Wenn Sie die Box öffnen und einen brandneuen PC herausnehmen, können Sie ziemlich sicher sein, dass er frei von Malware ist.
Sie können dies auch so halten, indem Sie sich vom Internet fernhalten und keine neuen Programme starten.
Dieser Computer würde keinen traditionellen brauchen Antivirus überhaupt nicht, aber es wäre nicht gut für viel.
VoodooShield von VoodooSoft zielt darauf ab, Sie zu schützen und gleichzeitig die normale Nutzung des Computers zu ermöglichen.
Standardmäßig erkennt und blockiert es neue, unbekannte Programme nur, wenn sich Ihr Computer in einem riskanten Zustand befindet.
Es ist ein nützliches Tool, wie sich beim Testen bewährt hat, und seine neue WhitelistCloud-Funktion (für zahlende Kunden) zielt darauf ab, es dem Ersatz herkömmlicher Antivirenprogramme näher zu bringen.
In einer nichtkommerziellen Umgebung sind die Grundfunktionen von VoodooShield kostenlos.
Wenn Sie es geschäftlich nutzen, müssen Sie für ein Abonnement bezahlen, das bei 30 USD pro Jahr für einen einzelnen PC beginnt und bei tausend oder mehr auf 10 USD pro Jahr pro PC sinkt.
Bezahlte Benutzer erhalten außerdem technischen Support, Zugriff auf eine Vielzahl von Einstellungen und andere erweiterte Funktionen, einschließlich des Zugriffs auf das WhitelistCloud-Analysesystem.
Für diese Überprüfung habe ich mit der kostenlosen Edition begonnen und dann die kostenpflichtigen Funktionen überprüft.
Erste Schritte mit VoodooShield
Nach der einfachen Installation werden Sie vom Programm aufgefordert, entweder Ihre E-Mail als kostenlosen Benutzer zu registrieren oder Ihre E-Mail-Adresse und Ihren Lizenzschlüssel für eine kostenpflichtige Installation einzugeben.
Es wird sofort eine Momentaufnahme der aktiven Programme auf dem System erstellt und diese Aktivität mit einer kleinen Benachrichtigung in der unteren rechten Ecke angekündigt.
Als Nächstes werden Sie aufgefordert, den AutoPilot-Modus oder den Anwendungs-Whitelisting-Modus auszuwählen.
Ersteres erfordert weniger Benutzerinteraktion, ist aber auch etwas weniger sicher.
Ich habe den Whitelisting-Modus für volle Sicherheit gewählt.
Beachten Sie, dass Malware, die bereits auf Ihrem Computer vorhanden ist, zusammen mit Ihren legitimen Programmen in diesem ersten Snapshot auf die Whitelist gesetzt wird.
Wenn Sie dieses Programm zusammen mit herkömmlichem Antivirenprogramm verwenden, führen Sie vor der Installation einen vollständigen Scan durch.
Wenn nicht, nutzen Sie Malwarebytes Kostenlos oder ein anderes kostenloses Bereinigungstool vor der Installation von VoodooShield.
Ein großer Begrüßungsbildschirm bietet eine einfache Beschreibung der Funktionsweise des Programms.
Kurz gesagt, es heißt, anstatt zu versuchen, fehlerhafte Programme zu erkennen und daran zu hindern, wie sie typisch ausgeführt werden Malware Schutz Tools tun, erlaubt VoodooShield nur bekannt gut Programme zu starten.
Im Standard-Smart-Modus funktioniert es nur, wenn Ihr Computer gefährdet ist, dh wenn er mit dem Internet verbunden ist oder ein USB-Laufwerk angeschlossen ist.
Im nächsten Bildschirm wird erläutert, dass VoodooShield möglicherweise etwas blockiert, das Sie ausführen möchten, und dass Sie auf eine Schaltfläche klicken können, um dieses Programm zuzulassen.
Sie können es auch vorübergehend mit einem Klick ausschalten, wenn Sie neue Programme installieren.
In einem dritten Bildschirm wird detailliert beschrieben, wie mit neuen Programmen umgegangen wird.
Für den Anfang wird jedes Programm, das bei ausgeschaltetem Schutz ausgeführt wurde, beim Einschalten automatisch auf die Whitelist gesetzt.
Wenn ein unbekanntes Programm angezeigt wird, erhalten Sie eine Popup-Benachrichtigung von VoodooShield.
Wenn Sie es absichtlich installieren, klicken Sie einfach, um es zuzulassen.
Das Programm weist auch darauf hin, dass beim Blockieren einer Datei die Datei mit "50+ Scan-Engines nach Industriestandard" verglichen wird.
Wenn Sie denken, dass das so klingt, als würde es mit überprüfen VirusTotal, Du hast recht.
Wie Sie später sehen werden, wird in der Sandbox-Analyse VirusTotal namentlich erwähnt.
Ein Antivirenprogramm, das VirusTotal als Erkennungsmodul verwendet, verstößt gegen die Richtlinien, das Überprüfen der Datenbank nach der Erkennung ist jedoch zulässig.
Ein-, Smart- und Aus-Modus
Alles, was Sie normalerweise von VoodooShield sehen, ist ein winziges schildförmiges Symbol in der unteren rechten Ecke Ihres Bildschirms.
Sie können es auf Wunsch an einen anderen Ort verschieben oder transparent machen.
Über das Rechtsklick-Menü können Sie unter anderem den Betriebsmodus des Programms steuern.
Wenn VoodooShield deaktiviert ist, befindet es sich im Trainingsmodus.
Dies bedeutet, dass jedes von Ihnen ausgeführte Programm auf die Whitelist gesetzt wird.
Das Schildsymbol wird rot und zeigt AUS an.
Verwenden Sie diesen Modus, wenn Sie ein neues Programm von einer vertrauenswürdigen Quelle installieren.
Wenn Sie VoodooShield einschalten, wird das Schild blau und zeigt EIN an.
Es blockiert die Ausführung von Programmen, die noch nicht auf der Whitelist stehen.
Wenn der Zugriff auf ein Programm blockiert wird, das Sie starten möchten, klicken Sie auf das Popup-Fenster für den Benachrichtigungsbereich, um die vollständigen Details anzuzeigen, und klicken Sie dann auf Zulassen.
Wenn Sie das Programm nicht erkennen, können Sie seine Ausführung blockieren oder in Quarantäne stellen.
Oder Sie können es einfach ignorieren; VoodooShield blockiert automatisch nach 20 Sekunden.
Wie bereits erwähnt, verbessert die WhitelistCloud-Funktion für bezahlte Benutzer diese Erfahrung.
Ich werde es unten diskutieren.
Zum ersten Mal nach der Installation von VoodooShield werden möglicherweise einige dieser Popups angezeigt.
Sie können die Popup-Unordnung reduzieren, indem Sie im Smart-Modus bleiben.
Die Logik hinter diesem Modus ist einfach.
Es wird davon ausgegangen, dass auf Ihrem Computer noch keine Malware vorhanden ist.
Malware kann daher nur über das Internet oder von einem Wechseldatenträger eingegeben werden.
Im Smart-Modus ist VoodooShield standardmäßig deaktiviert und listet die von Ihnen ausgeführten Programme auf.
Wenn Sie jedoch eine Verbindung zum Internet herstellen oder ein USB-Laufwerk anschließen, wird es aktiviert, um neue Programme zu überprüfen.
VoodooAi und Scannen
VoodooShield blockiert nicht nur unbekannte Dateien, sondern unterwirft sie auch einem maschinellen Lernwerkzeug namens VoodooAi.
Dieses System wurde mit Tausenden von Beispielen von Malware und gültigen Dateien trainiert und entwickelt interne Modelle der Merkmale, die zwischen gut und schlecht unterscheiden.
Es wird nicht nach bestimmten Malware-Signaturen oder gar nach Malware-ähnlichen Verhaltensweisen gesucht.
Vielmehr werden Dutzende von Dateieigenschaften verfolgt, die sich in den beiden Gruppen erheblich unterscheiden.
Als Ergänzung zu dieser Engine für maschinelles Lernen vergleicht VoodooShield blockierte Dateien mit der Datenbank eines bekannten mehrmotorigen Antiviren-Scan-Dienstes.
Rechtliche und vertragliche Probleme hindern das Unternehmen theoretisch daran, diesen Dienst zu benennen.
In den Berichten aus seiner Cloud-Sandbox können Sie jedoch erkennen, dass es sich um VirusTotal handelt.
Und ja, obwohl der betreffende Dienst nicht legitimerweise als primäre Erkennungs-Engine verwendet werden kann, ist es in Ordnung zu überprüfen, ob Dateien bereits gescannt wurden.
Umgang mit Erkennungen
Für eine Datei, bei der es sich anscheinend um Malware handelt, bietet VoodooShield mehrere Optionen.
Sie können nicht nur die Ausführung der Datei blockieren, sondern sie auch wie unter Quarantäne stellen Bitdefender Antivirus Plus, Kaspersky und die meisten herkömmlichen Antiviren-Tools.
Wenn VoodooShield eine Datei als bösartig, nicht nur unbekannt oder verdächtig blockiert, ändert sich die Schaltfläche Zulassen in Falsch positiv zulassen.
Wenn Sie darauf klicken, müssen Sie bestätigen, dass Sie wissen, was Sie tun, und dass das Ausführen der Datei Malware verursachen kann.
Für einen realen Test habe ich versucht, jedes Malware-Beispiel zu starten, das ich für regelmäßige Antivirentests verwende.
VoodooShield hat natürlich alle blockiert, da sie nicht auf der Whitelist standen.
Es wurden auch alle bis auf einige als Malware identifiziert, was einer Gesamterkennungsrate von 96 Prozent entspricht.
Zum Vergleich haben Avast, McAfee und Norton 96 Prozent dieser Proben entdeckt Webroot SecureAnywhere AntiVirusentdeckte 100 Prozent von ihnen.
Natürlich hatten diese Standard-Antivirenprogramme viele Chancen, die Malware zu vereiteln, einschließlich der statischen Erkennung vor dem Start und der Erkennung anhand des Verhaltens, unter anderem.
Die Details für jede Erkennung enthielten Zahlen darüber, wie viele VirusTotal-Teilnehmer die Datei untersucht hatten und wie viele sie als bösartig gekennzeichnet hatten.
In den meisten Fällen wogen 70 oder mehr Antiviren-Engines.
Die Anzahl der roten Flaggen lag zwischen 28 und 67, wobei zwei Drittel der Proben den Stinkeye von mindestens 40 Antiviren-Engines erhielten.
Ich habe auch ungefähr 20 alte Daxdi-Hilfsprogramme gestartet.
Dies sind legitime Programme, die nicht häufig verwendet werden, da die Daxdi-Dienstprogrammbibliothek heruntergefahren wurde.
Einige sind nicht digital signiert, während andere mit abgelaufenen Zertifikaten signiert sind.
VoodooShield meldete den Zertifikatstatus und notierte die Fälle, in denen ein oder zwei Antiviren-Engines die App kennzeichneten.
In den meisten Fällen wurde jedoch empfohlen, mit der Installation fortzufahren.
Für fünf der Programme wurde in der VirusTotal-Datenbank eine Lücke geschlossen, und die VoodooAi-Komponente konnte sich nicht entscheiden.
VoodooShield empfahl, diese am Laufen zu hindern (ein Schritt, bevor sie in Quarantäne gestellt werden).
Genau eines der legitimen Programme wurde als verdächtig eingestuft, da es aus irgendeinem Grund von acht Antiviren-Engines als Malware identifiziert wurde.
Ich habe diese Dateien absichtlich ausgewählt, weil sie zwar legitim sind, aber einige Probleme haben.
Das Verhalten von VoodooShield erscheint mir völlig vernünftig.
Wenn Sie sich an aktuelle Programme halten, die wie Sie digital signiert sind, sollte VoodooShield Ihnen keine Probleme bereiten.
In der Sandbox spielen
VoodooShield enthält einen lokalen Sandbox-Modus, mit dem Sie zweifelhafte Programme ausführen können, ohne dass sie dauerhafte Änderungen am Dateisystem oder an der Registrierung vornehmen dürfen.
Ich habe ein Dutzend Proben für Sandkastentests ausgewählt und mich für solche entschieden, die etwas tun, was auf dem Bildschirm sichtbar ist.
Für die Hälfte von ihnen bot VoodooShield nicht einmal die lokale Sandbox an.
Die andere Hälfte lief nominell im Sandkasten, tat aber überhaupt nichts.
Mein Firmenkontakt gab zu, dass diese Funktion nicht die nützlichste ist.
Viel interessanter ist die Cloud-basierte Cuckoo-Sandbox.
In den Nachrichten von VoodooShield wird darauf hingewiesen, dass das Senden von Dateien an Cuckoo diese effektiv öffentlich macht und davor warnt, private oder proprietäre Dateien zu senden.
Beachten Sie, dass beide Sandbox-Modi für Verbraucher, die die kostenlose Edition verwenden, vollständig verfügbar sind.
Cuckoo führt jede eingereichte Probe in einer virtuellen Umgebung aus, die mit Telemetrie ausgestattet ist, um genau zu verfolgen, was passiert.
Sie können ein Kontrollkästchen aktivieren, um diese virtuelle Maschine mithilfe der Remotedesktoptechnologie anzuzeigen.
Es war faszinierend zu sehen, wie die Petya-Ransomware die virtuelle Festplatte verschlüsselte und ihr Lösegeld forderte, um nach Abschluss der Analyse zu verschwinden.
Die Anzeige verzögert sich manchmal.
Anstatt zwischen Rot auf Weiß und Weiß auf Rot zu blinken, hat die Petya-Installation den Bildschirm für jeden Blitz sichtbar neu gestrichen.
Jede Kuckucksanalyse dauerte fünf Minuten oder länger, sodass ich nur etwa ein Drittel der Proben durch den Prozess laufen ließ.
In jedem Fall ergab sich eine Malware-Bewertung von 10,0 Punkten, was ohne Zweifel böswillig bedeutet.
Für einige lieferte es einen identifizierenden Namen wie Petya, Razy oder Youxun.
Dieser Malware-Score ist nur der Anfang einer sehr langen Seite mit Informationen über das getestete Programm.
Jede Datei, die von der Malware gelöscht wurde, jede Änderung an der Registrierung, jeder Netzwerkzugriffsversuch, alles ist da.
Der wahrscheinlich interessanteste Abschnitt trägt den Titel Signaturen.
Hier werden bestimmte Verhaltensweisen aufgelistet, mit denen das Programm als bösartig identifiziert wurde, z.
B.
das Starten beim Start, das Stehlen privater Informationen oder der Versuch, die ...
