被PCTools收购的Cyberhawk现在以PCTools的商标推出了名为ThreatFire 3.0的恶意程序监控软体,正式结束旧版的名称,迈向3.0.在ThreatFire 3.0的免费版中,除了可以利用专利的行为监控技术来阻止恶意的病毒、蠕虫、木马、间谍等程序入侵 ,而且还把原本CyberhawkPro才提供的Rootkits侦测、自定义规则等功能也都纳入免费版中提供,当然还加上了一些新的特色.
而ThreatFire的Pro注册版里,还整合了PCTools的反病毒监控技术,因为行为监控是只针对正要行动的程序,反病毒扫描则可以找出那些隐藏在电脑中还未启动的恶意软体.
ThreatFire 3.0Free主要是一个传统安全软体的辅助工具,可以弥补许多传统安全软体防护不足的地方,依照ThreatFire自己的说法,它可以与原本的反病毒、反间谍、防火牆等软体共容.
ThreatFire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending ActiveDefense technology),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.ThreatFire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending ActiveDefensetechnology),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎麽变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎么变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.
一般的HIPS(单机入侵防御、系统防火牆)通常是为系统的重要核心资料建立一个防护罩,所有要通过这层防护障的程序行为都会被揪出来,然后由使用者判断是否要允许放行.一般的HIPS(单机入侵防御、系统防火墙)通常是为系统的重要核心资料建立一个防护罩,所有要通过这层防护障的程序行为都会被揪出来,然后由使用者判断是否要允许放行.例如帮浏览器的首页、工具列、ActiveX等建立一个防护罩,任何有要改动首页、安装工具列的行为都会被档在防护罩外,除非使用者放行.例如帮浏览器的首页、工具列、ActiveX等建立一个防护罩,任何有要改动首页、安装工具列的行为都会被档在防护罩外,除非使用者放行.而依据官方说法,ThreatFire和一般的HIPS不同的地方在于,ThrearFire有一套自己的行为监控辨识技术,所以可以自行放行一些安全的程序,对于确定是恶意的程序也可以自动阻挡,只有未知的可疑行为会先被隔离,并以「黄色」警示视窗的方式警告使用者,而在这个警示视窗中,使用者可以依据安全等级、可疑行为描述等进一步资料,来决定是否要放行.而依据官方说法,ThreatFire和一般的HIPS不同的地方在于,ThrearFire有一套自己的行为监控辨识技术,所以可以自行放行一些安全的程序,对于确定是恶意的程序也可以自动阻挡,只有未知的可疑行为会先被隔离,并以「黄色」警示视窗的方式警告使用者,而在这个警示视窗中,使用者可以依据安全等级、可疑行为描述等进一步资料,来决定是否要放行.所以就使用的体验来说,ThreatFire在行为监控的同时,也提供了使用者一个相对易用的体验.所以就使用的体验来说,ThreatFire在行为监控的同时,也提供了使用者一个相对易用的体验.当然,安全防护能力又是另外一回事,不过一般的使用者其实可以在安全防护能力与易用性上作一个平衡的抉择,因为不是所有使用者都会需要很耗资源的全面监控的.当然,安全防护能力又是另外一回事,不过一般的使用者其实可以在安全防护能力与易用性上作一个平衡的抉择,因为不是所有使用者都会需要很耗资源的全面监控的.
*稳定性与效能的增强:当然,新版如果没有除错和程式优化就实在说不过去,就我实际的使用体验来看,换了新程序的ThreatFire(TFService.exe、TFTray.exe)在占用记忆体与CPU效率上有些微的增强,初步的使用看来是比之前的Cyberhawk更顺畅,之前会碰到的「输入法」效能问题目前也还没有遇到.稳定性与效能的增强:当然,新版如果没有除错和程式优化就实在说不过去,就我实际的使用体验来看,换了新程序的ThreatFire(TFService.exe、TFTray.exe)在占用记忆体与CPU效率上有些微的增强,初步的使用看来是比之前的Cyberhawk更顺畅,之前会碰到的「输入法」效能问题目前也还没有遇到.但是因为我也才试用了一个晚上,所以这部分还说不准.但是因为我也才试用了一个晚上,所以这部分还说不准.
*介面改变、基本操作不变:虽然会了新的主程式介面,但是操作方法还是和之前的Cyberhawk一样,在主介面中的「SecurityStatus」可以看到目前可防护数量和已经侦测的统计;在「Start Scan」中可以手动扫描Rootkits威胁 ;「ThreatControl」中可以看到已经建立的允取、阻挡规则,可以进行修改;「AdvancedRules」可以让进阶使用者自行设计行为监控的规则,对于一般使用者的我来说,这部分目前先自动跳过;「Setting」可以设定一些基本的即时监控项目,还可以排程Rootkits的扫描.介面改变、基本操作不变:虽然会了新的主程式介面,但是操作方法还是和之前的Cyberhawk一样,在主介面中的「SecurityStatus」可以看到目前可防护数量和已经侦测的统计;在「Start Scan」中可以手动扫描Rootkits威胁 ;「ThreatControl」中可以看到已经建立的允取、阻挡规则,可以进行修改;「AdvancedRules」可以让进阶使用者自行设计行为监控的规则,对于一般使用者的我来说,这部分目前先自动跳过;「Setting」可以设定一些基本的即时监控项目,还可以排程Rootkits的扫描 .
* CommunityProtection社群式防护体系:在主程式介面的「Security Status」中可以看到「YourProtection(你的防护资料)」、「CommunityProtection(社群防护资料)」的区别,你的防护资料指的是你私人主机裡的各种防护事件统计,而Community的社群功能,则让ThreatFire的使用者可以即时互相交换彼此的防护资料,当有用户的ThreatFire侦测、标示出新的恶意程序时,就会透过用户彼此的传递来最快的更新安全资料 . Community Protection社群式防护体系:在主程式介面的「SecurityStatus」中可以看到「Your Protection(你的防护资料)」、「CommunityProtection(社群防护资料)」的区别,你的防护资料指的是你私人主机里的各种防护事件统计,而Community的社群功能,则让ThreatFire的使用者可以即时互相交换彼此的防护资料,当有用户的ThreatFire侦测、标示出新的恶意程序时,就会透过用户彼此的传递来最快的更新安全资料 . 只要到「Setting」的「CommunityProtection」选择「On」,就可以加入这个共享机制.只要到「Setting」的「CommunityProtection」选择「On」,就可以加入这个共享机制.
*Quarantine隔离区:最新ThreatFire拥有隔离区的功能,在跳出黄色的警示视窗时,可以选择「Quarantine」,该进程档桉就会被放到隔离区当中,你可以到「Threat Comtrol」-「Quarantined」当中看到被放入隔离区的档桉.Quarantine隔离区:最新ThreatFire拥有隔离区的功能,在跳出黄色的警示视窗时,可以选择「Quarantine」,该进程档桉就会被放到隔离区当中,你可以到「ThreatComtrol」-「Quarantined」当中看到被放入隔离区的档桉.隔离区的功能可以让你试试看删除这个档桉会不会对系统造成影响,如果会有影响可以到隔离区复原档桉「Restore」,如果移除后系统仍然可以正常运作,也可以选择「PermanentlyDelete」永久删除这个档桉.隔离区的功能可以让你试试看删除这个档桉会不会对系统造成影响,如果会有影响可以到隔离区复原档桉「Restore」,如果移除后系统仍然可以正常运作,也可以选择「Permanently Delete」永久删除这个档桉.(将档桉放入、移出隔离区后,最好重新启动电脑) (将档桉放入、移出隔离区后,最好重新启动电脑)
对于家庭用户,可以试试看用一个防火牆搭配一个ThreatFire,防火牆可以过滤网路的各种不当连线,而ThreatFire可以过滤系统的不安全修改、可疑程序的行为(也会包含一部分程序的可疑网路连线),不过ThreatFire可以阻挡恶意程序,可以删除恶意程序档桉,但是无法像防毒软体那样对「中病毒」的档桉解毒,所以我也会安装一个手动的反毒软体ClamWin来扫描潜伏的病毒或解毒.对于家庭用户,可以试试看用一个防火墙搭配一个ThreatFire,防火墙可以过滤网路的各种不当连线,而ThreatFire可以过滤系统的不安全修改、可疑程序的行为(也会包含一部分程序的可疑网路连线),不过ThreatFire可以阻挡恶意程序,可以删除恶意程序档桉,但是无法像防毒软体那样对「中病毒」的档桉解毒,所以我也会安装一个手动的反毒软体ClamWin来扫描潜伏的病毒或解毒. 这也是为什麽ThreatFire Pro注册版用加入AntiVirus功能的原因.这也是为什么ThreatFirePro注册版用加入AntiVirus功能的原因.
(简介来自“http://playpcesor.blogspot.com/”)
官网
下载PC Tools ThreatFire v3.0.0.15 Beta
[ 本帖最后由 Kakura 于 2007-8-19 14:53 编辑 ] |
发表于 2007-8-19 14:51:45
楼主
