主机入侵防御体系ThreatFire

软件类型：安全相关-系统安全
软件性质：免费软件
操作系统：Windows® 7、Vista™、XP、和 2003
问题反馈：http://www.threatfire.com/cn/supportinfo/
网站链接：http://www.threatfire.com/cn/
版本说明：简约规则2010版即著名的tf局长规则由卡饭网网友baerzake提供
版本更新：
6.28更新：信任列表加入了少量常见软件，上个版本漏加了explorer，现重新加入。
6.22更新：添加了一些重要注册表键值防御，增加了U盘病毒防御。
4.15小更新：将explorer.exe加入了信任列表，不想重新下载的卡饭可以自行添加。

[ThreatFire简约规则2010版].General.rar网盘下载:http://u.115.com/file/f030d80dd1
(下载后勿忘做源分流)

引用
【发布者语】
导入规则后的TF真的是非常非常的强大…强大到只有用过的人才能体会~囧
装了TF后,木马啊病毒啊恶意软件啊什么乱七八糟的东西的可疑动作都会被TF拦截或弹窗提示操作,所以机子里的小红伞就开始很悠闲了…难怪有人只用HIPS来裸奔(新手不建议)!
不过因为弹窗提示操作需要一定的电脑基础进行判断操作,所以未免造成不必要的损失,建议没有一定电脑基础的新手斟酌下载使用!!!谢谢合作~

引用
【杀毒提示】
已通过安全检测：
安全检测软件：Avira AntiVir Personal
版本号：9.0.0.13
病毒库发布时间：2010-06-25
引擎版本：8.02.04.02 (20100622)

引用
【安装/卸载】
一般步骤安装卸载

引用
【ThreatFire简约规则2010版使用注意事项】
敏感度：建议默认三级。强烈建议不要超过3级，会造成很多系统进程的误报！

【规则导入方法】
停止TF保护（不停止也可以，但建议停止），然后XP用户请将附件中文件复制到C:/Documents and Settings/All Users/Application Data/PC Tools/ThreatFire目录下替换原文件（此目录为隐藏目录），Vista用户请将附件中文件复制到C:/ProgramData/PC Tools/ThreatFire目录下（同样是隐藏目录）【windows7系统经热心卡饭测试可以使用，规则目录同VISTA。】。然后检查TF高级设置里是否规则都打了钩，若打钩了重启系统即可正常使用。

建议导入规则后将常用程序都运行一遍，有报警的点允许并记住【特别是一些更新程序会后台联网的被报警】。以后就会很安静了。

【VISTA用户注意】
TF对于“非交互进程”的定义规则在Vista下好像不是很有效，不知道为什么，此规则中有一条监控非交互进程联网的规则在XP下很正常，但在Vista 下使用时任何进程联网都会报警，所以如果觉得麻烦的Vista用户可以不勾选这条规则。

【ThreatFire简约规则2010版预览】

【软件简介】
ThreatFire™ 能传统防病毒软件之不能，全面保护您的计算机

计算机不断受到病毒、间谍软件和身份盗窃的攻击。每天都会出现针对您计算机的新威胁。它们比以往来得更快、更猛、更难设防，传统防病毒软件已跟不上它们的脚步。

您的防病毒软件能防护今天刚出现的最新恶意软件吗？大多数情况下都不能，因为它根本检测不出来。但 ThreatFire 的 ActiveDefense 技术可以做到，而且经证实，它与传统防病毒产品配合使用时，可多提供高达 243% 的保护。请参阅下表。

单独使用传统安全产品的情况与结合 ThreatFire 使用传统安全产品的效果对比

图表显示了 ThreatFire 在对系统检测、阻挡和删除零时差威胁和未知威胁时所提供的额外保护力度，这是 2009 年 6 月 AV-test.org 在一项独立的试验中得出的结果。所测试的竞争产品为 Alwil Software avast!Antivirus、AVG Technologies AVG Anti-Virus Free、Avira AntiVir Premium、G Data Software G Data AntiVirus 2010、Kaspersky Lab Kaspersky Anti-Virus 2009、McAfee VirusScan Plus、Trend Micro Trend Micro AntiVirus 和 AntiSpyware，在测试日期中都应用了最新的更新。

ThreatFire最具有特色的地方,应该就是它享有专利的行为监控技术 ( patent-pending ActiveDefense technology ),可以监控电脑中活动的进程,当辨识到恶意的程序,或是发现可疑的行为时,便会阻止其对系统的入侵破坏,或是提示使用者进行判断.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎麽变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.这种监控方式因为是判断某个程序的行为是否有妨碍系统安全的可疑动作,或是辨识那些会更动系统核心区域的行为,只要这个进程有「不正常」的动作就会被揪出来,理论上来说,这是更好的恶意软体防护方式,因为不管恶意软体怎么变,他要入侵电脑就一定要做出某些动作,而我们只要揪出这些动作然后阻止即可,不需要完全依靠病毒码的方式来辨识恶意软体本身.
　　重要的是，它具有类似程序防火墙的作用，号称西方的微点，是可以与杀毒软件配合使用的一个绝佳选择，能够查出杀毒软件所无法扫描到的恶意程序，保护电脑安全.

如果我已经有防病毒软件了，为什么还需要 ThreatFire 呢？

ThreatFire 与传统防病毒软件有很大不同。常规的防病毒产品通常必须先识别并发现威胁，才能提供足够防护。发现威胁之后，防病毒研究人员必须先编写代码，然后将代码通过特征码或指印更新的形式提供给用户，以此提供保护。这需要较长一段时间，在此期间，无法检测出该威胁，所以即使您的计算机装有防病毒软件，也会被感染。

为什么说 ThreatFire 能够提供传统防病毒软件不能提供的保护？

ThreatFire 通过检测恶意行为持续保护您的计算机抵御攻击，可检测的恶意行为包括击键捕获或数据窃取等，而不像常规防病毒软件那样只能查找已知威胁。通过采用精密的实时行为分析，ThreatFire 仅凭检测恶意活动就能够制止从未出现过的"零天威胁"。
零天威胁通常利用传统安全产品当前无法防护的新弱点或漏洞进行攻击。它们一般通过群发电子邮件（垃圾邮件）、网站劫持、即时消息或点对点网络快速大量传播。因为传统安全软件无法检测到它们，所以即使您安装了最新版的防病毒软件，也无法阻挡它们轮番"轰炸"并侵害您的计算机安全。
ThreatFire 正在申请专利的 ActiveDefense 技术可防护所有类型的因特网威胁，不管是已知威胁还是未知威胁，都能一网打尽，例如间谍软件、广告软件、击键记录器、病毒、蠕虫、特洛伊木马、根工具包、缓冲区溢出和其他恶意软件。ThreatFire 使用其独一无二的保护功能，猎寻并消灭让传统的"基于特征码"的防病毒软件束手无策的狡猾的新威胁。

是不是只有专家才能使用 ThreatFire？

ThreatFire 是一种旨在为所有人服务的先进技术，而不是仅供专家使用。

我们认为安全软件应该做到"安装后便万事大吉"，因此，一旦安装 ThreatFire 后，您不需要处理任何技术问题，实际上，您只有当 ThreatFire 检测到恶意软件并需要您注意时，才会觉察到它一直在保护您的系统。

【ThreatFire的扩展】
如果你具有基本的安全知识，而且还有耐心，那么完全可以自定一个规则来打造拦截率超过98%的tf。
　　下面引用网友baerzake的规则，也就是著名的tf局长规则。
　　因为病毒的特性是就是隐蔽，无界面，无进程……，故而设置一条针对非交互进程的规则即可，规则大意是禁止后台执行可执行文件。
　　正常程序一般不会后台自动运行，除了一些升级程序，可以在提示时选择允许并记住就可以了（开始提示会有点多，但一两天后就会很安静，很强大）。
　　具体设置见下图右
　　（常用可执行文件有*.ax *.bat *.bin *.cab *.cmd *.com *.cpl *.dll *.drv *.exe *.hiv *.hta *.lmz *.ocx *.olb *.pif *.scr *.sys *.tlb *.vxd *.x32）　
　　实测中几乎所有的病毒或恶意程序都被拦截，有的甚至连自带的规则都没过（能过自带的就是很厉害的病毒了。）
　　至于应该如何判断，最好的办法是先看这个进程是不是自己的正常程序（在哪个文件夹，是不是三无产品）。如果不是，那就要小心了，到“文件活动详细信息”去看看这个程序到底想做什么，如果它是想搞破坏，坚决斩立决。
　　其次，如果是在安装补丁、或安装新的软件时它立马弹出来，则应该放行。这些经验还很浅显，只是抛砖引玉，娱乐一下大众o(∩_∩)o

引用
【主机入侵防御体系即HIPS简介】
Host-based Intrusion Prevention System HIPS，基于主机的入侵防御系统。HIPS是一种能监控你电脑中文件的运行和文件运用了其他的文件以及文件对注册表的修改，并向你报告请求允许的的软件。如果你阻止了，那么它将无法运行或者更改。比如你双击了一个病毒程序，HIPS软件跳出来报告而你阻止了，那么病毒还是没有运行的。引用一句话：”病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。”。 HIPS是以后系统安全发展的一种趋势，只要你有足够的专业水平，你可以只用HIPS而不需杀毒软件。但是HIPS并不能称为防火墙，最多只能叫做系统防火墙，它不能阻止网络上其他计算机对你计算机的攻击行为。
　　因为病毒天天变种天天出新，使得杀软可能跟不上病毒的脚步，而HIPS能解决这些问题。
　　我们个人用的HIPS可以分为3D：
　　AD(Application Defend)应用程序防御体系
　　RD(Registry Defend)注册表防御体系
　　FD(File Defend)文件防御体系
　　它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
　　所谓hips(主机入侵防御体系)，也就是现在大家所说的系统防火墙，它有别于传统意义上的网络防火墙nips.
　　二者虽然都是防火墙，但是在功能上其实还是有很大差别的：传统的nips网络防火墙说白了就是只有在你使用网络的时候能够用上，通过特定的tcp/ip协议来限定用户访问某一ip地址，或者也可以限制互联网用户访问个人用户和服务器终端，在不联网的情况下是没有什么用处的；而hips系统防火墙就是限制诸如a进程调用b进程，或者禁止更改或者添加注册表文件–打个比方说，也就是当某进程或者程序试图偷偷运行的时候总是会调用系统的一些其他的资源，这个行为就会被hips检测到然后弹出警告询问用户是否允许运行，用户根据自己的经验来判断该行为是否正确安全，是则放行允许运行，否就不使之运行，一般来说，在用户拥有足够进程相关方面知识的情况下，装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，这样对于个人用户来说，中毒插马的可能性就基本上很低很低了.但是，只是装上个hips也不是最安全的，毕竟–用户穿上的只是个全透明防弹衣也还是会被某些别有用心的人偷窥去用户的个人隐私的，所以，选用一款功能强大而小巧的防火墙也是很重要的–起码有防止DDOS攻击和防arp欺骗攻击功能(对内网用户尤为重要)！

本文链接: http://www.books51.com/309176.html

上一篇: See Password v2.05

下一篇: F-Secure反病毒软件

(0 次顶, 0 人已投票)
你必须注册后才能投票！

Loading...