Når du åbner kassen og tager en helt ny pc ud, kan du være ret sikker på, at den er fri for malware.
Du kan holde det på den måde ved at holde dig væk fra internettet og ikke lancere nye programmer.
Denne computer behøver ikke en traditionel antivirus overhovedet, men det ville ikke være godt for meget.
VoodooSofts VoodooShield sigter mod at holde dig beskyttet, mens du tillader normal brug af computeren.
Som standard registrerer og blokerer den kun nye, ukendte programmer, når din computer er i en risikabel tilstand.
Det er et nyttigt værktøj, som bevist ved testning, og dets nye WhitelistCloud-funktion (til betalende kunder) har til formål at bringe det tættere på at erstatte traditionelt antivirus.
I en ikke-kommerciel hjemmemiljø er VoodooShields grundlæggende funktioner gratis.
Hvis du bruger det til forretning, skal du betale for et abonnement, der starter ved $ 30 pr.
År for en enkelt pc og går ned til $ 10 pr.
År pr.
Pc for tusind eller mere.
Betalte brugere får også teknisk support, adgang til et stort antal indstillinger og andre avancerede funktioner, herunder adgang til WhitelistCloud-analysesystemet.
Til denne anmeldelse startede jeg med den gratis udgave og tjekkede derefter de betalte funktioner ud.
Kom godt i gang med VoodooShield
Efter sin enkle installation beder programmet dig om enten at registrere din e-mail som en gratis bruger eller indtaste din e-mail og licensnøgle til en betalt installation.
Det tager straks et øjebliksbillede af aktive programmer på systemet og meddeler den aktivitet med en lille meddelelse i nederste højre hjørne.
Dernæst beder den dig om at vælge AutoPilot-tilstand eller Hvidliste-applikationstilstand.
Førstnævnte kræver mindre brugerinteraktion, men er også lidt mindre sikker.
Jeg valgte hvidlistningstilstand for fuld sikkerhed.
Bemærk, at hvis der allerede findes malware på din computer, bliver den hvidlistet i det første øjebliksbillede sammen med dine legitime programmer.
Hvis du bruger dette program sammen med traditionelt antivirus, skal du køre en komplet scanning inden installation.
Hvis ikke, drage fordel af Malwarebytes gratis eller et andet gratis oprydningsværktøj, før du installerer VoodooShield.
En stor velkomstskærm giver en enkel beskrivelse af, hvordan programmet fungerer.
Kort sagt siger det, at i stedet for at forsøge at opdage og blokere dårlige programmer fra at køre som den typiske malware-beskyttelse værktøjer gør, tillader VoodooShield kun kendt godt programmer, der skal lanceres.
I sin standard Smart Mode fungerer den kun, når din computer er i fare, hvilket betyder, når den er forbundet til internettet eller et USB-drev er monteret.
Den næste skærm forklarer, at VoodooShield kan blokere noget, du har tænkt dig at køre, og at du kan klikke på en knap for at tillade dette program.
Du kan også slå det fra midlertidigt med et klik, når du installerer nye programmer.
En tredje skærm går i detaljer om, hvordan man håndterer nye programmer.
For det første er ethvert program, der kørte, mens beskyttelsen var slået fra, automatisk hvidlistet, når det tændes.
Når et ukendt program vises, får du en pop op-meddelelse fra VoodooShield.
Hvis det er noget, du bevidst installerer, skal du bare klikke for at tillade det.
Programmet påpeger også, at når det blokerer en fil, kontrollerer det filen mod "50+ industristandard scanningsmotorer." Hvis du synes, det lyder som om det tjekker med VirusTotal, du har ret.
Som du vil se senere nævner sandkasseanalysen VirusTotal ved navn.
Et antivirusprogram, der bruger VirusTotal som detektionsmotor, er imod politik, men det er tilladt at kontrollere databasen efter detektion.
Til-, Smart- og Off-tilstande
Alt hvad du normalt ser af VoodooShield er et lille skjoldformet ikon i nederste højre hjørne af din skærm.
Du kan flytte det til et andet sted, hvis du ønsker det, eller gøre det gennemsigtigt.
Dets højreklikmenu giver dig mulighed for blandt andet at styre programmets driftstilstand.
Når VoodooShield er slukket, er det i træningstilstand, hvilket betyder, at det hvidlister hvert program, du kører.
Skjoldikonet bliver rødt og viser OFF.
Brug denne tilstand, når du installerer et nyt program fra en betroet kilde.
Når du tænder VoodooShield, bliver skjoldet blåt og viser ON, og det blokerer udførelsen af ??ethvert program, der ikke allerede er på hvidlisten.
Hvis det blokerer adgang til et program, du har til hensigt at starte, skal du klikke på pop op-meddelelsen til meddelelsesområdet for at afsløre de fulde detaljer og derefter klikke på Tillad.
Hvis du ikke genkender programmet, kan du blokere dets udførelse eller sætte det i karantæne.
Eller du kan bare ignorere det; VoodooShield blokerer automatisk efter 20 sekunder.
Som bemærket forbedrer WhitelistCloud-funktionen for betalte brugere denne oplevelse; Jeg diskuterer det nedenfor.
I det første stykke tid efter du har installeret VoodooShield, kan du muligvis se en hel del af disse pop op-vinduer.
Du kan reducere pop op-rod ved at holde fast i Smart-tilstand.
Logikken bag denne tilstand er enkel.
Det antages, at du ikke allerede har malware på din computer, så den eneste måde, malware kan komme ind på, er fra Internettet eller fra et flytbart drev.
I Smart-tilstand er VoodooShield som standard slået fra, og den hvidlister programmer, du kører.
Men hvis du opretter forbindelse til internettet eller indsætter et USB-drev, tænder det for at dyrlæge eventuelle nye programmer.
VoodooAi og scanning
Ud over blot at blokere ukendte filer udsætter VoodooShield dem for et maskinlæringsværktøj kaldet VoodooAi.
Trænet med tusindvis af eksempler på malware og gyldige filer udvikler dette system interne modeller af de egenskaber, der adskiller godt fra dårligt.
Det ser ikke efter specifikke malware-signaturer eller endda efter malware-lignende opførsel.
Snarere sporer den snesevis af filegenskaber, der adskiller sig markant i de to grupper.
Som supplement til denne maskinlæringsmotor kontrollerer VoodooShield enhver blokeret fil i forhold til databasen for en velkendt multiengine-antivirus-scanningstjeneste.
Juridiske og kontraktmæssige problemer forhindrer teoretisk, at virksomheden navngiver denne tjeneste, men i rapporterne fra dens sky-sandkasse kan du se, at det er VirusTotal.
Og ja, mens den pågældende tjeneste ikke lovligt kan bruges som en primær opdagelsesmotor, er det OK at kontrollere, om filer allerede er scannet.
Håndtering af detektioner
For en fil, der ser ud til at være malware, tilbyder VoodooShield flere muligheder.
Udover blot at blokere filens udførelse kan du vælge at sætte den i karantæne, ligesom du kan med Bitdefender Antivirus Plus, Kaspersky og mest traditionelle antivirusværktøjer.
Når VoodooShield blokerer en fil som ondsindet, ikke kun ukendt eller mistænkelig, ændres knappen Tillad til Tillad falsk positiv.
Hvis du klikker på den, skal du bekræfte, at du ved, hvad du laver, og at kørsel af filen kan introducere malware.
For en test fra den virkelige verden forsøgte jeg at lancere hver af de malware-prøver, som jeg bruger til regelmæssig antivirus-test.
VoodooShield blokerede dem alle, naturligvis, da de ikke blev hvidlistet.
Det identificerede også alle undtagen et par af dem som malware til en samlet detektions score på 96 procent.
Til sammenligning opdagede Avast, McAfee og Norton også 96 procent af disse prøver, mens Webroot SecureAnywhere AntiVirusopdagede 100 procent af dem.
Selvfølgelig havde disse standard antivirusprogrammer mange chancer for at folie malware, herunder statisk detektion før lancering og detektion baseret på adfærd, blandt andre.
Detaljerne for hver detektion indeholdt tal for, hvor mange VirusTotal-deltagere, der havde undersøgt filen, og hvor mange markerede den som ondsindet.
I de fleste tilfælde vejede 70 eller flere antivirusmotorer ind.
Antallet af røde flag varierede fra 28 til 67, hvor to tredjedele af prøverne fik stinkeye fra mindst 40 antivirusmotorer.
Jeg lancerede også omkring 20 gamle Daxdi-hjælpeprogrammer.
Dette er legitime programmer, der ikke ofte bruges, da Daxdi-værktøjsbiblioteket er lukket ned.
Nogle er ikke digitalt underskrevet, mens andre er underskrevet med udløbne certifikater.
VoodooShield rapporterede om certifikatstatus og noterede sig de tilfælde, hvor en eller to antivirusmotorer markerede appen, men i de fleste tilfælde rådede den at gå videre med installationen.
I fem af programmerne trak VirusTotal-databasen et tomt punkt, og VoodooAi-komponenten kunne ikke beslutte.
VoodooShield rådede til at blokere disse fra at køre (et skridt mindre end at sætte dem i karantæne).
Præcis et af de legitime programmer blev mærket som mistænkeligt, for af en eller anden grund identificerede otte af antivirusmotorer det som malware.
Jeg valgte bevidst disse filer, fordi de er legitime, men de har nogle problemer.
VoodooShields opførsel forekommer mig helt rimelig.
Hvis du holder dig med opdaterede programmer, der er signeret digitalt, som du burde, bør VoodooShield ikke give dig problemer.
Spiller i sandkassen
VoodooShield inkluderer en lokal sandkassetilstand, der er designet til at lade dig køre iffy-programmer uden at tillade dem at foretage permanente ændringer i filsystemet eller registreringsdatabasen.
Jeg valgte et dusin prøver til test af sandkasser og valgte dem, der gør noget synligt på skærmen.
For halvdelen af ??dem tilbød VoodooShield ikke engang den lokale sandkasse.
Den anden halvdel løb nominelt i sandkassen, men gjorde slet ikke noget.
Min firmakontakt indrømmede, at denne funktion ikke er den mest nyttige.
Meget mere interessant er den skybaserede gøgsandkasse.
VoodooShields meddelelser påpeger, at indsendelse af filer til gøg effektivt gør dem offentlige og advarer om ikke at indsende noget privat eller proprietært.
Bemærk, at begge sandkassetilstande er fuldt tilgængelige for forbrugere ved hjælp af den gratis udgave.
Gøg kører hver indsendt prøve i et virtuelt miljø, der er udstyret med telemetri for at spore præcis, hvad der sker.
Du kan markere et afkrydsningsfelt for at få vist den virtuelle maskine ved hjælp af ekstern desktop-teknologi.
Det var fascinerende at se Petya-ransomware kryptere den virtuelle disk og kræve dens løsesum, kun for at forsvinde, når analysen var afsluttet.
Displayet forsinkes til tider.
I stedet for at blinke mellem rød-på-hvid og hvid-på-rød malede Petya-installationen synligt skærmen igen for hver flash.
Hver gøgeanalyse tog fem minutter eller mere, så jeg løb kun omkring en tredjedel af prøverne igennem processen.
I alle tilfælde kom det op med en malware-score på 10,0 point, hvilket betyder ondsindet uden tvivl.
For nogle leverede det et identificerende navn som Petya, Razy eller Youxun.
Denne malware score er bare toppen af ??en meget lang side med information om det testede program.
Hver fil, der tabes af malware, hver ændring af registreringsdatabasen, hvert netværksadgangsforsøg, det er alt der.
Det mest interessante afsnit er sandsynligvis titlen Underskrifter.
Dette viser specifikke adfærd, der gik ind i at identificere programmet som ondsindet, ting som at indstille sig til at starte ved opstart, stjæle private oplysninger eller forsøge at blande sig i ...
