Voodooshield简易教程

一、简介

Voodooshield是白名单机制的防护软件，功能就是禁止一切非授权程序、脚本与命令运行，在未知程序启动时，会询问你是否加入白名单。非白即黑的机制使得Voodooshield这一个人软件在阻止99.9%的病毒的同时，拥有极低的资源占用。

二、局限

Voodooshield不是万能的，它是也只是一款anti-exe，这意味着它对一切不启动新进程的恶意软件（一小部分exploit）无能为力。

三、使用

考虑到大部分尝鲜用户不会花30美金购买授权，仅简单介绍免费版的功能，免费版在防护能力上与收费版完全一致，只是无法自定义设置。

1、初始设置

安装后，VS会自动将Windows核心程序与ProgramFiles文件夹中的程序加入白名单。白名单匹配使用路径、哈希、命令行、父进程、运行账号等多种方式，不必担心会被绕过。

建立初始白名单后，VS将在右下角显示盾牌图标以提示目前的防护模式。

2、防护模式

(1)DISABLE/INSTALL

该模式下VS仅会运行基础的自我防护，放行一切启动。

(2)TRAINING

该模式与DISABLE模式相似，但会自动将一切运行的程序加入白名单。

(3)ALWAYS ON

该模式下VS只允许白名单内程序运行，同时在未知程序启动时VS会弹窗询问并附上virustotal扫描结果和VS自己的机器学习引擎（不太靠谱）结果，点击相应结果会弹出详情。
弹窗如下：


(4)SMART
VS内置了一个易受入侵的状态列表（付费版可以自己设置），比如常见浏览器、电子邮件客户端处于开启状态，U盘已插入等，在这些情况下自动进入ALWAYS ON模式，日常则保持在TRAINING模式，达到最小化干扰。但我建议免费版不要使用这个模式，因为事实是只要联网就易受入侵，这个模式并不安全。

(5)AUTOPILOT

在这个模式下，VS如同普通杀毒软件一样工作，在遇到未知程序时，查询VT和VoodooAI结果，报得少就自动放行并加入白名单，多就自动阻止。这个模式适合在建立白名单时使用，减少建立白名单时的人工介入。由于VT在大陆访问很慢，这种模式会造成电脑运行缓慢仍然不适合日用。

3.使用方法

在建立初始白名单后，在smart或者auto模式下运行几天，让常用程序和命令进入白名单，然后转为ALWAYS ON模式日用。VS的使用就是这样傻瓜，而其防护效果大于大部分安软，这是白名单机制的先天优势。


四、常见问题

VS遇到新程序时导致电脑缓慢？

网络问题，如果你没有代{过}{滤}理，就右击盾牌，选择offline模式，此模式下VS不会进行任何查询，遇到未知程序启动会立刻弹窗询问。

VS如何防止白名单中程序被利用？

问题在于入侵手段。

如果是白加黑，那首先要有黑dll+白exe/driver或者黑exe+白driver进入系统并被无意间启动，在voodooshield进入锁定模式后，没有任何非授权exe或命令行可以运行，那白加黑如何进入系统呢？除非自己作死引入，不然没有问题。

如果是exploit比如利用浏览器漏洞或者PDF阅读器漏洞，那就要看情况了。VS没有办法阻止入侵过程，但绝大多数exploit会启动新的进程或者运行shell来进行恶意行为，VS会拦截他们。但仍然有部分高危expliot可以在不运行新程序和shell的情况下执行恶意代码，这是VS无能为力的。我的解决办法是将windows10自带的exploit protection开启并对部分高危进程使用更严格的设置，同时搭配其他anti-exploit，并开启内存隔离。

供应链攻击，像当时的ccleaner，或者华硕liveupdate自动下载病毒。这只能说这是世界性难题，即使是所谓zero trust的防护软件也总要去信任一些东西。VS在匹配白名单时使用哈希，这让静默更新可以被察觉，也有virustotal扫描器和自己的机器学习扫描器去提示新文件的安全性，部分缓解了这个问题。然而我们都知道当时ccleaner让几乎所有安软吃瘪了（没有个人安软成功防御），所以为了避免这种问题应该尽量使用来自大公司（准确的说法是软件行业的大公司，华硕、西数这种硬件公司软件通常写的很烂）的软件以及开源软件，除此之外没有其他方法。

VS是否能防止黑客入侵？

同样取决于手段，常见的入侵工具都会反弹shell给入侵者，VS可以拦截。如果是exploit，参照上面。

VS是否能搭配其他安软？

可以，事实上VS的初衷就是与其他防护软件共用，只要你相互加白名单就好。

VS付费版值么？

VS是小众软件，这就意味着价钱不会有大厂这么低，也不会有中国优惠，更不要说VS免费版防护也不差，我是出于支持作者才购买收费版。