Wanneer u de doos opent en een gloednieuwe pc eruit haalt, kunt u er vrij zeker van zijn dat deze vrij is van malware.
U kunt het zo houden door van internet af te blijven en geen nieuwe programma's te starten.
Die computer zou geen traditionele nodig hebben antivirus helemaal niet, maar voor veel zou het niet goed zijn.
VoodooSoft's VoodooShield is bedoeld om u te beschermen terwijl u de computer normaal gebruikt.
Standaard worden nieuwe, onbekende programma's alleen gedetecteerd en geblokkeerd wanneer uw computer zich in een risicovolle staat bevindt.
Het is een handig hulpmiddel, zoals bewezen tijdens het testen, en de nieuwe WhitelistCloud-functie (voor betalende klanten) is bedoeld om het dichter bij de vervanging van traditionele antivirus te brengen.
In een niet-commerciële thuissituatie zijn de basisfuncties van VoodooShield gratis.
Als u het voor zaken gebruikt, moet u een abonnement betalen, dat begint bij $ 30 per jaar voor een enkele pc en daalt tot $ 10 per jaar per pc voor duizend of meer.
Betaalde gebruikers krijgen ook technische ondersteuning, toegang tot een groot aantal instellingen en andere geavanceerde functies, waaronder toegang tot het WhitelistCloud-analysesysteem.
Voor deze review ben ik begonnen met de gratis editie en vervolgens de betaalde functies uitgecheckt.
Aan de slag met VoodooShield
Na de eenvoudige installatie vraagt ??het programma u om uw e-mailadres te registreren als een gratis gebruiker of uw e-mailadres en licentiesleutel in te voeren voor een betaalde installatie.
Het maakt onmiddellijk een momentopname van actieve programma's op het systeem en kondigt die activiteit aan met een kleine melding in de rechter benedenhoek.
Vervolgens wordt u gevraagd om de AutoPilot-modus of de Whitelisting-modus van de toepassing te kiezen.
De eerste vereist minder gebruikersinteractie, maar is ook iets minder veilig.
Ik koos voor de witte lijst-modus voor volledige beveiliging.
Houd er rekening mee dat als er al malware op uw computer aanwezig is, deze samen met uw legitieme programma's in die eerste momentopname op de witte lijst wordt gezet.
Als u dit programma naast traditionele antivirusprogramma's gebruikt, voer dan een volledige scan uit voordat u het installeert.
Als dit niet het geval is, profiteer dan van Malwarebytes gratis of een andere gratis opruimtool voordat u VoodooShield installeert.
Een groot welkomstscherm biedt een eenvoudige beschrijving van hoe het programma werkt.
In het kort, het zegt dat in plaats van te proberen te detecteren en te voorkomen dat slechte programma's op de gebruikelijke manier worden uitgevoerd malware bescherming tools doen, VoodooShield staat alleen bekend mooi zo programma's om te starten.
In de standaard Smart-modus werkt het alleen als uw computer gevaar loopt, wat betekent dat deze is verbonden met internet of als er een USB-stick is geïnstalleerd.
In het volgende scherm wordt uitgelegd dat VoodooShield mogelijk iets blokkeert dat u wilde uitvoeren, en dat u op een knop kunt klikken om dat programma toe te staan.
U kunt het ook tijdelijk uitschakelen met een klik wanneer u nieuwe programma's installeert.
Een derde scherm gaat dieper in op het omgaan met nieuwe programma's.
Om te beginnen wordt elk programma dat werd uitgevoerd terwijl de beveiliging was uitgeschakeld, automatisch op de witte lijst gezet wanneer het wordt ingeschakeld.
Wanneer een onbekend programma verschijnt, krijgt u een pop-upmelding van VoodooShield.
Als het iets is dat u opzettelijk installeert, klikt u gewoon om het toe te staan.
Het programma wijst er ook op dat wanneer het een bestand blokkeert, het het bestand vergelijkt met "50+ industriestandaard scan-engines".
Als je denkt dat dat klinkt alsof het navraag doet VirusTotaal, je hebt gelijk.
Zoals u later zult zien, vermeldt de sandbox-analyse VirusTotal bij naam.
Een antivirusprogramma dat VirusTotal als detectie-engine gebruikt, is in strijd met het beleid, maar het is toegestaan ??om de database na detectie te controleren.
Modi Aan, Slimme en Uit
Het enige dat u normaal gesproken van VoodooShield ziet, is een klein schildvormig pictogram in de rechterbenedenhoek van uw scherm.
U kunt het desgewenst naar een andere locatie verplaatsen of transparant maken.
Met het rechtsklikmenu kunt u onder andere de operationele modus van het programma regelen.
Wanneer VoodooShield is uitgeschakeld, bevindt het zich in de trainingsmodus, wat betekent dat het elk programma dat u uitvoert op de witte lijst plaatst.
Het schildpictogram wordt rood en geeft UIT weer.
Gebruik deze modus wanneer u een nieuw programma van een vertrouwde bron installeert.
Wanneer u VoodooShield inschakelt, wordt het schild blauw en wordt AAN weergegeven, en wordt de uitvoering van elk programma dat nog niet op de witte lijst staat, geblokkeerd.
Als het de toegang blokkeert tot een programma dat u wilde starten, klikt u op het pop-upvenster met het meldingsgebied om de volledige details weer te geven en klikt u vervolgens op Toestaan.
Als u het programma niet herkent, kunt u de uitvoering ervan blokkeren of in quarantaine plaatsen.
Of je kunt het gewoon negeren; VoodooShield blokkeert automatisch na 20 seconden.
Zoals opgemerkt, verbetert de WhitelistCloud-functie voor betalende gebruikers deze ervaring; Ik zal het hieronder bespreken.
De eerste keer dat u VoodooShield hebt geïnstalleerd, ziet u mogelijk nogal wat van deze pop-ups.
U kunt de pop-upruis verminderen door vast te houden aan de Smart-modus.
De logica achter deze modus is eenvoudig.
Het veronderstelt dat er nog geen malware op uw computer aanwezig is, dus de enige manier waarop malware kan binnendringen, is vanaf internet of vanaf een verwisselbare schijf.
In de Smart-modus is VoodooShield standaard uitgeschakeld en worden de programma's die u uitvoert op de witte lijst gezet.
Maar als u verbinding maakt met internet of een USB-drive aansluit, wordt deze ingeschakeld om eventuele nieuwe programma's te onderzoeken.
VoodooAi en scannen
Naast het simpelweg blokkeren van onbekende bestanden, onderwerpt VoodooShield ze aan een machine-learningtool genaamd VoodooAi.
Dit systeem is getraind met duizenden voorbeelden van malware en geldige bestanden en ontwikkelt interne modellen van de kenmerken die goed van slecht onderscheiden.
Het zoekt niet naar specifieke malware-handtekeningen, of zelfs maar naar malwareachtig gedrag.
In plaats daarvan worden tientallen bestandskenmerken bijgehouden die aanzienlijk verschillen in de twee groepen.
Als aanvulling op deze machine-learning-engine controleert VoodooShield elk geblokkeerd bestand met de database van een bekende multi-engine antivirusscanservice.
Juridische en contractuele kwesties verhinderen theoretisch dat het bedrijf die service een naam geeft, maar in de rapporten van de cloud-sandbox kun je zien dat het VirusTotal is.
En ja, hoewel de service in kwestie niet legitiem kan worden gebruikt als primaire detectie-engine, is het oké om te controleren of bestanden al zijn gescand.
Omgaan met detecties
Voor een bestand dat malware lijkt te zijn, biedt VoodooShield verschillende opties.
Naast het alleen blokkeren van de uitvoering van het bestand, kunt u ervoor kiezen om het in quarantaine te plaatsen, net zoals u dat kunt doen Bitdefender Antivirus Plus, Kaspersky en de meeste traditionele antivirusprogramma's.
Wanneer VoodooShield een bestand blokkeert als schadelijk, niet alleen als onbekend of verdacht, verandert de knop Toestaan ??in False Positive toestaan.
Als u erop klikt, moet u bevestigen dat u weet wat u doet en dat het uitvoeren van het bestand malware kan introduceren.
Voor een real-world test heb ik geprobeerd elk van de malwarevoorbeelden te starten die ik gebruik bij reguliere antivirustests.
VoodooShield blokkeerde ze natuurlijk allemaal, omdat ze niet op de witte lijst stonden.
Het identificeerde ook alle, op een paar na, als malware, met een totale detectiescore van 96 procent.
Ter vergelijking: Avast, McAfee en Norton hebben ook 96 procent van deze voorbeelden gedetecteerd, terwijl Webroot SecureAnywhere AntiVirusontdekte 100 procent van hen.
Deze standaard antivirusprogramma's hadden natuurlijk veel kansen om de malware te omzeilen, inclusief statische detectie vóór lancering en detectie op basis van onder meer gedrag.
De details voor elke detectie omvatten cijfers over hoeveel VirusTotal-deelnemers het bestand hadden onderzocht en hoeveel het als schadelijk hadden gemarkeerd.
In de meeste gevallen wogen 70 of meer antivirus-engines.
Het aantal rode vlaggen varieerde van 28 tot 67, waarbij tweederde van de monsters de stinkeye kreeg van ten minste 40 antivirus-engines.
Ik heb ook ongeveer 20 oude Daxdi-hulpprogramma's gelanceerd.
Dit zijn legitieme programma's die niet vaak worden gebruikt, aangezien de Daxdi-hulpprogramma-bibliotheek is afgesloten.
Sommige zijn niet digitaal ondertekend, terwijl andere zijn ondertekend met verlopen certificaten.
VoodooShield rapporteerde over de certificaatstatus en noteerde de gevallen waarin een of twee antivirus-engines de app markeerden, maar in de meeste gevallen adviseerde het om door te gaan met de installatie.
Voor vijf van de programma's was de VirusTotal-database leeg en kon de VoodooAi-component niet beslissen.
VoodooShield adviseerde om deze te blokkeren (een stap korter dan ze in quarantaine te plaatsen).
Precies een van de legitieme programma's werd als verdacht getagd, omdat acht van de antivirus-engines het om de een of andere reden als malware identificeerden.
Ik heb deze bestanden bewust gekozen omdat ze, hoewel ze legitiem zijn, enkele problemen hebben.
Het gedrag van VoodooShield lijkt mij volkomen redelijk.
Als je up-to-date programma's houdt die digitaal zijn ondertekend, zoals je zou moeten doen, zou VoodooShield je geen problemen moeten bezorgen.
Spelen in de zandbak
VoodooShield bevat een lokale sandbox-modus, ontworpen om u dubieuze programma's te laten draaien zonder dat ze permanente wijzigingen aan het bestandssysteem of het register kunnen aanbrengen.
Ik koos een tiental voorbeelden voor sandbox-testen, en koos voor degenen die iets zichtbaars op het scherm doen.
Voor de helft van hen bood VoodooShield niet eens de lokale sandbox aan.
De andere helft liep nominaal in de zandbak, maar deed helemaal niets.
Mijn bedrijfscontact gaf toe dat deze functie niet de meest bruikbare is.
Veel interessanter is de cloudgebaseerde Cuckoo-sandbox.
De berichten van VoodooShield wijzen erop dat het verzenden van bestanden naar Cuckoo ze effectief openbaar maakt en waarschuwt om niets privé of eigendomsrechtelijk in te dienen.
Merk op dat beide sandbox-modi volledig beschikbaar zijn voor consumenten die de gratis editie gebruiken.
Cuckoo voert elk ingezonden monster uit in een virtuele omgeving die is uitgerust met telemetrie om precies bij te houden wat er gebeurt.
U kunt een vakje aanvinken om die virtuele machine te bekijken met behulp van remote desktop-technologie.
Het was fascinerend om te zien hoe de Petya-ransomware de virtuele schijf versleutelde en losgeld eiste, maar verdween toen de analyse was voltooid.
De weergave blijft soms achter.
In plaats van te flitsen tussen rood-op-wit en wit-op-rood, heeft de Petya-installatie het scherm voor elke flits zichtbaar opnieuw geverfd.
Elke Cuckoo-analyse duurde vijf minuten of langer, dus ik heb maar ongeveer een derde van de monsters door het proces geleid.
In alle gevallen kwam het uit op een malwarescore van 10,0 punten, wat zonder twijfel kwaadaardig betekent.
Voor sommigen leverde het een identificerende naam op, zoals Petya, Razy of Youxun.
Die malwarescore is slechts de bovenkant van een zeer lange pagina met informatie over het geteste programma.
Elk bestand dat door de malware wordt verwijderd, elke wijziging in het register, elke poging tot netwerktoegang, het is er allemaal.
Waarschijnlijk is de meest interessante sectie getiteld Handtekeningen.
Dit geeft een overzicht van specifieke gedragingen die zijn gebruikt om het programma als kwaadaardig te identificeren, dingen zoals zichzelf instellen om te starten bij het opstarten, privé-informatie stelen of proberen te interfereren met de ...
