Quando apri la scatola ed estrai un PC nuovo di zecca, puoi essere abbastanza sicuro che sia privo di malware.
Puoi mantenerlo in questo modo restando fuori da Internet e non lanciando nuovi programmi.
Quel computer non avrebbe bisogno di un computer tradizionale antivirus per niente, ma non sarebbe un bene per molto.
VoodooShield di VoodooSoft mira a mantenerti protetto consentendo il normale utilizzo del computer.
Per impostazione predefinita, rileva e blocca i programmi nuovi e sconosciuti solo quando il computer è in uno stato di rischio.
È uno strumento utile, come dimostrato nei test, e la sua nuova funzionalità WhitelistCloud (per i clienti paganti) mira ad avvicinarlo alla sostituzione dell'antivirus tradizionale.
In un ambiente domestico non commerciale, le funzionalità di base di VoodooShield sono gratuite.
Se lo utilizzi per affari, devi pagare un abbonamento, che parte da $ 30 all'anno per un singolo PC e scende a $ 10 all'anno per PC per mille o più.
Gli utenti a pagamento ottengono anche supporto tecnico, accesso a un numero enorme di impostazioni e altre funzionalità avanzate, incluso l'accesso al sistema di analisi WhitelistCloud.
Per questa recensione, ho iniziato con l'edizione gratuita e poi ho verificato le funzionalità a pagamento.
Introduzione a VoodooShield
Dopo la sua semplice installazione, il programma ti chiede di registrare la tua e-mail come utente gratuito o di inserire la tua e-mail e la chiave di licenza per un'installazione a pagamento.
Scatta immediatamente un'istantanea dei programmi attivi sul sistema, annunciando tale attività con una piccola notifica nell'angolo in basso a destra.
Successivamente ti chiede di scegliere la modalità AutoPilot o la modalità Whitelisting delle applicazioni.
Il primo richiede meno interazione da parte dell'utente ma è anche un po 'meno sicuro.
Ho scelto la modalità whitelisting per la massima sicurezza.
Tieni presente che se il malware è già presente sul tuo computer, viene inserito nella whitelist in quell'istantanea iniziale, insieme ai tuoi programmi legittimi.
Se utilizzi questo programma insieme all'antivirus tradizionale, esegui una scansione completa prima dell'installazione.
In caso contrario, approfittane Malwarebytes Free o un altro strumento di pulizia gratuito prima di installare VoodooShield.
Una grande schermata di benvenuto offre una semplice descrizione di come funziona il programma.
In breve, dice che invece di cercare di rilevare e bloccare i programmi dannosi dall'esecuzione nel modo tipico protezione da malware strumenti fanno, VoodooShield permette solo conosciuti bene programmi da avviare.
Nella modalità Smart predefinita, funziona solo quando il computer è a rischio, ovvero quando è connesso a Internet o è stata montata un'unità USB.
La schermata successiva spiega che VoodooShield potrebbe bloccare qualcosa che intendevi eseguire e che puoi fare clic su un pulsante per consentire quel programma.
Puoi anche disattivarlo temporaneamente con un clic durante l'installazione di nuovi programmi.
Una terza schermata descrive in dettaglio come gestire i nuovi programmi.
Per i principianti, qualsiasi programma in esecuzione mentre la protezione era disattivata viene inserito automaticamente nella whitelist all'accensione.
Quando viene visualizzato un programma sconosciuto, ricevi una notifica popup da VoodooShield.
Se è qualcosa che stai installando deliberatamente, fai clic per consentirlo.
Il programma sottolinea anche che quando blocca un file, controlla il file rispetto a "50+ motori di scansione standard del settore".
Se pensi che suoni come se stia verificando con VirusTotal, hai ragione.
Come vedrai in seguito, l'analisi sandbox menziona VirusTotal per nome.
Un antivirus che utilizza VirusTotal come motore di rilevamento è contrario ai criteri, ma è consentito il controllo del database dopo il rilevamento.
Modalità On, Smart e Off
Tutto ciò che normalmente vedi di VoodooShield è una piccola icona a forma di scudo nell'angolo in basso a destra dello schermo.
Puoi spostarlo in una posizione diversa, se lo desideri, o renderlo trasparente.
Il suo menu contestuale consente di controllare, tra le altre cose, la modalità operativa del programma.
Quando VoodooShield è disattivato, è in modalità allenamento, il che significa che inserisce nella whitelist tutti i programmi che esegui.
L'icona dello scudo diventa rossa e visualizza OFF.
Usa questa modalità quando installi un nuovo programma da una fonte attendibile.
Quando si accende VoodooShield, lo scudo diventa blu e visualizza ON e blocca l'esecuzione di qualsiasi programma che non sia già nella whitelist.
Se blocca l'accesso a un programma che si intende avviare, fare clic sul popup dell'area di notifica per visualizzare tutti i dettagli, quindi fare clic su Consenti.
Se non riconosci il programma, puoi bloccarne l'esecuzione o metterlo in quarantena.
Oppure puoi semplicemente ignorarlo; VoodooShield si blocca automaticamente dopo 20 secondi.
Come notato, per gli utenti a pagamento la funzione WhitelistCloud migliora questa esperienza; Ne discuterò di seguito.
Per la prima volta dopo aver installato VoodooShield, potresti vedere alcuni di questi pop-up.
Puoi ridurre l'ingombro dei popup attenendoti alla modalità Smart.
La logica alla base di questa modalità è semplice.
Si presume che tu non abbia malware già presente sul tuo computer, quindi l'unico modo in cui il malware può entrare è da Internet o da un'unità rimovibile.
In modalità Smart, VoodooShield è disattivato per impostazione predefinita e inserisce nella whitelist i programmi che esegui.
Ma se ti connetti a Internet o inserisci un'unità USB, si accende per controllare eventuali nuovi programmi.
VoodooAi e scansione
Oltre a bloccare semplicemente i file sconosciuti, VoodooShield li sottopone a uno strumento di apprendimento automatico chiamato VoodooAi.
Addestrato con migliaia di campioni di malware e file validi, questo sistema sviluppa modelli interni delle caratteristiche che distinguono il bene dal male.
Non cerca firme malware specifiche o anche comportamenti simili a malware.
Piuttosto, tiene traccia di dozzine di caratteristiche dei file che differiscono in modo significativo nei due gruppi.
Integrando questo motore di apprendimento automatico, VoodooShield controlla qualsiasi file bloccato nel database di un noto servizio di scansione antivirus multiengine.
Problemi legali e contrattuali teoricamente impediscono all'azienda di nominare quel servizio, ma nei report della sua sandbox cloud puoi vedere che si tratta di VirusTotal.
E sì, sebbene il servizio in questione non possa essere legittimamente utilizzato come motore di rilevamento primario, controllare se i file sono già stati scansionati va bene.
Gestione dei rilevamenti
Per un file che sembra essere un malware, VoodooShield offre diverse opzioni.
Oltre a bloccare semplicemente l'esecuzione del file, puoi scegliere di metterlo in quarantena, proprio come puoi con Bitdefender Antivirus Plus, Kaspersky e la maggior parte degli strumenti antivirus tradizionali.
Quando VoodooShield blocca un file come dannoso, non semplicemente sconosciuto o sospetto, il pulsante Consenti cambia in Consenti falso positivo.
Se fai clic su di esso, devi confermare di sapere cosa stai facendo e che l'esecuzione del file potrebbe introdurre malware.
Per un test nel mondo reale, ho provato ad avviare ciascuno dei campioni di malware che utilizzo nei normali test antivirus.
VoodooShield li ha bloccati tutti, naturalmente, poiché non erano stati inseriti nella whitelist.
Inoltre, ha identificato tutti, tranne alcuni, come malware, per un punteggio di rilevamento totale del 96%.
Per confronto, anche Avast, McAfee e Norton hanno rilevato il 96% di questi campioni, mentre Webroot SecureAnywhere AntiVirusne ha rilevati il ??100 percento.
Naturalmente, questi programmi antivirus standard avevano molte possibilità di sventare il malware, incluso il rilevamento statico prima del lancio e il rilevamento basato sul comportamento, tra gli altri.
I dettagli per ogni rilevamento includevano cifre per quanti partecipanti VirusTotal avevano esaminato il file e quanti lo avevano contrassegnato come dannoso.
Nella maggior parte dei casi, 70 o più motori antivirus hanno pesato.
Il numero di bandiere rosse variava da 28 a 67, con due terzi dei campioni che hanno ottenuto lo stinkeye da almeno 40 motori antivirus.
Ho anche lanciato circa 20 vecchi programmi di utilità Daxdi.
Si tratta di programmi legittimi che non vengono comunemente utilizzati, poiché la libreria di utilità Daxdi è stata chiusa.
Alcuni non sono firmati digitalmente, mentre altri sono firmati con certificati scaduti.
VoodooShield ha segnalato lo stato del certificato e ha notato i casi in cui uno o due motori antivirus hanno segnalato l'app, ma nella maggior parte dei casi ha consigliato di procedere con l'installazione.
Per cinque dei programmi, il database VirusTotal ha tracciato uno spazio vuoto e il componente VoodooAi non è stato in grado di decidere.
VoodooShield ha consigliato di bloccarne l'esecuzione (un passo prima di metterli in quarantena).
Esattamente uno dei programmi legittimi è stato etichettato come sospetto, perché per qualche motivo otto motori antivirus lo hanno identificato come malware.
Ho scelto deliberatamente questi file perché, sebbene siano legittimi, hanno alcuni problemi.
Il comportamento di VoodooShield mi sembra assolutamente ragionevole.
Se ti attieni a programmi aggiornati con firma digitale, come dovresti, VoodooShield non dovrebbe darti alcun problema.
Giocare nella sandbox
VoodooShield include una modalità sandbox locale, progettata per consentire di eseguire programmi incerti senza consentire loro di apportare modifiche permanenti al file system o al registro.
Ho scelto una dozzina di campioni per i test sandbox, optando per quelli che fanno qualcosa di visibile sullo schermo.
Per metà di loro, VoodooShield non ha nemmeno offerto la sandbox locale.
L'altra metà funzionava nominalmente nella sandbox, ma non ha fatto nulla.
Il contatto della mia azienda ha ammesso che questa funzione non è la più utile.
Molto più interessante è la sandbox Cuckoo basata su cloud.
La messaggistica di VoodooShield sottolinea che l'invio di file a Cuckoo li rende effettivamente pubblici e avverte di non inviare nulla di privato o proprietario.
Tieni presente che entrambe le modalità sandbox sono completamente disponibili per i consumatori che utilizzano l'edizione gratuita.
Cuckoo esegue ogni campione inviato in un ambiente virtuale dotato di telemetria per tenere traccia esattamente di ciò che accade.
È possibile selezionare una casella per visualizzare quella macchina virtuale utilizzando la tecnologia desktop remoto.
È stato affascinante osservare il ransomware Petya crittografare il disco virtuale e chiederne il riscatto, solo per svanire una volta terminata l'analisi.
Il display a volte è in ritardo.
Invece di lampeggiare tra rosso su bianco e bianco su rosso, l'installazione di Petya ha ridipinto visibilmente lo schermo per ogni flash.
Ogni analisi del cuculo ha richiesto cinque minuti o più, quindi ho eseguito solo circa un terzo dei campioni durante il processo.
In ogni caso, ha ottenuto un punteggio di malware di 10,0 punti, che significa senza dubbio dannoso.
Per alcuni, ha fornito un nome identificativo come Petya, Razy o Youxun.
Quel punteggio di malware è solo l'inizio di una pagina di informazioni molto lunga sul programma testato.
Ogni file lasciato cadere dal malware, ogni modifica al registro, ogni tentativo di accesso alla rete, è tutto lì.
Probabilmente la sezione più interessante è intitolata Firme.
Questo elenca i comportamenti specifici che hanno identificato il programma come dannoso, cose come l'impostazione per l'avvio all'avvio, il furto di informazioni private o il tentativo di interferire con ...
