как подозрительные на основе анализа VoodooAi, хотя облачная проверка не выявила угроз.

Оставшиеся три случая были связаны с ложными срабатываниями антивирусных двигателей и VoodooAi. В одном случае VoodooAi определил файл как небезопасный, а один из 57 двигателей обнаружил признаки вредоносного кода. Не стоит отрицать, что 57 антивирусных движков предполагают 57 возможностей для ложных срабатываний.

Облачная песочница

VoodooShield предусматривает режим локальной песочницы, предназначенный для запуска подозрительных приложений без риска для файловой системы и системного реестра. Тем не менее, данная песочница полезна не всегда, ведь приложения, которые для запуска требуют права администратора не будут корректно работать в данной виртуальной среде. Тем не менее, новая версия VoodooShield 3.0 получила возможность запускать неизвестные приложения в облачной песочнице с открытым исходным кодом под названием Cuckoo.

Обзор VoodooShield 3: Облачная песочница Cuckoo

При тестировании со стандартными вредоносными образцами, все файлы первоначально отправлялись в среду Cuckoo. Пользователь получает возможность просматривать запущенные приложения с помощью клиента для удаленного доступа. Процесс анализа занял непродолжительное время (около 5 минут).

После завершения анализа Cuckoo представила обширную информационную сводку с данными о протестированных программах, включает рейтинг опасности по 10-бальной шкале и детальные характеристики, которые учитывались при подсчете рейтинга. Например, файл, который удаляет оригинальный двоичный файл с диска вызывает подозрения, потому что стирает доказательства своей загрузки. Одна пометка была общей для всех протестированных образцов - “файл был идентифицирован минимум 10 двигателями на VirusTotal как вредоносный”.

Также в песочнице были запущены безвредные легитимные приложения. Все, кроме одного из них, получили от 3,3 до 5 баллов по шкале признаков вредоносных программ. Одно из приложений, которое предлагало подробную информацию о системе, было распознано как безусловная угроза, потому что оно пыталось скрыться от инструментов виртуализации.

Сканирование в виртуализированной среде будет полезным действием для опытных пользователей. К счастью, остальным использовать Cuckoo не обязательно.

Расширенные настройки

При приобретении платной версии вы получаете неограниченный доступ к расширенным настройкам программы. Отметим, что можно использовать VoodooShield без дополнительной конфигурации. Многие настройки позволяют контролировать механизмы, которые и так работают автоматически.

Обзор VoodooShield 3: Расширенные настройки

Две страницы настроек выделены для управления исключениями и карантином. Здесь вы не только можете посмотреть, какие приложения были добавлены в белые списки, но и удалить ошибочно добавленные приложения. Пользователю доступен просмотр файлов в карантине и удаление отдельных объектов навсегда. В случае, если был удален безопасный файл, его можно восстановить.

Обзор VoodooShield 3: Белый список

На вкладке Utility можно создать резервную копию списка исключений и настроек или восстановить их из резервной копии. Здесь же системные администраторы могут устанавливать пароль, чтобы предотвратить изменение настроек пользователями. При использовании среды с несколькими компьютерами, администратор может использовать онлайн консоль VoodooShield для синхронизации белых списков между компьютерами.

В режиме Smart VoodooShield вступает в действие при запуске приложений для работы Интернетом. Страница Web Apps выводит список отслеживаемых приложений и выделяет программы с активными подключениями. В список можно добавлять браузеры и другие приложения для работы с Интернетом.

Среди прочего, страница настроек позволяет настраивать чувствительность VoodooAi и переключаться из сбалансированного режима на “неосторожный” или наоборот, “параноидальный”. Пользователь сможет настраивать элементы интерфейса, например, регулировать уровень прозрачности иконки щита. Можно также контролировать обработку программ в отдельных папках.

Если открыть опцию Settings (Настройки) в бесплатной версии, программа предложит обновиться до платного издания. Если вы откажетесь от обновления, отобразятся все настройки, но их изменение будет недоступно.

Прогрессирующее решение

Классический обработчик исключений, запрещающий запуск всех новых программ является слишком раздражительным вариантом для обычного пользователя. VoodooShield предлагает возможность для автоматической активизации при наличии риска безопасности и обеспечивает соблюдение баланса защиты и удобства. Новая система VoodooAi в сочетании со сканирующим сервисом на базе большого количества антивирусных двигателей приближает VoodooShield к традиционным антивирусам.

Тем не менее, даже руководители компании признают, что VoodooShield не является полноценным автономным решением защиты. Используйте продукт только совместно со стационарной защитой, например, Bitdefender Antivirus Plus, Kaspersky Anti-Virus, McAfee AntiVirus Plus, Norton Security или Webroot SecureAnywhere Antivirus.

Обзор VoodooShield 3: Рейтинг PCMag

Рейтинг PCMag

Достоинства

  • предотвращение запуска подозрительных программ, не внесенных в белый список;
  • новая технология машинного обучения позволяет обнаруживать вредоносные программы;
  • проверка заблокированных файлов с помощью 57 антивирусных сканеров
  • бесплатная версия для частного применения.

Недостатки

  • может разрешить запуск вредоносной программы, которая работала в системе до установки VoodooShield;
  • при тестировании выдал ложные срабатывания, пометив некоторые надежные приложения как подозрительные и даже вредоносные.

Общая оценка

VoodooShield использует метод «белого списка» для защиты от вирусов и других типов угроз и при этом не требует особого вмешательства со стороны пользователя. Новый самообучающийся модуль позволяет продукту приблизиться к возможностям обычного автономного антивируса.

Скачать VoodooShield

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?