Smart Behavior blockers

[mehdi56]

با سلام:

با توجه به پیشرفت این تکنولوژی و نقش بسیار مهم آن در شناسایی انواع مخرب ها (شامل ویروس و کرم و تروژان و

حتی روتکیت و ...) از نوع رفتار آنها بر روی سیستم، لازم است که کاربران حرفه ای اطلاعاتی هر چند محدود از طرز

کار این نرم افزارها که ThreatFire یکی از آنهاست داشته باشند. این تکنولوژی بسیاری از این کدهای مخرب را قبل از

اثر بر روی سیستم از طریق نوع رفتارشان شناسایی می کند و نیازی به استفاده از دیتابیس آنتی ویروس ها ندارد.

در واقع مزیت این تکنولوژی به همین است که اگر کد مخربی که هنوز امضای آن در دیتابیس آنتی ویروس قرار نگرفته

است سیستم را تهدید کند شناسایی شود و سیستم را آلوده نکند.

ThreatFire یک Behavior blocker بسیار پیشرفته و هوشمند و رایگان می باشد که همان Cyberhawk قدیم است که

حدود چند سال پیش توسط کمپانی PCTools ،سازنده ی آنتی اسپایور معروف Spyware Doctor. (معلوم نسیت این

یکیو هم از کجا کش رفته!) خریداری شد و به ThreatFire امروز تغییر نام یافت. که در مقایسه با نرم افزارهای مشابه

سادگی فراوانی دارد و برای استفاده ی کاربران معمولی نیز مناسب است و به جرات می توان گفت که اخطارهای آن

در 95 درصد اوقات مربوط به شناسایی کد مخرب است و کمتر به برنامه های قانونی، به اصطلاح گیر می دهد.

یکی دیگر از نرم افزارهای امنیتی که از این نوع تکنولوژی استفاده می کند آنتی ویروس کاسپرسکی است که با

سرویس Proactive defense module) PDM )خود امنیت بسیار مناسبی را برای سیستم تامین می کند. این

سرویس دقیقا مثل تکنولوژی بکار رفته در ThreatFire کار می کند. ولی نسبت به ThreatFire پیچیدگی بیشتری دارد

و حرفه ای تر است و استفاده از آن نیاز به تبحر زیاد دارد. در واقع شاید بتوان گفت که هشدارها و اطلاعات کامل تری

را در اختیار کاربر قرار می دهد. و در کل استفاده از این سرویسها نیاز به دقت و سرعت و اطلاعات نسبتا بالایی دارند

تا مفید فایده واقع شود. و برای کاربرانی که حوصله ی خواندن هشدارهایی که توسط این نرم افزارها نشان داده می

شود را ندارند هیچ اثری ندارد و بسیار خطرناک است و ویروس براحتی می تواند اجازه ی ورود به سیستم را از خود

شما بگیرد. و سیستم شما را آلوده کند. ولی در صورت استفاده ی صحیح از آنها امنیت سیستم را در حد بسیار

عالی تامین می کند. قابل توجه کسانی که می گویند سرویس PDM کاسپرسکی مزاحم است. در واقع تنها مزیت

برجسته ی آنتی ویروس کاسپرسکی نسبت به بقیه، همین سرویس است.

می توان گفت سه عامل مهم در نرم افزارهای آنتی ویروس برای جلوگیری از ورود کدهای مخرب بروی

سیستم:

1-دیتابیس مناسب.

2- heuristics قوی یا همان هوش مصنوعی.

3- و استفاده از یکBehavior blocker مناسب می باشد. البته همراه با یک دفاع کننده از رجیستری.

که هر کدام از این تکنولوژی ها نباشد حقیقتا یک نقص برای نرم افزار امنیتی و یا امنیت سیستم می باشد.

در رابطه با این موضوعات آنتی ویروس کاسپرسکی انصافا بسیار خوب عمل کرده البته به جز مورد دوم که داشتن

هوش مصنوعی قوی است. که البته در ورژن 7 آن انقلابی پدید آمده ولی باز هم هوش مصنوعی آن در حد معمولی

است. این طور که معلوم است در آخرین تست، نتیجه ی 40 درصد را کسب کرده ولی انصافا این درصد نیز در حد

معمولی است.

در مورد آنتی ویروس NOD32 نیز هوش مصنوعی آن بسیار قوی و مناسب است ولی در بقیه مشکل دارد. هر چند

هوش مصنوعی به نوبه ی خود جزو Behavior blocker محسوب می شود ولی این دو تکنولوژی فرق عمده و اساسی

با هم دارند. و باید در کنار هم قرار داشته باشند.

Norton Anti Bot نیز از تکنولوژی Behavior blocker استفاده می کند ولی بسیار بسیار ضعیف است. در واقع تنها

ThreatFire و PDM کاسپرسکی قابل مقایسه با هم هستند. نرم افزارهای بسیار عالی دیگری نیز وجود دارند که جزو

همین دسته حساب می شوند ولی مثل دو مورد یاد شده ی قبل هوشمند عمل نمی کنند و برای هر عکس

العملی از کاربر اجازه می گیرند که استفاده از آنها اطلاعات کاملی می خواهد مثل Dynamic Security Agent که در

نوع خود بسیار بسیار قوی است و یا نرم افزار Neoava Guard که توسط یک جوان ایرانی ساخته شده که این مورد نیز

بسیار قوی می باشد و اکثر فرومهای امنیتی مهم آن را می شناسند.

خلاصه ی بحث اینکه برای تامین امنیت مناسب یا می توان از آنتی ویروس کاسپرسکی استفاده کرد البته با در نظر

داشتن هوش مصنوعی نچندان قوی. که بسیار بسیار لازم است. و یا برای کسانی که مثل من از آنتی ویروس

NOD32 استفاده می کنند، استفاده از یک Behavior blocker مناسب مثل ThreatFire لازم است. و می توان در کنار

آن از یک دفاع کننده ی قوی از رجیستری مثل Regdefend نیز استفاده کرد.

در شکل های زیر چند نمونه از اخطارهای ThreatFire آورده شده است:

در شکل اول علاوه بر اطلاعات موجود، در قسمت What …? رفتار کد مخرب را نشان می دهد که می خواهد خود را

در نواحی حساس سیستم کپی و اجرا کند.



در شکل دوم میزان حساسیت خطر را نشان می دهد و رفتار مشکوک این کد مخرب را هشدار می دهد و بیان می

کند که برنامه های قانونی معمولا این کارهای بد بد را انجام نمی دهند.



در شکل سوم نیز شباهت رفتار این کد مخرب را به رفتار تروژان و یا کرم بیان می کند.



PDM کاسپرسکی نیز عین همین هشدارها را در برابر این کد مخرب از خود نشان می دهد. و از رفتارش آن را تروژان

می شناسد.

سایت معروف AV-Comparatives نیز چند نمونه از این Behavior blocker ها را از جمله KAV PDM و ThreatFire یا

همان Cyberhawk قدیم را تست کرده که نتایج آنها را می توانید در لینک زیر پیدا کنید. البته در این تست تکنولوژی

های دیگری نیز تست شده است.

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دوستان اگر اطلاعات دیگری دارند مطرح کنند تا دیگر دوستان و من استفاده کنیم.

موفق باشید.

[vtn54]

سلام دوست عزیز

از شما به خاطر تهیه این مطالب آموزنده و معرفی این تکنولوژی جدید ( و در نهایت ضروری ) با زبان ساده برای سایر

دوستان تشکر می کنم و امیدوارم از این پس شاهد مطالب جدید و آموزنده دیگر نیز از طرف شما باشیم.

ارادتمند

[mehdi56]

به امید خدا

[Maximillion]

جناب mehdi56 ضمن تشکر از مقاله خوبتون:

ThreatFire™ protects when your antivirus can't
ThreatFire is an application designed to protect your computer against malware such as trojans, spyware, rootkits, keyloggers, and buffer overflows by intelligently detecting and blocking behavior consistent with that of malware. It uses advanced patent-pending technology to detect signs of malicious behavior commonly used by malware threats. ThreatFire is unlike traditional antivirus products that rely on old fashioned "signature" technology and require updating every time a new threat occurs. By constantly monitoring the activity on your PC ThreatFire’s ActiveDefense technology is able to hunt down and paralyze threats that are too new or too clever to be recognized by traditional security software. ThreatFire employs an intelligent behavioral engine to only alert you on truly malicious behavior, because sometimes even legitimate software may look malicious. This means you are only alerted when you really need to be

PCs are under constant attack from viruses, spyware and identity theft. Every day you hear about a new threat to your PC. They're coming faster than ever before, they're getting harder to stop and traditional antivirus products are not able to keep up. Will your antivirus software catch the latest malware that just came out today? In most cases, no, because it simply does not know how to detect it yet. But ThreatFire's ActiveDefense technology does, and has proven to provide up to 243% more protection when combined with traditional AntiVirus products

ThreatFire is dramatically different to traditional antivirus software. Normal antivirus products usually need to have first identified and seen a threat before they can provide adequate protection against it. The protection is then provided via a signature or fingerprint update, which must first be written by an antivirus researcher. This creates a large window of time where threats are undetected and can therefore infect your PC even when you have antivirus software installed

ThreatFire continually protects your PC against attacks by detecting malicious behavior, such as capturing your keystrokes or stealing your data, instead of only looking for known threats like normal antivirus software. By implementing sophisticated real-time behavioral analysis ThreatFire is able to stop never- before-seen "zero-day" threats solely by detecting their malicious activity

ThreatFire's patent-pending ActiveDefense technology offers protection against all types of internet threats - both known and unknown — spyware, adware, keyloggers, viruses, worms, Trojans, rootkits, buffer overflows, and other malware. ThreatFire uses its unparalleled protection to hunt down and paralyze those threats that are either too new or too clever to be recognized by traditional "signature-based" antivirus software

ThreatFire Highlights
• Persistent zero-day threat protection made easy for everyone — even novice users
• Perpetually ready for the next malware outbreak, with no signature updates required
• Runs in background without impacting system performance• NEW! ThreatFire now includes advanced protection features including malware quarantine and removal, rootkit scanner and custom rules settings in both the Free and Pro versions
• Patent-pending ActiveDefense technology intelligently scans and analyzes computer processes to detect and block any malicious activity — without false positives
• Highest level of out-of-the-box accuracy. No need to configure baffling, technical security settings: just turn ThreatFire on and start blocking malware
• Protects against both known and zero-day viruses, worms, trojans, buffer overflows, rootkits and even some spyware
• Works alongside your current security programs — there is no need to uninstall your antivirus, anti-spyware, firewall or other security program before installing ThreatFire
• NEW! ThreatFire Pro includes PC Tools AntiVirus’s on-demand AV scanner, giving you added peace of mind so you can quickly and easily scan your PC for known threats

ThreatFire 3.0.13.9 - 14/12/2007

Download

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید